IT-Academy Logo
Sign Up Login Help
Home - Internet - Sicherheit & Firewalls



Sicherheit & Firewalls

Dieses Artikel soll Ihnen verständlich machen, warum das Thema Sicherheit für Sie interessant ist und warum speziell in Netzwerken speziell darauf zu achten ist.


Autor: Oliver Bacun (Baol)
Datum: 27-01-2003, 21:58:37
Referenzen: Keine.
Schwierigkeit: Anfänger
Ansichten: 7042x
Rating: 8 (4x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Einführung
Dieses Kapitel soll Ihnen verständlich machen, warum das Thema Sicherheit für Sie interessant ist und warum speziell in Netzwerken speziell darauf zu achten ist.
Dieses Sicherheitskapitel beschäftigt sich ausschließlich mit dem Schutz von Daten vor unerlaubtem Zugriff und nicht mit dem Sichern von Daten für Systemausfälle oder ähnliches!

Vor wem überhaupt schützen?
Wer sind die potentiellen Datenspione?:
  • "Freund", Kollege, Chef, Untergebener, der sich für persönliche Daten interessiert, einfach nur zur Information oder um sich dadurch einen Vorteil zu verschaffen oder, im Falle des Chefs, um zu überprüfen, was sein Angestellter so alles wärend der Arbeitszeit tut und vielleicht auch was er in der Freizeit tut?!
  • Organisationen, die Datenspionage zu ihrem Hobby erklärt haben
  • Organisationen und Unternehmen, die gegen Geld für andere Daten ausspionieren
  • Regierungen, die gerne alles über ihre Staatsbürger wissen wollen
  • Geheimdienste, die gerne Weltweit über jeden und alles informiert sind, selbstversändlich nur um gegen Terroristen gewappnet zu sein.
Das es "Freunde", Kollegen, Chefs und Untergebene gibt, sprich bekannte Personen, die an den eigenen Daten Interesse haben könnten, ist klar, dass es schon Unternehmen gibt, die sich das zum Hobby machen! Hier kann aber beruhigt werden. Die meisten Organisationen, die dies als Hobby betreiben, haben sich zum Ziel gesetzt, die Sicherheit zu verbessern und "nur" in Netzwerke einzubrechen, ohne einen Schaden zu hinterlassen. Diese Organisationen informieren auch öffentlich über ihre Aktionen. Es gibt aber Organisationen, die das auch als Hobby betreiben und Böses im Sinn haben. Solche Organisationen halten sich an keine "Hacker-Ethik".

Es gibt auch Organisationen und Unternehmen, die für Geld entweder versuchen, die eigenen Daten zu erhalten, um die Datensicherheit zu heben (Sicherheitsunternehmen), aber es gibt auch Unternehmen, die für Geld versuchen, Daten anderer in ihren Besitz zu bringen. Das Regierungen und Geheimdienste auch Daten ausspionieren, wird von vielen oft als "James Bond Phantasien" abgestempelt, Tatsache ist jedoch, daß die NSA (National Security Agency, USA) ein weltweites Abhörsystem mit "Hilfe" von Regierungen der verschiedenen Länder (darunter auch Deutschland und Österreich) betreibt. Dieses Abhörsystem nennt sich ECHELON-System und umfasst 5 große Abhörstationen rund um den Erdball. Weiters besteht es auch aus mehreren kleineren Stationen (z.B. Bad Aibling, Deutschland). Das ECHELON-System kann weltweit eMails, FAX und ISDN Sendungen ohne Probleme abhören und automatisch verarbeiten. So wird mit Hilfe eines KI-Systems auf bestimmte Wörter gescannt, die auf terroristische Aktivitäten hinweisen könnten!

7.1.3 Sicherheit durch Programme
Viele Leute vertrauen darauf, dass einige Programme die Sicherheit ihrer Daten garantieren. Es gibt sicher ganz gute Programme, die das fertigbringen, jedoch vertrauen viel zu viele Leute einfach auf das, was die Softwarehersteller versprechen. So gilt grundsätzlich, das es kein Programm der Welt gibt, das es unmöglich macht, in ein Netzwerk unerlaubt einzudringen. Speziell Microsoft behauptet hier immer, brauchbare Sicherheitsmechanismen in ihre Produkte und speziell in ihre Betriebssysteme einzubauen. Dies stimmt aber aus verschiedenen Gründen sicher nicht! Das soll teilweise durch das nächste Kapitel klargemacht werden.

7.1.4 Passwörter
Die meisten Programme verwenden Passwörter als Zugriffschutz. Passwörter können aber vom Benutzer sehr unglücklich gewählt werden, deshalb hier ein paar Regeln, die bei der Wahl eines sicheren Passwortes beachtet werden sollten:
  • Verwenden Sie grundsätzlich keine Wörter, die in einem Wörterbuch zu finden sind.
  • Verwenden Sie kein Passwort, das mit Ihrer Person oder mit Ihrem Umfeld in Zusammenhang gebracht werden kann (z.B. eigener Name, Vorname des 1. Kindes, Geburtsdatum+eigener Nachname, ...)
  • Mischen Sie Buchstaben und Ziffern in ihrem Passwort zusammen
  • Verwenden Sie unterschiedliche Groß/Kleinschreibung
  • Vermeiden Sie aber Sonderzeichen, da nicht jedes Programm/Hardwareplattform mit Sonderzeichen umgehen kann
  • Ihr Passwort sollte so lang wie möglich sein (mind. 8 Zeichen)
  • Wählen Sie ein Passwort, das Sie sich auch merken können. Eine gute Technik ist hier, Wörter und Zahlen, die Sie sich leicht merken, zu nehmen und davon z.B. jedes 2. Zeichen als Passwort zu verwenden.
7.2 Firewall
7.2.1 Was ist eine Firewall ?
Eine Firewall ist eine Instanz, die ein Netz von anderen Netzen trennt und für den Datenaustausch zwischen diesen Netzen kontrollierte Übergänge schafft. Eine Firewall arbeitet mit vielen technischen Maßnahmen, die eine individuelle Anpassung an das Unternehmen erfordern und durch ihre Komplexität aufwendig zu installieren und zu betreuen sind. Eine Firewall ist immer nur ein Teil eines Sicherheitskonzeptes. Vor Einführung einer Firewall muss bekannt sein, welche Ressourcen vor wem geschützt werden sollen. Dazu ist es notwendig, eine effiziente Sicherheitspolitik zu entwerfen.

Wichtige Punkte für die Risikoanalyse sind:
  • Datensensibilität
  • Sicherheitszonen im Unternehmen
  • Netzübergänge
  • Kommunikationsflüsse
7.2.2 Wozu Firewalls?
Leider existieren im Internet asoziale Subjekte, deren vorwiegendes Ziel es ist, andere Leute zu behindern und/oder ihre Arbeit zu vernichten. Um umgestört arbeiten zu können, oder um wichtige und geheime Daten vor diesen Subjekten zu schützen, benötigt man Firewalls.

7.2.3 Schutzfunktionen
Firewalls schützen grundsätzlich vor unidentifizierbaren interaktiven Logins von außen. Komplizierte Firewalls blockieren den Übergang von außen nach innen und erlauben dem User im Inneren, frei mit außen zu kommunizieren. Außerdem erfüllen sie eine wichtige Prüffunktion. Sie liefern Statistiken über den Netzverkehr sowie die Einbruchsversuche an den Administrator.
Grundlegende Funktionen der Firewall:
  • Kontrolle jedes Datenpakets, das zwischen dem eigenen und dem Internet ausgetauscht wird.
  • Aufzeichnung des gesamten Netzverkehrs und Alarmierung des Administrators in bestimmten Situationen.
7.2.4 Was Firewalls nicht können
Firewalls müssen auf jeden Fall an jedem möglichen Zugang zum Netz installiert sein. "Schleichwege" wie ungesicherte Modemzugänge kann man auch mit der besten Firewall nicht schützen. Eine Firewall kann - wie bereits erwähnt - immer nur ein Teil eines Gesamtsicherheitskonzepts sein. Bei Top-secret Daten reicht der Schutz durch eine Firewall nicht aus. Diese Daten sollten nach Möglichkeit gänzlich vom Netzwerk isoliert gespeichert werden.
Firewalls können auch nicht vor Angriffen aus dem Inneren des Netzwerks schützen, was in 50% aller Fälle der Fall ist. Auch ein Schutz vor Viren ist nicht gewährleistet. Das Netzwerk sollte daher regelmäßig nach Viren gescannt werden.

7.2.5 Grundlegende Designentscheidungen
Man unterscheidet zwei grundlegende Prinzipien:
  • Alles, was nicht ausdrücklich erlaubt ist, ist verboten
  • Alles, was nicht ausdrücklich verboten ist, ist erlaubt
Drei wichtige Faktoren sind für die Wahl der Firewall ausschlaggebend:
  • Passt die Firewall zu meiner Sicherheitspolitik?
  • Welche Überwachung, Redundanz und Kontrolle will ich?
  • Wieviel darf die Firewall kosten?
Es gibt weiters zwei verschiedene Varianten, Firewalls zu implementieren:
  • Selbstprogrammierte Firewalls nach eigenen Anforderungen. Diese bieten einen optimalen und auf das jeweilige System zugeschnittenen Schutz. Allerdings ist die Erstellung solcher Firewalls enorm kostenaufwendig.
  • Fertige Firewall-Software (z.B. Firewall-1 Gateway, ANS Interlock,...) kaufen. Dies ist preislich günstiger, der Schutz ist aber weniger optimal.
7.2.6 Arten von Firewalls
Man unterscheidet folgende Arten von Firewalls:
  • Network Level Firewalls (Überwachungsrouter)
  • Application Level Firewalls (Firewall-Gateway)
  • Circuit-Level-System
  • Stateful-Inspection Technik
Network Level Firewalls
Network Level Firewalls entscheiden aufgrund von MAC-Adressen, Portnummern, IP-Adressen und TCP-Kennbits, welche Datenpakete verdächtig erscheinen. Bei verbindungsorientierten Protokollen wie TCP reichen Paketfilter praktisch aus, um alle erlaubten Verbindungen zu spezifizieren. Dies wird durch Zustandsinformationen wie beispielsweise die TCP-Sequenznummer unterstützt.

Dienste die auf UDP aufsetzen, sind dagegen verbindungslos und verwenden keine Zustandsinformationen. Der Überwachungsrouter muss sich also auf Portnummern verlassen. Diese sind jedoch durch fremde Rechner leicht zu imitieren.
Moderne Firewalls erhalten Informationen über den Status der Verbindung oder über den Inhalt einiger Datenströme. Eine Auszeichnung der Network Level Firewalls ist, dass der Netzwerkverkehr direkt über sie geht und daher ein gültig zugeordneter IP-Adressenblock benötigt wird. Network Level Firewalls sind sehr schnell und transparent gegenüber dem User. Sie bieten jedoch von allen Varianten den geringsten Sicherheitslevel.

Application Level Firewalls
Network Level Firewalls (Überwachungsrouter) werden in sicherheitsrelevanten Umgebungen durch Application Level Firewalls (Firewall-Gateways) erweitert. Diese können entweder gekauft oder selbst entwickelt werden.
Folgende Kriterien sind für die Auswahl relevant:
  • Art und Anzahl der unterstützten Anwendungen
  • Ist spezielle Client-Software erforderlich?
  • Können weitere Änderungen hinzugefügt werden?
  • Wie umfangreich ist der Logging-Mechanismus?
  • Können Ereignisse erzeugt werden, falls eine unberechtigte Nutzung erkannt wird?
Application Level Firewalls selektieren den Datenverkehr zwischen Client und Server auf der Basis einer bestimmten Anwendung und entscheiden anhand derer, ob ein Paket durchgereicht wird oder nicht. Application Level Firewalls sind gewöhnlich Hosts, auf denen Proxy Server laufen, die keinen direkten Verkehr zwischen den Netzen zulassen und den gesamten Netzverkehr protokollieren und überprüfen. Proxys bauen eine Verbindung zu einem externen Server auf, kopieren die Daten und übertragen diese zum Benutzer. Daher ist die Netzstruktur von außen nicht ersichtlich. Proxys alleine ersetzen aber keine Firewall, weil es an Log und Alarmfunktionen mangelt. Moderne Application Firewalls sind völlig transparent, und liefern detaillierte Überwachungsprotokolle. Sie sind aber langsamer und in ihrer Protokollunterstützung nicht so flexibel wie Produkte, die auf einem niedrigeren Level aufsetzen.

Circuit-Level-System
Hier werden Datenpakete abhängig von der Serviceart sowie den Sende- und Empfangsadressen gefiltert.

Stateful-Inspection-Technik
Bei dieser Technik handelt es sich um eine Art dynamischer Paketfilterung. Der Inhalt der Datenpakete wird an eine sogenannte Inspect Engine weitergegeben, die eine Komponente des Firewall-Systems darstellt. Diese ist in der Lage, das Paket zu analysieren und zum Beispiel einen Virencheck oder eine Authentifizierung durchzuführen. In vielen Firewallsystemen werden die verschiedenen Filtertechniken inzwischen kombiniert eingesetzt.
Alle Firewalls sichern ein Netz gegen den nicht authorisierten Zugang von außen ab. Daneben gibt es Produkte, die bidirektional arbeiten. Sie überprüfen, ob Datenpakete von bestimmten internen Quellen nach außen passieren dürfen.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04503
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16551
Queueeinträge:06236
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1137
Comments: 0