Eine Firewall besteht aus Regeln, Regeln die es zulassen, daß Anfragen entweder abgewiesen oder zugelassen werden. Meist wird die Firewall bildlich als eine Wand dargestellt, die vor Eindringlingen schützt. Von einer gut geplanten und sauber implementierten Firewall sollte der User nichts merken. Die Schutzmechanismen basieren auf dem Protokoll des TCP/IP Protokolls.

Paketfilter

Bei Paketfiltern handelt es sich um ein Tool das installiert wird und mit Hilfe des ISO-Modells auf der 3. und 4. Ebene arbeitet. Es sollte sowohl auf dem Router sowie auf dem Server laufen. Durch kontrolliertes Filtern der Absenders und Zieladresse ist es möglich Paketen den Zugriff zu erlauben oder abzuweisen.

Proxies

Ein Proxieserver kann als Schutzwall arbeiten und Anfragen zum Client schützen. Der Server anwortet jetzt nur dem Proxy, und der Proxy gibt dann die Anwort an den Absender zurück. Den Kontakt zum eigentlichen Server kann man dann mit einem Paketfilter unterbinden. Eine zweite Möglichkeit wäre es, den Proxy als Komplettschutz des Systems einzusetzen. Dann überprüft der Proxyserver alle einkommenden Datenpakete auf ihre Integrität. Er kann z.B. einen Virenscan durchführen. Weiterhin kann ihr System veschleiert werden so daß ein Ausspähen unterbunden wird.

Patchen

Die Server haben auch eigene Selbstmechanismen um sich vor "Buffer-Overflow-Angriffen" zu wehren. Die Logdateien, die die meisten Firewalls besitzen, legen fest wo und wann Angriffe stattgefunden haben. Extrem wichtig ist es Programme auf dem neusten Stand zu halten. Normalerweise gibt es von den Herstellern Mailinglisten die über Neuerungen informieren. Patches die vom Hersteller angeboten und zum download bereitgestellt werden, sollten unbedingt angenommen werden. Denn ein halbes Jahr das ohne aktualisieren Ihres Systems auskommt, wird mit der Zeit unsicher und unstabil.

Formen einer Firewall

Es gibt verschiedene Formen einer Firewall, je nachdem was geschützt werden soll. Eine Privatperson braucht einen anderen Schutz als ein Firmenkonzern. Ich nenne hier nur kurz die Möglichkeiten der Wall.
Dual Homed Host
Ein System das wie ein Router zwei Netzwerkschnittstellen hat und sich zwischen dem internen Netz und dem Internet befindet. Es hat zwei Funktionen. Kostengünstige Möglichkeit. Negativ: Je mehr Dienste, desto mehr Sicherheistslücken.
Überwachter Host
Mit Hilfe des Proxy-Dienstes wird aus dem Dual Homed Hosts ein Überwachungsrouter. Die Proxy-Dienste werden auf einem eigenen Server gesetzt. Somit ergibt sich ein überwachter Router und überwachter Host.
Demilitarisierte Zone
Hier haben wir zwei unabhängige Systeme die in einen vereint sind. Das erste System das in der demilitarisierten Zone "Bastion" genannt wird, und die Überwachungsrouter die im sogenannten Wassergraben nach aussen abblocken.

Tiefenstaffelung von Firewall-Systemen

Im lokalen Netz eine Trennung von anderen Netzen vorzunehmen kann in manchen Fällen sinnvoll sein. Zum Beispiel aus Sicherheits oder aus Performance Gründen. Vermeiden Sie es aber, direkt an die demilitarisierte Zone mehrere Router anzuschließen.

In dieser Konstruktion ist es möglich, dass der Datenverkehr für bestimmte Dienste zwischen Netz 1 und Netz 2 zugelassen wird. Hat es nun ein Angreifer geschafft, auf einen Bastion-Rechner einzudringen, so hat er mit einem Sniffer die Möglichkeit, den Datenverkehr mitzulesen, der zwischen den internen Netzen abläuft. Um dennoch eine solche interne Netztrennung vornehmen zu können, müssen Sie mit eine Backbone arbeiten, an welchen dann die internen Netze angeschlossen werden.

Es ist auch durchaus denbar, dass man mehrere Firewalls einsetzt, um bestimmte Bereiche zusätzlich abzusichern, wie zum Beispiel die Buchhaltung, ein Labornetz, Schulungsräume oder ein befreundetes Netz, zu dem man direkt Kontakt hat.

Häufig genutzte Dienste

Um einen Paketfilter aufbauen zu können, muss man wissen welche Dienste welcher Port nutzt. Deshalb nenne ich hier nur die wichtigsten Ports und ihre Anwendung.

HTTP
Hyper Text Transfer Protocol arbeitet im WWW auf der Serverseite mit dem Port 80. Dieser Port muss aber nicht immer so sein. Ein grafisches Beispiel wird zeigen, wie Port 80 auf die Anfrage des Client antwortet.

SMTP
Das Simple Mail Transport Protocol wird als Mail-Server Protokoll übergeben. Die zur Zeit am häufigsten eingesetzten Mail Server im Internet sind Sendmail und Exchange. Beide Server sind sehr störanfällig. Optimal wäre hier ein Schutz durch einen Proxy-Server. Die Regeln sehen genauso aus wie in der Tabelle, nur müssen Sie anstelle von 0.0.0.0/0 die IP-Adresse Ihres Proxy-Servers angeben.

FTP
Beim File Transfer Protocol ist die Sache ein wenig komplizierter. Dieses Protokoll nutzt zwei Datenverbindungen, Port 20 und 21. Es gibt einen aktiven und passiven Modus für den Datenkanal. Auf der Serverseite wird als Standard-Datenport der Port 20 verwendet und als Standard-Komandoport der Port 21. Der passive Modus wird vom Port 20 genutzt. Im aktiven Modus dagegen werden zur Übertragung der Daten auf Server und auf Client zwei hohe Ports über 1023 eingesetzt.

DNS
Der Internet Namendienst Domain Name Server überträgt die Namensauflösung der IP-Adresse. Die zwei Arten des Datentransfers ist einmal Loockup und zum zweiten gibt es Möglickeiten, Zonenanfragen zu stellen. Diese Anfragen machen aber nur DNS Server untereinander. Lookups sind Anfragen eines Clients an einen Name-Server nach einer Namensauflösung. Aus Geschwindigkeitsgründen wird hier das UDP Protokoll versucht. Zur Kommunikation zweier Server wird der Port 53 genutzt.

Quell-IP	Ziel-IP	Protokoll	Quell-Port	Ziel-Port
0.0.0.0/0	MyServer	UDP	>1023	53
MyServer	0.0.0.0/0	UDP	53	>1023
0.0.0.0/0	MyServer	TCP	>1023	53
MyServer	0.0.0.0/0	TCP	53	>1023
0.0.0.0/0	MyServer	UDP	53	53
MyServer	0.0.0.0/0	UDP	53	53
MyServer	0.0.0.0/0	TCP	>1023	53
0.0.0.0/0	MyServer	TCP	53	>1023

Ach noch was, für die Verbindung mit dem TCP/IP Protokoll werden ja eine Absende und eine Empfänger IP verwendet, einen Absende Port und einen Empfänger Port. Die Empfänger Ports liegen immer unter 1024 und Absende Ports generell über 1024.