Eine Firewall besteht aus Regeln, Regeln die es zulassen, daß Anfragen entweder abgewiesen oder zugelassen
werden. Meist wird die Firewall bildlich als eine Wand dargestellt, die vor Eindringlingen schützt.
Von einer gut geplanten und sauber implementierten Firewall sollte der User nichts merken. Die Schutzmechanismen
basieren auf dem Protokoll des TCP/IP Protokolls.
Paketfilter
Bei Paketfiltern handelt es sich um ein Tool das installiert wird und mit Hilfe des ISO-Modells auf der 3. und 4.
Ebene arbeitet. Es sollte sowohl auf dem Router sowie auf dem Server laufen. Durch kontrolliertes Filtern der Absenders
und Zieladresse ist es möglich Paketen den Zugriff zu erlauben oder abzuweisen.
Proxies
Ein Proxieserver kann als Schutzwall arbeiten und Anfragen zum Client schützen. Der Server anwortet jetzt nur
dem Proxy, und der Proxy gibt dann die Anwort an den Absender zurück. Den Kontakt zum eigentlichen Server kann
man dann mit einem Paketfilter unterbinden. Eine zweite Möglichkeit wäre es, den Proxy als Komplettschutz
des Systems einzusetzen. Dann überprüft der Proxyserver alle einkommenden Datenpakete auf ihre Integrität.
Er kann z.B. einen Virenscan durchführen. Weiterhin kann ihr System veschleiert werden so daß ein Ausspähen
unterbunden wird.
Patchen
Die Server haben auch eigene Selbstmechanismen um sich vor "Buffer-Overflow-Angriffen" zu wehren. Die Logdateien,
die die meisten Firewalls besitzen, legen fest wo und wann Angriffe stattgefunden haben. Extrem wichtig ist es Programme
auf dem neusten Stand zu halten. Normalerweise gibt es von den Herstellern Mailinglisten die über Neuerungen informieren.
Patches die vom Hersteller angeboten und zum download bereitgestellt werden, sollten unbedingt angenommen werden. Denn
ein halbes Jahr das ohne aktualisieren Ihres Systems auskommt, wird mit der Zeit unsicher und unstabil.
Formen einer Firewall
Es gibt verschiedene Formen einer Firewall, je nachdem was geschützt werden soll. Eine Privatperson braucht einen
anderen Schutz als ein Firmenkonzern. Ich nenne hier nur kurz die Möglichkeiten der Wall.
Dual Homed Host
Ein System das wie ein Router zwei Netzwerkschnittstellen hat und sich zwischen dem internen Netz und dem
Internet befindet. Es hat zwei Funktionen. Kostengünstige Möglichkeit. Negativ: Je mehr Dienste, desto
mehr Sicherheistslücken.
Überwachter Host
Mit Hilfe des Proxy-Dienstes wird aus dem Dual Homed Hosts ein Überwachungsrouter. Die Proxy-Dienste werden
auf einem eigenen Server gesetzt. Somit ergibt sich ein überwachter Router und überwachter Host.
Demilitarisierte Zone
Hier haben wir zwei unabhängige Systeme die in einen vereint sind. Das erste System das in der demilitarisierten Zone
"Bastion" genannt wird, und die Überwachungsrouter die im sogenannten Wassergraben nach aussen abblocken.
Tiefenstaffelung von Firewall-Systemen
Im lokalen Netz eine Trennung von anderen Netzen vorzunehmen kann in manchen Fällen sinnvoll sein.
Zum Beispiel aus Sicherheits oder aus Performance Gründen. Vermeiden Sie es aber, direkt an die demilitarisierte
Zone mehrere Router anzuschließen.
In dieser Konstruktion ist es möglich, dass der Datenverkehr für bestimmte Dienste zwischen Netz 1 und Netz 2
zugelassen wird. Hat es nun ein Angreifer geschafft, auf einen Bastion-Rechner einzudringen, so hat er mit einem Sniffer
die Möglichkeit, den Datenverkehr mitzulesen, der zwischen den internen Netzen abläuft. Um dennoch eine solche interne
Netztrennung vornehmen zu können, müssen Sie mit eine Backbone arbeiten, an welchen dann die internen Netze
angeschlossen werden.
Es ist auch durchaus denbar, dass man mehrere Firewalls einsetzt, um bestimmte Bereiche zusätzlich
abzusichern, wie zum Beispiel die Buchhaltung, ein Labornetz, Schulungsräume oder ein befreundetes
Netz, zu dem man direkt Kontakt hat.
Häufig genutzte Dienste
Um einen Paketfilter aufbauen zu können, muss man wissen welche Dienste welcher Port nutzt. Deshalb nenne ich
hier nur die wichtigsten Ports und ihre Anwendung.
HTTP
Hyper Text Transfer Protocol arbeitet im WWW auf der Serverseite mit dem Port 80. Dieser Port muss aber nicht immer so sein.
Ein grafisches Beispiel wird zeigen, wie Port 80 auf die Anfrage des Client antwortet.
Quell-IP |
Ziel-IP |
Protokoll |
Quell-Port |
Ziel-Port |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
80 |
MyServer |
0.0.0.0/0 |
TCP |
80 |
>1023 |
SMTP
Das Simple Mail Transport Protocol wird als Mail-Server Protokoll übergeben. Die zur Zeit am häufigsten
eingesetzten Mail Server im Internet sind Sendmail und Exchange. Beide Server sind sehr störanfällig.
Optimal wäre hier ein Schutz durch einen Proxy-Server. Die Regeln sehen genauso aus wie in der Tabelle, nur
müssen Sie anstelle von 0.0.0.0/0 die IP-Adresse Ihres Proxy-Servers angeben.
Quell-IP |
Ziel-IP |
Protokoll |
Quell-Port |
Ziel-Port |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
25 |
MyServer |
0.0.0.0/0 |
TCP |
25 |
>1023 |
FTP
Beim File Transfer Protocol ist die Sache ein wenig komplizierter. Dieses Protokoll nutzt zwei Datenverbindungen, Port
20 und 21. Es gibt einen aktiven und passiven Modus für den Datenkanal. Auf der Serverseite wird als Standard-Datenport der Port 20 verwendet und als Standard-Komandoport der Port 21. Der passive Modus wird vom Port 20 genutzt.
Im aktiven Modus dagegen werden zur Übertragung der Daten auf Server und auf Client zwei hohe Ports über
1023 eingesetzt.
Quell-IP |
Ziel-IP |
Protokoll |
Quell-Port |
Ziel-Port |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
21 |
MyServer |
0.0.0.0/0 |
TCP |
21 |
>1023 |
MyServer |
0.0.0.0/0 |
TCP |
20 |
>1023 |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
20 |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
>1023 |
MyServer |
0.0.0.0/0 |
TCP |
>1023 |
>1023 |
DNS
Der Internet Namendienst Domain Name Server überträgt die Namensauflösung der IP-Adresse.
Die zwei Arten des Datentransfers ist einmal Loockup und zum zweiten gibt es Möglickeiten, Zonenanfragen
zu stellen. Diese Anfragen machen aber nur DNS Server untereinander. Lookups sind Anfragen eines Clients an
einen Name-Server nach einer Namensauflösung. Aus Geschwindigkeitsgründen wird hier das UDP Protokoll
versucht. Zur Kommunikation zweier Server wird der Port 53 genutzt.
Quell-IP |
Ziel-IP |
Protokoll |
Quell-Port |
Ziel-Port |
0.0.0.0/0 |
MyServer |
UDP |
>1023 |
53 |
MyServer |
0.0.0.0/0 |
UDP |
53 |
>1023 |
0.0.0.0/0 |
MyServer |
TCP |
>1023 |
53 |
MyServer |
0.0.0.0/0 |
TCP |
53 |
>1023 |
0.0.0.0/0 |
MyServer |
UDP |
53 |
53 |
MyServer |
0.0.0.0/0 |
UDP |
53 |
53 |
MyServer |
0.0.0.0/0 |
TCP |
>1023 |
53 |
0.0.0.0/0 |
MyServer |
TCP |
53 |
>1023 |
Ach noch was, für die Verbindung mit dem TCP/IP Protokoll werden ja eine Absende und eine Empfänger IP
verwendet, einen Absende Port und einen Empfänger Port. Die Empfänger Ports liegen immer unter 1024 und
Absende Ports generell über 1024.
|