Firewall Aufbau

Die Firewall-Struktur

Man kann die Struktur der Benutzerdaten untersuchen und alle Pakete blockieren, die nicht dem Protokoll des freigegebenen Dienstes entsprechen. Bau und Nutzung von Personal Firewalls. Netzwerk-Komponenten - Firewall und DMZ (Demilitarisierte Zone) Noch bis Ende der 80er Jahre war das Netz eine beinahe wissenschaftliche Disziplin und die moralischen Spielregeln für die Nutzung des Netzwerks waren hoch. Eine weitere Wende war der erste Computerwurm, der im Netz veröffentlicht wurde. Mit jeder neuen Programminstanz wurde das Programm weiter belastet und verlangsamt, bis es beinahe nicht mehr nutzbar war.

Die ersten Anlagen, die wie eine Firewall zwischen der heissen Aussenseite und der Sicherheit im Inneren standen, wurden 1988 von der DEC (Digital Equipment Corporation) eingeführt. Bei einer Firewall handelt es sich um eine Kombination aus Hardware und Hardware oder eine auf einem Computer befindliche Anwendung, die die Datenübertragung in ein und aus einem Computernetz nach vordefinierten Richtlinien zulässt oder abweist.

Eine Firewall hat die Funktion, unbefugten Zugang zu einem Netz zu unterbinden, während rechtmäßige Datentransfers erlaubt sind. Brandmauern befinden sich an den Grenzflächen zwischen Einzel-Netzwerken oder Rechnersystemen und steuern den Informationsverkehr zwischen den Teilgebieten. Dies können das Netz und ein Privatnetz sein oder auch Teilnetze eines Privatnetzes, z.B. Bereiche oder Bereiche in einem Betrieb, die besonderen Schutz benötigen.

In der Umgangssprache ist eine Firewall oft diejenige, die den Datenaustausch zwischen den einzelnen Gebieten steuert und sicherstellt. Allerdings muss zwischen dem Begriff der Firewall und der eigentlichen Implementierung der Firewall unterschieden werden. Die Sicherheitskonzeption legt fest, welche Daten die Firewall durchlaufen dürfen und welche nicht. Die Konzeption einer fremden Firewall (oder Hardware-Firewall) wird durch eine auf ( "spezieller") Hard- und Hardware laufende Soft-ware umgesetzt.

Äußere Brandmauern sind größtenteils sicherheits- und funktionstechnisch optimiert. Äußere Brandmauern werden nur in einer Richtung gefiltert. In der Regel ist dies vom ungesicherten Netzwerk zum sicheren Netzwerk. In Personal Firewall, auch Desktop- oder internen Firewall bezeichnet, wird die Monitoring-Software auf dem Computer des Benutzers ausgeführt.

Anders als eine externe Firewall, die nur den Internetzugang steuert, filtern die persönlichen Firewalls auch die Verbindung des PC zum und vom eigenen Heimnetzwerk. Ein Firewall leitet die Datenkommunikation, indem sie alle Informationen von und nach draußen über dieses Netzwerk benötigt. Der Firewall kann einstufig oder mehrstufig aufgebaut sein.

Die Firewall kann auf drei Software-Ebenen arbeiten: einem Paket-Filter, der Stateful Inspection, dem Proxy-Filter und dem Content-Filter. Hier kommt die einfache Firewall-Überwachungsfunktion ins Spiel: Verhindert den Aufbau einer externen FTP-Verbindung: Demnach werden Regellisten erzeugt, nach denen die Firewall die Pakete auf spezielle Merkmale prüft.

Mit diesen simplen Paketfiltern der ersten Gerätegeneration wird jedes Paket für sich allein und ohne den Bezug zu vorherigen oder folgenden Datenpaketen geprüft. Bei der zweiten Firewallgeneration werden die Datenpakete auch dahingehend überprüft, ob sie zu einer etablierten, einer existierenden oder einer abgebrochenen Internetverbindung passen.

Auf der OSI-Schicht 4 (Transportschicht) werden die Packstücke analysiert. Für die Vergabe der Packages werden für die Einzelverbindungen die dynamischen Statustabellen verwendet. Abhängig vom Status und den Protokollen einer Internetverbindung werden verschiedene Regeln und Vorschriften angewendet. Bei einem Verbindungsaufbau über TCP erkennt und kontrolliert die Firewall beispielsweise das übliche Drei-Wege-Handshake-Protokoll:

Mit einem SYN-Paket (synchronisieren) und einer laufenden Nummer X stellt der Klient (hier der innere Rechner) die Kommunikation mit dem Wirt ("externer Rechner") her. Ein ACK-Paket (Acknowledge) und die Startnummer Y+1 werden vom Kunden ausgegeben. Die Kommunikation wird dann aufgebaut und die Firewall stellt die entsprechende Meldung in die Statusliste.

Damit ist die CPU-intensive Auswertung der Packages abgeschlossen. Diesem Anschluss können nun alle Folgepakete einfach zugewiesen und dadurch rasch weitergeleitet werden. Nach dem Verbindungsabbau wird die Leitung aus der Statusliste entfernt. Es werden weitere eingehende Datenpakete der äußeren Quellenadresse ausgelassen. Neben den eigentlichen Anschlussdaten wie Quelle, Destination und Service prüfen die Filtern einer Proxy-basierten Firewall (auch Applikationsschicht Firewall) primär die Benutzerdaten, also den Content der Netzpakete.

Es stellt eine eigene Anbindung an das Ziel-System her. Durch die Kommunikation mit dem Zielrechner im Auftrag des anfordernden Clients kann er die Datenpakete gemeinsam auswerten und die Anbindung beeinflussen. Weil ein Proxy-Filter auf ein spezifisches Protokol spezialisert ist, fungiert die proxybasierte Firewall als Vermittlungsdienstprogramm und erreicht somit (wie jedes Dienst- oder Anwendungsprogramm) die OSI-Schicht 7 (Applikationsschicht).

Eine Firewall der Anwendungsschicht "versteht" Anwendungen und Protokollierungen, wenn die entsprechenden Regeln festgelegt sind. Zum Beispiel das Sperren von Mails mit Virus befall oder das Versenden von Unterlagen mit Geheiminformationen. Sollen im Rahmen eines Netzwerkes Daten über das Öffentliche Verkehrsnetz verteilt oder verfügbar gemacht werden, können sie ihre Dienstleistung im Web nur dann erbringen, wenn auch Packages mit Webseitenanfragen etc. an sie weitergereicht werden.

Allerdings handelt es sich bei diesen Verbindungsöffnungspaketen um unaufgeforderte Datenpakete, die in der Regel von einer Firewall umgehend gelöscht werden. Einem potentiellen Angriff aus dem Netz wird somit ein Bridgehead im LAN zugewiesen, von dem aus das LAN gefährdet werden kann. Das BSI ( "Bundesamt für Sicherheit für die Informationstechnik") rät dazu, den Betrieb von Servern mit Webservices in einer Bufferzone, auch DMZ (Demilitarisierte Zone) genannte, die von zwei Brandmauern umschlossen ist (Bild 30. 01).

Die Firewall A unterscheidet das lnternet von der DMZ und die Firewall B von ihrem eigenen Netzwerk. Wenn Sie sich für eine Firewall verschiedener Anbieter entscheiden, können Sie nicht beide Brandmauern überwinden, selbst wenn Sie eine erkannte Sicherheitslücke haben. Sogar ein in einer DMZ befindlicher Rechner muss mit allen gängigen Sicherheits-Updates des Betriebsystems und der ausgeführten Anwendungen, einer persönlichen Firewall und den gängigen Sicherheitsprogrammen ausstatten.

Einfacher und preiswerter ist eine 1-stufige Firewall, die über einen eigenen LAN-Anschluss für die DMZ mit IP-Adressen in einem eigenen Verbund verfügt. Dabei werden nicht nur Datenpakete eines bestimmten Services an einen bestimmten Computer im LAN geleitet, sondern alle Datenpakete, die der NAT-Router einem Abonnenten im Privatnetz nicht zuweisen kann.

Auf einem exponierten Rechner sollten alle gängigen Sicherheits-Updates des Betriebsystems und der ausgeführten Anwendungen, eine persönliche Firewall und die gängigen Schutzprogramme installiert sein.

Mehr zum Thema