Internet Firewall

mw-headline" id="Allgemeine_Grundlagen">Allgemeine Grundlagen[Bearbeiten | < Quellcode bearbeiten]

Alle Firewall-Sicherheitssysteme basieren auf einer Software-Komponente. Mit der Firewall-Software wird der Netzwerkzugang je nach Sender oder Empfänger und den verwendeten Services eingeschränkt. Dabei wird der durch die Firewall fließende Datendurchsatz beobachtet und anhand definierter Richtlinien entschieden, ob gewisse Netzpakete passieren dürfen oder nicht. Je nachdem, wo die Firewall-Software eingesetzt wird, wird zwischen einer persönlichen Firewall (auch Desktop-Firewall genannt) und einer äußeren Firewall (auch Netzwerk- oder Hardware-Firewall genannt) differenziert.

Im Gegensatz zur persönlichen Firewall funktioniert die installierte Lösung einer fremden Firewall nicht auf dem zu sichernden Rechner selbst, sondern auf einem eigenen Endgerät, das Netze oder Netzwerksegmente untereinander vernetzt und dank der Firewallsoftware den Zugang zwischen den Netzwerken zeitgleich einschränkt. Die " Firewall " kann in diesem Falle auch als Kennzeichnung für das gesamte Unternehmen (ein Unternehmen mit der beschriebene Funktion) verwendet werden.

Dies geschieht z.B. durch die Übergabe von (Antwort-)Paketen, die vom firmeneigenen System angefragt werden, und durch die Blockierung aller anderen Netzpakete. um den unbefugten Zugang zum System durch Applikationen zu verhindern. Das folgende Basiswissen ist nützlich, um zu verstehen, wie eine Firewall funktioniert. Bei einem Netzwerkservice handelt es sich um ein Komputerprogramm, das den Zugang zu Resourcen wie z. B. Daten und Druckern über ein Netz bereitstellt.

So werden z.B. Webseiten als Datei auf einem Rechner (Server) gespeichert. Nur ein auf dem Rechner ausgeführter Netzdienst (hier eine Webserver-Software) macht es möglich, über das Internet auf die Webseiten zuzugreifen und sie auf einem externen Endgerät zu speichern und wiederzugeben. 6 Bei Programmen mit einer dem Netzdienst korrespondierenden Funktionsvielfalt, die einen Anschluss eröffnen, aber erst nach der Anmeldung des Benutzers starten.

Obwohl diese Produkte eigentlich keine Services sind, werden sie aus Gründen der Vereinfachung auch als Netzwerkdienste bezeichnet. Anstelle der Installation eines Netzwerkdienstes auf dem Computer kann sich die Malware auch automatisch mit dem Internet und einem im Internet laufenden Netzdienst verknüpfen.

Um den unerwünschten Zugang zu Netzwerkdiensten zu vermeiden, wird eine Firewall eingesetzt. Typischerweise kann eine Firewall nicht ausschließen, dass eine Schwachstelle im Netzdienst ausgenutzt wird, wenn dem Gesprächspartner der Zugang dazu gestattet wird. Wenn eine Firewall den Rückkanal verwendet, kann sie sich nicht vor dem Zugang zu Browser-Schwachstellen schützen, wenn der Gesprächspartner auf die anfälligen Programmbereiche zugreift.

Manche Brandmauern verfügen über zusätzliche Schutzfilter, die den Remote-Zugriff auf den verwendeten Netzdienst weiter beschränken, z.B. durch Filtern gefährdeter ActiveX-Objekte von Internetseiten. Das Ausnutzen von Störungen in der Netzwerk-Implementierung des Betriebsystems kann im besten Falle durch eine Firewall abgewehrt werden. Mit den Einschränkungen einer Firewall im Verhältnis zu den Vorteilen ist der Gurt eines Autos zu vergleichen, für den es auch Situationen gibt, in denen der Triebfahrzeugführer nicht geschützt werden kann.

Ausgenommen hiervon kann ein Gürtel sein, der den Fahrer zugleich bedroht (hier mit Blick auf die persönliche Firewall), was zu alternativen Lösungsansätzen mit höherer Sicherheitsstufe führt. Der Firewall ist ein Aspekt des Sicherheitskonzeptes. Der Firewall kann aus mehreren Bestandteilen zusammengesetzt sein, von denen einige z.B. eine DMZ bereitstellen.

Auch die Instandhaltung kann ein integraler Teil dieses Aspekts sein, ebenso wie die Bewertung der Aufzeichnung von Firewall-Komponenten. Einfaches Filtern von Dateipaketen anhand der Netzadressen ist die Basisfunktion aller Firewall (in einem TCP/IP-Netzwerk bedeutet das genauere Filtern des Port und der IP-Adresse des Quell- und Zielsystems). Dadurch ist es möglich, den Zugang zu einer bestehenden Internetverbindung präziser einzuschränken und so das firmeneigene Netzwerk besser vor unerwünschtem externen Zugang zu sichern.

Der Proxy-Filter baut im Namen des anfordernden Mandanten die Anbindung an das Zielsystem auf und übermittelt die Rückmeldung des Zielsystems an den aktuellen Mandanten. Weil er die Mitteilung selbst durchführt, kann er sie nicht nur sehen, sondern auch willkürlich mitgestalten. Bei diesem Content-Filter handelt es sich um eine Art Proxy-Filter, der die Benutzerdaten einer Internetverbindung bewertet und z.B. dazu dient, AktivX und/oder Java Script von angefragten Websites abzufiltern oder generell bekannter Malware beim Download zu unterdrücken.

Zu diesem Zweck ist es in der Regel erforderlich, auf dem Clienten ein CA-Stammzertifikat zu instalieren, das es der Firewall ermöglicht, während des Betriebs selbst geeignete Zertifizierungen zu erzeugen. Zur Filterung von Netzwerkpaketen muss sich die Firewall zwischen den Kooperationspartnern aufhalten. Es kann den Gesprächspartnern auf verschiedene Arten erscheinen, wodurch die ersten vier Manifestationen nur auf einer äußeren Firewall auftreten können:

Der Firewall fungiert als Austausch zwischen Quell- und Zielsystem und ist für beide Parteien ersichtlich. Dabei fordert der Kunde die Firewall des Proxys auf, die Verbindung zum Zielsystem in seinem Namen zu bernehmen. Der Web-Browser ist z. B. so eingestellt, dass er nicht alle Internet-Anfragen unmittelbar an die jeweilige Ziel-Adresse übermittelt, sondern sie als Anfragen an den Stellvertreter mitteilt.

Die Proxyverbindung zum Zielsystem wird nun aufgebaut. Nur wenn die Auswertung abgeschlossen ist, leitet der Stellvertreter die Rückmeldung aus dem Zielsystem an den anfordernden Mandanten weiter. Einer der beiden Bereiche spricht das Target und nicht die Firewall an. Der Verbindungsaufbau zur anderen Fahrzeugseite erfolgt nun über die Firewall.

Eventuelle Attacken von dort aus richten sich auch gegen die Firewall und betreffen den Kunden nicht selbst. Für diese Gruppe repräsentiert die Firewall den zu sprechenden Gesprächspartner, der als Vertreter des eigentlichen Gesprächspartners anspricht. Dieses Formular ist der häufigste Typ für Heim-Firewall-Geräte.

Die Firewall liegt durchsichtig ( "fast unsichtbar") zwischen beiden Netzwerken und erlaubt so eine kontinuierliche Anbindung der Gesprächspartner, so dass sich die Anlagen vor und hinter der Firewall gegenseitig unmittelbar mitbekommen. Die Datenströme fließen dabei ganz unkompliziert durch die Firewall. Der Remote-Peer betrachtet die Firewall auf der IP-Adressenebene nicht als Kommunikationsteilnehmer, sondern betrachtet sie nur als Bindeglied zwischen den Teilnetzen ("Router ohne NAT").

Nichtsdestotrotz kann die auf dem Netzgerät (Router) ausgeführte Firewall-Software den Datenfluss abbrechen (bestimmte Datenpakete herausfiltern). Wie beim zweiseitigen Transparenzmodus strömt der Leistungsdatenstrom lediglich durch die Firewall. Allerdings funktioniert das Endgerät, auf dem die Firewall-Software abläuft, nun wie eine Brücke, so dass es für die Gesprächspartner weder auf IP-Ebene noch unter dem Gesichtspunkt der low-level Adressierung ersichtlich ist.

Die Datenströme, die vor-Ort durch ihn laufen, werden von einer lokalen Firewall-Software auf dem Rechner kontrolliert (auf dem Rechner, dessen Netzwerkpaketen er herausfiltern soll; in diesem Abschnitt wird er als Vorsystem bezeichnet). Die Firewall befindet sich aus der Perspektive des Zielsystems hinter dem Netzadapter des Ausgangssystems. Damit ist die persönliche Firewall auch aus Adressierungssicht nahezu nicht sichtbar.

Dies betrifft jedoch nur den Kommunikationspfad und heißt nicht, dass er nicht erkannt (aufgrund des Verhältnisses des Quellsystems) oder über die Anschrift des Ursprungssystems unmittelbar angegriffen werden kann (im Unterschied zur äußeren Bridge-Firewall, die keine Netzadresse hat). Mit Hilfe der Firewallregeln wird festgelegt, was mit einem Netzwerk-Paket geschehen soll, das dem Filtermuster eines Filter entspricht.

Zum Beispiel gibt es einige Closed-Source-Produkte aus dem Sektor der persönlichen Firewall, die insgeheim selbst Informationen an den jeweiligen Produzenten senden, d.h. exakt das tun, was einige Benutzer mit dem Gerät zu vermeiden versuchen. Abhängig von ihrem Standort gibt es zwei Typen von Brandmauern. Persönliche Brandmauern sind solche Systeme, die auf dem Rechner ausgeführt werden, den sie absichern sollen.

Die externen Brandmauern sind physikalisch vor dem zu sichernden Rechner oder Computernetz angeschlossen. Die beiden Firewall-Typen können als komplementär angesehen werden. Für höhere Sicherheitserfordernisse kann eine Außenfirewall auch Anschlüsse innerhalb des Ortsnetzwerks herausfiltern, indem sie dem zu sichernden Rechner physikalisch vorausgeht. Mit der externen Firewall kann auch ein besonders geschütztes Netzwerk (Segment) innerhalb des Ortsnetzwerks überwacht werden, das zumindest einen Teil der Datenübertragung im LAN ausfiltert.

In den beweglichen Rechnern implementiert die Personen-Firewall ausschließlich eine Grundfunktion: Zum Beispiel kann die gemeinsame Nutzung des Mobilcomputers innerhalb des Privatnetzwerks zugänglich sein, während innerhalb eines offenen Netzwerks (z.B. in einem Internetcafé) der Zugang zu ihm verweigert wird. Ein externer Firewall, der im Namen des Rechners die Internetverbindung herstellt, hindert jemanden aus dem Internet daran, auf die Netzdienste der gesicherten Rechner zuzugreifen.

Außerdem schützt es wirksam vor dem Zugriff auf Malware im Netzwerk, wenn es einen Netzwerkservice einrichtet, der darauf hinweist, dass jemand über das Internet eine Internetverbindung zu ihm herstellt. Anders als bei der Personen-Firewall ist keine Wartung eines Regelwerkes erforderlich. Andererseits sind die einfachen externen Brandmauern nicht oder nur sehr begrenzt in der Situation, Malware daran zu hindern, sich automatisch mit dem Internet zu verbinden, da sie - anders als die meisten persönlichen Brandmauern - nicht für eine solche Aufgabenstellung entwickelt wurden.

Wenn die von der Malware stammende Netzwerk-Kommunikation nicht blockiert wird, ist so trotz der Verwendung einer fremden Firewall auch ein unbeschränkter Remote-Zugriff auf den IT. Ausgenommen sind die äußere Proxy-Firewall und die sogenannte Next-Generation-Firewall[18][19], die eine Methode zur Ermöglichung der Netzwerk-Kommunikation nur für ausgewählte Applikationen unterstützt.

Die persönliche Firewall ist im Allgemeinen nicht besser oder schlimmer als eine äußere Firewall, aber vor allem anders. An allen Stellen, an denen die Funktionalität gleich ist, ist die äußere Firewall jedoch verlässlicher. Die persönliche Firewall schränkt den Zugang des PC zum Internet und zum lokalen Netzwerk ein. Eine persönliche Firewall oder Desktop-Firewall ist eine Firewall-Software, die lokal und auf dem Rechner installiert ist.

Zudem können die Richtlinien der persönlichen Firewall im besten Falle verhindern, dass ein geheim wieder aktivierter oder durch Malware eingerichteter Service über das Netz ohne Beeinträchtigung zugänglich ist. Die Nutzung der persönlichen Firewall hat sich ausgezahlt, wenn die (mögliche) Nachricht der Firewall-Software verwendet wird, um wieder aktivierte Services und Malware sofort zu beseitigen.

Persönliche Brandmauern können vor einigen über das Netz verteilten Würmern schützen,[17] aber sie sind nicht gegen die Installierung anderer Arten von Malware geschützt. Je nach Gerät und Betriebsart kann eine persönliche Firewall neue Netzdienste (und Applikationen mit entsprechenden Funktionen) erkennen[17] und den Benutzer abfragen, ob ein Remote-Zugriff möglich sein soll.

Um diesen Teil der Sicherheitsfunktion sicher nutzen zu können, muss die Firewall-Software durchgehend robust sein. Dies ist auch bei einem kompromisslosen Gesamtsystem eine große Aufgabe. Wenn auf dem zu sichernden Rechner bösartige Software erkannt wird, kann der Netzzugang daher durch Entfernen [25] anstelle einer Firewall wirksam verhindert werden, da diese auch bei Ausfall der Firewall-Software weiterhin wirksam ist.

Die persönliche Firewall kann manchmal innerhalb ihrer Einschränkungen dazu beitragen, zu erkennen, wann eine solche Übertragung erfolgt. Bei Programmen, die auf der gleichen Hardwareseite wie die Software der Persönlichen Firewall ausgeführt werden, gibt es viel mehr Manipulations- und Umgehungsmöglichkeiten als mit einer äußeren Firewall. Bei einem Crash oder gar einer dauerhaften Abschaltung der Firewall-Software aufgrund eines Softwarefehlers[21] oder eines bösartigen Programms[23] kommt es zu einem uneingeschränkten Zugang zu den bisher herausgefilterten Netzwerkdiensten, manchmal ohne dass der Benutzer es merkt.

Die Nutzung einer persönlichen Firewall wird aus sicherheitstechnischer Sicht fragwürdig, wenn sie z.B. für den störungsfreien Ablauf während eines PC-Spiels ausgeschaltet wird. Bei einem solchen Sicherheitssystem ist der Gebrauch einer persönlichen Firewall nicht sinnvoll, da die Firewall-Software nur die restlichen Gefahren verbirgt und somit selbst zu einem Security-Risiko wird (sie vermittelt dem Benutzer in der restlichen Zeit ein Gefühl der Sicherheit, was bei diesem Sicherheitssystem völlig unbegründet ist).

Es kann auf Rechnern, auf denen eine persönliche Firewall bereits integraler Bestandteil mit dem Betriebssystem ist, fraglich sein, ob zusätzliche Firewall-Software installiert werden soll. Damit kein Zugang zu den übrigen Netzwerkdiensten aus dem Internet möglich ist, sollten diese nicht an den mit dem Internet verbundenen Netzadapter angebunden sein.

Diese Vorrichtung stellt selbsttätig sicher, dass ein Netzdienst nur über das interne (private) Netzwerk, nicht aber über das Internet erreichbar ist (siehe auch "Vorteile der Nutzung einer fremden Firewall"). Der Firewall befindet sich zwischen dem LAN (dem Ortsnetz) und dem WAN (dem Internet). Es ist beabsichtigt, den Zugang zwischen diesen Netzwerken zu begrenzen.

Ein externer Firewall (auch Netzwerk- oder Hardware-Firewall genannt) schränkt die Verbindungen zwischen zwei Netzwerken ein. Dies können z.B. ein privates Netzwerk und das Internet sein. Der Einsatz der externen Firewall ist vorprogrammiert, um unbefugten Zugriff auf das innere Sicherheitssystem von außerhalb (das WAN in der Abbildung) zu verhindern. Anders als die persönliche Firewall muss das innere Sicherheitssystem hier nicht unbedingt aus einem einzelnen Rechner bestehen, sondern kann sich auf ein Netzwerk von mehreren Rechnern bezeichnen, die das innere Netzwerk ausmachen ( " in der Grafik das LAN ").

In der Realität gibt es keine Firewall, die ausschliesslich auf Hardwaresystemen basiert. Obwohl eine Firewall auf ihrem eigenen Betriebsystem ausgeführt werden kann und auf verschiedene Netzebenen zugreift, ist sie dadurch nicht Teil der Infrastruktur. In einer Firewall ist immer eine wesentliche Komponente enthalten. Die Bezeichnung Hardwarefirewall wird eher als Abkürzung für external Firewall benutzt.

Es sollte ausgedrückt werden, dass es sich um eine eigene Hardwaresysteme der Firewall-Software handele. Es gibt jedoch eine für den Einsatz der Firewall-Software optimierte Hard- ware, z.B. durch ein entsprechend ausgelegtes Hardware-Design, das dazu beiträgt, einen Teil der Entschlüsselung und Ver- schlüsselung gewisser Protokollierungen zu forcieren. Die direkte Verbindung eines Rechners mit dem Internet (genauer gesagt, mit einem entsprechenden Modem) bedeutet, dass alle Rechner im Internet auf die an diese Netzwerkverbindung angebundenen Dienstleistungen des Rechners Zugriff haben, was den Remote-Zugriff auf den Rechner erlaubt.

Zur Verhinderung des Fernzugriffs aus dem Internet wäre eine Möglichkeit, zwischen dem inneren (privaten) Netzwerk und dem äußeren Netzwerk (Internet) zu differenzieren und nur die erforderlichen Services an die Netzschnittstelle des inneren Netzwerks zu bindet. Ein externer Firewall, der im Sicht- oder einseitigen Transparenzmodus läuft, kann diese Funktion übernehmen: Anstelle des PC ist die äußere Firewall mit dem Internet verbunden und die PC aus dem hausinternen Netzwerk sind mit diesem Endgerät verbunden.

Nun übertragen die Rechner ihre Anforderungen an das Internet an die Firewall, die im Namen der Rechner auf das Internet zuzugreift. Die Firewall wird daher vom Zielsystem nur als Sender gesehen, der die Response-Pakete des Zielsystems seinerseits an den jeweiligen Rechner im firmeneigenen Netzwerk weitergeleitet. Abhängig vom Firewall-Typ kann er so die Netzwerk-Pakete in beide Himmelsrichtungen untersuchen und herausfiltern, bevor sie die eigentlichen Gesprächspartner aufsuchen.

Die Internetverbindung kann eine DSL-Verbindung mit einem DSL-Modem sein. Anschließend könnte die Firewall auf einem DSL-Router eingerichtet werden, der von den PC's im eigenen (in sich geschlossenen) Netzwerk als Standard-Gateway verwendet wird. Die Vorrichtung handhabt somit die Netzwerkanforderungen der hauseigenen PC und kann zwischen Anforderungen an das hauseigene (private) und das hauseigene Netzwerk (Internet) differenzieren und diese an die jeweilige Stelle übermitteln.

Die Switches verbinden die PC des firmeneigenen Netzwerks untereinander und sind in der Regel in eine solche Firewall eingebunden, werden aber hier gezielt als eigenständige Vorrichtung präsentiert, um deutlich zu machen, dass eine solche Firewall nur den Zugang zwischen dem firmeneigenen und dem firmeneigenen Netzwerk herausfiltert, aber keinen Einfluß auf die Verständigung im firmeneigenen Netzwerk hat.

Weil das Zieldreieck aus dem Internet nicht den eigenen Rechner, sondern nur die Firewall erkennt, werden eventuelle Attacken aus dem Internet auf die dafür vorgesehene Firewall geleitet und schlagen nicht unmittelbar auf den eigenen Rechner durch. Wenn jemand im Internet nach einem Netzdienst (z. B. Datei- und Druckerfreigabe) über die Netzadresse der Firewall auf der Suche ist, wird er ihn nicht finden, da der Service auf dem Computer und nicht auf der Firewall ausgeführt wird.

In dieser Ebene ist die Firewall daher nicht anfällig und die Netzdienste der hauseigenen Rechner sind nicht über das Internet zugänglich. Selbst Malware, die im Geheimen einen Netzdienst auf dem Computer einrichtet, kann diesen Status nicht abändern. Auf den Netzdienst kann nur über das private Netzwerk zugegriffen werden, nicht über das Internet (schließlich kann die Malware keinen Service auf der Firewall, sondern nur auf dem Computer installieren).

Anmerkung: Für die beschriebenen Funktionen ist es notwendig, dass die Firewall Vorrichtung entsprechend eingestellt ist (das zu sichernde Rechnersystem darf nicht als "Standardserver" oder "exponierter Host" oder in einer "DMZ" liegen, die je nach Bedienoberfläche der Firewall Vorrichtung in der Regel leicht überprüfbar und bei Bedarf auch ohne profunde Sachkenntnis anzupassen ist).

Anders als die persönliche Firewall hat die äußere Firewall keinen Einfluß auf die Anschlüsse innerhalb des persönlichen Netzwerks. Es erlaubt Anforderungen aus dem firmeneigenen Netzwerk an das firmeneigene Netzwerk (Internet). Anforderungen des Fremdnetzwerks an Teilnehmer des Eigennetzwerks werden gesperrt, solange sie nicht zu einer Reaktion auf eine interne Netzwerkanforderung zählen.

Neben der Anforderung von ausdrücklich blockierten Anschriften und blockierten Zielanschlüssen werden daher auch alle vom firmeneigenen Netzwerk (z.B. private PCs) angeforderten Kommunikationsanschlüsse zugelassen. Wird also nur ein Netzdienst eingerichtet, der auf eine Außenverbindung wartete, arbeitet der Sicherheitsmechanismus recht gut. Wenn es jedoch eine Internetverbindung selbst herstellt, lässt das Endgerät die Internetverbindung zu, weil sie vom firmeneigenen Netzwerk angefragt wurde.

Eine solche Vorrichtung kann nur wirksam verhindern, dass Anfragen nach externen Verbindungen gestellt werden. Eine persönliche Firewall hat hier manchmal mehr Chancen, ist aber nicht unbedingt sicher und enthält die oben erwähnten Gefahren. Obwohl eine persönliche Firewall kein gleichwertiger Austausch für solche Vorrichtungen ist, kann sie unter gewissen Umständen als geeignete Erweiterung fungieren.

In Verbindung mit der Verwaltungssoftware kann eine eigene persönliche Firewall auf dem eigenen Computer zu Hause eingerichtet werden. Selbst wenn sich die lokale Installationssoftware mit dem Firmenlogo und dem Firmennamen der äußeren Firewall anmeldet, hat das nichts damit zu tun. Diese ist in der Regel nicht anders als andere persönliche Firewall, die neben einem DSL-Router eingebaut sind.

Ein weiterer Ansatz zur Verhinderung der Malware, mit dem Internet zu kommunizieren, beruht manchmal auf der Vorstellung, dass die Firewall den gesamten Internetzugang über das interne Netzwerk blockieren sollte, der z.B. für den Zugriff auf Websites nicht erforderlich ist. Dies wird durch eine Fehlerregel ermöglicht, die alle Anforderungen an das Internet unterdrückt.

Mit einer weiteren Regelung können DNS-Abfragen nun ausdrücklich an den DNS-Server seiner wahl und Zugänge auf die Ports 80 (HTTP) eines beliebigen Internet-Servers erfolgen, so dass der dort ausgeführte Netzdienst für den Zugang zu Internetseiten erreichbar ist. Es wird davon ausgegangen, dass auf dem zu schützendem Rechner installierter Malware, die automatisch eine Internetverbindung zu einem Netzdienst aufbaut, nun gesperrt wird, weil die Netzwerkanforderung ihren Anschluss nicht mehr weitergeben darf.

Allerdings ist diese "Schutzwirkung" sehr eingeschränkt, da nicht mit Gewissheit ausgeschlossen werden kann, dass die zu blockierende Malware nicht auch den freigeschalteten Anschluss für ihre Übertragung nutzt. Weil nahezu jede externe Firewall den Anschluss 80 für die Verbindung mit dem Internet freigibt, verwenden viele Malware-Programme nun auch den Anschluss 80 für ihre eigene Verbindung mit dem Internet, da sie davon ausgehen können, dass der Anschluss nicht gesperrt wird.

Unternehmen neigen dazu, solche Fehler zu nutzen, um den Zugang ihrer Angestellten zum Internet zu begrenzen (z.B. um die Anzeige von HTML-Seiten zu ermöglichen, sie aber daran zu hindern, am Chatten teilzunehmen). Äußere Firewall: Ein Authentifizierungs-Proxy kann Internet-Anfragen auf Applikationen einschränken, die sich an der Firewall angemeldet haben. Ein Netzwerkzugang zum Internet von anderen Applikationen aus ist gesperrt.

Neben der Portblockierung gibt es auf einigen Vorrichtungen fortschrittliche Verfahren, um die internen Verbindungsanforderungen über die externe Firewall zu steuern. Diese verwenden in der Regel Proxies und bieten damit die Option, dass sich jede Applikation gegenüber der äußeren Firewall authentisieren muss, bevor die Netzwerkverbindung zugelassen wird. Dies macht es für Malware schwieriger, aber nicht ausgeschlossen, unbeachtet mit dem fremden Netzwerk zu interagieren (siehe Bild rechts).

Darüber hinaus können auf Profifirewalls Spezialfilter installiert werden, die nach einigen in den Netzwerk-Paketen eines Services vorhandenen Malware-Signaturen durchsuchen und diese bei der Identifizierung blockieren. Durch die erwähnten erweiterteren Verfahren wird die schädigende Auswirkung der äußeren Firewall auf die interne und externe Verständigung erhöht. Wenn Ihr eigener Rechner an der Internet-Schnittstelle keine Netzdienste anbietet und anderweitig professionell geführt wird, ist der Betrieb einer fremden Firewall fraglich, da die Firewall die Netzpakete für ihre Tätigkeit eventuell gesondert auswerten muss.

Darüber hinaus kann der Gebrauch einer Firewall dazu führen, dass sich der Benutzer in die Geborgenheit schläft und nachlässig wird, indem er z. B. frivol die Installation von Computerprogrammen aus unsicherem Umfeld durchführt, da die Firewall ihn angeblich vor dem Remote-Zugriff auf eventuelle Malware absichert. Nicht nur, dass er die Datensicherheit einbüßt, er setzt auch sein eigenes Sicherheitssystem einem größeren Risiko als bisher aus; dies gilt auch für den Betrieb einer pers.

Die Firewall kann mit unterschiedlichen Verfahren zwischen gewünschtem und ungewolltem Netzverkehr differenzieren, aber nicht alle Produkte unterstützen sie alle. Der simple (zustandslose) Paketfilter funktioniert auf einem Firewall-Router mit festen Richtlinien und berücksichtigt jedes Netzwerk-Paket individuell. Es werden daher keine Verknüpfungen zu den bisherigen Netzwerk-Paketen hergestellt. Dies schränkt den Zugang zu dem Herkunftssystem, das die Übertragung anforderte, weiter ein.

Ein korrespondierender Firewall wird auch als reiner Paketfilter-Firewall eingestuft, mindestens so lange, wie keine (möglichen) Proxy-Filter darauf vorhanden sind. Durch die Eindeutigkeit dieser Zahlen können sie für eine einfache, aber universelle Ansprache in einem Netzwerk verwendet werden. Einfach, weil es z.B. verwendet werden kann, um einen Rechner in einem nicht verzweigten Netzwerk anzusprechen, aber es kann nicht in der MAC-Adresse spezifiziert werden, für welches Computerprogramm das Netzwerk-Paket vorgesehen ist.

Bei einem solchen Netzwerk wird der Port durch das nächst höhere Protokol, d.h. die Paketierung nach der IP-Adresse, abgebildet. Eine Firewall kann alle diese "Pakete" bewerten und die Netzpakete danach herausfiltern, indem sie bestimmt, welche Anforderungen erlaubt sind und welche nicht, basierend auf einem "Wer darf auf was zugreifen" Regelwerk. Adressfilterung ist die Basisform aller anderen Firewall-Typen.

Damit kommen auch auf allen anderen Brandmauern solche Schutzfilter vor, die der bloßen Filtration von Netzadressen und damit der Paketfilterung von Netzadressen nachgehen. Der Firewall- Routers ist als paketfilternde Firewall eingestuft und ist eine installierte Sicherheitssoftware, die auf einem Routers läuft und dort die Netzwerkkonfiguration einschränkt. Diese Firewallart kann im einseitigen Transparenzmodus (Router im NAT-Modus) oder im zweiseitigen Transparenzmodus (Router ohne NAT) erscheinen.

Es ist vor allem mit Firewall-Geräten verbunden, die statistische (zustandslose) Packetfilter einsetzen, obwohl streng genommen auch eine zustandsorientierte Inspektionsfirewall auf einem router eingerichtet werden kann. Die anderen Firewall-Typen zeichnen sich gegenüber einem Firewall-Quellcode aus, indem sie mindestens eine präzisere Art der Paketfiltration (Stateful Inspection) bieten oder auf einem vom Routerspezifischen Ansatz beruhen und in der Regel neben dem Paketzusatz auch eine erweitere Art der Filtration (z.B. Proxy-Firewall und personalisierte Firewall) bieten.

Die Firewall-Router sind bei identischer Hardwarestruktur im Vergleich zu anderen Firewall-Typen sehr performant. In den nachfolgenden exemplarischen Filterschemata ist zu berücksichtigen, dass der Inhalt nicht nach den erwähnten Profilen filtriert wird, sondern nach den zum jeweiligen Netzdienst gehörigen TCP- oder UDP-Ports: Mail-Dienste (SMTP - TCP-Port 25, in der DMZ sind Mail-Dienste (POP3 - TCP-Port 110 und IMAP - TCP-Port 143) vom Internet an den Mail-Server zugelassen.

Die Mail-Server können Mails von der DMZ über das Internet an das SMTP-System senden und DNS-Anfragen einreichen. Verwaltungsdienste (SSH, Remote Desktop, Sicherung - TCP-Port 22) vom internen Netzwerk zum E-Mail-Server sind zulässig. Anders als beim stationären (zustandslosen) Packetfilter wird die Firewall-Regel bei jeder Verbindungsanforderung dynamisiert, um den Zugang zu einer bestehenden Konnektivität präziser zu gestalten.

Die Firewall setzt den Return-Kanal (Ziel zu Quellsystem) in direkten Zusammenhang mit der vorher aufgebauten Relation (Quelle zu Zielsystem) und beschränkt den Zugang dementsprechend, so dass nur die betroffenen Gesprächspartner auf die Relation zugriffsnah. Dies ist die grundlegende Funktion, zu der alle Stateeful Insection Firewall fähig sind. Spezialfilter von zahlreichen Zustandsinspektionsfirewalls können auch die Benutzerdaten einer Mitteilung auswerten.

Dies ist z.B. für Netzprotokolle nützlich, die über die Benutzerdaten eine zweite Kommunikation zwischen den Gesprächspartnern herstell... (siehe aktiver FTP). Der Einblick in die Benutzerdaten ermöglicht es dem Benutzer, die Adressenfilterung der Datenpakete weiter zu spezifizieren, aber im Gegensatz zu einem Proxy-Filter ist er nicht in der Lage, den Verbindungsaufbau selbst zu beeinfluss.

Abhängig vom jeweiligen Gerät kann die Stateful Inspection Firewall feststellen, ob und wann der zu schützende Rechner (oder besser gesagt der Client) mit dem Zielsystem kommunikationsfähig ist, auch nachdem eine Internetverbindung hergestellt wurde, und die Firewall erlaubt nur die Beantwortung dieser Fragen. Schickt das Zielsystem nicht angeforderte Informationen, sperrt die Firewall die Übertragung auch nach dem Aufbau der Datenbankverbindung zwischen dem Kunden und dem Zielsystem. In diesem Fall wird die Übertragung durch die Firewall gesperrt.

Je nach Ausstattung des Geräts, auf dem die Firewall-Software installiert ist, und des Firewall-Produkts kann eine Stateful Inspection-Firewall unter anderem die nachstehend aufgeführten Merkmale bieten: Neben den eigentlichen Traffic-Daten wie Quell-, Ziel- und Servicedaten berücksichtigen die Server einer Proxy-Firewall (auch Applikationsschicht-Firewall genannt) in der Regel auch die Benutzerdaten, d.h. den Content der Netzwerk-Pakete.

Stattdessen stellt er seine eigene Anbindung an das Gesamtsystem her. Durch die Kommunikation mit dem Zielsystem im Namen des anfordernden Clients kann es die Datenpakete kontinuierlich auswerten und die Kommunikation beeinflussen. Ausgenommen ist der Generic Provider, auch Circuit Level Provider oder Circuit Level Provider oder Circuit Level Provider in Deutschland. Es wird als Protokoll-unabhängiger Fehlerfilter auf der Proxy-Firewall eingesetzt und implementiert dort ein port- und adressenbasiertes Filterstem. Dieses Modul ermöglicht auch die (mögliche) Authentisierung zum Aufbau einer Datenbank.

Er ist nicht in der Situation, die Mitteilung zu sehen, sie selbst zu verwalten und zu steuern, da er das Übertragungsprotokoll nicht kannte. Eine dedizierte Vollmacht als ein auf ein spezielles Proteinprotokoll spezialisierter Fehlerfilter fungiert als intermediäres Hilfsprogramm und greift daher (wie jedes Service- oder Anwendungsprogramm) auf die OSI-Schicht 7 (Application Layer) zu.

Das Circuit Level Proxy als generisches (protokollunabhängiges) Filtern verwendet die OSI-Schicht 3 (IP-Adresse), 4 (Port) und eventuell 5 (Authentifizierung für den Verbindungsaufbau). Anmerkung: Im Gegensatz zu einem weit verbreiteten Irrtum ist die Hauptaufgabe einer Firewall auf Anwendungsebene nicht, bestimmte Anwendungen (Programme) den Zugang zum Netzwerk zu erlauben oder zu verweigern.

Der Auftrag, den Netzwerkzugang auf Applikationen zu begrenzen, die sich gegenüber der Firewall authentisiert haben, obliegt in der Regel (wenn überhaupt) dem allgemeinen Proxy-Filter, d.h. demjenigen, der nicht einmal die Anwendungsschicht verwendet. Nur beide Gesprächspartner (der Klient im eigenen Netzwerk sowie der Service auf dem Datenserver aus dem fremden Netzwerk) müssen dementsprechend eingestellt sein.

Um dies zu verhindern, kann man mit Firewalls auf Anwendungsebene versuchen. Einbettung der zu übermittelnden Dateien in HTTP durch die Anwendung ohne Verletzung des Protokollstandards, ist auch diese Firewall ohnmächtig (der Remote Peer, der Service auf dem Datenserver, muss diese Form der Umwandlung verstehen).

Tunnels stellen daher ein Verfahren dar, um die Steuerung einer Firewall zu überbrücken. Das kann z.B. über einen SSH- oder VPN-Tunnel innerhalb einer rechtmäßig aktivierten Leitung erfolgen. Gerade für das Thema Skyp ist es ein Beispiel dafür, wie gut sich die meisten Brandmauern von Grund auf vermeiden ließen. 39 ] Sofern die Nutzer aus dem hausinternen Netzwerk die Berechtigung zum Zugriff auf Websites haben, hat der Firewall-Administrator kaum eine technische Gelegenheit, ein Durchtunneln durch die Chiffrierung zu unterbinden.

Aufgrund von Whitelists, die den Zugang zu bestimmten Servern einschränken, können Brandmauern das Tunneling sehr schwierig machen. Beispielsweise erstellen einige Computer eine vorübergehende Firewall-Regel, die alle weiteren Verbindungs-Versuche von der angeblich angegriffenen IP-Adressen blockiert. Übermittelt ein Hacker jedoch nun Datenpakete mit einer falschen Absenderadresse an das Netzwerk (siehe IP-Spoofing), kann er sicherstellen, dass der Zugang zu der falschen Absenderadresse nicht mehr möglich ist.

Die folgenden Funktionalitäten können auf einem Firewall-Gerät weiterhin verwendet werden: Yeahcek Artymiak: Firewalls mit OpenBSD und PF erstellen. 2. Auflage. divGuide. net, Lublin 2003, ISBN 83-916651-1-9 Wolfgang Barth: The Firewall Book. Die passende Struktur und die richtigen Bausteine für ein gesichertes Netzwerk. BGBl., Köln 2005, ISBN 3-89817-525-1. W. R. Cheswick, S. M. Bellovin, A. D. Rubin: Firewalls und Internetsicherheit.

Verhalten und Anforderungen von RFC 2979 für Internet-Firewalls. Hochsprung 2011 Persönliche Firewall (PDF), Autor: Ralf Hildebrandt, Präsentationsfolien "Nutzen und Gefahren", S. 6 Absicherung vor "Ping of Death".