Keine Firewall

Nie ohne Firewall

Die bei weitem bedeutendste Schutzmaßnahme, die die Desktop-Computer und Server-Systeme schützt, ist die Firewall. Ob Soft- oder Hardwaresystem - der Einsatz einer Firewall dient dazu, den Zugang zu einem Computersystem oder einem ganzen Netz zu begrenzen. Es hat sich in der Realität bewährt, dass es besser ist, die Firewall so zu gestalten, dass nur vom Systemadministrator genehmigter Zugang möglich ist.

Die anderen Zugänge werden von der Firewall blockiert. In Verbindung mit einer Firewall haben sich zwei unterschiedliche Betriebsarten etabliert: Paketfilterung und Personal-Firewall. Wie schon der Titel sagt, filtern die ersten Firewall-Typen die im Netz gesendeten TCP/IP-Pakete. Die Paketfilter-Firewall fungiert dabei in der Regel als Gateway und prüft nach gewissen Kriterien, dem sogenannten Regelsatz, die für sie vorgesehene oder weitergereichte Nachricht.

In der Regel sind die Regel (siehe Box "Grundlegende Firewall-Regeln") einer solchen Firewall nach dem Standard-Deny-Prinzip strukturiert. Möchte eine Applikation einen Datenaustausch mit dem Netz oder dem Netz durchführen, informiert die Applikation den Anwender und fordert ihn auf, diesen Kontakt zu erlauben. Daraus ergibt sich, dass eine solche Firewall auf einer anderen OSI-Ebene funktioniert als die Paket-Filter.

Die Firewall ist, wie bereits gesagt, nach dem Prinzip der Standardverweigerung strukturiert - analog zu folgendem Schema: State rule: State rule: Zustandsorientierte Firewall kann sich den Zustand bereits hergestellter Beziehungen speichern. Wenn bereits ein Aufbau einer Internetverbindung zugelassen wurde, kann die hergestellte Internetverbindung ohne weitere Überlegungen zugelassen werden.

Eine solche Regelung wird jedoch oft stillschweigend vermutet und muss nicht separat festgelegt werden. Darüber hinaus sind fast alle halbmodernen Paketfilter-Firewallsysteme zustandsbehaftete Brandmauern. Zulässige Kommunikation: Die nachfolgenden Richtlinien legen die zu aktivierenden Häfen und Pfade fest, z.B.: Der gesamte Verkehr, der aus dem firmeneigenen Netzwerk auf den Port 80 (http) geleitet wird, ist zulässigerweise zulässig.

So dürfen zum Beispiel die Mitarbeiter eines Unternehmens im Internet stöbern. Ein genaues Erscheinungsbild des Konzepts ist natürlich abhängig von den jeweiligen Anforderungen des Firewallbenutzers. Ein detailliertes Wissen über die TCP/IP-Protokollsuite ist hierdurch unabdingbar, da sonst keine aussagekräftigen Regelwerke definiert werden können. Catch-all rule: In der letzen Rule ist jeder weitere Datenverkehr untersagt.

Wird die Regelwerk nun von oben nach unten verarbeitet, wird die Catch-All-Regel exakt dann wirksam, wenn keine frühere Regelwerk anwendbar ist. Dementsprechend ist dieser Datenverkehr nicht ausdrücklich zulässig und wird durch diese Regelung "abgefangen" und geblockt. Das iptables Tool dient zur Definition von Firewall-Regeln im Benutzerbereich nach einem festgelegten Zielformat. Einfach gesagt, ein iptables-Aufruf besteht aus den nachfolgenden Bestandteilen

Tabellarisch: Sie müssen zuerst angeben, um welche Art von Regeln es sich dabei handeln soll - eine Paketfilter-Regel oder eine Naturschutzregel. Verkettung: Es wird dann die Verkettung vorgegeben, auf die sich der folgende Regelsatz verweist und ob die folgende Faustregel eingeblendet oder gelöscht werden soll. Ausdrücke filtern: Hiermit wird bestimmt, auf welche Packages sich die Prüfregel verweist.

Bei fehlendem Freigabeausdruck geht die Firewall davon aus, dass alle Datenpakete der jeweiligen Prozesskette herausgefiltert werden sollen.