Firewall
Seit einigen Jahren werden zunehmend Firewalls zur Absicherung von lokalen Netzen beim Anschluß an das Internet eingesetzt. Jedoch besteht bei den Betreibern immer noch Unklarheit über die Vor- und Nachteile der verschiedenen Firewall-Architekturen.
Was ist eine Firewall?
Firewall bedeutet soviel wie Brandschutzmauer. Es ist wie eine Art „Schutzwall“ für den Pc, damit in diesen kein ungebetener Gast „eintritt“.
Man kann sich die Firewall aber auch als eine Art Pförtner vorstellen, die den Eingang bzw. Ausgang eines Gebäudes bewacht und Ausweise kontrolliert.
Das heißt, man muss sich also autorisieren. Kann man das nicht, wird man abgewiesen.
Wozu braucht man eine Firewall?
Vor allem werden Firewalls von Firmen und Behörden verwendet, da sie all ihre Daten schützen müssen.
Für private Pc-Benutzer gibt es folgende Alternativen:
ein 2. Windows installieren und nur damit online gehen
regelmäßiges scannen von Viren mit 2-3 verschiedenen Programmen
Absuchen mit Trojaner-Scannern
Jeden Download scannen
unbekannte Dateien zumindest nicht ungescannt öffnen
Proxy-Server verwenden
Tja und wem dies nicht genügt, soll sich eine Firewall besorgen und sich vor dem KAUF genügend darüber informieren.
Was ist ein Proxy-Server?
Das ist ein 2.
Server, der dich daheim mit einer Site im Internet verbindet, sofern die Datengröße nicht zu groß ist. Dieser Server leitet also alle Anfragen von den WWW Clienten zu der gewünschten Site, die Site schickt dann die Daten an den Proxy Server und der Proxy Server bringt sie zu uns.
Welche Firewall braucht man?
Es gibt 2 Arten:
IP Filter für zu Hause: Network Level Firewall
Diese Art von Firewall kontrolliert den Datenstrom auf Ursprung, Ziel, Port und Paket-Typ-Informationen. Dieser Typ ist sehr sicher, aber es mangelt an der genauen Protokollierung, denn das was er nicht protokolliert sind die verlangten Zugriffe auf das Internet bzw. das private Netzwerk. Genaueres dazu später.
Application Level Firewalls für Systeme mit erhöhtem Schutzbedarf. Eigentlich ist das keine Firewall, sondern Computer auf denen Proxy-Server laufen. Proxy Server duplizieren alle Vorgänge und protokollieren so alles genau.
Wozu braucht man eine Firewall genau?
Man „braucht“ eine Firewall zum
Datenschutz vor Spyware-Anwendungen und Trojanern
Schutz eines Netzwerkes vor einem anderen
Unautorisierte Nutzer bleiben „draußen“
Private Dateien bleiben „drinnen“
Unterstützung einer vorhandenen Security-Policy
Kontrolle und Protokollierung eines Internet- Zugriffs
Was können Firewalls nun?
Firewalls schützen LANs vor ungewolltem Zugriff aus dem Internet. Neben der klassischen Aufgabe der reinen Transportwegsicherung bieten viele Firewalls heutzutage auch Möglichkeiten zum Aufbau von sicheren virtuellen Netzen (VPN, virtual private networks). Einige können die (quantitative) Netznutzung überwachen oder/und Inhalte von übertragenen Daten kontrollieren.
Letzteres kann auf verschiedenen Ebenen erfolgen: die Firewall kann beispielsweise bestimmte Websites ausschließen oder angeforderte Dateitypen beschränken (etwa keine Java .class Files) oder - meist mit Zusatzmodulen - nach einem Bewertungssystem selektieren, das Server nach ihren vorrangigen Inhalten "indiziert". Auch Virenchecks bei E-Mail Attachments oder ftp-Downloads sind möglich.
Wissenswertes über die Firewall
Sind Zentren für Sicherheitsmaßnahmen
Können die Sicherheitspolitik durchsetzen
Können effizient alle Internet-Aktivitäten protokollieren
Verkleinern die Angriffsfläche
Können NICHT vor bösartigen Insidern schützen
Können NICHT vor Verbindungen schützen, die nicht über sie laufen
Können NICHT vor völlig neuen Gefahren schützen („Ping-of-Death“)
Können NICHT vor Viren schützen
Reichen NIEMALS als einziges Mittel aus
Und mit wem können wir es zu tun haben?
Neugierige Hacker: sie stöbern herum, verletzen die Privatsphäre, handeln aus falschem „Sportsgeist“
Unzufriedene/unmotivierte Angestellte: durch Unachtsamkeit, stören (un)bewusst den Arbeitsablauf, wollen Kollegen einen Streich spielen
Vandalen: nutzen fremde Rechenzeit, nutzen Peripherie, z.B. Wählleitungen; nutzen das Opfer als Zwischenstation oder Tarnung
Industriespione
Ein Firewall kann technisch realisiert werden als
Packet Screen,
Packet Screen kombiniert mit einer Bastion und als
Gateway.
a) Packet Screen
Eine zwischen zwei Netzen installierte Packet Screen überträgt nur die Pakete in das jeweils andere Netz, die bestimmte Anforderungen erfüllen. Als Merkmale eignen sich dabei (IP-)Quell- und Ziel-Adressen sowie Quell- und Ziel-Ports. Mit Filtern über IP-Adressen lassen sich einzelne Rechner -- z.B. sensitive Fileserver -- von der Kommunikation mit dem Internet ausschließen. Mit Filtern auf Quell- und Ziel-Ports kann die Kommunikation auf bestimmte Dienste eingeschränkt werden.
So kann zum Beispiel der Zugriff vom Internet auf Dienste, die als unsicher identifiziert wurden (rlogin, NFS, TFTP), verboten werden.
Da die meisten Router bereits die Möglichkeit zum Filtern von Paketen enthalten, kann eine Packet Screen oft ohne zusätzliche Hardware realisiert werden. Ein weiterer Vorteil ist, daß eine Packet Screen für die Benutzer transparent ist.
Die Verwendung einer Packet Screen als Firewall führt jedoch bei großen lokalen Netzen zu komplizierten Filter-Konfigurationen. Auch ist es nicht möglich, Dienste nur für bestimmte Benutzer zuzulassen. Ein entscheidender Nachteil von Packet Screens ist schließlich, daß Angriffe nicht oder erst zu spät erkannt werden können, da kein Audit unterstützt wird.
b) Kombination von Packet Screen und Bastion
Durch die Erweiterung des Konzeptes um eine Bastion können die genannten Nachteile eines Firewalls, der nur aus einer Packet Screen besteht, beseitigt werden. Die Packet Screen wird dabei so konfiguriert, daß nur noch ein Rechner -- die Bastion -- mit dem Internet kommunizieren kann. Benutzer, die auf das Internet zugreifen wollen, müssen dies über den Umweg der Bastion tun. Dazu muß den Benutzern auf der Bastion ein Login gewährt werden, oder es müssen auf der Bastion "Proxy-Server" installiert werden, die Zugriffe durchführen, ohne daß Benutzer auf der Bastion eingeloggt sein müssen. Da nur die Bastion vom Internet aus angegriffen werden kann, muß auch nur diese besonders gegen Angriffe geschützt werden.
Auf der Bastion können Angriffe durch ein erweitertes Audit schnell erkannt werden.
Außerdem wird es durch den Einsatz der Bastion möglich, den Zugriff auf der Basis von Benutzern einzuschränken.
Ein Nachteil dieser Lösung ist, daß der Firewall für Benutzer nicht mehr transparent ist, wenn sie sich zuerst auf der Bastion einloggen müssen. Wird der Zugriff über Proxy-Server realisiert, bleibt zwar die Transparenz erhalten, dafür müssen aber auf den Rechnern im LAN modifizierte Klienten -- z.B. für Telnet und FTP -- installiert werden.
c) Gateway-Firewall
Wird für den Anschluß des LANs an das Internet ein UNIX-Host verwendet, so kann dieser zur Bastion ausgebaut werden und als Firewall dienen.
Das Gateway besitzt zwei Netzanschlüsse, einen zum Internet und einen zum LAN. Durch das Abschalten des "IP-Forwardings" im Kernel des Gateways wird erreicht, daß eine Kommunikation zwischen LAN und Internet nur über Applikationen auf dem Gateway geführt werden kann. Es ist also für den Zugriff auf das Internet, wie auch im vorherigen Abschnitt beschrieben, ein Login oder die Verwendung von Proxy-Servern notwendig.
Die erreichte Sicherheit sowie die mit einen Gateway-Firewall verbundenen Vor- und Nachteile sind mit einer Kombination von Packet Screen und Bastion vergleichbar.
Ein Beispiel zur Bedienung
Als Beispiel führe ich jetzt Norton Personal Firewall 2001, da ich dieses Programm selbst kenne.
Aus einem Werbe- Text:
„Über die flexible Zugriffssteuerung kann der Anwender selbst festlegen, welche Programme wie auf das Internet zugreifen dürfen.
Dabei stehen jeweils die Optionen „alle blockieren“, „alle zulassen“ und „anpassen“ zur Auswahl. Häufig verwendete Internet-Anwendungen konfiguriert die Firewall automatisch.“
Beginnt man nun mit dem Downloaden einer Datei, wird automatisch um Erlaubnis gefragt, ebenso wenn ein anderer User Zugriff auf die Festplatte haben will. Es ist wirklich sehr einfach damit umzugehen.
Nachteile einer Firewall:
Das größte Problem ist, dass die Firewall den Zugang zum Internet sehr stark hemmt.
Netscape z.
B. benötigt eine direkte Verbindung zum Internet, deshalb arbeitet es nicht hinter einer Firewall. Abhilfe kann da nur ein Proxy-Server schaffen.
Hinweis zum Schluss:
Lasst euch nicht durch „einfache Konfiguration“ und „absolut sicher“ blenden!
Eine Werbung, die Sicherheit auf Mausklick verspricht lügt und ist möglicherweise gefährlich, da dadurch der Pc nicht ausreichend geschützt wird!
Anmerkungen: |
| impressum | datenschutz
© Copyright Artikelpedia.com