 |
EinführungAls Firewall wird heute jedes System bezeichnet, welches denDatenverkehr zwischen zwei Netzwerken kontrolliert. Im einfachstenFall ist dies ein Router. Ein Firewallsystem kann auch aus mehrerenzusammenarbeitenden Komponenten, z. B. zwei Routern und einemRechner, bestehen. Heutige Firewall-Rechner besitzen meistens zweioder drei Netzwerkanschlüsse, und lassen sich je nach Anforderung inverschiedene Topologien einbinden.
Ein Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Kanalisierung erhöht zudem die Chancen, einen Einbruchversuch anhand ausführlicher Protokoll-Dateien zu erkennen, da der Eindringling erst den Firewall passieren muß.
Mit einem Firewall läßt sich die Wahrscheinlichkeit erheblich verringern, daß Angreifer von außen in inneren Systeme und Netze eindringen können. Zudem kann das System interne Benutzer davon abhalten, sicherheitsrelevante Informationen, wie unverschlüsselte Paßwörter oder vertrauliche Daten, nach außen geben.
Ein Firewall kann aus einer einzelnen Maschine oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen WWW- oder ftp-Server. Die entsprechenden Hosts können dann in einem Zwischennetz isoliert werden.
Die Kontrolle des Datenverkehrs kann auf verschiedenen Ebenenerfolgen. Für die Kontrolle der Ebenen 1 bis 4 des ISO-Modells kannein Router ausreichend sein, für die höheren Ebenen ist ein Rechnernotwendig. Der Router kann mit Access-Listen
versehen werden. Diese Access-Listen erlauben die Kontrolle des
Datentransfers auf Netzwerkebene, d.h. daß eine Kontrolle des
Dateninhalts und auf Applikationsebene nicht möglich ist.
Jedes Datenpaket wird für sich betrachtet, unabhängig von anderen
Paketen. Der Router kann nicht erkennen, ob ein bestimmtes Paket zu
einem Datenpaket gehört, welches schon vorher vermittelt wurde.
Zur Umgehung dieses Problems versucht man, den Firewall-Rechner so
auszulegen, daß der Rechner mitverfolgt, welche Pakete schon
geschickt wurden. Jegliche Kommunikation wird nach sogenannten
Protokollen abgewickelt. Sind die Regeln solch eines Protokolls dem
Firewall-Rechner bekannt, kann er verfolgen, ob die Pakete der im
Protokoll vorgegeben Reihenfolge und Richtung entsprechen. Dieses
Verfahren wird als 'statefull inspection' bezeichnet. Eine Kontrolle
des Dateninhalts kann mit diesem Verfahren immer noch nicht stattfinden.
Ein 'application-level' Firewall erlaubt die Inhalts-Kontrolle. Bei
diesem Firewall-Typ muß für jedes durch den Firewall vermitteltet
Protokoll ein spezielles Programm, ein sog. Proxy, vorhanden sein. Der
Proxy vermittelt zwischen den beiden Seiten des Firewalls. Das
Proxy-Programm verhält sich genau so wie das Originalprogramm des
jeweiligen Protokolls, z.B. wie ein FTP-Server. Mit einem Proxy ist es
möglich, auf allen Ebenen der Kommunikation den
Datenstrom zu Filtern und zu Beeinflussen.
Die heutigen Firewall-Produkte sind meist eine Kombination der obigen
Techniken. Je nach nach Produkt sind die einzelnen Funktionen
unterschiedlich stark ausgeprägt.
Firewallsysteme sind für einen vollautomatischen Betrieb
ausgelegt. Allerdings mag dies täuschen, da je nach Firewall-Typ
u.U. Statistiken, Logdaten, Alarme usw. generiert werden. Diese
Botschaften benötigen einen Adressaten, einen kompetenten und
verantwortlichen Menschen, der die Nachrichten des Firewalls bewertet
und entsprechend handelt. Zur Definition dieser Aktionen ist
zusammen mit, oder besser noch vor der Installation des Firewalls festzulegen,
was der Firewall wie schützen soll. Es ist festzulegen, was in
bestimmten Situationen zu tun ist, und wer dies tut. Der Betrieb eines
Firewallsystems kann mehr Personalresourcen fordern als der Betrieb
eines LAN-Servers.
Nachfolgend sollen einige gängige Firewall-Architekturen vorgestellt werden.
|
|
|
DIENSTE
