Hauptmenü
Home
Bauen
Essen & Trinken
Finanzen
Flora & Fauna
Gesundheit
Informationstechnologie
Kunst & Kultur
Politik / Geschichte
Sport & Freizeit
Technik
Transport und Verkehr
Wissenschaft
Google-Werbung
 
   
Home
Firewall Drucken E-Mail
Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall  „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei logischen Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.

Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen, wie Router oder Proxy; Softwarekomponenten sind deren Betriebssysteme nebst Firewallsoftware, inklusive deren Paket- oder Proxyfilter.

Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer externen Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Netzen vermittelt. Siehe auch Personal Firewall, Abschnitt „Abgrenzung zur Firewall“.



Grundlegendes

Prinzipiell rechtfertigt nicht nur der Übergang vom LAN zum Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Netzwerkzonen Rechnung zu tragen, beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.

Für die Konfiguration einer Firewall sollte der Administrator fundierte Kenntnisse über Netzwerkprotokolle, Routing, Netzwerk- und Informationssicherheit besitzen. Bereits kleine Fehler können die Schutzwirkung einer Firewall zunichte machen. Grundsätzlich sollte man vor der Installation ein Firewall-Konzept ausarbeiten, um die eigenen Anforderungen richtig einschätzen zu können und diese den Möglichkeiten und Grenzen der Firewall gegenüberzustellen. Denn erst wenn man weiß, gegenüber welchen Szenarien man ein bestimmtes Maß an Sicherheit erreichen will, kann man sich Gedanken über das wie machen. In größeren Organisationen wird dies üblicherweise über eine eigene Sicherheitsrichtlinie umgesetzt.

Entstehung der Firewall

In der Anfangszeit des Internet waren Angriffe innerhalb des Netzes weitgehend unbekannt. Erst im Jahr 1988 wurde von Robert Morris der erste Computerwurm programmiert. Der so genannte Morris-Wurm verbreitete sich unter Ausnutzung von einigen Unix-Diensten, wie z. B. sendmail, finger oder rexec sowie der r-Protokolle. Zwar hatte der Wurm keine direkte Schadensroutine, trotzdem legte er wegen seiner aggressiven Weiterverbreitung ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes. Die ersten Packet Filter wurden im Jahr 1985 von Cisco in ihre Router eingebaut. Die erste Studie über das Filtern von Netzwerkverkehr wurde im Jahr 1988 von Jeff Mogul veröffentlicht.

Firewalltypen

externe (Netzwerk- / Hardware-) Firewall

Üblicherweise wird ein Gerät Netzwerk- oder Hardware-Firewall genannt, wenn es sich um ein dediziertes Gerät handelt, das mindestens zwei Netzsegmente voneinander trennt. Man unterscheidet zwischen:

    Bridging-Firewall
        Hier sind die Netzwerkschnittstellen wie bei einer Bridge gekoppelt. Derartige Geräte sind, genau wie Bridges oder Switches, im Netz nicht sichtbar, also für einen Angreifer nur schwer zu erkennen und darüber hinaus nur schwer anzugreifen. Denn dieser Typ Firewall hat keine offenen Ports und ist lediglich indirekt über Fehler im Bridging-Code angreifbar. Auf der anderen Seite kann sie lediglich als statischer Paketfilter eingesetzt werden und ist nicht in der Lage, eine Adressumsetzung vorzunehmen, wie das beispielsweise bei einer Verbindung zwischen dem privaten Netz und dem Internet vonnöten ist.

    Routing-Firewall
        Hier sind die Netzwerkschnittstellen wie bei einem Router gekoppelt. Das ist die am weitesten verbreitete Art; sie kommt bei praktisch allen SoHo-Geräten (für den privaten Gebrauch und kleinere Unternehmen), aber mitunter auch bei größeren Systemen zum Einsatz. Ein Nachteil ist, dass diese Firewall im Netz sichtbar ist und direkt angegriffen werden kann. Entweder erscheint sie als Verbindungsglied zwischen den Subnetzen (Router ohne NAT), oder aber sie wird gar als vermeintlicher Kommunikationspartner angesprochen (Router im NAT-Modus). Im NAT-Modus bildet diese Firewall ihre eigene externe Adresse auf den jeweiligen internen Client ab, der eine Verbindung zum externen Netz (Internet) hergestellt hat. Bildlich gesehen funktioniert sie dann wie ein automatisiertes Postfach, welches alle ausgehenden Pakete, die die Firewall passieren, mit der eigenen Absenderadresse versieht. Dadurch stellt sie sicher, dass das Zielsystem die Antwortpakete auch wieder an das „Postfach“ schicken wird. Dank einer speziellen NAT-Verwaltung (PAT) erkennt sie, zu welchem internen Gerät ein aus dem Internet eingehendes Antwortpaket gehört. Dorthin leitet sie das Paket weiter, ohne dass der Versender aus dem Internet die wirkliche (interne) Adresse seines Kommunikationspartners kennt. In diesem Modus verdeckt sie – genau wie eine Proxy-Firewall – die Struktur des internen Netzes, ist im Unterschied dazu aber nicht in der Lage, die Verbindung zu beeinflussen.

    Proxy-Firewall
        Hier arbeitet die Firewall als Proxy zwischen dem Quell- und Zielsystem und tritt grundsätzlich für wenigstens einer der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung. Im Unterschied zur Routing-Firewall terminiert sie die Verbindungen auf beiden Seiten (es handelt sich somit um zwei eigenständige Verbindungen), was bedeutet, dass sie die Kommunikation nicht einfach weiterleitet, sondern selbst führt. Daher kann sie den Inhalt der Netzwerkpakete zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.

Die Hardwarekomponente jeder dieser Firewall-Typen besitzt mehrere Netzwerkschnittstellen (üblicherweise zwischen 2 und 20), an denen jeweils die zu trennenden Netzbereiche angeschlossen sind. Je nach Produkt können diese in folgende Netzwerk- und Vertrauenszonen unterteilt sein:

    Das ‚externe Netz’ (WAN)
        Meist das Internet, aber auch ein weiteres Kundennetz. Diese gelten als unsicher (kein Vertrauen).
    Das ‚interne Netz’ (LAN)
        Aus Sicht der Firewall handelt es sich hierbei um das eigene Netz, welches es zu schützen und der Firewall gegenüber als vertrauenswürdig gilt (hohes Vertrauen).
    Das ‚management Netz’
        Dieser Netzwerkanschluss ist optional. Von hier aus erfolgen alle Zugriffe zur Konfiguration des Firewallsystems, zum Einspielen der Regeln und andere Verwaltungsfunktionen (absolutes Vertrauen). Mit Hilfe dieses Netzes wird erreicht, dass sich die Firewall nicht einfach aus dem internen Netz heraus anpassen lässt.
    Die ‚demilitarisierte Zone’ (DMZ)
        An diesem (ebenfalls optionalen) Netzwerkanschluss werden die vom externen Netz aus erreichbaren Server beherbergt (wenig Vertrauen). Diese Server können von sich aus keine eigenen oder nur beschränkte Verbindungen zum internen Netz aufbauen, wohingegen die internen Clients in der Regel auf diese Server genauso zugreifen können, wie auf Server aus dem Internet. Das hat den Vorteil, dass – sollte ein solcher Server aus dem externen Netz heraus eingenommen werden – von dort aus kein direkter Zugriff des Eindringlings auf das interne Netz möglich wird.

        Größere Firmen besitzen oft mehrere Firewalls und DMZs mit jeweils unterschiedlichen Rechten, z. B. um die leichter angreifbaren Web- und Mailserver von den Servern mit den Daten für die Außendienstmitarbeiter zu trennen.

    Die ‚exposed DMZ’ (auch kurz ‚DMZ’) und der ‚exposed Host’
        Die Bezeichnung ‚exposed DMZ’ („freiliegende demilitarisierte Zone“) lässt die Vermutung zu, dass es sich hierbei um ein separates Netz handeln könnte, obgleich man deren vermeintlichen virtuellen Netzwerkanschluss nur einem einzigen internen Computer zuordnen kann. Diese „Zone“ wird je nach Hersteller manchmal sogar dreist „DMZ“ (ohne „exposed“) genannt, hat aber weder etwas mit einer echten DMZ, noch mit einer irgendwie anders gearteten separaten Netzwerkzone gemein. Da viele billige Geräte aus Kostengründen nicht die technischen Voraussetzungen dafür bieten, missbrauchen einige Hersteller die Bezeichnung „DMZ“ für eine andere Funktionalität, die in Fachkreisen als ‚exposed Host’ bezeichnet wird. Ziel der Marketingstrategen ist es, ihr Produkt bewusst mit einem falschen Fachbegriff bewerben zu können.

        An diesem ‚exposed Host’ werden alle Pakete aus dem externen Netz durchgereicht, die nicht einem anderen Empfänger zugeordnet werden können. Er ist dadurch über die externe Adresse der Firewall auf allen seinen Ports aus dem Internet heraus erreichbar, wodurch die Teilnehmer aus dem Internet praktisch uneingeschränkt auf alle seine Netzwerkdienste zugreifen können. Sobald aber dieser (exposed-) Computer von einem Eindringling eingenommen wird, hat man den Firewallschutz auch für alle anderen internen Teilnehmer verloren, da von dort aus ein ungehinderter Zugriff auf das interne Netz möglich ist. Man setzt also damit ein Element mit geringer Vertrauensstufe (exposed Host), das eigentlich in eine echte DMZ gehört, inmitten einer Zone mit einer hohen Vertrauensstufe (das interne Netz).

Neben der Möglichkeit, auf einer geeigneten Maschine eine Firewall-Software (beispielsweise Check-Point-Firewall 1 oder IPCop) zu installieren und das Betriebssystem selber zu härten, gibt es die Möglichkeit, eine Firewall-Appliance zu benutzen: Sie bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software (z. B. Cisco ASA oder Astaro Security Gateway).

Personal Firewalls

Eine Personal- oder auch Desktop-Firewall ist eine Software, die lokal auf dem zu schützenden Computer installiert wird. Sie kontrolliert die Verbindung zwischen dem PC und dem Netzwerk, an dem der PC angeschlossen ist und ist somit in der Lage, Netzwerkzugriffe zwischen dem PC und dem Internet genauso zu filtern, wie die Zugriffe zwischen dem PC und dem lokalen Netz. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch oder nach Benutzerkennungen zu filtern. Der direkte Zugriff auf das zu überwachende System erweitert die Möglichkeiten dieser Software ungemein. Im Umkehrschluss haben allerdings auch Programme, welche auf derselben Hardware wie die Firewall laufen, wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall. Daher kann die Desktop-Firewall eine externe Firewall lediglich ergänzen, jedoch nicht ersetzen.

Die Schutzwirkung von Personal Firewalls ist umstritten, da sie einerseits unerwünschten Datenverkehr erschweren, andererseits auch durch Fehler im eigenen Code den Rechner unsicher machen könnten.

Dieser Artikel basiert auf dem Artikel Firewall aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.

< zurück   weiter >
Aktuelle IT News