Die FirewallDie Firewall

Was versteht man unter dem Begriff „Firewall“?

Firewall / Zugangsschutzsystem:

- Konzept zur Trennung von Netzbereichen

- korrekte Umsetzung

- dauerhafte Pflege

Das in der Umgangsprache „Firewall“ genannte Konstrukt ist besteht aus zwei Teilen. Der Hadware und der Software

Die HardwareDie Hardware

- im Regelfall zwei oder mehreren Netzwerkschnittstellen.

(auch mit einer Schnittstelle möglich, aus Sicherheits-

gründen aber nicht zu empfehlen)

Nur eine Schnittstelle bedeutet keine physikalische Trennung!

Software kann evtl. umgangen werden?

Die SoftwareDie Software

- Paketfilter

- Content-Filter

- Proxy

- SOCKS

- NAT

- Router – Funktionalitäten

-arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells

- sehr unterschiedliches Implementationsniveau

Der PaketfilterDer Paketfilter

Der Paketfilter ist zuständig für:

- Vergleich von Quell- und/oder Zieladresse der Pakete

- Definition von Regeln, ob einzelne oder zusammenhängende Pakete das Schutzsystem passieren dürfen

z.B.

alle Pakete from 1.2.3.4 = drop;

alle Pakete to 5.6.7.8 = fw to 9.10.11.12;

Der Content-FilterDer Content-Filter

Der Content-Filter ist zuständig für:

- Überprüfung von Inhalten der Pakete:

z.B.

- Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten

- Filtern/Kennzeichnen von Spam-Mails

- Löschen von Viren-Mails

Der ProxyDer Proxy

Der Proxy ist zuständig für:

- Stellvertreter zur Annahme von Anfragen

Verhält sich gegenüber dem anfragenden Client wie ein Server. Gegenüber dem eigentlichen Ziel, z.B. dem Web-Server,

verhält er sich wie ein Client.

Vorteil: Keine Pakete können die Firewall direkt passieren -> Sicherheit

- wird oft mit dem Content-Filter kombiniert

SOCKSSOCKS

Der Socks-(Secure Sockets)Server ist zuständig für:

- Bedienung von Anwendungen und Protokollen

- Socks-Software hört als Server auf Port 1080

- Clientanwendung kann einen Tunnel zum Socks-Server aufbauen und Daten an den Server schicken

Wird verwendet, wenn die Anwendung von der Firewall geblockt wird

NAT & Router-FunktionalitätenNAT & Router-Funktionalitäten

NAT / Network Address Translation:

- Wird besondern benötigt, wenn nur eine oder wenige

öffentliche IPs zur Verfügung stehen

Router-Funktionalitäten

- Zielgerichteter Transport von Paketen von der Quelle, durch die Firewall bis hin zur Ziel-Addresse

Kleines BeispielKleines Beispiel

DMZDMZDemilitarized Zone

Was ist eine DMZ?

- Ein geschützter Rechnerverbund, der sich zwischen zwei Netzwerken befindet.

- Wird genutzt, um Dienste des Rechnerverbundes beiden Netzwerken zur Verfügung zu stellen

Vorteile einer DMZ?

- Im Falle einer Kompromittierung eines Servers der DMZ, bleiben

die Netzwerke außerhalb der DMZ weiterhin geschützt

EndeEnde

Done by Frederik Malek – FA1B