Einführung in Firewall Systeme

Inhaltsverzeichnis

1. Einleitung

2. Definition

3. Was gilt es zu erreichen?
3.1 Wie sicher ist Sicher?

4. Arten von Firewalls
4.1 Hard- oder Software
4.2 Stateless (Static) IP Filtering Firewalls
4.2.1 Zusammenfassung Stateless Filtering
4.3 Stateful IP Filtering Firewalls
4.4 Application Level Gateways (Proxy)
4.5 Hybrid Level Gateways

5. Vor- und Nachteile von Firewalls

6. Weshalb Personal Firewalls schlecht sind
6.1 Gründe gegen den Einsatz von Personal Firewalls
6.2 Self Denial of Service (SelfDOS)
6.3 Fazit Personal Firewalls

7. Quellen

Anhang

I. Angriffsarten

I. I Denial of Service (DOS)

I. II Distributed Denial of Service (DDOS)

I. III Firewall Piercing

1. Einleitung

In der heutigen Zeit sind Daten ein besonders zu behandelndes Gut. In jeglicher erdenklichen Situation werden Daten bewusst oder unbewusst erfasst, die durch elektronische Systeme (z.B. Computersysteme) verarbeitet werden. Das Internet bildet ein stetig wachsendes Netzwerk zur Übertragung von Daten jeglicher Art. Gerade vertrauliche Daten sind daher besonders zu schützen. Damit vertrauliche Daten, z.B. Firmengeheimnisse, Personaldaten usw. nicht in die Hände von unberechtigten Personen gelangen, werden verschiedene Arten von Sicherheitsmassnahmen angewandt. Firewalls bilden einen erheblichen Bestandteil bei der Realisierung individueller Sicherheitskonzepte. Ziel von sog. Firewalls ist es den Zugriff auf und von Netzwerken einzuschränken.

2. Definition

Was ist eigentlich eine Firewall? Eine Firewall ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. Firewalls bestehen daher in der Regel aus mehreren Komponenten. Durch Einsatz einer Firewall werden die Sicherheitsinstrumente auf einen zentralen Punkt konzentriert. Meistens werden Firewalls eingesetzt um private von öffentlichen Systemen zu trennen. Sie können aber auch eingesetzt werden, um Übergriffe aus anderen Teilnetzen eines Intranets zu verweigern bzw. zuzulassen. Der Ausdruck Firewall ist für sog. Personal Firewalls also gänzlich unangebracht.

3. Was gilt es zu erreichen?

Eine Firewall soll eine Arbeitsumgebung vor unberechtigten Zugriffen schützen, aber dabei die eigenen Möglichkeiten so wenig wie möglich einschränken. D.h. Sicherheit steht immer im Verhältnis zu der zu erreichenden Produktivität.

3.1 Wie sicher ist Sicher?

Eine 100%ige Sicherheit kann niemand gewährleisten. Selbst das beste Sicherheitskonzept gilt als knackbar. Der Sinn eines solchen Konzepts ist es, den unberechtigten Zugriff möglichst auszuschliessen bzw. zu erschweren. Stehen Kosten- und Zeitaufwand ein System zu knacken mit den zu erlangenden Daten nicht überein, ist es nicht mehr rentabel Zugriff auf das System zu erlangen. Sicherheit ist zudem kein käufliches Produkt, Sicherheit wird vermittelt. Dabei müssen Administratoren wie auch andere Mitarbeiter dahingehen geschult werden.

4. Arten von Firewalls

Es gibt verschiedene Arten von Firewall Systemen. Für alle Systeme gilt aber folgende Regel: Erst sperren des gesamten Netzwerkverkehrs und nur wirklich notwendige Verbindungen dürfen die Firewall passieren.

4.1 Hard- oder Software

Firewall-Systeme gibt es als Software, die auf einem dafür vorgesehenen Server installiert wird oder als Hardwarevariante. Hardware-Lösungen enthalten Software die bestenfalls speziell auf die Hardware abgestimmt ist. Welches nun die eleganteste Variante ist, kann nicht 100%ig geklärt werden, da es für beide Varianten immer ein Pro und Contra gibt. Softwareprodukte, speziell OpenSource, bieten die Möglichkeit, sich anhand des Sourcecodes von der korrekten Funktionsweise selbst zu überzeugen.

4.2 Stateless (Static) IP Filtering Firewalls

Die Stateless Firewalls oder auch Static Firewalls sind ein etwas älteres Konzept. Sie arbeiten auf Schicht 3-4 des ISO/OSI-Schichtenmodells (Vermittlungsschicht-Steuerungsschicht). Daher werden die Pakete nicht ausgepackt. Es werden lediglich die Header jedes einzelnen Pakets begutachtet und anhand vordefinierter Regeln entschieden, ob diese zugelassen oder verworfen werden. Ausnahmen gibt es keine. Diese Regeln können auf ein- und ausgehende Daten gleichermassen angewandt werden. IP-Filter sind im Gegensatz zu anderen Konzepten leicht realisierbar und ressourcenschonend (CPU-Zeit). Eine sehr gut ausgeprägte Implementierung einer Stateless-Firewall ist das OpenSource Projekt IPFilter/Netfilter.

Wie der Name schon sagt, sind diese Art von Firewalls statisch. Existiert also eine Route (Portweiterleitung) auf ein System im internen Netz, so ist sie ständig vorhanden. Zusätzlich ergeben sich Probleme bei komplizierteren Protokollen wie z.B. FTP.

Um diesen Problematiken entgegenzukommen, wurden Stateful IP Filtering Firewalls entwickelt.

4.2.1 Zusammenfassung Stateless Filtering

Nach folgenden Kriterien können Filterregeln aufgestellt werden:

–- IP, TCP, UDP, ICMP können
–- Quell- und Zieladresse
–- Quell- und Zielport bei TCP und UDP oder Type-Code bei ICMP
–- Eingangs- und Ausgangsinterface

4.3 Stateful IP Filtering Firewalls

Stateful Packet Filter arbeiten nach dem gleichen Schema wie Stateless Packet Filter. Weiterhin sind sie in der Lage, Verbindungen zu überwachen. Das bedeutet, sie können dynamisch entscheiden, ob ein Datenpaket an einem bestimmten Port vertrauenswürdig ist, oder nicht.

Stateful IP Filter sind in der Lage zu überprüfen, ob z.B. ein FTP-Paket das von aussen durch das Firewall System will, zu einem Stream gehört, der von einem Client im lokalen Netzwerk initiert wurde.

4.4 Application Level Gateways (Proxy)

Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Schichtenmodells. Für jeden Dienst (HTTP, FTP) muss ein Proxy vorhanden sein. Das Gateway vermittelt dann die Daten zwischen lokalem und öffentlichem Netzwerk. Es nimmt also Anfragen eines Clients am Proxydienst entgegen und leitet sie nach Prüfung an den entsprechenden Server im Internet weiter. Antworten eines Servers werden zurück an das Gateway geschickt und nach Prüfung wieder an den Client ausgeliefert. Ein direkter Austausch von Daten zwischen Client und Zielrechner findet also nicht statt.

Proxys sind in der Lage eine Inhaltsfilterung (Content Filter) durchzuführen. Damit ist es möglich, z.B. bekannte Angriffsszenarien auf Anwendungsebene zu filtern.

Da der Aufwand, für jeden Dienst einen Proxy-Dienst bereitstellen zu müssen, sehr aufwendig ist, gibt es Socks4 und Socks5 Proxys. Socks-Proxys bieten den Clients im privaten Netzwerk einen Port an (meistens 1080) über den der Client dem Proxy mitteilt, welche Zielserver erreicht werden soll und welcher Dienst gefordert ist. Der Socks-Proxy kommuniziert dann anstelle des Clients mit dem Server und vermittelt die Daten.

Socks4 Proxys beschränken sich darauf, Verbindungsanfragen zu verarbeiten, Proxy-Regeln umzusetzen und Anwendungsdaten weiterzuleiten. Auf Authentifizierungsmechanismen wird vollständig verzichtet. Weiterhin unterstützen sie nur TCP-Verbindungen.

Socks5 erweitert den Umfang mit starken Authentifierungsmechanismen und UDP-Unterstützung.

Hinweis: Auf einem ALG darf kein Routing aktiviert sein, da sonst an dem Proxy vorbeigeroutet würde.

4.5 Hybrid Level Gateways

Hybrid Level Gateway vereinen die Funktionalitäten des Application Level Gateways und der Stateful IP Filtering Firewall.

5. Vor- und Nachteile von Firewalls

Häufig gestellte Fragen

Was ist das Ziel einer Firewall?

Das Ziel einer Firewall ist es, den Zugriff auf und von Netzwerken einzuschränken, um vertrauliche Daten vor unberechtigten Zugriffen zu schützen.

Was ist eine Firewall?

Eine Firewall ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. Sie besteht aus mehreren Komponenten und konzentriert Sicherheitsinstrumente auf einen zentralen Punkt. Sie wird oft eingesetzt, um private von öffentlichen Systemen zu trennen.

Was gilt es bei einer Firewall zu erreichen?

Eine Firewall soll eine Arbeitsumgebung vor unberechtigten Zugriffen schützen, aber dabei die eigenen Möglichkeiten so wenig wie möglich einschränken. Sicherheit steht immer im Verhältnis zur zu erreichenden Produktivität.

Wie sicher ist eine Firewall?

Eine 100%ige Sicherheit kann niemand gewährleisten. Der Sinn einer Firewall ist es, den unberechtigten Zugriff möglichst auszuschliessen bzw. zu erschweren. Es ist wichtig, dass der Kosten- und Zeitaufwand für einen Angriff im Verhältnis zu den zu erlangenden Daten steht.

Welche Arten von Firewalls gibt es?

Es gibt verschiedene Arten von Firewall-Systemen, darunter:

• Hardware- und Software-Firewalls
• Stateless (Static) IP Filtering Firewalls
• Stateful IP Filtering Firewalls
• Application Level Gateways (Proxy)
• Hybrid Level Gateways

Was sind Stateless IP Filtering Firewalls?

Stateless Firewalls arbeiten auf Schicht 3-4 des ISO/OSI-Schichtenmodells und begutachten lediglich die Header jedes einzelnen Pakets anhand vordefinierter Regeln, ob diese zugelassen oder verworfen werden.

Was sind Stateful IP Filtering Firewalls?

Stateful Packet Filter arbeiten nach dem gleichen Schema wie Stateless Packet Filter, sind aber zusätzlich in der Lage, Verbindungen zu überwachen und dynamisch zu entscheiden, ob ein Datenpaket vertrauenswürdig ist.

Was sind Application Level Gateways (Proxy)?

Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Schichtenmodells und vermitteln Daten zwischen lokalem und öffentlichem Netzwerk. Für jeden Dienst (HTTP, FTP) muss ein Proxy vorhanden sein.

Was sind Hybrid Level Gateways?

Hybrid Level Gateways vereinen die Funktionalitäten des Application Level Gateways und der Stateful IP Filtering Firewall.

Welche Vor- und Nachteile haben Firewalls?

Firewalls sind in der heutigen Zeit unerlässlich, daher spielen die Nachteile keine große Rolle, solange die Zweckmäßigkeit im Verhältnis zu den zu schützenden Daten erhalten bleibt. Angriffe auf Computersysteme aus dem Internet sind an der Tagesordnung.

Was sind Denial of Service (DOS) und Distributed Denial of Service (DDOS) Angriffe?

Diese Begriffe werden im Anhang des Dokuments erwähnt, sind aber dort nicht näher erläutert.

Was ist Firewall Piercing?

Dieser Begriff wird im Anhang des Dokuments erwähnt, ist aber dort nicht näher erläutert.