Firewall

Firewall Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und ist damit ein Teilaspekt eines Sicherheitskonzepts. Varianten: personal Firewall (Desktop Firewall) externe Firewall (Netzwerk- oder Hardware-Firewall) Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt. Die Aktionen können je nach Produkt unterschiedlich betitelt sein.

Generelle Vorgehensweise Firewall-Strategie: Alles sperren -> Bekannte sichere und erwünschte Vorgänge werden freigegeben. Diese Variante ist sehr sicher. Allerdings erfordert sie eine aufwendige Konfiguration der Firewall. Firewall-Strategie: Alles freigeben -> Bekannte unsichere und unerwünschte Vorgänge werden gesperrt. Diese Variante ist relativ komfortabel. Bei der Einführung ist mit keinerlei Problemen zu rechnen. Allerdings ist sie nur so sicher, wie Gefahren und Sicherheitslöcher bekannt sind und gesperrt werden.

Filtertechnologie Paketfilter - anhand der Netzwerkadressen (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint) Stateful Inspection - der Zugriff auf eine etablierte Verbindung genauer beschränken Proxyfilter - stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter Contentfilter – wertet die Nutzdaten einer Verbindung aus um bekannte Schadsoftware zu blockieren. (Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter.)

Packetfilter Jedes Paket, das den Paketfilter passieren will, wird untersucht. Anhand der in jedem Paketheader vorhandenen Daten, wie Absender- und Empfänger-Adresse, entscheidet der Paketfilter auf Grund von Filterregeln, was mit diesem Paket geschieht. Ein unzulässiges Paket, das den Filter nicht passieren darf, wird entweder verworfen (DENY oder DROP genannt), an den Absender zurückgeschickt mit der Bemerkung, dass der Zugriff unzulässig war (REJECT), oder weitergeleitet (FORWARD oder PERMIT) beziehungsweise durchgelassen (ALLOW oder PASS).

Packetfilter Nachteil: Man muss zwei Verbindungen erlauben: Quelle A nach Ziel B Quelle B nach Ziel A Es wird unsicherer, weil B jederzeit an A senden darf, auch wenn A gar keine Anfrage gesendet hat.

SPI Bei der zustandsgesteuerten Filterung (also mit Stateful Packet Inspection) wird nur eine Regel benötigt: Quelle A nach Ziel B Der Paketfilter merkt sich, wenn Rechner A mit Rechner B kommuniziert, und erlaubt nur dann Antworten darauf von Rechner B an Rechner A. Rechner B kann dadurch nicht ohne Anforderung von A beginnen. Die Regeln für Antwortpakete werden dynamisch über eine allgemeine Regel (ESTABLISHED/RELATED) erzeugt und nach Eintreffen der Antwort oder nach einem Timeout automatisch gelöscht.

Proxy Firewall (Application Firewall) Die Filter einer Proxy Firewall (Application Layer Firewall) beachten zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch die Nutzdaten, den Inhalt der Netzwerkpakete. Der typische Proxyfilter reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter. Er baut selbst eine eigene Verbindung zum Zielsystem auf. Er kann er die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen. So ist er in der Lage, Anfragen auch in Bezug auf den Kommunikationsfluss der Nutzdaten zu filtern und kann entscheiden, welche Antworten des Zielsystems er an den anfragenden Client weiterreicht. Dabei kann er den Paketinhalt beliebig verändern.

Contentfilter Ein detailliert einstellbarer Filter ermöglicht die Kontrolle über die betrachteten Inhalte. Dieses System blockiert oder filtert Daten hinsichtlich einzelner Wörter, Phrasen, Bilder oder Links. Content-Filter sind Bestandteil der BSI-Empfehlungen für den Betrieb sicherer Mailserver. Diese Bereiche werden mittels einer Kategorisierung konfiguriert. Dabei werden Listen (Datenbanken) benutzt, die ablehnende Blacklist oder eine erlaubende Whitelist.