Die Firewall Was versteht man unter dem Begriff „Firewall“? Firewall / Zugangsschutzsystem: - Konzept zur Trennung von Netzbereichen - korrekte Umsetzung - dauerhafte Pflege Das in der Umgangsprache „Firewall“ genannte Konstrukt ist besteht aus zwei Teilen. Der Hadware und der Software
Die Hardware - im Regelfall zwei oder mehreren Netzwerkschnittstellen. (auch mit einer Schnittstelle möglich, aus Sicherheits- gründen aber nicht zu empfehlen) Nur eine Schnittstelle bedeutet keine physikalische Trennung! Software kann evtl. umgangen werden?
Die Software - Paketfilter - Content-Filter - Proxy - SOCKS - NAT - Router – Funktionalitäten -arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells - sehr unterschiedliches Implementationsniveau
Der Paketfilter Der Paketfilter ist zuständig für: - Vergleich von Quell- und/oder Zieladresse der Pakete - Definition von Regeln, ob einzelne oder zusammenhängende Pakete das Schutzsystem passieren dürfen z.B. alle Pakete from 1.2.3.4 = drop; alle Pakete to 5.6.7.8 = fw to 9.10.11.12;
Der Content-Filter Der Content-Filter ist zuständig für: - Überprüfung von Inhalten der Pakete: z.B. - Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten - Filtern/Kennzeichnen von Spam-Mails - Löschen von Viren-Mails
Der Proxy Der Proxy ist zuständig für: - Stellvertreter zur Annahme von Anfragen Verhält sich gegenüber dem anfragenden Client wie ein Server. Gegenüber dem eigentlichen Ziel, z.B. dem Web-Server, verhält er sich wie ein Client. Vorteil: Keine Pakete können die Firewall direkt passieren -> Sicherheit - wird oft mit dem Content-Filter kombiniert
SOCKS Der Socks-(Secure Sockets)Server ist zuständig für: - Bedienung von Anwendungen und Protokollen - Socks-Software hört als Server auf Port 1080 - Clientanwendung kann einen Tunnel zum Socks-Server aufbauen und Daten an den Server schicken Wird verwendet, wenn die Anwendung von der Firewall geblockt wird
NAT & Router-Funktionalitäten NAT / Network Address Translation: - Wird besondern benötigt, wenn nur eine oder wenige öffentliche IPs zur Verfügung stehen Router-Funktionalitäten - Zielgerichteter Transport von Paketen von der Quelle, durch die Firewall bis hin zur Ziel-Addresse
Kleines Beispiel
DMZ Demilitarized Zone Was ist eine DMZ? - Ein geschützter Rechnerverbund, der sich zwischen zwei Netzwerken befindet. - Wird genutzt, um Dienste des Rechnerverbundes beiden Netzwerken zur Verfügung zu stellen Vorteile einer DMZ? - Im Falle einer Kompromittierung eines Servers der DMZ, bleiben die Netzwerke außerhalb der DMZ weiterhin geschützt
Ende Done by Frederik Malek – FA1B