Firewall

Top  Previous  Next

Um eine Firewall wie Gibraltar konfigurieren zu können ist es sehr wichtig, deren Wirkungsweise und Techniken zu verstehen. Es gilt der Grundsatz: "Nur eine richtig konfigurierte Firewall erhöht die Sicherheit". Aus diesem Grund wollen wir an dieser Stelle die wichtigsten Grundlagen erklären und einige wesentliche Begriffe in diesem Zusammenhang erläutern. Eine ausführliche Erklärung aller verwendeten Techniken würde jedoch den Rahmen dieses Benutzerhandbuchs sprengen. Empfehlenswerte Literatur zum Thema Firewalls finden sie im Anhang.

 

Eine Firewall ist eine Netzwerk-Sicherheitskomponente, die Netzwerkverkehr anhand eines definierten Firewall-Regelwerks (Policy) erlaubt oder verbietet. Das Ziel einer Firewall ist es, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauensstufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) und dem Internet zu kontrollieren.

 

Firewall-Typen

 

Üblicherweise wird zwischen Netzwerkfirewalls und Personal-Firewalls unterschieden. Bei Netzwerkfirewalls handelt es sich um ein dediziertes Gerät, welches mindestens zwei Netzwerke oder Netzwerksegmente voneinander trennt. Die Firewall wird in diesem Zusammenhang dazu verwendet, den Datenverkehr zwischen den angeschlossenen Netzwerksegmenten zu regeln. Zur Trennung der einzelnen Netzwerksegmente verfügt eine Netzwerk-Firewall in der Regel über mehrere unabhängige Netzwerk-Schnittstellen.

Eine Personal-Firewall ist hingegen eine Software, welche auf dem zu schützenden Computer direkt installiert wird und nur einen einzelnen Computer schützt.

 

Gibraltar ist eine Netzwerkfirewall und kann wahlweise auf eigener Hardware oder auf Gibraltar Security Appliances betrieben werden.

 

Eine Firewall kann mit verschiedenen Methoden unerwünschten Netzwerkverkehr von erwünschtem Netzwerkverkehr unterscheiden. Die wichtigste Komponente einer Firewall ist in diesem Zusammenhang der Paketfilter.

 

Paketfilter

 

Ein Paketfilter ist eine Software, die den ein- und ausgehenden Datenverkehr nach definierten Kriterien analysiert und filtert. Als Filterkriterien können verschiedene Informationen in den einzelnen Datenpaketen verwendet werden. Gängige Filterkriterien sind:

Netzwerk-Protokoll
Quell- und Zieladresse
Quell- und Zielport

 

Durch Definition entsprechender Regeln (Firewall-Regeln, Policy) wird festgelegt, was mit den jeweiligen Datenpaketen  passieren soll. Grundsätzlich besteht die Möglichkeit, Pakete an ein anderes Netzwerk weiterzuleiten (ACCEPT), Pakete zu ignorieren (DENY), mit einer Bemerkung zurückzuschicken (REJECT) oder auch zu protokollieren (LOG). Der Paketfilter ist somit der Kern jeder Firewall und entsprechend wichtig ist eine lückenlose Konfiguration der Firewall-Regeln.

 

Gibraltar arbeitet nach dem Prinzip "Was nicht erlaubt wird ist verboten". Das bedeutet, standardmäßig verbietet Gibraltar jeden Netzwerkverkehr bis auf wenige Ausnahmen, welche für die Wartung der Firewall notwendig sind. Erst der Administrator definiert in der Folge, welcher Netzwerkverkehr erlaubt sein soll.

 

Stateful Packet Inspection

 

Stateful Inspection ist eine erweiterte Form der Paketfilterung. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem EINEN Datenpaket entschieden wird, ob es gültig ist oder nicht. Die zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Dadurch ist es etwa möglich, Antwortpakete auf eine gewünschte Verbindung (z.B. Abruf eines Webservers) automatisch ebenfalls als gewünscht zu akzeptieren.