Externe Firewall

Externe Firewall

Eine externe Firewall (auch Netzwerk- oder Hardwarefirewall) kontrolliert die Verbindung zwischen zwei Netzen und unterzieht deren Kommunikation bestimmten Regeln, basierend auf Absender- oder Zieladresse und genutzten Diensten. Die Regeln legen fest, ob eine bestimmte Kommunikation zwischen den Netzen erlaubt ist oder unterbunden werden soll.

Die Netze könnten beispielsweise ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks.

Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer externen Firewall nicht auf dem zu schützenden System selbst arbeitet, sondern auf einem separaten Gerät läuft, welches die Netze physisch miteinander verbindet und gleichzeitig den Zugriff zwischen diesen Netzen beschränkt.

Eine externe Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten sind Geräte mit Netzwerkschnittstellen, die die Netze miteinander verbinden, wie Bridge, Router oder Proxy; Softwarekomponenten sind deren Betriebssysteme sowie die Firewallsoftware, die auf diesen Geräten installiert wurde, inklusive deren Paket- oder Proxyfilter.

Die externe Firewall befindet sich zwischen verschiedenen Rechnernetzen und beschränkt den Zugriff zwischen diesen Netzen, in diesem Beispiel zwischen dem Local Area Network (LAN) und dem Wide Area Network (WAN).

Inhaltsverzeichnis

Grundlagen

Firewalltypen

Neben der Möglichkeit, auf einer geeigneten Maschine eine Firewall-Software (beispielsweise Check-Point-Firewall 1 oder IPCop) zu installieren und das Betriebssystem selber zu härten, gibt es die Möglichkeit, eine Firewall-Appliance zu benutzen: Sie bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software (z. B. Cisco ASA oder Astaro Security Gateway).[1]

Man unterscheidet zwischen den folgenden Typen:

Bridging-Firewall

Hier sind die Netzwerkschnittstellen wie bei einer Bridge (heute eher unter dem Begriff Switch bekannt) gekoppelt. Eine Bridge ist dafür gedacht, zwei physisch getrennte Netzsegmente miteinander zu verbinden. Sie zeichnet sich dadurch aus, dass sie nur dann Daten (Frames) in das jeweils andere Segment durchreicht, wenn sich der adressierte Teilnehmer auch in dem betreffenden Segment befindet. Grundlage für diese Filterung bilden die LowLevel-Adressen (MAC) der Datenframes.

Um ihre Arbeit zu verrichten benötigt eine Bridge für sich selbst also keine höheren (IP-)Adressen (anders als bei einem Router wird sie auf dieser Ebene von keinem Kommunikationspartner direkt adressiert) und ist daher im Netz praktisch unsichtbar und auf dieser Ebene auch nicht angreifbar. Allerdings lässt sich der Bridging-Firewall per entsprechender Konfiguration meist eine höhere (IP-)Adresse zuordnen, damit sie nicht nur lokal, sondern auch vom Netz aus administriert werden kann.

Damit ihre Filterung nicht auf LowLevel-Adressen beschränkt bleibt, unterscheidet sich die Bridging-Firewall von einer typischen Bridge dahingehend, dass sie intern auch auf höhere Protokollebenen zugreift und damit in der Lage ist, IP-Adressen und Ports zu filtern, mitunter inklusive Stateful Packet Inspection. Darüber hinaus kann sie auch Adressen umleiten (IP- und Port-Forwarding), sobald die Bridging-Firewall Teil des Kommunikationswegs ist. Realisiert werden kann eine solche Firewall beispielsweise mit dem Netfilter-Framework.

Routing-Firewall

Hier sind die Netzwerkschnittstellen wie bei einem Router gekoppelt. Das ist die am weitesten verbreitete Art; sie kommt bei praktisch allen SoHo-Geräten (für den privaten Gebrauch und kleinere Unternehmen), aber mitunter auch bei größeren Systemen zum Einsatz. Im Vergleich zur Bridge arbeitet ein Router auf einer höheren Abstraktionsebene, indem er zwischen unterschiedlichen IP-Domänen (Subnetze) vermittelt (sämtliche Wege, die ein Netzwerkpaket in vermaschten Netzen nehmen soll, verwaltet der klassische Router anhand der IP-Adresse). Ein Nachteil ist, dass eine darauf aufgesetzte Firewall daher im Netz sichtbar ist und direkt angegriffen werden kann (entweder erscheint sie als Verbindungsglied zwischen den Subnetzen – Router ohne NAT – oder aber sie wird gar als vermeintlicher Kommunikationspartner angesprochen – Router im NAT-Modus).

Der NAT-Modus ist eine mögliche Eigenschaft des Routers. Er beeinflusst das Verhalten der Firewall, wenn sie auf einem solchen Gerät aufgesetzt wird: Im NAT-Modus, aus dem privaten Bereich vor allem durch DSL-Router bekannt, bildet diese Firewall ihre eigene externe Adresse auf den jeweiligen internen Client ab, der eine Verbindung zum externen Netz (Internet) hergestellt hat. Bildlich gesehen funktioniert sie dann wie ein automatisiertes Postfach, welches alle ausgehenden Pakete, die die Firewall passieren, mit der eigenen Absenderadresse versieht. Dadurch stellt sie sicher, dass das Zielsystem die Antwortpakete auch wieder an das „Postfach“ schicken wird. Dank einer speziellen NAT-Verwaltung (PAT) erkennt sie, zu welchem internen Gerät ein aus dem Internet eingehendes Antwortpaket gehört. Dorthin leitet sie das Paket weiter, ohne dass der Versender aus dem Internet die wirkliche (interne) Adresse seines Kommunikationspartners kennt. In diesem Modus verdeckt sie – genau wie eine Proxy-Firewall – die Struktur des internen Netzes, ist im Unterschied dazu aber nicht in der Lage, die Verbindung zu beeinflussen. Dieses Verhalten ist auf einer Bridging-Firewall nicht möglich.

Proxy-Firewall

Hier arbeitet die Firewall als Proxy zwischen dem Quell- und Zielsystem und tritt grundsätzlich für wenigstens einer der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung. Im Unterschied zur Routing-Firewall terminiert sie die Verbindungen auf beiden Seiten (es handelt sich somit um zwei eigenständige Verbindungen), was bedeutet, dass sie die Kommunikation nicht einfach weiterleitet, sondern selbst führt. Daher kann sie den Inhalt der Netzwerkpakete zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.

Eine Application Level Firewall (ALF) setzt integrierte Proxys als Filter ein, die aufgrund ihrer Arbeitsweise stellvertretend für die Clients die Verbindung zum Zielsystem aufbauen. Für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter, dedicated Proxy genannt. Auf einer einzigen ALF können mehrere ‚dedicated Proxies’ gleichzeitig laufen, um unterschiedliche Protokolle bedienen zu können. Sie können u. a. unerwünschte Protokolloptionen verbieten, etwa in einer SMTP-Transaktion kein BDAT, VRFY o. Ä. zulassen.[2]

Hardwarefirewall

Es gibt keine Firewalls die ausschließlich auf Hardware basieren. Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware. Bei einer Firewall handelt es sich immer um eine Software.

Der etwas ungünstig gewählte Begriff Hardwarefirewall wird vielmehr als Synonym für externe Firewalls verwendet. Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der die Firewallsoftware läuft. Ein derart spezialisiertes Gerät bietet vorwiegend ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physikalischen Trennung zu den zu schützenden Computersystemen nicht so einfach manipuliert werden kann. Es ist dafür prädestiniert, unerlaubte Zugriffe von außen auf das interne Netz zu unterbinden.

Netzwerkzonen (Schnittstellen)

Die Hardwarekomponente einer externen Firewall besitzt mehrere Netzwerkschnittstellen (üblicherweise zwischen 2 und 20), an denen jeweils die zu trennenden Netzbereiche angeschlossen sind. Je nach Produkt können diese in folgende Netzwerk- und Vertrauenszonen unterteilt sein:

Das externe Netz (meist als WAN-Port betitelt)

Meist das Internet, aber auch ein weiteres Kundennetz. Diese gelten als unsicher (kein Vertrauen).

Das interne Netz (meist als LAN-Port betitelt)

Aus Sicht der Firewall handelt es sich hierbei um das eigene Netz, welches es zu schützen und der Firewall gegenüber als vertrauenswürdig gilt (hohes Vertrauen).

Das Management-Netz

Dieser Netzwerkanschluss ist optional. Von hier aus erfolgen alle Zugriffe zur Konfiguration des Firewallsystems, zum Einspielen der Regeln und andere Verwaltungsfunktionen (absolutes Vertrauen). Mit Hilfe dieses Netzes wird erreicht, dass sich die Firewall nicht einfach aus dem internen Netz heraus anpassen lässt.

Die demilitarisierte Zone (DMZ)

Hauptartikel: Demilitarized Zone

An diesem (ebenfalls optionalen) Netzwerkanschluss werden die vom externen Netz aus erreichbaren Server beherbergt (wenig Vertrauen). Diese Server können von sich aus keine eigenen oder nur beschränkte Verbindungen zum internen Netz aufbauen, wohingegen die internen Clients in der Regel auf diese Server genauso zugreifen können, wie auf Server aus dem Internet. Das hat den Vorteil, dass – sollte ein solcher Server aus dem externen Netz heraus eingenommen werden – von dort aus kein direkter Zugriff des Eindringlings auf das interne Netz möglich wird.

Größere Firmen besitzen oft mehrere Firewalls und DMZs mit jeweils unterschiedlichen Rechten, z. B. um die leichter angreifbaren Web- und Mailserver von den Servern mit den Daten für die Außendienstmitarbeiter zu trennen.

Die exposed DMZ (auch kurz DMZ) und der exposed Host

Die Bezeichnung ‚exposed DMZ’ („freiliegende demilitarisierte Zone“) lässt die Vermutung zu, dass es sich hierbei um ein separates Netz handeln könnte, obgleich man deren virtuellen Netzwerkanschluss nur einem einzigen internen Computer zuordnen kann. Diese „Zone“ wird je nach Hersteller manchmal sogar kurz „DMZ“ (ohne „exposed“) genannt, hat aber weder etwas mit einer echten DMZ, noch mit einer separaten Netzwerkzone gemein. Vielmehr missbrauchen einige Hersteller die Bezeichnung „DMZ“ für eine andere Funktionalität, die in Fachkreisen als exposed Host bezeichnet wird. Obgleich viele billige Geräte aus Kostengründen nicht die technischen Voraussetzungen für eine echte DMZ bieten, wird ihr Produkt also bewusst mit einem falschen Fachbegriff beworben.

An diesem exposed Host werden alle Pakete aus dem externen Netz durchgereicht, die nicht einem anderen Empfänger zugeordnet werden können. Er ist dadurch über die externe Adresse der Firewall auf allen seinen Ports aus dem Internet heraus erreichbar, wodurch die Teilnehmer aus dem Internet praktisch uneingeschränkt auf alle seine Netzwerkdienste zugreifen können. Sobald aber dieser (exposed-) Computer von einem Eindringling eingenommen wird, hat man den Firewallschutz auch für alle anderen internen Teilnehmer verloren, da von dort aus ein ungehinderter Zugriff auf das interne Netz möglich ist. Man setzt damit ein Element mit geringer Vertrauensstufe (exposed Host), das eigentlich in eine echte DMZ gehört, inmitten einer Zone mit einer hohen Vertrauensstufe (das interne Netz).

Filtertechnologien

Hauptartikel: Firewall

Paketfilter
Die einfache Filterung von Datenpaketen anhand von Port, Quell-IP- und Ziel-IP-Adresse ist die Grundfunktion aller Netzwerk-Firewalls.
Stateful Inspection
Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung. Mit ihr gelingt es nach einem Verbindungsaufbau zu erkennen, ob und wann der interne Client mit dem externen Zielsystem kommuniziert, wobei die Firewall nur dann Antworten darauf zulässt. Sendet das Zielsystem also Daten, die von dem internen Client nicht angefordert wurden, so blockiert die Firewall den Transfer selbst nach erfolgter Verbindung zwischen Client und Zielsystem. Darüber hinaus blockiert sie Netzwerkpakete, die nicht in den Kommunikationsfluss passen, die also offenkundig manipuliert wurden oder einfach nur fehlerhaft sind.
Proxyfilter
Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter. Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen. Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen. Auf einem einzigen Gerät kommen oft mehrere Proxys parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.
Contentfilter
Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern oder allgemein bekannte Viren oder Trojaner beim Herunterladen zu blockieren. Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und ähnliches fällt darunter.

Anpassung der Netzwerkadresse im Übergang zwischen dem internen und externen Netz

Hauptartikel: Proxy und NAT

Abhängig vom Typ kann die Firewall eine Änderung der Netzwerkadresse vornehmen (innerhalb des IP-Netzes ist das konkret die IP-Adresse), sobald die Pakete durch das Netz hindurch auf ihrem Weg zum Ziel das Firewallgerät passieren. Dafür gibt es zwei unterschiedliche Verfahren: Proxy und NAT.

Eine einfache Analogie soll das Proxy-Prinzip verdeutlichen: Freunde kommen zu Besuch. Sie wollen etwas essen und der Gastgeber verfasst zunächst eine Liste der Bestellungen. Dann ruft er den Pizzaservice an, gibt die Bestellung durch, nimmt die Pakete an der Tür entgegen und reicht sie danach an seine Freunde weiter.

Der Gastgeber hat sich dabei analog einer Proxyfirewall verhalten: Er hat stellvertretend für seine Freunde den Kontakt mit dem Pizzaservice aufgenommen. Und er hat die Pakete stellvertretend an der Tür entgegengenommen, um die Pizzen später anhand der Liste an seine Freunde zu verteilen. Er ist in der Lage, die Ware zuvor auf eine korrekte Lieferung hin zu überprüfen und kann, wenn er will, die Pizzen zusätzlich garnieren (die Pakete verändern), ehe er sie weiterreicht.

Der Pizzabote mag sich zwar denken, dass er all die Pizzen nicht alleine verspeisen wird, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren. Für ihn war einzig und alleine der Gastgeber der Adressat und Ansprechpartner (ein Stellvertreter).

Auf das vorherige Beispiel bezogen, lässt sich das NAT-Gerät besser mit einem ausgeklügelten Schienensystem hinter dem Türschlitz vergleichen, welches die vom Pizzaboten hindurch geschobenen Pizzen direkt zum wirklichen Empfänger gleiten lässt. Obgleich NAT ebenfalls die Identität der wirklichen Empfänger verbirgt, ist dort eine Manipulation und Analyse der Paketinhalte nicht möglich.

Dank der Anpassung der Adresse lassen sich nicht nur die wahre IP-Adresse des tatsächlichen Kommunikationspartners verbergen sondern auch einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden, wenn sie adressierungstechnisch inkompatibel zueinander sind und eine direkte Verbindung daher nicht möglich wäre. Genau genommen ist es die Port-Verwaltung, die es dem Firewallgerät ermöglicht, ein komplettes privates (in sich geschlossenes) Netz über eine einzige offizielle Internet-IP-Adresse mit dem Internet zu verbinden (jede Verbindung zum Internet erhält im Firewallgerät einen eigenen Rückgabeport und kann darüber unterschiedlichen internen Clients - den PCs aus dem privaten Netz - zugeordnet werden). So werden mehrere Computer des privaten Netzes, die mit ihren privaten IP-Adressen (wie z. B. 192.168.0.0/16) nicht direkt mit dem Internet kommunizieren können, durch eine einzige offizielle (also für das externe Netz gültige) IP-Adresse abgebildet. Da das Zielsystem nicht den tatsächlichen Client, sondern nur das Firewallgerät sieht, sind mögliche Angriffe von dort an die dafür prädestinierte Firewall gerichtet und treffen nicht direkt den Client.

Bei einem NAT-Gerät wird dieses Verhalten Adressumsetzung genannt, da es die Adresse ein und derselben Netzwerkverbindung anpasst. Dagegen realisiert die Proxyfirewall streng genommen keine Adressumsetzung einer Netzwerkverbindung, sondern ist selbst ein in den Verkehr eingreifender Kommunikationspartner. Ein Proxy steht also als End- und Ausgangspunkt separater Verbindungen zum jeweils anderen Netz. Von außen betrachtet ist das Verhalten beider Geräte aber (stark oberflächlich gesehen) ähnlich: Es ändert sich die Absenderadresse, sobald die an das Internet gerichtete Anfrage das Firewallgerät passiert.

Dagegen lässt die Bridgingfirewall und ein Firewallrouter (im Modus ohne NAT) eine direkte Kommunikation mit dem Client zu, ohne die Adresse am Netzwerkübergang zu verändern.

Besonderheiten beim Proxy-Gerät (Proxyfirewall)

Eine konventionelle Proxyfirewall tritt beiden Seiten selbst als vermeintlicher Kommunikationspartner gegenüber. Sie wird von ihnen also bewusst angesprochen (adressiert). Hier bittet der Client den Proxy, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen. So wird z. B. der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.

Daneben gibt es den transparenten Proxy als spezielle Netzwerkkomponente, der sich einer der beiden Seiten gegenüber transparent (nahezu unsichtbar) verhält. Diese Seite adressiert direkt das Ziel und nicht den Proxy. Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über den Proxy geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann. Für die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.

Somit tritt eine Proxyfirewall generell für wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung.

Besonderheiten beim NAT-Gerät (DSL-Firewall-Router)

Hauptartikel: DSL-Router

Häufig treten NAT-basierte Firewallrouter im privaten Bereich als DSL-Router auf. DSL-Router wurden dafür entwickelt, einen DSL-Internetanschluss den Computern eines privaten Netzwerks zugänglich zu machen. Im privaten Netz arbeiten sie als Router (oft sogar in Form eines Layer-3-Switches, der den Router beinhaltet). Dadurch ist es möglich, den DSL-Router auf den internen Geräten als „default Gateway“ zu konfigurieren, wodurch er zwischen den Subnetzen des internen (privaten) Netzes genauso vermitteln kann, wie zwischen dem privaten Netz und dem Internet.

Als Beispiel bildet Netfilter das Herzstück zahlreicher DSL-Router. Hierbei handelt es sich um eine Software, die innerhalb eines Linux-Kernels läuft und für die Port- und Adressumsetzung sorgt. Sie kann Pakete auswerten und filtern (einschließlich Stateful Packet Inspection) und Ports weiterleiten (Port-Forwarding). Deren Konfiguration wird meist über Iptables und einer vom Hersteller bereitgestellten Benutzeroberfläche realisiert.

Kontroverse zum Begriff Firewall bei NAT-Geräten

Dynamische NAT-Geräte, wie DSL-Router, sind dafür gedacht, Netze miteinander zu verbinden. Im Gegensatz zu einem üblichen Paketfilter werden die dynamischen Regeln eines solchen Gerätes also angelegt, um eine Verbindung zu etablieren und nicht um einen Zugriff zu beschränken. Bei dem dynamischen NAT-Gerät bewirkt das Abhandensein einer Regel die Blockade. Bei einer typischen Firewall ist es genau anders herum. Daher ist es umstritten, diese Geräte als Firewall zu betiteln.[3]

Dennoch ist die Auswirkung der Geräte, dass nicht jeder ungehindert auf das interne Netz zugreifen kann, vergleichbar mit der Auswirkung einer konventionellen Firewall, selbst wenn das Gerät zusätzlich keine weiteren Filtertechniken einsetzt. Auch wenn dieser Schutz seine Grenzen hat, schreibt beispielsweise Elisabeth D. Zwicky diesbezüglich in ihrem Buch „Einrichten von Internet Firewalls“: „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“[4]

Sicherheitstechnische Grenzen der reinen Adressumsetzung durch NAT

Hauptartikel: Port Address Translation

Die Adressumsetzung wir dank eines speziellen NAT-Verfahrens realisiert, der dynamischen Network Address Port Translation (NAPT, auch PAT). In der Anfangszeit wurden DSL-Router zum Teil bereits dann als DSL-Firewall bezeichnet, wenn sie als Sicherheitstechnik lediglich auf die reine Adressumsetzung durch NAPT setzten. Heute kommen meist Geräte zum Einsatz, die neben NAPT wenigstens auch Paketfilter inklusive Stateful Packet Inspection verwenden, was die Sicherheitsfunktion dieser Geräte erhöht.

Die Sicherheitsfunktion der Adressumsetzung basiert darauf, dass diese Geräte ihre Ports dynamisch nur an die Kommunikationspartner weiterleiten, die eine Kommunikation aus dem internen Netz heraus angefordert haben. Die Ports des Gerätes sind also gesperrt, solange sie zu keiner internen Verbindung gehören. Je nach Implementierung des NAPT-Konzepts können selbst die dynamisch geöffneten Ports nur von dem jeweiligen Kommunikationspartner angesprochen werden.

Die reine Adressumsetzung durch NAPT lässt sich lediglich als beschränkte Sicherheitstechnik ansehen, die einerseits zwar ungebetene Kommunikationspartner von dem Zugriff auf das interne Netz ausschließt, andererseits aber den kontaktierten Internetservern in der Regel mehr Zugriffsmöglichkeiten auf den internen Computern bietet, als dies bei einer konventionellen Firewall üblich ist. Das Schutzniveau einer konventionellen Firewall wird durch bloßes NAPT also nicht erreicht:[5]

Da DSL-Router dafür gedacht sind, die Netze miteinander zu verbinden und nicht zu trennen, versuchen die Hersteller von Geräten für den privaten Haushalt Verbindungsprobleme möglichst automatisiert zu umgehen, auch wenn dies bedeutet, die Sicherheitsfunktion aufzuweichen oder gar zu brechen. Denn eine Verbindungsblockade des DSL-Routers kann mitunter zu Problemen mit einigen Anwendungen führen, die beispielsweise eigene Dienste anbieten. Der externe Zugriff darauf sollte normalerweise durch den DSL-Router blockiert werden, sobald sich der Port des Dienstes von dem Rückgabeport der angeforderten Verbindung unterscheidet. Das hätte aber zur Folge, dass dieser Teil der Anwendung nicht ohne spezielle Konfigurationseinstellungen des DSL-Routers funktioniert, weshalb die Hersteller die NAPT-Implementierung entsprechend anpassen.

Funktioniert die Internetverbindung des eigenen privaten Computers auf Anhieb ohne Einschränkung, kommt das Gerät bei den Kunden besonders gut an. Sicherheit spielt hier – wenn überhaupt – nur eine nebensächliche Rolle. Bei professionellen Geräten ist die Anforderung meist genau anders herum. DSL-Router, die für den privaten Bereich bestimmt sind, machen daher sicherheitstechnisch oft eine schlechte Figur.

Als Beispiel kann es abhängig vom erworbenen Produkt vorkommen, dass der heimische DSL-Router den ersten von ihm per DHCP verwalteten Computer per Standardeinstellung als exposed Host behandelt, was in der Benutzeroberfläche des DSL-Routes auch gerne als „Standardserver“ betitelt wird. Der Schutz vor ungebetenen Internetzugriffen wird somit für diesen Computer praktisch ausgeschaltet, da hierdurch alle Netzwerkdienste des privaten Computers aus dem Internet heraus sichtbar und zugreifbar sind. Wenigstens in den Haushalten, die lediglich einen einzigen Computer an den DSL-Router anschließen, hat der Hersteller dadurch zahlreiche mögliche funktionelle Probleme auf einen Schlag eliminiert. Dass dies sicherheitstechnisch bedenklich ist, spielt bei diesen Geräten keine Rolle. Schließlich tun sie dies unter dem Aspekt, dass sonst einige Anwendungen möglicherweise nicht ohne manuellen Konfigurationsaufwand fehlerfrei laufen würden.

Um auch mit weniger drastischen Mitteln eine reibungslose Arbeit ohne manuellen Konfigurationsaufwand zu gewähren, kann der DSL-Router je nach Implementierung des NAPT-Konzepts möglichst offen auf Kommunikationsanforderungen des kontaktierten Internetservers reagieren. Baut ein interner Computer also eine Netzwerkverbindung zu einem Internetserver auf, so ist es mitunter möglich, dass dieser Internetserver nun willkürlich eigene Verbindungen zu dem internen Computer aufbauen kann. Dazu wird eine Netzwerkanfrage an einem beliebigen externen Port des DSL-Routers an den internen Computer durchgereicht, sobald die Absenderadresse zu dem Internetserver passt, zu dem der interne Computer zuvor eine Verbindung aufgebaut hat. Eine eingeschränkt offene Reaktion ist möglich, indem der DSL-Router erst dann auf diese Weise reagiert, wenn zuvor die Netzwerkanfrage des Clients auf ein für die Verbindung sonst problematisches Protokoll hinweist (siehe weiter unten). Haben mehrere interne Computer eine Verbindung zu diesem Server aufgebaut, so versucht der DSL-Router dann mittels einer Heuristik den passenden Empfänger zu erraten.[6] Abhängig vom Produkt reagieren DSL-Router unterschiedlich restriktiv auf solche Anfragen, weshalb es für den kontaktierten Internetserver auch etwas aufwendiger sein kann, auf einen beliebigen Port des Kommunikationspartners zuzugreifen.[7]

Gegen eine automatisierte Freischaltung einer Kommunikation gibt es an und für sich nichts auszusetzen, sobald der DSL-Router die Protokolle der Dienste sicher beherrscht und einen kontrollierten Zugriff darauf erlaubt. Genau darin besteht aber das Problem. Ihnen fehlt in der Regel die intime Kenntnis der verwendeten Protokolle.[6] Dies gilt insbesondere bei verschlüsselten Verbindungen und verbindungslosen Protokollen, beispielsweise auch bei aktivem FTP und SIP. Da bereits die preiswerte Hardware dieser Geräte eine parallele Analyse der Protokolle ausschließt, wenigstens aber auf ein Minimum beschränkt, versuchen einige Geräte einfach alle externen Anforderungen nach Möglichkeit zuzulassen, in der Hoffnung, dass damit die entsprechende Anwendung fehlerfrei funktioniert. Verfügt der DSL-Routern über keine Paketfilterfunktion, lassen sich dabei nicht einmal bestimmte Ports ausschließen.

Wie wenig die Sicherheit bei DSL-Firewall-Routern eine Rolle spielt, sieht man nicht zuletzt an der unverfrorenen Bezeichnung „DMZ“ für eine Funktionalität, die nicht das Geringste mit einer echten DMZ gemein hat. Das erhöhte Sicherheitsrisiko des Kunden wird billigend in Kauf genommen.

Zu generellen sicherheitstechnischen Mängeln von NAT-basierten Geräten siehe RFC 2663 ("IP Network Address Translator (NAT) Terminology and Considerations", Abschnitt 9 und in diesem Kontext Abschnitt 7; englisch).

Beispiel einer einfachen Firewallumgebung

Beispiel einer Firewall zwischen lokalem Netz und Internet

Ein einfacher Firewall-Aufbau soll die Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr dürfen die Arbeitsplatz-PCs nicht auf Webseiten zugreifen. Damit auch eine Recherche im Internet möglich ist, gibt es einen dedizierten Surf-Rechner, der über einen Proxy-Zugriff zu Webseiten erhält. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird. Die Arbeitsplatz-PCs dürfen nur Verbindungen zu dem Mail-Server der Firma aufbauen.

Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden. Wichtig ist, dass in dieser Konstellation die Arbeitsplatzrechner selbst keinerlei direkte Verbindung zum Internet aufbauen können. Damit können einmal eingeschleuste Schadprogramme sich nur weiter verbreiten oder weitere Schädlinge aus dem Internet nachladen, wenn sie über den Proxy oder den Mailserver einen Weg finden.

Das Firewall-Regelwerk eines Systems mit Stateful Inspection würde in diesem Beispiel folgendermaßen aussehen:

  1. Die Quellen 10.0.0.2 und 10.0.0.3 (Arbeitsplatzrechner) dürfen zum Ziel „Mailprovider“ per IMAP (Mails abholen) und SMTP (Mails senden) zugreifen
  2. Quelle 10.0.0.1 (Surfrechner) darf über den Proxy auf beliebige Ziele mit den Diensten HTTP (Webseiten herunterladen) und HTTPS zugreifen (ActiveX wird dabei gefiltert)
  3. Alle anderen Kommunikationsversuche werden verworfen
Weitere Beispiele finden sich im Artikel Demilitarized Zone

Weitere Funktionen und Aspekte

Anti-Spoofing (Ingress filtering)

Eine wichtige Funktion von Firewalls ist das Verhindern von IP-Spoofing. Da die Filterung sich wesentlich an den IP-Adressen orientiert, muss so gut wie möglich sichergestellt werden, dass diese nicht gefälscht sind. Firewalls mit Anti-Spoofing-Funktionalität bieten daher die Möglichkeit, bestimmten Netzwerk-Schnittstellen bestimmte IP-Adressen und Netze zuordnen zu können. Der Internet-Schnittstelle werden dann automatisch alle IP-Adressen außer den anderweitig genutzten zugeordnet. IP-Pakete, die an einer falschen Schnittstelle ankommen, werden protokolliert und verworfen. Firewalls mit Internetanbindung können auf der Internet-Schnittstelle alle Pakete von und an Private IP-Adressen (RFC 1918) verwerfen, da diese im Internet sowieso nicht geroutet werden. Dadurch ist ein IP-Spoofing mit diesen Adressen aus dem Internet ausgeschlossen. Obwohl die Zuordnung von IP-Netzen zu bestimmten Netzwerk-Schnittstellen eigentlich eindeutig sein sollte, treten in der Praxis manchmal Probleme auf mit Dual homed host und Routing-Loops (Pakete die auf Hin- und Rückweg unterschiedliche Routen nehmen).

Authentifizierung

Da der Filterung anhand von IP-Adressen wegen potenziellem IP-Spoofing niemals vollständig vertraut werden kann, bieten manche Firewalls die Möglichkeit sich authentifizieren zu lassen und erst dann bestimmte Regeln zeitbeschränkt freigeschaltet zu bekommen. Für eine starke Authentifizierung bieten zum Beispiel die Check Point Firewall-1 und die Juniper Networks Firewalls die Kompatibilität zu den SecurID-Token der Firma RSA Security.

Intrusion Detection und Intrusion Prevention Systeme

Hauptartikel: Intrusion Detection System und Intrusion Prevention System

„Intrusion Detection Systeme“ (IDS) und „Intrusion Prevention Systeme“ (IPS) werden mitunter auf einem Firewallgerät installiert, gehören jedoch nicht zum Firewallmodul. Während das Firewallmodul keine Angriffe erkennt, sonder lediglich dafür gedacht ist, bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben, ergänzen diese zusätzlichen Module das System um die Eigenschaft, nun auch einen Einbruchsversuch anhand von Kommunikationsmustern zu erkennen. Im Unterschied zum IPS kann ein IDS den Einbruch nur erkennen (Detection (engl.) = Erkennung), während ein IPS (Prevention (engl.) = Verhinderung) den unerwünschten Zugriff auch zu blockieren versucht.

Ein solches System kann mitunter auch erst die Möglichkeit für einen Denial of Service-Angriff schaffen. So legen manche Systeme eine temporäre Firewall-Regel an, die alle weiteren Verbindungsversuche von der vermeintlichen angreifenden IP-Adresse blockieren. Schickt aber nun ein Angreifer Pakete mit einer gefälschten Absender-Adresse an das System, so kann er damit erreichen, dass der Zugriff auf die gefälschte Adresse nicht mehr möglich ist. So kann er nacheinander sämtliche Adressen von dem angegriffenen System abschotten, die dieses für seine Arbeit benötigt (DNS-Server usw.).

Hochverfügbarkeit

Durch die Bedeutung des Internets sind Firewalls in vielen Firmen mittlerweile zu kritischen Netzwerkkomponenten geworden und stellen teilweise sogar einen Single Point of Failure für wichtige Geschäftsprozesse dar. Daher wird durch Hochverfügbarkeits-Techniken wie Failover- oder Cluster-Betrieb versucht, das Risiko eines Ausfalls zu reduzieren.[8]

Ein weiterer Vorteil dieser Techniken ist, dass einzelne Firewalls zu Wartungszwecken oder für Software-Aktualisierungen abgeschaltet werden können, ohne die Verbindung zu unterbrechen.

Zur Umsetzung werden oft die gleichen Lösungen wie bei hochverfügbaren Routern eingesetzt (beispielsweise HSRP, VRRP oder CARP) oder spezielle Produkte wie Rainwall von EMC2.

Für den Failover-Fall gibt es zwei Möglichkeiten, wie die übernehmende Stateful Inspection-Firewall mit den bestehenden Verbindungen umgeht. Eine Methode ist, dass alle Firewalls permanent ihre dynamische Verbindungstabellen untereinander synchronisieren, damit ist jede Firewall in der Lage alle Verbindungen korrekt zuzuordnen. Das andere Verfahren arbeitet ohne Abgleich, aber alle bestehenden Verbindungen werden nach dem Wechsel von der übernehmenden Firewall nochmals gegen das Regelwerk geprüft. Diese Lösung ist einfacher, bereitet aber Probleme bei komplexen Protokollen wie aktivem FTP. Da die hierbei ausgehandelten Ports für die Daten-Verbindungen zufällig sind, kann die übernehmende Firewall diese Pakete keiner Regel zuordnen und wird sie verwerfen.

Eine Synchronisation der Verbindungstabellen bieten unter anderem die Firewalls von Check Point, OpenBSD (über pf_sync) und Linux (über ct_sync).

Hochsicherheitsumgebungen

Eine hundertprozentige Sicherheit gibt es nicht, erst recht nicht gegen sämtliche nur denkbaren Angriffsformen. Auch eine gut konfigurierte Firewall stellt keinen Sicherheitsmechanismus dar, der nicht über kurz oder lang überwunden werden kann. Bestenfalls lässt sich die Barriere zu einer großen Herausforderung für einen Eindringling gestalten, die so groß ist, dass sich der Angriff für ihn nicht lohnt.

Verschiedene Installationen haben verschiedene Sicherheitsanforderungen. Beispielsweise bei Banken, Börse, Militär usw. gibt es ein hohes Sicherheitsbedürfnis.

Es ist wichtig zunächst herauszufinden, gegenüber welchen Szenarien man ein bestimmtes Maß an Sicherheit erreichen will.

Wenn es beispielsweise darum geht, die Ausnutzung von Sicherheitslücken innerhalb der Firewall zu minimieren, können mehrstufige Lösungen helfen. Im Extremfall könnte ein Netzwerkpaket beispielsweise mehrere hintereinander geschaltete Firewallsysteme mit weitestgehend gleicher Konfiguration passieren, die verschiedene Hardwarearchitekturen und verschiedene Betriebssystem- und Firewallsoftware verwenden. So verlieren systembedingte Fehler oder eventuell von Programmierern/Herstellern eingebaute Hintertüren einen Großteil ihrer Wirksamkeit.

Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit, so auch bei einer Firewallsoftware. Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll. Die Verfügbarkeit von Open Source-Produkten lassen es zu, dass ein Audit und eine eigene Übersetzung des Quellcodes durchgeführt werden kann.

Stellt die Durchtunnelung ein Risiko dar, welches minimiert werden soll, kann dies eventuell durch die Regelung des Verkehrs explizit durch Whitelists umgesetzt werden. In einer Hochsicherheitsumgebung bietet es sich ohnehin an, jeglichen Verkehr, der nicht unbedingt benötigt wird, zu unterbinden.

Virtual Local Area Networks

Moderne Firewalls unterstützen Virtual Local Area Networks (VLANs), d. h. über eine physische Netzwerkschnittstelle lassen sich mehrere logische Netze erreichen. Dadurch lassen sich mehr Netze an die Firewall anschließen, als das physikalische Limit an Netzwerk-Interfaces erlaubt.

Die Benutzung von VLANs ist unter Umständen billiger, als weitere Netzwerkschnittstellen für die Firewall zu kaufen. Ein weiterer Vorteil ist, dass zur Verbindung neuer Netze allein eine Software-Konfiguration von Firewall und den weiteren Netzwerkkomponenten ausreicht; es müssen keine neuen Kabel gezogen werden.

Nachteilig ist, dass alle VLANs die Kapazität der LAN-Verbindung teilen. Sicherheitstechnisch bedenklich ist, dass die Trennung der verschiedenen Netze nicht der Hoheit der Firewall unterliegt; das System ist somit leichter kompromittierbar.

In einem solchen Fall ist die Firewall auf die Zusammenarbeit mit den eingesetzten Netzwerkkomponenten angewiesen. Diese Komponenten sind in der Regel aber keine gehärteten Systeme und bieten oft zusätzliche Angriffsflächen (WWW, SNMP, Telnet usw.). Folglich sind sie für Sicherheitslösungen nicht oder nur bedingt geeignet.

Sicherheitsprobleme können aus verschiedenen Gründen auftauchen: durch eine fehlerhaft arbeitende Netzwerkkomponente, durch eine falsche Konfiguration der Komponente (z. B. SNMP), eine fehlerhafte Implementierung oder Konfiguration der VLAN-Trennung oder auch durch einen Einbruch in die Administration des Netwerkgerätes. Möglicherweise wird auch ein Konfigurations-Reset einer Komponente nicht sofort auffallen, denn beispielsweise viele Switches transportieren VLAN-Pakete (solche mit VLAN-TAGs) auch ohne eine entsprechende VLAN-Konfiguration. Weiter können beispielsweise durch Einschleifen eines Hubs LAN-Segmente des VLANs gleichzeitig und unbemerkt abgehört werden.

Auf der WAN-Seite können VLANs wertvolle Dienste leisten, im Bereich der DMZ sind die Nachteile je nach Umgebung mitunter noch akzeptabel; in einer sicherheitsrelevanten Umgebung werden die Nachteile jedoch überwiegen.

Routing und Multicast

Die meisten Firewalls sind als Router aufgebaut. Das ist gerade im SoHo-Bereich praktisch, denn zum Anschluss mehrerer Rechner wird dort üblicherweise ein Router mit kombinierter NAT- und PPPoE-Funktionalität benötigt. Bei Firmennetzwerken wird oft auch die Routingfunktionalität gewünscht, denn hier ersetzt die Routing-Firewall das früher übliche "default Gateway".

Genauso wie das Routing hängt die IP-Multicasting-Fähigkeit einer Firewall vom Betriebssystem des Gerätes ab, auf dem die Firewallsoftware läuft. Die Regeln werden mit den Multicast-Adressen (224.0.0.0–239.255.255.255) eingetragen. Weitere Aspekte sind in RFC 2588 beschrieben.

Administration

Leistungsmessung und Optimierung

Da die Geschwindigkeit von vielen dynamischen Faktoren abhängt, ist es nicht trivial die Leistung einer Firewall zu bewerten. Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging). Ein einheitliches Benchmarking von Firewalls ist in RFC 2647 beschrieben.

Zur Optimierung sind folgende Maßnahmen möglich:

  • Mehr Hauptspeicher und/oder eine schnellere CPU.
  • Ausschalten von Logging für einzelne Regeln.
  • Unbenutzte Regeln und Routing-Einträge entfernen.
  • Häufig benutzte Regeln im Regelwerk nach oben stellen. Dabei ist zu beachten, dass sich dadurch die Bedeutung des Regelwerks ändern könnte.
  • Bei hochverfügbaren Systemen die Synchronisation der Verbindungstabelle für einzelne Regeln ausschalten. Insbesondere bei kurzlebigen HTTP-Verbindungen ist dies gut möglich.
  • Produktspezifische Leistungsmerkmale nutzen, wie z. B. Nokia IPSO Flows oder Check Point SecureXL.
  • Überprüfung, dass alle Netzwerk-Interfaces mit Full-Duplex arbeiten.
  • Anpassung von Netzwerk-Parametern des Betriebssystems[9]

Fehlersuche

Die Fehlersuche in einem großen Netzwerk kann sehr komplex werden.

Häufige Fehler sind z. B., dass eine Firewall-Regel IP-Adressen enthält, die durch eine NAT-Verbindung oder ein VPN geändert wurden. Je nach eingesetzter Firewall-Software und Betriebssystem unterscheiden sich die Möglichkeiten zur Fehlersuche.

Anhand der Logdateien können falsche Firewall-Regeln oder IP-Spoofing erkannt werden. Mit Werkzeugen wie beispielsweise tcpdump oder snoop unter Solaris lässt sich der aktuelle Netzwerkverkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen. Des Weiteren bieten manche Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B. bei Check Point FW1 mit „fw monitor“).

Bei einem Firewallsystem im Cluster-Betrieb sind Logdateien nützlich, um festzustellen, welche Maschine die fehlerhafte Verbindung überhaupt bearbeitet. Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung.

Neben den Möglichkeiten der Firewall sind Werkzeuge wie ping, nmap oder traceroute hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B. im Routing oder dass der Ziel-Port gar nicht geöffnet ist.

Problematische Protokolle

Voice over IP und Videokonferenzen

Voice over IP (VoIP) und Videokonferenzen sind für Stateful Firewalls nicht trivial, da meist mehrere verschiedene Protokolle (z. B. für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind. Manche kommerzielle Firewalls verstehen die VoIP-Protokolle (SIP oder Skinny) und sind daher in der Lage, Ports dynamisch zu öffnen.

Siehe auch Session Initiation Protocol (SIP)

File Transfer Protocol (FTP)

FTP ist zwar ein ziemlich altes, aber für Firewalls schwieriges Protokoll. Insbesondere der aktive FTP-Modus, bei dem zusätzlich zur Steuerverbindung auf Port 21 eine weitere Datenverbindung quasi rückwärts vom Server zum Client aufgebaut wird, bereitet manchen Firewalls Probleme.

Die rückwärts aufgebaute Verbindung lässt sich vom Betreiber des FTP-Servers theoretisch auch für Angriffe missbrauchen.[10] Daher verbieten manche Firewallsysteme den Aufbau der Datenverbindung auf Portnummern, die für andere Dienste bekannt sind. Dies hat den Vorteil, dass die Anfälligkeit gegenüber einem Missbrauch der Datenverbindung für Angriffe reduziert wird.

Typische Symptome einer Firewall, die Probleme mit FTP hat, ist eine funktionierende Navigation durch die Verzeichnisse, aber Verbindungsabbrüche ohne Fehlermeldung bei der Datenübertragung. Die oben genannten Probleme treten nicht auf bei passivem FTP (Konfigurierbar im FTP-Client oder durch Eingabe von „PASV“ in Kommandozeilen-Clients) oder bei Verwendung des verschlüsselten auf dem SSH-Protokoll basierenden SCP.

Entstehung der Firewall

Die ersten Packet Filter wurden im Jahr 1985 von Cisco in ihre Router eingebaut.[11] Die erste Studie über das Filtern von Netzwerkverkehr wurde im Jahr 1988 von Jeff Mogul veröffentlicht.[12]

In der Anfangszeit des Internet waren Administratoren meist nicht sensibilisiert gegenüber möglichen Angriffen innerhalb des Netzes. Das änderte sich erst im Jahr 1988, als von Robert Morris der erste Computerwurm programmiert und freigesetzt wurde. Er legte ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes.[13] Danach wurde der Einsatz von Firewalls populär.

Produkte

Firewall-Software

  • „Astaro Security Linux“ ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
  • Check Point Firewall 1 ist eine kommerzielle Firewall-Applikation, die auf Unix- Windows- und Nokia-Appliances läuft
  • Endian Firewall ist eine Open Source-Linux-Distribution für Gateway/Router/Firewall-Systeme, die umfassenden Gateway-Schutz bietet (Antivirus, Antispam, DMZ, Intrusion Detection, etc.) und als Headless Server sehr einfach über ein Webfrontend zu konfigurieren ist.
  • Der Eindisketten-Router fli4l ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.
  • IPFire ist eine freie Linux-Distribution die in erster Linie als Router und Firewall fungiert, diese sich durch einen Paketmanager leicht um vielen Zusatzfunktionen erweitern lässt.
  • IPCop ist eine einfach zu bedienende Linux-Distribution, ein ausgewogener Kompromiss zwischen sicherer Firewall und reichem Funktionsumfang (Antivirus, Antispam, DMZ, Proxy).
  • ipfw ist ein Paketfilter des FreeBSD-Betriebssystems, als wipfw auch für Windows-Systeme verfügbar.
  • Netfilter / IPTables – Paketfilter innerhalb des Linux-Kernels.
  • M0n0wall ist eine BSD-basierte Firewall, auf Sicherheit optimiert, eine Lösung, die mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
  • pfsense ist eine einfach zu bedienende BSD-basierte Firewall, Ableger von M0n0wall, ein Kompromiss zwischen sicherer Firewall und reichem Funktionsumfang (Antivirus, Antispam, DMZ, Proxy).
  • phion netfence – europäisches Enterprise Firewall Produkt, welches als Software- und Hardware Appliance verfügbar ist.
  • Microsoft Internet Security and Acceleration Server ist eine kommerzielle Firewall von Microsoft, basiert auf Windows Server 2000/2003. Vorteilhaft ist die Integration in die Active Directory-Verzeichnisstruktur, nachteilig ist das zu komplexe Basis-Betriebssystem mit seinen hinreichend bekannten Sicherheitsproblemen.
  • pf ist eine Open-Source-Firewall, die ursprünglich für OpenBSD entwickelt und später auf andere BSD-Betriebssysteme portiert wurde.
  • „Securepoint Linux“ ist eine kommerzielle UTM-Linux-Distribution.
  • Shorewall
  • SME Server ist eine auf Open Source-Software basierende Firewall, die auch Serverfunktionen zum Einsatz im SoHo-Bereich enthält.

Firewall-Geräte

Firewall-Geräte bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software:

Siehe auch

Quellen

  1. BSI Grundschutzkataloge: Geeignete Auswahl eines Paketfilters
  2. BSI Grundschutzkatalog: Geeignete Auswahl eines Application-Level-Gateways
  3. Worauf Sie beim Router-Kauf achten sollten, sicher-im-netz.de, sicher im Netz e.V., Berlin
  4. Elisabeth D. Zwicky, ISBN 3-89721-169-6, 2001, S. 34
  5. RFC 2663: IP Network Address Translator (NAT) Terminology and Considerations, Section 9.0
  6. a b Firewall FAQ von Lutz Donnerhacke
  7. PAT-Angriff auf Computer hinter einem Firewallrouter
  8. BSI Grundschutzkataloge: Sicherheitsgateways und Hochverfügbarkeit
  9. Tuning Check Point Performance
  10. FTP-NAT-Test
  11. Evolution of the Firewall Industry Cisco, 2002
  12. The Packet Filter: An Efficient Mechanism for User-level Network Code Jeffrey C. Mogul, November, 1987
  13. RFC 1135 The Helminthiasis of the Internet

Literatur

  • Jacek Artymiak: Building Firewalls with OpenBSD and PF. 2nd edition. devGuide.net, Lublin 2003, ISBN 83-916651-1-9.
  • Wolfgang Barth: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux. 3. aktualisierte und erweiterte Auflage. Millin-Verlag, Poing 2004, ISBN 3-89990-128-2.
  • Bundesamt für Sicherheit in der Informationstechnik: Konzeption von Sicherheitsgateways. Der richtige Aufbau und die passenden Module für ein sicheres Netz. Bundesanzeiger, Köln 2005, ISBN 3-89817-525-1.
  • William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin: Firewalls and internet security. Repelling the Wily Hacker. 2nd edition, 3rd printing. Addison-Wesley, Boston MA u. a. 2007, ISBN 978-0-201-63466-2 (Addison-Wesley Professional Computing Series).
  • Andreas Lessig: Linux Firewalls. Ein praktischer Einstieg. 2. Auflage. O'Reilly, Beijing u. a. 2006, ISBN 3-89721-446-6 (Download der LaTeX-Quellen).
  • RFC 2979 Behavior of and Requirements for Internet Firewalls.
  • Stefan Strobel: Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze: IP-Filter, Content Security, PKI, Intrusion Detection, Applikationssicherheit. 3. aktualisierte und erweiterte Auflage. dpunkt-Verlag, Heidelberg, 2003, ISBN 3-89864-152-X (iX-Edition).

Weblinks

Wiktionary Wiktionary: Firewall – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen
Dies ist ein als lesenswert ausgezeichneter Artikel.
Dieser Artikel wurde in die Liste der lesenswerten Artikel aufgenommen. Vorlage:Lesenswert/Wartung/ohne DatumVorlage:Lesenswert/Wartung/ohne Version

Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Firewall — Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist eine Software, weiter gefasst auch ein System mit einer bestimmten Funktion[1] und ein Teilaspekt[2] eines Sicherheitskonzepts. Die Firewall Software dient dazu, den… …   Deutsch Wikipedia

  • Firewall (film) — Pour les articles homonymes, voir Firewall. Firewall (titre canadien : Le coupe feu[1]) est un film américain réalisé par Richard Loncraine, sorti en 2006. Sommaire 1 Synopsis …   Wikipédia en Français

  • Firewall (Begriffsklärung) — Der Begriff Firewall (von englisch firewall [ˈfaɪəwɔːl] = „Brandwand“) steht für: Firewall, eine Netzwerk Komponente, die den Datenfluss zwischen Rechnernetzen beschränkt Firewall (Film), einen US amerikanischen Thriller mit Harrison Ford aus dem …   Deutsch Wikipedia

  • Firewall (Film) — Pour les articles homonymes, voir Firewall (homonymie). Firwall (Le Pare feu en français) est un film américain réalisé par Richard Loncraine, sorti en 2006 Sommaire 1 Synopsis 2 Fiche t …   Wikipédia en Français

  • FireWall-1/VPN-1 — FireWall 1 FireWall 1 / VPN 1 est une solution logicielle ou matérielle de pare feu édité par Check Point. FireWall 1 s inscrit dans une architecture réseau de type Zone démilitarisée (DMZ). Il se paramètre par un ensemble de règles définissant… …   Wikipédia en Français

  • Firewall-1 — / VPN 1 est une solution logicielle ou matérielle de pare feu édité par Check Point. FireWall 1 s inscrit dans une architecture réseau de type Zone démilitarisée (DMZ). Il se paramètre par un ensemble de règles définissant les protocoles… …   Wikipédia en Français

  • FireWall-1 — / VPN 1 est une solution logicielle ou matérielle de pare feu éditée par Check Point. Premier pare feu informatique commercialisé en 1994[réf. nécessaire], FireWall 1 s inscrit dans une architecture réseau de type Zone démilitarisée (DMZ).… …   Wikipédia en Français

  • Firewall — Fire|wall 〈[ faıə(r)wɔ:l] f. 10; EDV〉 Schutzmechanismus für ein Computernetzwerk (z. B. ein Intranet), der die Zulässigkeit von eingehenden Daten überprüfen u. auf diese Weise einen Schutz vor Computerviren od. unberechtigten Zugriffen von… …   Universal-Lexikon

  • Hardware-Firewall — Eine externe (Netzwerk oder Hardware ) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist… …   Deutsch Wikipedia

  • Desktop Firewall — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”