Firewall

Als Firewall oder Zugangsschutzsystem bezeichnet man bei Computernetzwerken ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege.

Durch den immer größer werdenden Ausbau von Netzen wird der Schutz einzelner Netze immer wichtiger. Firewalls greifen hier ein; sie sitzen an den Schnittstellen zwischen einzelnen Netzen und kontrollieren den Netzwerkverkehr zwischen den Netzen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr weiterzuleiten.

Der häufige Einsatz einer Firewall besteht darin, den Verkehr zwischen einem lokalen Netzwerk und dem Internet zu kontrollieren und zu steuern. Ein komplexes Szenario stellt die DMZ dar.

Rund um das Thema Firewall existieren viele Begriffe, die teilweise richtig sind, aber manchmal nur die halbe Wahrheit vermitteln. Umgangssprachlich ist mit einer Firewall sehr oft die Software gemeint, welche den Datenverkehr zwischen den getrennten Netzbereichen kontrolliert und regelt. Man muss also zwischen dem (Sicherheits-)Konzept Firewall, und den zwei Hauptbestandteilen der Firewall, nämlich Hardware und Software, unterscheiden. Die Hardware ist für den Empfangen und Sender der einzelnen Netzwerkpakete zuständig und die Software regelt den Verkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?)

Die Hardwarekomponente hat im Regelfall 2 Netzwerkschnittstellen, an denen jeweils die zu trennenden Netzwerke angeschlossen sind. Die 2 Schnittstellen werden aus Sicherheitsgründen (oft aber wegen der Netzwerkstruktur und damit aus konzeptionellen Notwendigkeit) gewählt, damit gewährleistet ist, daß nur solche Pakete von einem Netz ins andere durchgelassen werden, die von der Software als gültig anerkannt werden.

Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI-Referenzmodells und demzufolge kann das Implementationsniveu sehr unterschiedlich ausfallen. Deswegen besteht eine Firewall oft aus verschiedenen Softwarekomponenten. Die verschiedenen Teile sollen hier kurz beschrieben werden:

Für solche einfachen Aufgaben wie das Vergleichen von Quell- und/oder Zieladresse der Pakete, die die Firewall passieren ist der Paketfilter zuständig. Er hat die Aufgabe bestimmte Filterungen oder Reglementierungen im Netzwerkverkehr vorzunehmen. Wenn man sich das Internet als eine gigantische Ansammlung von Häusern vorstellt, dann stellen die IPs sozusagen die Hausnummern dar. (Straßennamen sind in der Welt des Internets unbekannt.) Unter einer bestimmten Hausnummer kann man nun direkt mit einem Rechner kommunizieren, egal wo sich dieser Rechner befindet. In den einzelnen Etagen dieser Rechner wohnen nun die verschiedenen Dienste wie HTTP, FTP oder SSH. Die einzelnen Etagen sind mit Nummer gekennzeichnet, die man auch Port nennt. Ein Paketfilter kann nun verschiedene Etagen/Ports für die Besucher aus dem Internet sperren, d. h. jede Verbindung aus dem Internet wird an der Haustüre schon abgewiesen. Durch die entsprechende Konfiguration einer Firewall kann so ein Computernetzwerk vor Angriffen und/oder Zugriffen geschützt werden. Ein Paketfilter definiert Regeln, welche festlegen, ob einzelne oder zusammenhängende Pakete das Zugangsschutzsystem passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle Pakete, die von der IP 1.2.3.4 kommen. Eine solche Regeln ist programmtechnisch einfach: es ist nur ein Zahlenwert zu vergleichen.

Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die Inhalte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können zum Beispiel folgende sein:

• Herrausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten.
• Filtern/Kennzeichen von Spam-Mails
• Löschen von Viren-Mails

Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist aber sehr komplex: hierfür müssen einzelne Pakete zusammengesetzt werden, damit die HTML-Seite als Ganzes erkannt, durchsucht und verändert werden kann. Anschliessend muß die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden.

Ein Proxy ist ein Stellvertreter, der Anfragen (im Normalfall sind dies Anforderungen von HTML-Seiten) entgegennimmt und diese Anfrage weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Client wie ein Server. Gegenüber dem eigentlichen Ziel, z. B. dem Web-Server, verhält er sich wie ein Client. Dies geschieht nicht auf der Paketebene, sondern es wird in diese Pakete hineingeschaut und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil bei dieser Methode ist, dass keine Pakete die Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert.

Das NAT stellt oft auch einen Bestandteil einer Firewall dar. Es wird besonders dann benötigt, wenn nur eine oder wenige öffentliche IPs zur Verfügung stehen.

Damit die Pakete von der einen Seite der Firewall auch auf die andere Seite weitergeleitet werden können, muss die Firewall Router-Funktionaliäten besitzen.

Ein einfaches Konzept soll diese trockene Materie verdeutlichen: Eine Firma möchte gerne ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren/Würmer Gefahr möchte man gerne nur die Verbindungen zu einem Mail-Server aufbauen. Damit auch eine Recherche im Internet möglich ist, soll ein PC über einen Proxy Zugriff zu Webseiten erhalten. Weiterhin steht der Firma nur eine öffentliche IP zur Verfügung, so dass NAT genutzt werden muß. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen rausgefiltert werden.

Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden.

Aufbau einer Firewall

DSL-Router übernehmen normalerweise die Routing-Funktionalität und können Zugriffe aus dem Internet auf das LAN blockieren (Portfilter-Funktionalität). Mit Hilfe von NAT ist es möglich mehrere Rechner an einem DSL-Modem zu betreiben. Einen Content-Filter enhalten solche Produkte zumeist nicht.

Personal Firewalls oder auch Desktop Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Sie beinhalten einen Paketfilter und einen Content-Filter. Darüber hinaus sind oft noch Viren-Scanner für den normalen Betrieb vorhanden.

Die Wirkung von Personal Firewalls ist allerdings umstritten: Ist der Rechner ordentlich konfiguriert und laufen vertrauenswürdige Programme, so wird das System selbst nur sinnvolle Pakete annehmen und verschicken. Läuft dagegen zweifelhafte Software auf dem Rechner, die unautorisiert auf das Netz zugreifen will, so wird diese auch soweit gehen, den normalen Weg des Versands zu verlassen und die Personal Firewall zu umgehen oder auszuschalten. So sind schon Viren in freier Wildbahn entdeckt worden, die die Regeln der gängigen Firewalls modifizieren, damit Sie ihre eigentliche Aufgabe durchführen können.

• Computersicherheit
• DMZ
• Paketfilter
• Router

• Zwicky, Cooper, Chapman, Einrichten von Internet Firewalls, O'Reilly 2001, ISBN 3897211696
• W. R. Cheswick, S. M. Bellovin, A. D. Rubin, Firewalls and Internet Security - Repelling the Wily Hacker, 2nd Edition, Addison-Wesley 2003, ISBN 0-201-63466-X
• Wolfgang Barth Das Firewall Buch, Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux (iptables), SuSE Press, ISBN 3-934678-40-8

• de.comp.security.firewall FAQ
• Die Eindiskettenfirewall ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.
• m0n0wall eine BSD basierende Firewall die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist m0n0wall.

Vorlage:WikiReader Internet