Inhaltsverzeichnis
Werbung
Firewall
gende IP-Bereiche zu Netzen zusammengefasst, etwa LocalNet oder
Internet.
Pakete können auf zwei verschiedene Arten abgelehnt werden.
Im einfachsten Fall verwirft die Firewall sie einfach. Alternativ kann
zusätzlich eine Ablehnung in Form eines ICMP-Pakets mit dem Inhalt
„Host unreachable – Zielhost nicht erreichbar" verschickt werden. Im
ersten Fall wird der IP-Stack des Absendersystems das Paket erneut
versenden, bis sein Timeout abgelaufen ist. Im zweiten Fall erfolgt
umgehend eine Rückmeldung, dass dieser Dienst nicht verfügbar ist.
Ein Paketfilter bzw. eine Stateful-Inspection-Firewall schaut nur
in die IP-Header der Pakete und nimmt anhand der Quell- und Ziel-
Portadressen eine Unterscheidung vor. Eine Ausnahme bildet die
Behandlung spezieller Protokolle wie FTP oder SIP, bei denen das
eigentliche Protokoll teilweise mitgelesen wird. Eine Analyse der
Nutzdaten findet jedoch nicht statt. Ein „Application Layer Filter"
geht einen Schritt weiter: Hier wird der konkrete Inhalt des IP-
Pakets untersucht. Bei einem HTTP-Proxy etwa wird der HTTP-
Header gelesen und ausgewertet. Dann wird der Proxy seinerseits
eine vollständig neue Anfrage generieren und an den ursprünglich
adressierten Host senden. Dessen Antwort schickt der Proxy an den
ursprünglichen Absender weiter, ebenfalls in einem neuen, wohlge-
formten Paket. Durch diese Technik ist es unmöglich, den Zielport
80 für andere Dienste als HTTP zu missbrauchen, da der Proxy nur
HTTP versteht und andere Pakete verwirft. Collax Server unterstützt
solche Application Layer Filter für die oft genutzten Dienste HTTP
und SMTP. Beim Application Layer Filter ist es zusätzlich möglich,
konkrete Inhalte zu filtern, etwa zur berprüfung auf Viren.
308
Werbung
Inhaltsverzeichnis
