Inhaltsverzeichnis
Werbung
Die Protokollierung alleine kommt aber manchmal zu spät. Oft kann durch ein sofortiges Eingreifen des Admins ein
größerer Schaden verhindert werden. Aus diesem Grund verfügen Firewalls meistens über eine Alarmierungsfunktion,
bei der die Meldungen der Firewall z. B. per E-Mail an den Administrator gemeldet werden.
8.2.2 Unterschiedliche Typen von Firewalls
Im Laufe der letzten Jahre hat sich die Arbeitsweise von Firewalls immer weiter entwickelt. Unter dem Oberbegriff
"Firewall" werden eine ganze Reihe unterschiedlicher technischer Konzepte angeboten, mit denen das LAN geschützt
werden soll. Hier stellen wir die wichtigsten Typen vor.
Paketfilter
Von einer paketfilterbasierten Firewall spricht man, wenn der Router nur die Angaben im Header der Datenpakete prüft
und anhand dieser Informationen entscheidet, ob das Paket durchgelassen werden soll oder nicht. Zu den geprüften
Informationen der Datenpakete gehören:
1
IP-Adresse von Quelle und Ziel
1
Übertragungsprotokoll (TCP, UDP oder ICMP)
1
Portnummern von Quelle und Ziel
1
MAC-Adresse
Die in einer paketfilterorientierten Firewall definierten Regeln legen z. B. fest, ob die Pakete von einem bestimmten
IP-Adresskreis in das lokale Netzwerk weitergeleitet werden dürfen oder ob Pakete für bestimmte Dienste (d.h. mit
speziellen Portnummern) gefiltert werden sollen. Durch diese Maßnahmen kann die Kommunkation mit bestimmten
Rechnern, ganzen Netzwerken oder über bestimmte Dienste eingeschränkt oder verhindert werden. Die Regeln können
dabei auch kombiniert werden, so kann z. B. der Zugang zum Internet über den TCP-Port 80 nur Rechnern mit bestimmten
IP-Adressen erlaubt werden, während dieser Dienst für alle anderen Rechner gesperrt ist.
Die Konfiguration von paketfilternden Firewalls ist recht einfach, die Liste mit den zugelassenen oder verbotenen Paketen
kann sehr schnell erweitert werden. Da auch die Anforderungen an die Performance eines Paketfilters mit recht geringen
Mitteln erreicht werden kann, sind Paketfilter in der Regel direkt in Routern implementiert, die ohnehin als Schnittstelle
zwischen den Netzwerken eingesetzt werden.
Nachteilig für die Paketfilter wirkt sich aus, dass die Liste der Regeln nach einiger Zeit nicht mehr so einfach zu überschauen
ist. Außerdem werden bei einigen Diensten die Ports für die Verbindung dynamisch ausgehandelt. Um diese Kommunikation
zu ermöglichen, muss der Administrator also alle dazu möglicherweise verwendeten Ports offen lassen, was der
Grundausrichtung in den meisten Sicherheitskonzepten entgegenspricht.
Ein Beispiel für einen Vorgang, der für einfache Paketfilter recht problematisch ist, ist der Aufbau einer FTP-Verbindung
von einem Rechner im eigenen LAN zu einem FTP-Server im Internet. Beim üblicherweise verwendeten aktiven FTP sendet
der Client (aus dem geschützten LAN) eine Anfrage von einem Port im oberen Bereich (>1023) an den Port 21 des Servers.
Dabei teilt der Client dem Server mit, auf welchem Port er die Verbindung erwartet. Der Server baut daraufhin von seinem
Port 20 eine Verbindung zum gewünschten Port des Clients auf.
Um diesen Vorgang zu ermöglichen, muss der Administrator des Paketfilters alle Ports für eingehende Verbindungen
öffnen, da er nicht vorher weiß, zu welchen Ports der Client die FTP-Verbindung anfordert. Eine Alternative ist über das
passive FTP gegeben. Dabei baut der Client selbst die Verbindung zum Server auf über einen Port, den er vorher dem
Server mitgeteilt hat. Dieses Verfahren wird jedoch nicht von allen Clients/Servern unterstützt.
Referenzhandbuch
8 Firewall
475
Werbung
Inhaltsverzeichnis
