Firewalls / Firewall Software

Hardware und Software Infos

Schutz vor Hackern: Firewalls

Firewall als Anti Hacker Software - Funktionsweise:

Als Firewall werden sowohl Hard- als auch Softwarekomponenten innerhalb eines Netzwerks bezeichnet, die den Datentransfer zwischen dem Netzwerk und der Außenwelt nach festzulegenden Regeln ermöglichen oder unterbinden. Hierzu werden verschiedene Vertrauensstufen definiert, in die dann alle im Netzwerk verbundenen Rechnersysteme eingeordnet werden. So können Rechner aus dem fernen Internet in eine niedrige Vertrauens- stufe, Rechner aus dem eigenem Netzwerk eine hohe Vertrauensstufe einsortiert werden. Die Firewall kann in einer Hardwarekompetente wie einem Rooter oder Host enthalten sein, es kann aber auch Software wie ein Paketfilter oder Proxyserver sein, der auf dem eigenem Rechner läuft.

Im Gegensatz zu einer nur lokal arbeitenden Personal Firewall ist ein Netzwerk-Firewall auf einem eigenständigen Rechner vorhanden. Im Regelfall unterscheidet man bei der Verbindung von Firmennetzwerken zwischen dem eigentlichen internen Netz (LAN) und den externen Netzwerkrechnern (WAN). Dazwischen existieren die aus dem internen und externen Netz erreichbaren Server, die in einer sogenannten "demilitarisierten Zone" (DMZ) gesammelt werden. Die dort vorhandenen Rechner prüfen und ermöglichen den Datenverkehr durch ihren jeweiligen Aufgaben entsprechenden Regeln.

Dabei werden folgende Technologien eingesetzt:

1. Paketfilter:

Anhand von Quelladresse, Zieladresse und Zielport werden Datenpakete durchgelassen oder verworfen. Beispielhaft kann das wie folgt aussehen: Aus dem weltweiten Internet sind zum lokalen Mailserver die üblichen Mail-Dienste wie SMTP oder POP3 sowie IMAP zulässig. Der Mailserver darf in das weltweite Internet E-Mails mittels SMTP versenden oder DNS-Anfragen stellen. Aus dem LAN sind Administrations-Anfragen an den Mailserver erlaubt. Alle weiteren Pakete werden in einer Logdatei protokolliert und danach abgelehnt.

2. Stateful Inspection oder zustandsgesteuerte Filterung:

Der Nachteil einer einfachen Paketfilterung ist es, dass der Server jedes Paket einzeln betrachten muss, und anhand der Informationen in einem Datenpaket zu entschieden hat, ob er es durchlassen will oder nicht. Die zustandsgesteuerte Filterung merkt sich darüber hinaus den Status einer Verbindung und kann so ein neues Datenpaket dem zusammenhängenden Datenstrom richtig zuordnen und entsprechend dem festgelegten Zustand handeln.

3. Application-Layer-Firewall:

Hier wird zusätzlich noch der Inhalt der Daten beachtet. Dies ist interessant bei Webapplikationen, da dort die Inhalte einer bestimmten Struktur zu entsprechen haben.

4. Content-Filter (Inhalte-Filter):

Diese Art der Filterung ermöglicht die Einschränkung des Datentransfers bei der Internetnutzung durch die Teilnehmer im LAN. So können ActiveX oder JavaScript Komponenten aus angeforderten Webseiten herausgenommen werden. Ebenso ist das Blockieren von Trojanern oder Viren möglich. Man kann unerwünschten Webseiten entsprechend bestimmter Schlüsselwörtern sperren oder nicht gewünschte Anwendungsprotokolle wie zum Beispiel Filesharing unter- binden. Hier ergeben sich allerdings bestimmte Probleme. Sollten beispielsweise die vertraulichen Informationen aus dem lokalen Netz zu nicht autorisierten fernen Rechnern herausgefiltert werden, so müsste erst erkannt werden, dass eine vertrauliche oder verschlüsselte Informationen vorliegt.

5. Intrusion Detection oder Intrusion Prevention Systeme:

Beide erkennen einen Einbruchsversuch durch Vergleich mit Kommunikations- mustern. Der Unterschied ist, dass ein Intrusion Detection System den Angriff lediglich erkennt während ein Intrusion Prevention Systeme den Einbruchsversuch blockiert. Darüber hinaus bieten diese Systeme die Möglichkeit an, alle weiteren Verbindungsaufnahmen von der angreifenden IP-Adresse zu stoppen. Diese Methode ist allerdings anfällig für einen Denial of Service Angriff.