Wie erkennt man eine richtige Firewall im Gegensatz zum Windows Firewalfilterl Spielzeug

Arten von Firewalls
Es gibt drei Hauptkategorien von Firewalls: Paketfilter, Vermittler- bzw.
Transportschicht-Gateway (Circuit Gateway) und Anwendungsschicht-Gateway
(Application Gateway).

Paketfilter
Die auch unter dem Begriff "Access Control List" bekannte Technik ist auf
heutigen OSI-Schicht-3 Geräten sehr weit verbreitet. Sie wird von vielen
Routern und Schicht-3-Switches unterstützt. Es werden beim Einsatz von
Paket-Filtern Zugriffsmatrizen auf Basis der OSI-Schicht-3 und 5
Funktionalitäten definiert. Pakete werden in Abhängig von Quell- oder
Zieladresse bzw. Quell- oder Zielport behandelt. Diese Filterung findet ohne
jegliche Beachtung der tatsächlichen Inhalte der Pakete statt. Es wird nur
der Header untersucht und gegen die Zugriffsmatrix geprüft. Diese
Untersuchung kann wahlweise für eingehende, ausgehende oder alle beiden
Richtungen definiert werden.
Paketfilter bieten somit eine grundlegende Sicherheit, um ungebetene Dienst
zu verbieten bzw. Zugriffsrechte auf bestimmte Rechner zu definieren. Die
Schwachstelle dieser Technik ist, daß lediglich IP-Adressen und Ports
gesperrt werden können. Es ist also ohne weiteres möglich, Angriffe auf den
geöffneten Ports zu unternehmen. Der Paketfilter kann die mißbräuchliche
Nutzung eines Ports nicht erkennen. Aufgrund dieser Schwachstelle sind
Paketfilter als einzige Schutzlösung für sensible Bereiche nicht geeignet.
Der Einsatz einer Paket-Firewall auf einem Router vor einer zusätzliche
Firewall ist am sinnvollsten. Es können grundlegende Filteroptionen für
eingehenden Verkehr definiert werden und die Firewall wird dadurch
entlastet. Sie kann sich nun komplizierteren Auswahlkriterien widmen, die
nicht mit einem Paketfilter realisierbar sind.

Stateful Inspection Firewall
Bei Stateful Inspection Firewalls handelt es sich um eine durch Check Point
Software Technologies eingeführte Filterungstechnologie. Sie entscheidet
aufgrund des aktuellen und vergangenen Geschehens auf dem Gateway darüber,
was mit einem Paket passieren soll. Durch diese Technik ist es möglich,
Muster eines Angriffs zu erkennen und diese zu unterbinden. Es werden nur
Pakete erlaubt, die zu einem "legitimen" Datenstrom gehören. Wird
beispielsweise eine Anfrage an eine Website über Port 80 gestellt, werden
die Antwortpakete an den Quell-Host im eigenen Netzwerk gesendet, so können
diese die Stateful Inspection Firewall passieren. Pakete die auf Port 80 an
einen anderen Host im Netzwerk gesendet werden, der jedoch keine Anfrage an
diese IP gestellt hat, werden verworfen. Damit ist eine gravierende
Schwachstelle von Paket-Filtern eliminiert.
Alle heutigen Enterprise-Firewalls nutzen diese Technologie, auch wenn sie
bei dem einen oder anderen nicht als Stateful Inspection Firewall bezeichnet
wird. Bei vielen SOHO-Router-Herstellern heißt diese Technologie
"Stateful-Packet-Inspection" - damit ist auch hier gemeint, daß nur aus dem
LAN initierte Verbindungen angenommen werden.

Transportschicht-Gateways (Circuit-Level Gateway)
Ein Verbindungs-Gateway ist auf OSI-Schicht-4 angesiedelt. Er übernimmt
prinzipiell die Funktion eines Proxyservers. Ein Proxyserver (engl.
Stellvertreter) hat eine Vermittlungsfunktion inne - gegenüber dem Client
tritt er als Server und gegenüber den Server als Client auf. Er vermittelt
somit eine Verbindung zwischen Client und Server. Normalerweise wird ein
Verbindungsgateway auf Multi-Homed-Computern eingesetzt. Das bedeutet, daß
dieser Computer mindestens zwei Netzwerkkarten besitzt - eine für das
interne und eine für das externe Netzwerk.
Eine Kontrolle der Pakete findet normalerweise nicht statt. Somit ist diese
Form eines Gateways mit einem Paketfirewall zu vergleichen. Der
Administrator hat die Möglichkeit, Dienste nach Innen und Außen anzubieten
und mit Hilfe der Loggingfunktion diese zu überwachen. Heutige
Verbindungsgateways gehen jedoch noch einen Schritt weiter. Es ist
inzwischen möglich, Verbindungs-Gateways auch zur Viren- und
Contentfilterung einzusetzen bzw. durch spezielle Authenfizierungsmaßnahmen
diese abzusichern. Dies wird als Applikations-Gateway bezeichnet.

Application Level Firewall
Ein Applikationsfilter (Application Gateway) ist funktionstechnisch in
OSI-Schicht-7 angesiedelt. Diese Firewalls inspizieren den Inhalt der Pakete
um sicher zu stellen, daß nur gewollter Verkehr zwischen Netzen entsteht.
Diese Firewalls können Protokolle der Applikations-Schicht des
OSI-Referenzmodells verstehen und verarbeiten. So ist es beispielsweise
möglich, ein SMTP-Pakete zu einer eMail zusammenzusetzen und diese auf Viren
bzw. verbotene Inhalte zu kontrollieren.
Diese Funktionserweiterung wird durch den Einsatz dedizierter Proxy-Dienste
realisiert. Es sind somit dienstspezifische Kontrollen der Datenpakete
möglich. Aufgrund der zustandsbehafteten Filter lassen sich Nutzungsprofile
erstellen. Auf dieser Grundlage können Angriffe frühzeitig erkannt werden.
Diese Erkennung wird meist durch ein spezielles Softwaremodul, dem Intrusion
Detection System (IDS), durchgeführt.
Die Konfiguration einer Application Level Firewall erfordert tiefe
Kenntnisse der verwendeten Protokolle und stellt keine triviale Aufgabe dar.
Er ist aber auch gegen Schwächen und Fehler in den verwendeten Protokollen
machtlos.

Kurz und möglichst einfach erklärt: Bei einem Application Gateway werden
sogenannte Proxy-Dienste (Stellvertreter) auf der Firewall installiert. Zu
jedem Anwendungsprotokoll (z.B. HTTP, FTP, POP, SMTP usw.), das über die
Firewall vermittelt wird, existiert ein Proxy, der sich äquivalent zum
angesprochenen Server verhält und den direkten Zugriff auf den eigentlichen
Dienst zunächst blockiert. Ankommende Verbindungsanfragen laufen also beim
Proxy auf und werden dort geprüft und gefiltert. Nur die zugelassenen
Verbindungen werden an die entsprechenden internen Server weitergeroutet.
Auf dieser Ebene wird eine nutzerspezifische Filterung, entsprechend der
Rechteprofile sowie eine nutzerbezogene Authentisierung für die
unterschiedlichen Dienste möglich.

Personal Firewalls
Prinzipiell handelt es sich bei einer Personal Firewall um einen
Paketfilter. Es werden Regeln auf Grundlage von Quell- oder Zieladresse
sowie Quell- und Zielport getroffen. Mit Personal Firewalls können Regeln
zusätzlich noch auf den einzelnen Anwendungsprogrammen basierend definiert
werden. Dies wird ermöglicht, da sich Anwender und Firewall auf dem selben
Rechner befinden. Somit wird es dem Anwender ermöglicht, für jede Anwendung
ein eigenes Ruleset zu erzeugen. Man kann dem Browser Port 80 erlauben, dem
eMail-Programm aber verbieten.
Dies bietet für das private Umfeld ausreichende Schutzmechanismen.
Fragwürdig wird dieser Schutz, wenn das private Netzwerk durch eine Personal
Firewall geschützt werden soll. In diesem Fall ist die Funktionalität auf
die eines Paket-Filters reduziert. Des weiteren unterliegt eine Personal
Firewall den selben Einschränkungen und Unzulänglichkeiten wie eine
Paketfirewall.



NAT - Network Address Translation
NAT wurde ursprünglich entwickelt, um der zunehmenden Knappheit an
verfügbaren IP-Adressen entgegenzuwirken. Der NAT-Mechanismus erlaubt es,
ein ganzes(!) Netzwerk mit nur einer einzigen IP-Adresse an das Internet
anzuschließen. Im Prinzip macht NAT nichts anderes als interne IP-Adressen
in die externe IP-Adresse umzusetzen und umgekehrt. Als interne IP-Adressen
werden dabei Adressen aus den Bereichen ausgewählt, die nicht im Internet
verwendet werden dürfen, da sie für private IP-Netze reserviert sind. Diese
privaten IP-Adressbereiche sind wie folgt definiert worden:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Durch den Einsatz von NAT kann man die interne Struktur (IP-Adressen,
Hostnamen usw.) eines Netzwerkes vor der Außenwelt verstecken. Von einem
Rechner im Internet erscheint dann das gesamte Netzwerk als ein einziger
Rechner (der Router selbst). Hierin liegt auch der Sicherheitsaspekt, da
eine Verbindung nur zum Router aufgebaut werden kann. Dieser kann
seinerseits wieder bestimmte Dienste (z.B. well known ports) auf andere
Rechner umleiten. NAT wird auch als IP-Masquarading oder IP-Aliasing
bezeichnet.



Intrusion Detection System
Intrusion Detection Systeme sind Softwaresysteme, die nicht nur anhand
festgesetzter Regeln eine Verbindung erlauben oder blockieren, sondern sie
überwachen und überprüfen den gesamten Komplex der Kommunikation im
Netzwerk, lesen die Datenpakete aus, orientieren sich an normaler
Netzkommunikation und erkennen daher Angriffe bereits im Vorfeld anhand
verdächtiger Netzaktivitäten. Ein Intrusion Detection System besteht aus
drei Hauptkomponenten:
Ein Intrusion-Erkennungssystem (IDS)
Eine Komponente zur Datenerfassung, das Informationen über den allgemeinen
Systemzustand in einer Datenbank oder in einem Logfile sammelt. Einerseits
können das Informationen z.B. aus der Überwachung eines Ports sein, die dann
festhalten, wieviele Datenpakete über diesen Port empfangen wurden.
Andererseits können das Informationen in der Form sein, wer wann eine eMail
wohin verschickt hat.

Ein Datenanalysesystem (DAS)
Das Datenanalysesystem überprüft und analysiert alle Daten, die vom
Intrusion-Erkennungssystem erfasst wurden.

Ein Ereignisdarstellungssystem (EDS)
Dieses System bereitet die Analyseergebnisse auf und gibt sie
benutzergerecht aus.

Der Erkennungsprozess selbst findet in der Analysekomponente des IDS statt
und dieser Prozess verfolgt dabei zwei Ziele zur Erkennung von Angriffen:

Missbrauchserkennung:
Die Missbrauchserkennung versucht in den ermittelten Daten Muster bekannter
Angriffsmethoden zu finden. Der gesamte Datenstrom wird dabei auf ein
bestimmtes Muster hin untersucht. Dies bedeutet, es muss bekannt sein,
worauf dieser Angriff basiert (z.B. falsche Paketgröße). Es muss also eine
Patterndatei vorliegen, in denen die bisher bekannten Angriffsmöglichkeiten
erfasst sind und diese Patterndatei muss folglich auch regelmässig
aktualisiert werden.

Anomalieerkennung:
Die Anomalieerkennung versucht vorauszusagen, welche Folgen ein Angriff
haben wird. Es wird also ein bestimmtes abnormales Systemverhalten erwartet.
Solche Systeme betrachten bestimmte Systemabfolgen als normal. Entdeckt
dieses System den Beginn einer bestimmte Ereignisabfolge, so erwartet es die
restlichen dafür benötigten Ereignisse. Erfolgen diese "normalen" Ereignisse
nicht, so wird von einem abnormalen Systemverhalten ausgegangen und eine
entsprechende Alarmmeldung erfolgt. Auf diese Weise können selbst unbekannte
Angriffe noch entdeckt und abgeblockt werden.

Ein komplettes Intrusion Detection System kann idealerweise mit einem
Firewallsystem kombiniert werden, wobei die einzelnen Module völlig
unabhängig voneinander arbeiten, untereinander aber kommunikativ in Kontakt
treten können.



Firewall-Architekturen
Es gibt verschiedene Möglichkeiten, eine Firewall aufzubauen. Welche
Architektur die geeignete ist, hängt von den Anforderungen an die
Netzwerksicherheit ab. Nachfolgend werden die gebräuchlichsten Architekturen
in Kurzform dargestellt:
Router-Firewall (Packetfilter)
Im einfachsten Fall ist das interne Netzwerk lediglich durch einen Router
mit integriertem Packetfilter, NAT, einem einfachen Intrusion Detection
System und eventuell einer Stateful-Inspection-Firewall mit dem Internet
verbunden. Bei richtiger Konfiguration der Firewall (s.u.) kann schon damit
ein relativ hoher Schutz für das eigene Netzwerk erreicht werden.

Beispiel: http://www.netgear.de/Produkte/Router/Firewall/FR114P/index.html

oder http://www.softwarereparatur.com/hardwarefire.htm




mfg.


Softwarereparatur.com



begin 666 nach oben.png
MB5!.1PT*&@H````-24A$4@````X````+" (```# YRLU````!W1)344'TPH3
M$!H3>-<\A ````EP2%ES```+$@``"Q(!TMU^_ ````1G04U!``"QCPO\804`
M``%J241!5'C:-9$]2P-!$(;?W=O+1:T4+/P_@H5@*=@(@J+!D,+.RLY"-)X2
MXT<$!<'"OZ&"I: @QD1$4; 0E23$N_T8YU8SQ<S /COS[KN"'$$`X,)5PCIH
MNU]:&FGKP23I-\EG/A@].D!?GZ!NRB""+($()&"!Q*"C7W>J3_6;CWQNXG /
M^4B=S1>T$#\J- &3O$$NK,<@=5>K/C\VQK:WCU>6$4C>J :T'M\H(Q<RY <+
M:'>Y7WMM-B;C=2C1"D/(3*+J<,=<?P010(.%7E=VWQ[JDUO,,2!2U9MR,C-'
M7RU*-6E+W_I\=>=TNDCO;?ILQX4B=5+Z2<E:UJ8D.?R%<U>5ZLO]PU2ES$Y
MIZ%S+ !*L5!&Y3]'6;IMUJ<VUQ %R&7BI/4^RLQ%(83RK0\E9W=CWP`91/_O
M1.]\0%LD*=]BU%]S,+S=(-%Y8[Q_;(IW8+C;O5@LL;76[R2120])A,8.12%_
9GO0<QR]+\ZT3/;A)/0````!)14Y$KD)@@@``
`
end

.

Relevant Pages

  • Re: Auf ..kann nicht zugegriffenwerden,Sie haben eventl.keine Bere
    ... >> Habe auf PC Norton Firewall und Antivirus installiert,jedoch bei Verbindung ... >> mit Netzwerk beide deaktiviert. ... >> Gruß Susann ...
    (microsoft.public.de.german.windowsxp.networking)
  • Re: =?ISO-8859-1?Q?Merkw=FCrdige?= Sache...
    ... In diesem Fall ist es so das ich zwar das Netzwerk, ... also die DSL Verbindung wiederbelebt habe doch ich hatte vergessen ... auch die Firewall in den Prozess mit einzubeziehen und deshalb habe ... Wie ich schon sagte stirbt das eth0 Interface eben nicht und bleibt ...
    (de.comp.os.unix.linux.misc)
  • Re: Router Sicherheitseinstellungen (long)
    ... Die Routing-Funktion dient zur Verbindung von Netzwerksegmenten ... wurden am Router die ersten statischen Paket-Filter implementiert und wir ... Heutzutage ist die Zuordnung Router bis Firewall fliessend, ... Nach Source IP (Netzwerk), Destination IP; ...
    (microsoft.public.de.security.netzwerk.sicherheit)
  • Re: Seit SP2 keinen Aufbau der DSL-Verbindung möglich
    ... > Nun bin ich wieder zu Hause und versuche kampfhaft über T-DSL ins Internet ... > Aber ich kann keine Verbindung aufbauen, ... wenn Du SP2 gar nicht installiert hast, solltest Du auch gar keine Firewall ... Breitbandverbindung (Register Netzwerk) aktiviert? ...
    (microsoft.public.de.german.windowsxp.networking)
  • Re: Netzwerk unter Vista - besser als bei XP?
    ... Es ist ein privates Netzwerk ... und manchmal gar 160 sec. braucht um auf den anderen Rechner zuzugreifen. ... eine Firewall mit "unbekannten" Einstellungen installiert. ... Diese 3 PCs ...
    (microsoft.public.de.german.windowsxp.networking)