Firewall

Eine Firewall ist ein Sicherungssystem, das ein

Computernetz oder einen einzelnen Computer
vor unerwünschten Netzwerkzugriffen schützt.

Regulierung des eingehenden

und ausgehenden Datenverkehrs
 Firewall Begriff
übersetzt: Brandmauer

Firewall = Gesamtheit der Einzelkomponenten des Sicherheitskonzeptes

oder

Firewall als einzelne Komponente des Sicherheitskonzeptes

(z.B. Hardwarefirewall, Desktop-Firewall …)

Hardwarefirewall: dedizierte Komponente im Netzwerk (z.B. auch im Router

integriert)

Personal Firewall (auch Desktop Firewall): auf einem Betriebssystem installierte

Software (z.B. Windows-Firewall)
 Firewall Grundstrategien
Strategie 1 (Blacklist-Prinzip)
=> Alles ist freigegeben, nur bekannte unsichere Verbindungen
werden gesperrt.

Strategie 2 (Whitelist-Prinzip)
=> Alles ist gesperrt, nur bekannte sichere und erwünschte Vorgänge
werden freigegeben.
 Firewall-Typen
Typen/Arten:
• Statischer regelbasierter Paketfilter
• SPI (Stateful Packet Inspection)
• DPI (Deep Packet Inspection)
• ALG (Application Layer Firewall)
• Proxyserver/Proxyfilter
• Contentfilter

Ergänzende Komponenten
• Honigtopf
• IDS/IPS

Bereichsstrukturen:
• DMZ
• PAP
 Regelbasierter Paketfilter
Merkmale:
• eingehende und ausgehende Regeln müssen separat konfiguriert werden
• statische Funktionsweise
• OSI-Schicht 3 und 4

Regelkriterien:
• Quell-IP
• Ziel-IP
• Quellport
• Zielport (Rückschlüsse auf Dienste und Protokolle)
• Protokolle z.B. TCP und UDP
• Richtung (eingehend oder ausgehend)
• Aktion (z.B. erlauben, blockieren oder überwachen)
• Schnittstelle
 SPI - Stateful Packet Inspection
• SPI ist ein Firewall-Leistungsmerkmal, dieses Verfahren entscheidet anhand mehrerer
Kriterien (z.B. ausgehende Verbindung) ob ein eingehendes Datenpaket weitergeleitet
oder verworfen wird = dynamische Funktionsweise

• Regeln werden nur in eine Richtung definiert, die Gegenrichtung ist zunächst für sämtlichen
Datenverkehr blockiert, die Gegenrichtung wird zielgerichtet dynamisch generiert

• Inspektion der Header (nicht der Nutzdateninhalte), im einfachsten Fall werden Ziel-IP
und Quell-IP, sowie Ziel-Port und Quell-Port vertauscht und dadurch eine dynamische Regel
für die Gegenrichtung generiert

• Gemeinsamkeiten mit dem regelbasiertem Paketfilter:

– OSI-Schicht 3 und 4
– Regelkriterien
 ALG (Application Layer Gateway)
• Firewall für die Anwendungsschichten (OSI 5-7)
• zum Vergleich „normaler“ Firewall OSI 3 und 4
• Angriffe auf Anwendungsebene über das Hypertext Transfer Protocol
(HTTP/HTTPS) blockieren
• Programmkontrolle – z.B. Zugriff aufs Netzwerk blockieren
• Filterung von URL/Domainnamen
• benutzerabhängige Filterung möglich
• viele weitere Funktionen möglich
 Proxy-Server
• Proxy bedeutet Stellvertreter, d.h. stellvertretend leitet er die Anfrage ins Internet weiter
=> Sicherheit wird erhöht
• geringerer Administrationsaufwand z.B. beim Einbinden weiterer Clients
• Viren- bzw. Paketscan auf schädliche Inhalte
• kann auch Firewall-Aufgaben übernehmen (filtern)
• Seiten für einen schnelleren Zugriff zwischenspeichern / Cachen
• Namensauflösung (DNS)
• auch „Reverse-Proxy“ zum Lastausgleich für Webserver einsetzbar

Einstellung für Proxy

ln den Verbindungseinstellungen des Browsers werden die Proxy-lP und der Port eingetragen.
 Proxy-Server
Mögliche Probleme

• Cache kann ggf. veraltete Inhalte ausgeben

• nicht jede Anwendung unterstützt Proxys
• nicht für jedes Internet-Protokoll sind Proxys geeignet
• kein Virenscan bei verschlüsselten Verbindungen (z.B. https oder VPN) möglich
– White List mit erlaubten Adressen auf dem Proxy installieren
– White List mit vertrauenswürdigen Zertifikaten und Authentifizierungsstellen für
Zertifikate auf dem Proxy installieren
– Port 443 schließen (nicht mehr praktikabel)
– https-Verbindung „aufbrechen“

https://www.datenschutzbeauftragter-info.de/ssl-entschluesselung-im-unternehmen-erlaubt/
 Honeypot (Honigtopf)
• Falle für den Angreifer
• physische oder virtuelle Computer kommen zum Einsatz
• Angriffe beobachten und protokollieren
• neue Methoden der Angreifer erkennen (Lernen vom Hacker)
• eigene Sicherheitsmaßnahmen entsprechend anzupassen
• sich automatisiert verbreitende Schadprogramme werden ebenfalls geködert
und eingefangen zur späteren Analyse
• Quelle des Angriffs ermitteln (Täterüberführung)
• Beweismittel für spätere juristische Maßnahmen
 Contentfilter
• bestimmte Inhalte nach Merkmalen und Eigenschaften zu erkennen
• Filterung nach Stichworten
• Blockieren von Skriptsprachen (z.B. JavaScript)
• Filterung nach Dateitypen
• Blockieren von Werbung
• dazu gehören auch die umstrittenen Upload-Filter
 Deep Packet Inspection (DPI)
• Header + Datenteil des Datenpaketes werden auf bestimmte Merkmale
(z.B. Protokollverletzungen, Computerviren, Spam und weitere unerwünschte
Inhalte) untersucht

• starke Absicherung des Informationsflusses

• Missbrauch: Abhören und Sammeln von Informationen, Zensur im Internet

 UPnP – (Universal Plug and Play)
Protokoll-Suite, die in einem Netzwerk dasselbe leisten soll,
wie das „Plug and Play“ auf einem Einzel-PC
=> Sicherheitsrisiko!
DMZ
DMZ
 PAP (Paketfilter-ALG-Paketfilter)
• Kombination von Paketfilter/SPI und ALG
• Erhöhung der Sicherheit
 Firewall Einschränkungen
Firewall schützt nicht:

• Angriffe aus dem eigenen Netz

• Kommunikationsbeziehungen, die die Firewall umgehen (z.B. VPN)
• bisher unbekannte Angriffstechniken
• Malware (Viren, Trojaner, Würmer …)