1. Was sind Firewalls
2. Wovor eine Firewall keinen Schutz bietet
3. Firewall Sicherheitsregeln (Firewall-Security-Policies)
4. Beispiel für einen Angriff auf eine Firewall
5. Firewall-Systeme mit DMZ
6. Verschiedene Angriffsmethoden
6.1 Einbrüche
6.2 Lahmlegung des Dienstes
6.3 Informationsdiebstahl
6.4 Dummheit und Unfälle
7. Grundtypen von Firewalls
8. Bauformen von Firewalls
8.1 Dual-Homed Host
8.2 Screened Host Architektur
8.3 Peripheren Netzwerk
8.4 Internen und Externen Router vereinigen
8.5 Externen Router mit dem Bollwerksrechner vereinen
8.6 Mehrere Interne Router zu Betreiben
8.7 Mehrere Netze an einem internen Router einer Firewall anschließen
8.8 Hinter der Firewall eine komplexe Netzwerkstruktur mit mehreren Subnetzen verwenden
8.9 Unsichere Subnetze innerhalb des internen Netzwerkes mit einer internen Firewall
abschirmen
9.Literaturverzeichnis
9.1 Suchanfragen zum Thema Firewalls
9.2 Was man von einer Firewall hat
Firewalls heißt übersetzt "Brandschutzmauer" sie soll vor dem Feuer beziehungsweise vor angriffen aus dem Internet Schützen. Eine Firewall bietet nur einen kleinen Durchlass durch den alle Informationen ein- und ausgehen , dieser Durchlass wird von der Firewall kontrolliert. Dadurch werden Einbrüche übers Internet verhindert und vertrauliche Daten gelangen nicht nach Draußen. Man hat viele Möglichkeiten eine Firewall zu Konfigurieren, entweder das nur Email Nachrichten ein und aus gelassen werden und so alle nicht Email bezogenen Attacken auf den Rechner abgewehrt werden oder man kann auch die Prüftools einer Firewall zur Kontrolle der Leitungen verwenden , so das man Einbruchsversuche von Hackern erkennt. Außerdem hat man die Möglichkeit was sich sehr in Betrieben empfiehlt die Firewall so einzurichten das keine Informationen aus dem Internet auf den jeweiligen Rechner gelangen , die jeweiligen Angestellten das Internet ohne Beschränkungen nutzen können. Kurz eine Firewall dient als Grenze zwischen dem Internet und dem internem Netzwerk.
Eine Firewall bietet den Schutz des lokalen Netzwerkes vor Angreifern aus dem Internet , sie bietet allerdings keinen Schutz vor Angreifern die im lokale Netzwerk über einen Rechner aus angreifen .Eine Gefahr bei Firewalls entsteht wenn es neben der Verbindung zum Internet des lokalen Netzwerkes noch eine andere inoffizielle Verbindung gibt (privat installierte Modems) so wird die inoffizielle Verbindung
nicht von der Firewall überprüft .Nun kann ein Hacker über die inoffizielle Verbindung in lokale Netzwerk eindringen und die Firewallvon hinten heraus angreifen , so wird dann über die Hintertür (inoffizielle Verbindung) der Hauptzugang (offizielle Verbindung) geöffnet. Bei einer Firewall muss man bedenken das es immer Sicherheitslücken gibt da es nämlich immer einen weg gibt.
Internes Netzwerk ohne eine in inoffizielle Verbindung zum Internet
Internes Netzwerk mit einer inoffizielle Verbindung zum Internet
Die Regeln einer Firewall definieren wie sie auf Daten reagieren soll ,es gibt zwei grundlegende Strategien um die Regeln festzulegen. Bei der Default Deny Strategie sind alle Daten die nicht ausdrücklich erlaubt sind verboten .Außerdem blockiert die Firewall alles pro forma und der Administrator gibt jeden einzelnen Dienst der Firewall einzeln frei außerdem soll es anwenderfreundlich bei neuen Diensten sein. Die 2.Strategie ist die Default Permit bei dieser Strategie konfiguriert man die Firewall mit Regeln , die in einem Abblocken der Daten resultieren. Alle Daten die nicht abgedeckt werden , werden durchgelassen. Alles was nicht ausdrücklich verboten ist, ist erlaubt. Bei dieser Strategie blockiert die Firewall nur die Daten die als gefährlich eingestuft werden aber neue gefährliche Dienste müssen selbst entfernt werden außerdem soll diese Strategie anwenderfreundlich bei neuen Diensten sein. Beide Strategien Haben ihre Vor und Nachteile ,man kann zwar mit jeder der einzelnen sichere und als auch unsichere Firewalls bauen.
Jeder Rechner verfügt über eine IP-Adresse. Der Hacker der irgendwo auf der Welt sitzt pickt sich auf dem Hacker Server eine beliebige IP-Adresse heraus. Die IP-Adresse gehört einem Rechner der eine Firewall besitzt, nun versucht der Hacker einen Trojaner auf einem Port heimlich einzuschleusen
so das ,das Opfer (Rechner) gar nichts von dem einschleusen des Trojaners mitbekommt nun wartet der Hacker auf die Meldung das der Trojaner erfolgreich installiert wurde. Dabei hat die Firewall den Trojaner schon beim einschleusen entdeckt und lässt den Trojaner nicht durch jetzt kommt es auf die Firewall an bei manchen war es das dann schon andere machen hingegen den Hacker zum Opfer .Indem die Firewall den Trojaner erkennt und dem Hacker der wartend vorm Rechner sitzt jetzt die Nachricht schreibt das der Trojaner erfolgreich installiert wurde .Gleichzeitig macht sich die Firewall auf den weg die IP-Adresse des Hackers heraus zu finden (Trace Routing). Dies dauert wenige Sekunden ,hat er ihn gefunden bringt er ihn sofort durch einen der geöffneten Standartports durch "Nuken" zum Systemabsturz.
Dies ist eine sehr aufwendige Variante von Firewalls Systemen. Da sich zwischen zwei Firewall-Systemen eine so genannte DMZ (demilitarisierte Zone ) der öffentlich erreichbaren Dienste (Webserver,...) befindet zum Beispiel: INTERNET - FIREWALL - DMZ - FIREWALL - INTRANET
Dabei befinden sich in der DMZ alle nach außen exponierten Systeme (WWW-Server, FTP-Server, Gateways,...). Diese werden von Maschinen des inneren Netzes (Intranet) als grundsätzlich nicht vertrauenswürdig eingestuft da der fall ja eintreten könnte das jemand in die Maschinen eingebrochen ist. Die Idee bei DMZ war es einen potentiellen Angreifer mehrere Barrieren in den weg zu legen und damit dem Angreifer seine Aktion wesentlich zu erschweren und zum anderen die sensitiven Systeme so weit wie möglich aus seiner Reichweite zu entfernen. DMZ ist so sicher weil bis der Angreifer es in eine Maschine des internen Netzes (Intranet) geschafft hat muss er somit 2 Firewalls und mehrere Maschinen knacken dabei sollten einige Alarm Signale ausgelöst werden. Die Maschinen der DMZ sollten natürlich auch so konfiguriert sein das nur Dienste darauf laufen die wirklich benötigt werden da je weniger offene Dienste desto weniger potentielle Angriffspunkte.
Einbrüche sind die häufigsten Angriffe. Durch Einbrüche in fremde Rechner können die Angreifer den betroffenen Rechner für sich benutzen , die meisten Angreifer wollen die Rechner wie die legitimen Benutzer verwenden. Die Angriffsmethode besteht in der Manipulation von Benutzern , mehrere Beispiele dazu :
Beispiel 1. Der Angreifer bringt einen Namen eines Leitenden Angestellten in Erfahrung ,gibt sich bei dem Systemverwalter als die Person aus und bittet um die sofortige Änderung des Passworts, um äußerst wichtige Arbeiten zu erledigen.
Beispiel 2. Der Angreifer versucht durch Raten das Passwort heraus zubekommen, da es immer noch viele Menschen gibt die bei der Vergebung des Passwortes einfachste Zahlenkombinahtonen wie 12345 benutzen .Um Einbrüchen durch einfaches Erraten zu verhindern, werden Firewalls meist mit nicht wieder verwendbaren Passwörtern konfiguriert .Selbst wenn diese Technik des erraten nicht benutzt wird, liefert eine Firewall immer ein klar definierte Stelle , an der alle Zugriffsversuche protokolliert werden und somit jeder versuch des Erratens aufgedeckt wird.
Ein Angriff durch Lahmlegung eines Dienstes ist häufig darauf gerichtet, das der Benutzer an der Benutzung seines Rechners gehindert werden soll. Elektronische Sabotage führt in vielen fällen zur Zerstörung von Daten oder Geräten .Meistens wird aber mit Informationsüberflutung gearbeitet ,ein Eindringling überlastet das System derart mit Beispielsweise Nachrichten, Prozessen oder Netzanfragen, das keine effektive Arbeit des Systems mehr möglich ist .Ein raffinierter Angreifer kann Dienste deaktivieren, sie umleiten oder ersetzen. Manchmal ergibt sich für Angreifer eine Situation in der sie kaum verlieren können .Da nämlich viele Standorte zum Beispiel ihre Kennungen so einrichten das nach einer Vielzahl von gescheiterten Login-Versuchen die Kennungen ungültig werden .Dies hindert den Angreifer solange die Passwörter durchzuprobieren, bis er das richtige gefunden hat. Andererseits erhält der Angreifer dadurch die Möglichkeit für eine Attacke über eine Ablehnung eines Dienstes .Angreifer setzen einfach alle Benutzererkennungen außer Kraft, indem sie sich einige Male versuchen einzuloggen.
Die meisten Informationsdiebe versuchen , sich den Zugang zu fremden Rechnern zu beschaffen dort suchen sie nach Benutzernamen und Passwörtern. Dummerweise sind diese Informationen die am leichtesten zugänglich sind beim abhören eines Netzes. Es gibt verschiedene Möglichkeiten , sich gegen Informationsdiebstahl zuschützen. Eine Firewall schütz einen vor Benutzern die an mehr Informationen gelangen wollen, als man selbst heraus geben will. Hat man allerdings erst einmal beschlossen, Informationen über das Internet zu verbreiten, ist es sehr schwierig zu vermeiden dass diese Informationen in die falschen Hände gelangen. Dies kann durch Vorspiegelung falscher Tatsachen oder durch das abhören des Netzes geschehen .Vor solchen Risiken kann eine Firewall jedoch nicht schützen da sie erst nachdem die Informationen das eigene Netz wie beabsichtigt verlassen haben.
Es bleibt anzumerken , dass die meisten Katastrophen nicht durch Böswilligkeit hervorgerufen werden, sondern meist Folge von Unfällen oder dummen Fehlern sind.
In der Studie (richard Power ,Current and Future Danger: ACSI Primer on Computer Crime and Information Warfare, Computer Securtiy Institute 1995) wird geschätzt ,das ca. 55% aller sicherheitsrelevanten Vorfälle durch naive oder schlecht geschulte Benutzer verursacht werden, die Dinge tun die sie besser lassen sollten.
Bei der Konstruktion einer Firewall muss man sich entscheiden auf welcher Ebene man den erlaubten vom verbotenen Datenverkehr trennen will. Dabei gibt es zwei wesentliche Möglichkeiten.
IP-Paket Filter - Für jedes IP-Paket wird allein auf der Basis entschieden ob es durch die Firewall darf oder nicht. Die meisten Router können mit Regeln für die Filterung der IP-Pakete programmiert werden doch ist zu beachten das es schnell zur Fehleranfälligkeit in der Verwendung kommt.
Proxy Systeme filtern den Datenstrom auf der Applikationsebene (Application Level Gateway). Sie nehmen dazu eine Vermittlungsposition zwischen den des internen Netzes und dem Internet ein. Wenn ein interner Rechner einen externen Server ansprechen will, so sendet er seine Daten nicht direkt dorthin, sondern statt dessen an den Proxy. Der Proxy kommuniziert dann im eigenen Namen mit dem externen Rechner und sendet das Ergebnis an den internen Rechner weiter. Dabei erscheint es dem externen Host so, als würde die Kommunikation vom Proxy ausgehen; die Existenz des internen Rechners wird also verschleiert. Allerdings sind nicht alle Protokolle für die Nutzung mit einem Proxy-Server geeignet. Teilweise ist es möglich durch geringfügige Anpassung des Benutzerverhaltens Protokolle über Proxy-Server zu nutzen, die sonst nicht dafür geeignet wären.
Eine technisch sehr simple Lösung setzt darauf, einen Rechner mit zwei (oder mehr) Netzanschlüssen (= Dual Homed Host) als Firewall einzusetzen. Dabei wird ein Anschluss mit dem externen Netzwerk verbunden und der/die andere/n mit dem internen Netz. Der Rechner kann nun alle Pakete die zwischen internem und externen Netzwerk passieren sowohl auf IP-Paket Ebene als auch auf Applikationsebene filtern. Das Problem dieser Lösung besteht darin, dass ein Rechner die einzige Verteidigung darstellt, und gleichzeitig eine relativ komplizierte (und damit fehleranfällige) Aufgabe zu erfüllen hat. Weiters werden IP-Pakete in einem Dual-Homed Host oft automatisch auf sehr tiefer Ebene des Betriebssystems geroutet, so dass es nötig ist, in das Betriebssystem einzugreifen um diese Funktion auszuschalten und einen Filter zu installieren.
Eine Firewall allein aus einem Dual-Homed Host
Eine günstigere Lösung (die allerdings mehr Hardware benötigt) besteht darin die Filterung auf IP-Paket Ebene von der Applikationsebene zu trennen. Dazu wird zwischen das interne Netzwerk und das Internet ein filternder Router installiert, der verhindert dass beliebige Knoten des internen Netzes direkt Daten nach außen senden. Nur der Bollwerksrechner darf Daten über den Router mit externen Rechnern kommunizieren. Alle anderen Knoten müssen sich an ihn wenden, so dass leicht auch auf Applikationsebene gefiltert werden kann. Durch die Zweiteilung entstehen automatisch zwei Verteidigungsebenen. Damit ist auch der Bollwerksrechner selbst bereits vor Angriffen geschützt, doch sollte nie übersehen werden, dass ein Angreifer, der den Router unter seine Kontrolle gebracht hat auf dem Netzwerk (auf dem auch aller interner Datenverkehr läuft) mithören kann, ohne den Bollwerksrechner zu überwinden.
Beispiel einer Firewall in der Screened Host Architektur
Um eine klarere Trennung von internem und externem Datenverkehr zu erreichen kann es klug sein (unter wiederum erhöhtem Hardwareaufwand) ein eigenes peripheres Netz zu errichten auf dem nur der (oder die) Bollwerksrechner sitzen. So kann ein Eindringling, selbst wenn er den externen Router und/oder den Bastion Host in seiner Gewalt hat noch immer nicht den rein internen Verkehr mithören.
Beispiel einer Firewall mit einem peripheren Netzwerk
Da Router relativ sichere Geräte sind ist es auch möglich den internen und externen Router in ein Gerät zusammen zu ziehen um so den Hardwareaufwand zu vermindern. Das setzt natürlich voraus, dass der Router hinreichend flexibel ist und sowohl eingehende als auch ausgehende Pakete filtern kann. Die Filter-Regeln des Routers müssen sicherstellen, dass nie direkt Daten vom internen zum externen Netz fließen, sondern dass das periphere Netzwerk stets Quelle oder Ziel jedes Pakets ist.
Es ist möglich internen und externen Router zu vereinigen.
Alternativ ist es möglich einen Dual-Homed Host als Bollwerksrechner zu verwenden und dadurch den externen Router zu sparen. Das führt zwar zu etwas größerer Verwundbarkeit des Bollwerksrechners und bringt nicht die gleiche Geschwindigkeit wie ein echter Router, doch sind die Sicherheitsverluste gering und die Datenrate im Internet wird oft mehr durch die Bandbreite des Netzzugangs als durch die Kapazität des Routers begrenzt.
Es ist möglich den externer Router und den Bollwerksrechner zu vereinen.
Allerdings ist es nicht tunlich den internen Router mit dem Bollwerksrechner zu vereinen, da nun wieder alle rein internen Datenströme am Bollwerksrechner vorbeikommen und bei einer Überwindung dieses Rechners dem Angreifer offen liegen.
Auch ist es unklug (etwa zum Zweck der Durchsatzsteigerung) mehrere interne Router zu verwenden. Nun besteht die Gefahr, dass der schnellste Weg von einem internen Knoten zu einem anderen über einen internen Router auf das periphere Netzwerk und über den anderen internen Router wieder ins interne Netz führt. Somit würden rein interne Daten über das periphere Netzwerk geleitet, wo sie (vergleichsweise) einfach abgehört werden können.
Es ist gefährlich mehrere interne Router zu betreiben.
Allerdings ist es durchaus möglich mehrere interne Netze an den internen Router der Firewall anzuschließen, da die Daten bei diesem Ansatz nicht auf das periphere Netzwerk gelangen. Somit ist diese Lösung gleich sicher wie die in Fig.6 dargestellte.
Es ist möglich mehrere interne Netzwerke an den interner Router einer Firewall anzuschließen.
Natürlich muss das Netzwerk hinter der Firewall nicht (wie bisher stets gezeichnet) aus einem linearen Strang bestehen. Vielmehr ist es ohne Probleme möglich beliebig komplexe Topologien hinter der Firewall einzusetzen.
Es ist möglich hinter der Firewall eine komplexe Netzwerkstruktur mit mehreren Subnetzen zu verwenden.
Wenn innerhalb des internen Netzwerkes Teile mit höherem und niedrigerem Sicherheitsniveau bestehen kann auch hier eine Firewall als Trennlinie eingesetzt werden.
Unsichere Subnetze innerhalb des internen Netzwerks können mit einer internen Firewall abgeschirmt
http://www.auto.tuwien.ac.at/
http://www.netz-sicherheits.de/
http://www.hausarbeiten.de/
http://clug.in-chemnitz.de/
http://www.feuerwallsho.de/
Entstehung der Firewall http://www.metager.de/
Einführung in Gateways http://www.metager.de/
Firewallsysteme mit DMZ http://www.metager.de/
Möglichkeiten von Firewalls http://www.metager.de/
Aufbau einer Firewall http://de.altavista.com/
Informationen zu Firewalls http://de.altavista.com/
Gateway firewalls http://de.altavista.com/
Firewalls technische Daten http://de.yahoo.com/
Aufbau von einer Firewall http://de.yahoo.com/
Einführung in Firewalls http://de.yahoo.com/
Wenn man eine Firewall besitzt , ist man viel sicherer im Internet. Außerdem ist eine Firewall kostenlos zu erwerben, da man auf sehr vielen Internetseiten einfach Firewalls downloaden kann. Außerdem kann man eine Firewall je nach eigenen Wunsch konfigurieren. Meiner Meinung nach sollte jeder der im Internet unterwegs ist eine Firewall besitzen.
