|
4.1. Packet Filter Firewall
Vor etwa 10 Jahren erschienen die ersten Firewalls, sogenannte Packet Filter Router. Diese einfachen Firewalls blockieren, oder lassen Verbindungen passieren, indem Sie die Informationen, die sie dem Header (Kopf) des ein- oder austretenden Datenpaketes entnehmen, mit einer Tabelle von Zugangskontrollrechten vergleichen. Wenn die IP-Adresse und die Port-Information erlaubt sind, wird das Paket durch die Firewall direkt zum Empfänger geschickt. Ein Paket, das diesen Test nicht besteht, wird von der Firewall fallen gelassen.
Analogie zur Verdeutlichung:
Wir sehen eine Firewall als elektronisches Pendant zu einem Pförtner. Alle Zugänge zu einem Betrieb/Gebäude sollen vom Sicherheitsservice überwacht werden (je weniger Zugänge es gibt, um so besser kann der Zutritt kontrolliert werden). Der Pförtner ist (wie ein Firewall System auch) ein Element in der Sicherheitspolitik einer Organisation. Er überprüft alle ein- und ausgehenden Personen und Objekte und verwehrt Unberechtigten den Zutritt.
Wie kontrolliert ein `Packet Filter` Pförtner ?
Wenn der Lkw eines Lieferanten am Werkstor mit seiner Lieferung vorfährt, schaut der `Packet Filter` Pförtner schnell auf die gültige Adresse des Lieferscheins, blickt auf das Logo an der Seite des Lkw, um zu schauen, ob es noch gültig aussieht. Dann sendet er den Lkw durch das Tor, damit die Lieferung zugestellt werden kann. Diese Methode ist sicherer, als kein Tor zu haben. Es ist allerdings recht einfach durchzuschlüpfen und eröffnet dann Zutritt zum gesamten Betriebsgelände.
IP-Adresse: Eine Internet-Protokoll-Adresse besteht aus einem Zahlencode von vier Zahlen, die durch Punkte getrennt werden. Damit ist jeder Internetrechner eindeutig adressierbar. Damit man sich solche Ziffernblöcke nicht merken muss, werden diese IP-Adressen in alphanumerische Bezeichner umgewandelt. `www.lego.com` ist einprägsamer als `194.182.232.1`. Wenn man unter Win 95/98 surft kann man unter winipcfg.exe die eigene IP-Adresse abragen.
Port: Jeder TCP (Transportebenenprotokoll)/IP Anwendung ist eine eigene Portnummer zugeordnet ( Bsp.: HTTP, FTP, usw.). Diese Portnummern werden als bekannte \"Portnummern\" bezeichnet, da sie von der IANA (Internet Assigned Numbers Authority) veröffentlicht wurden. Sie ermöglichen das Entwickeln von Applikationen, die auf häufig benutzten Dienste zugreifen (Bsp.: E-Mail). Ports sind Adressen an einem Server oder Rechner. Sie werden bei einer Datenverbindung jeweils angesprochen und werden auch als \"Dienstanschlüsse\" bezeichnet, weil durch sie eine bestimmte Anwendung auf einem Rechner aufgerufen wird. Portadressen sind in drei Gruppen unterteilt. Dies sind die \"well known Ports\", die \"registered ports\" und die \"dynamic and/or private ports\". Die \"well known Ports\" haben den Adressierungsbereich 0 bis 1023,die \"registered ports\" haben den Adressierungsbereich 1024 bis 49151, die \"dynamic and/or private ports\" haben den Adressierungsbereich 49152 bis 65535.
4.2. Stateful Packet Inspection Firewall
Um die eklatanten Sicherheitsprobleme im Packet Filter Modell zu überdecken, erfanden einige Hersteller ein Konzept, das als `Stateful Packet Inspection` bekannt ist. Es basiert auf der Packet-Filter-Technologie und versucht, einige der Prüfungen einer Application Proxy Firewall zu simulieren: Statt einfach auf die einzelnen Adressen eines Datenpakets zu schauen, unterbricht der Stateful Packet Inspection Firewall die eintreffenden Pakete auf der Netzwerkebene, bis sie genug Informationen hat, um über den Zustand der eingehenden Verbindung zu bestimmen. Diese Pakete werden dann in einem proprietären Inspektionsmodul innerhalb des Betriebssystem Kernels untersucht. Die Status bezogenen Informationen sind für die Sicherheitsentscheidung notwendig. Sie werden innerhalb dieses Inspektionsmoduls überprüft und anschließend in dynamischen Statustabellen abgelegt, um spätere Verbindungsversuche danach beurteilen zu können. Datenpakete, die abgefertigt sind, werden durch die Firewall befördert und es wird ein direkter Kontakt zwischen internem und externem System erlaubt. Weil die meisten der Überprüfungen im Kernel erfolgen, sind Stateful Packet Inspection Firewalls oftmals schneller als Appliction Proxy Firewalls.
Pförtner Analogie
Was macht nun ein Stateful Packet Inspection Pförtner ? Wenn die Lieferung kommt, sieht sich der Pförtner nicht nur die Adresse an, er überprüft auch den Lieferschein, ob etwas darin aufgelistet ist, das verboten ist. Das ist natürlich eine wesentlich bessere Überprüfung, aber nicht so sicher wie das tatsächliche Öffnen der Pakete und das Kontrollieren des Inhalts. Wenn die Lieferung dann akzeptabel aussieht, öffnet der Pförtner das Tor und gestattet dem Lkw die Fahrt auf das Firmengelände.
4.3. Application Proxy Firewall System
Eine wirklich zuverlässige Firewall entsteht aber nur dann, wenn direkte Verbindungen untersagt und alle eingehenden Daten auf höchster Ebene im Protokoll Stapel überprüft werden. Durch ein Application Proxy Firewall System wird eine deutlich erhöhte Sicherheit erreicht. Weil sie eine volle Durchsicht auf Applikationsebene hat, kann sie auf sehr einfache Art die Details jeder eingehenden Verbindung sehen und die nötige Sicherheitspolitik umsetzen. Nur eine Application Proxy Firewall trennt das interne und das externe Netz physikalisch und logisch voneinander. Jede eingehende Verbindung wird über das Application Proxy Firewall System geführt, und es gibt keine weiteren Zugänge zum zu schützenden Netzwerk. Darüber hinaus erhält keine eingehende Verbindung direkten Zugang zu dem gewünschten Zielsystem. Statt dessen wird jede Verbindung über eigens gestartete Proxies geführt. Für den Absender im unsicheren Netz entsteht jedoch der Eindruck, er hätte mit dem Zielsystem Verbindung. Ein solcher Stellvertreter (=Proxy) arbeitet für den Anwender unbemerkt und ermöglicht den problemlosen Austausch von Dateien. Auch eine Manipulation des Zielsystems ist ausgeschlossen, weil ein Angreifer durch die Application Proxy-Technik zu keiner Zeit Zugriff auf das Zielsystem erhält.
Pförtner Analogie
Der Application Proxy Pförtner schaut sich nicht nur die Adressen der eingehenden Lieferung an. Er öffnet auch jedes Paket, prüft den kompletten Inhalt und checkt die Ausweispapiere des Absenders gegen eine klar festgelegte Reihe von Beurteilungskriterien. Nach der erfolgten detaillierten Sicherheitsprüfung unterzeichnet der Pförtner den Lieferschein und schickt den Lkw-Fahrer weg. Statt dessen bestellt er einen vertrauenswürdigen, firmeneigenen Fahrer, der mit dem Lkw die Pakete zum Empfänger bringt. Die Sicherheitskontrollen sind hier wesentlich zuverlässiger und der fremde Fahrer erhält keinen Einblick in das Firmengelände. Diese Überprüfungen nehmen natürlich Zeit in Anspruch, dafür kommt es aber selten zu sicherheitsgefährdenden Aktivitäten.
4.4. Fazit
Obwohl Stateful Packet Inspection Firewalls im Gegensatz zu reinen Packet Filtern eine deutlich höhere Sicherheit bieten, können sie nicht die volle Einsicht in die Datenpakete simulieren, die eine Application Proxy Firewall bietet. Beispielsweise wird eine Stateful Packet Inspection Firewall typischerweise bei Sicherheitschecks scheitern, die die Sammlung von größeren Einheiten erfordern, zum Beispiel bei Dateien. Eine Stateful Packet Inspection Firewall muss Sicherheitsentscheidungen treffen, obwohl sie nicht den vollen Einblick in die Datenpakete hat. Den bietet jedoch eine Application Proxy Firewall, da sie jeden Versuch auf der höchsten Schicht im Protokoll Stapel genaustens analysiert.
Weiterhin ist es gut möglich, eine Stateful Packet Inspection Firewall fehl zu konfigurieren und gefährliche Dienste durch die Firewall zu schleusen, ist es bei einer Application Proxy Firewall, schon aufgrund Ihres Designs wesentlich schwieriger, Fehler bei der Konfiguration zu machen.
Aufgrund der überlegenen Sicherheit sind Application Proxy Firewall Systeme der Standart in jeden Sicherheitsbewußten Branchen wie Behörden, Verteidigung, Finanz- und Gesundheitswesen. Weltweit stellen sie das zur Zeit verbreitetste Firewall Verfahren dar.
|
