Firewall
Wikipedia
http://de.wikipedia.org/wiki/Hauptseite
MediaWiki 1.7alpha
first-letter
Media
Spezial
Diskussion
Benutzer
Benutzer Diskussion
Wikipedia
Wikipedia Diskussion
Bild
Bild Diskussion
MediaWiki
MediaWiki Diskussion
Vorlage
Vorlage Diskussion
Hilfe
Hilfe Diskussion
Kategorie
Kategorie Diskussion
Portal
Portal Diskussion
Firewall
8104
17008971
2006-05-23T12:25:06Z
80686
32254
/* Netzwerk-Firewall */
{{Dieser Artikel|behandelt die Firewall als Soft- bzw. Hardware. Für weitere Bedeutungen, siehe [[Firewall (Begriffsklärung)]].}}
{{überarbeiten}}
Eine '''Firewall''' (von engl. ''firewall'' [ˈfaɪəwɔːl] „die [[Brandwand]]“) ist ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen [[Rechnernetz]]en beschränkt, um ein [[Netzwerksicherheit|Sicherheitskonzept]] umzusetzen.
Hardwarekomponenten einer Firewall sind Rechner mit Netzwerkschnittstellen wie [[Router]] oder [[Host]]s; Softwarekomponenten sind beispielsweise [[Paketfilter]] oder [[Proxyserver]]. Ein häufiger Einsatzzweck einer Firewall besteht darin, den Datenverkehr zwischen einem zu schützenden lokalen Netzwerk ([[Local Area Network|LAN]]) und dem [[Internet]] zu kontrollieren.
== Grundgedanke ==
Firewalls sitzen an den Schnittstellen zwischen einzelnen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr passieren zu lassen. Der häufigste Einsatz einer Firewall besteht darin, den Verkehr zwischen einem [[Local Area Network|lokalen Netz]] (LAN) und dem [[Internet]] zu kontrollieren. Ein komplexes Szenario stellt die [[Demilitarized Zone]] (DMZ) dar.
Prinzipiell rechtfertigt nicht nur der Übergang LAN-Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Zonen Rechnung zu tragen.
Dementsprechend besitzt eine Firewall zwei wesentliche Aufgaben:
* Unterbinden von ungewolltem Datenverkehr von externen Computersystemen zum geschützten Bereich
* Unterbinden von ungewolltem Datenverkehr vom geschützten Bereich zu externen Systemen
Rund um das Thema Firewall existieren viele Begriffe, die teilweise richtig sind, aber sehr oft nur die halbe Wahrheit vermitteln. Umgangssprachlich ist mit einer Firewall häufig die [[Software]] gemeint, welche den Datenverkehr zwischen den getrennten Bereichen kontrolliert und regelt. Man muss also zwischen dem (Sicherheits-)Konzept Firewall und der konkreten Realisierung der Firewall unterscheiden.
Das Sicherheitskonzept beschreibt Regeln, welche Informationen die Firewall passieren dürfen und welche nicht.
Realisiert wird das Konzept durch eine [[Software]], die auf einer (oftmals speziellen) [[Hardware]] läuft.
Die Hardware ist dabei für das Empfangen und Senden der einzelnen [[Datenpaket]]e zuständig (und somit eigentlich kein sicherndes Element) und die [[Software]] regelt den Verkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?)
Dabei ist die Hardware häufig wie bei anderen Netzwerkelementen ([[Router]]n oder [[Gateway (Computer)|Gateway]]s) auch für die Aufgabenstellung optimiert (schnelle Prüfung von Paketen, hochperformantes Empfangen und Senden von Paketen, etc.).
'''Host-Firewall (Software) und Netzwerk-Firewall (Hardware)'''
Umgangssprachlich wird häufig von Hardware- oder Software-Firewall gesprochen. Bei dieser Unterscheidung handelt es sich in erster Linie um eine nicht-technische Definition. Die Unterscheidung von Hard- und Software-Firewall ist technisch gesehen unsinnig. Zu jeder Firewall gehört Software, und diese muss auf Hardware ausgeführt werden. Fälschlicherweise werden dedizierte Router, auf denen die Firewallsoftware ausgeführt wird, als Hardware-Firewall bezeichnet.
Personal Firewalls werden oft als Software-Firewall bezeichnet, aber auf dem PC ausgeführt. Sie benötigen also den PC als Hardware.
Wichtiger als die Bezeichnung als Hard- oder Software-Firewall ist das zugrunde liegende Betriebssystem. Software-Firewalls werden wie oben beschrieben auf PC's installiert und sind dadurch natürlich auch von den Sicherheitslücken des Betriebssystems betroffen. Hardware-Firewalls können auch auf Standard-Betriebssystemen beruhen (dort in der Regel Unix) und somit auch von Problemen dieser Betriebssysteme betroffen. Dazu kommen noch Bugs und Sicherheitslücken in der eigentlichen Firewall-Software.
Es gibt jedoch auch Hardware-Firewalls, welche mit einem speziell dafür entwickeltem Betriebssystem funktionieren, das heißt, das Betriebssystem ist gleichzeitig auch die Firewall-Software.
Auch diese kann natürlich Bugs und Sicherheitslücken enthalten, jedoch fällt die zusätzliche Fehlerquelle (Betriebssystem / Firewall-Software) durch die einheitliche Struktur (Firewall-Betriebssystem) weg.
Hardware-Firewalls werden deshalb als sicherer angesehen als Software-Firewalls.
== Netzwerk-Firewall ==
Üblicherweise wird ein Gerät „Hardware-Firewall“ genannt, wenn es sich um ein spezifisches Produkt für genau diesen Zweck handelt. Es ist ein Gerät mit mehreren Netzwerk-Schnittstellen und einer darauf laufenden Software, welche hauptsächlich als Firewall dient.
Die [[Hardwarekomponente]] hat im Regelfall drei [[Netzwerkschnittstelle]]n, an denen jeweils die zu trennenden [[Netz]]e angeschlossen sind. Die drei [[Schnittstelle]]n werden aus Sicherheitsgründen (oft aber wegen der [[Netzstruktur]] und damit aus der konzeptionellen Notwendigkeit) gewählt, damit gewährleistet ist, dass nur solche Pakete von einem Netz ins andere durchgelassen werden, die von der Software als gültig anerkannt werden.
Dabei unterscheidet man drei Netzwerkzonen:
# das externe Netz ([[Wide Area Network|WAN]]), heutzutage häufig das Internet, welches als nicht vertrauenswürdig gilt (Untrusted)
# die sogenannte demilitarisierte Zone ([[Demilitarized Zone|DMZ]]), in der vom externen Netz aus erreichbare [[Server]] beherbergt sind
# das interne Netz ([[Local Area Network|LAN]]), welches als vertrauenswürdig gilt (Trusted)
Es kann auch mehrere DMZs (typischerweise 3–6) mit jeweils unterschiedlichen Rechten geben, um z. B. gut gewarteten Serven mehr Rechte im [[Local Area Network|LAN]] zu geben als Servern, die eher unregelmäßig gewartet werden. Ebenso werden oftmals unterschiedliche Diensttypen, insofern sie auf unterschiedlicher Hardware untergebracht sind, ebenso in unterschiedlichen DMZs platziert. Die Verwendung von mehreren DMZs begrenzt die Möglichkeiten des Angreifers bei der [[Kompromittierung]] einer einzelnen DMZ. Im Extremfall geht dies bis zu einer kompletten Abschottung einer DMZ vom [[Local Area Network|LAN]] (= Verbindung nur zum [[Wide Area Network|WAN]]).
Oftmals handelt es sich bei einer Hardware-Firewall jedoch um eine Software-Firewall, die mit spezieller [[Hardware]] gebundelt wird.
== Host-Firewall ==
Handelt es sich bei der [[Hardware]], auf welcher die Firewall-[[Software]] läuft, nicht um ein spezifisches Gerät (sondern um beispielsweise einen [[Personal Computer|PC]] mit [[Linux]], [[Microsoft Windows|Windows]] oder auch eine [[Sun Microsystems|Sun]] Workstation), so wird eher Bezug auf die spezielle Software genommen und nennt es dann Software-Firewall. So werden zum Beispiel [[Personal Firewall]]s als Software-Firewalls bezeichnet, weil sie ja normalerweise auf dem (auch für andere Zwecke verwendeten) PC laufen.
Die [[Softwarekomponente]] der Firewall arbeitet auf den Schichten 2 bis 7 des [[OSI-Referenzmodell]]s, und demzufolge kann das [[Implementationsniveau]] sehr unterschiedlich ausfallen. Deswegen besteht eine Firewall oft aus verschiedenen Softwarekomponenten. Die verschiedenen Teile sollen hier kurz beschrieben werden:
=== Paketfilter ===
Ein Paketfilter trifft nur die Entscheidungen, die vollständig auf Paketbasis getroffen werden können, also vor allem auf Basis der Quell-/Zieladressen der Pakete.
Für weitere Informationen siehe Artikel '''[[Paketfilter]]'''
=== Content-Filter ===
Eine Firewall kann aber nicht nur auf der niedrigen Ebene des [[Paketfilter]]s arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein [[Content-Filter]] überprüft zum Beispiel die Inhalte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können zum Beispiel folgende sein:
* Herausfiltern von [[ActiveX]] und/oder [[JavaScript]] aus angeforderten [[Hypertext Markup Language|HTML]]-Seiten
* Filtern/Kennzeichen von [[Spam (E-Mail)|Spam-Mails]]
* Löschen von Viren-Mails
* Herausfiltern von vertraulichen Firmeninformationen (z. B. Bilanz)
Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist eventuell technisch nicht vollständig umsetzbar (sollen z. B. wirklich sicher und vollständig vertrauliche Informationen aus dem Datenverkehr zu nicht autorisierten Systemen herausgefiltert werden, so müsste u.a. das technische Problem gelöst werden, wie vertrauliche [[Steganographie|steganografische]] oder [[Kryptographie|verschlüsselte]] Informationen erkannt und gefiltert werden soll.
Trotz der in aktuellen Firewall-Systemen recht einfach gestalteten Regeln kann deren Ausführung sehr komplex werden: Häufig müssen einzelne Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z. B. [[Hypertext Markup Language|HTML]]-Seite) als Ganzes erkannt, durchsucht und eventuell verändert werden kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt werden und kann dann weitergeschickt werden.
Anmerkung: I) Üblicherweise ist das Löschen von Viren-Mails die Aufgabe von [[Virenscanner|Virenscannern]]. Virenscanner durchsuchen u.a. den gesamten ausgehenden und eingehenden Datenstrom nach Viren und löschen diese bei positivem Befund. Typischerweise ist dies nicht Aufgabe einer Firewall. II) Spam-Mails werden von [[Spamfilter|Spam-Filtern]] gekennzeichnet. Typischerweise ist dies nicht Aufgabe einer Firewall.
=== Proxy ===
''Hauptartikel: '''[[Proxy]]'''''
Viele Firewallsysteme besitzen einen oder mehrere integrierte transparente [[Proxy|Proxys]], die für Client und Server weitgehend unbemerkbar sind und von der Firewall automatisch auf entsprechende Verbindungen angewendet werden. Zweck dieser Proxys ist die (vereinfachte) Realisation der Protokollvalidierung und Anpassung (i. S. einer Normalisierung oder definierten Beschränkung) der übertragenen Protokollkommunikation zur Reduktion der Angriffsfläche auf Applikationsebene oder dem gezielten Sperren bestimmter Protokolltransaktionen (z. B. gezielte Verhinderung von [[Port Mode FTP]]). Firewallsysteme unterscheiden sich stark in der Anzahl und Art der von Proxys unterstützten Protokolle (z. B. [[File Transfer Protocol|FTP]], [[Domain Name System|DNS]], [[HTTP]], [[SMTP]], [[SQL*Net]], [[POP3]], [[MS-RPC]] usw.) sowie ggf. vorhandenen Konfigurationsmöglichkeiten für diese Proxys.
Ohne Proxy-Konzept sind die Möglichkeiten der Protokollnormalisierung sehr begrenzt, da ein aktives Eingreifen in den Datenstrom sich auf Verbindungsabbruch/Blacklisting beschränkt. Viele Firewalls mit Proxy können darüber hinaus Protokolloptionen anpassen, etwa in einer [[Simple Mail Access Protocol|SMTP]]-[[Transaktion]] kein BDAT, VRFY o. Ä. zulassen.
=== Application-Layer-Firewall ===
Ist eine Firewall, welche auf Schicht 7 (Applikationsschicht) des ISO-[[OSI-Modell]]s arbeitet. Eine Firewall, welche den Inhalt von angeforderten [[Hypertext Markup Language|HTML]]-Seiten vor der Auslieferung z. B. auf Viren überprüft, ist ein Beispiel für eine Application-Layer-Firewall.
=== Zustandsgesteuerte Filterung ===
Die Zustandsgesteuerte Filterung (engl. ''stateful inspection'') ist eine Methode zur Erweiterung der Funktion eines Paketfilters. Die Schwäche eines einfachen [[Paketfilter]]s ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen [[Datenpaket]] entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise [[IP-Adresse]]n und [[Port (Protokoll)|Ports]]) und kann ein neues [[Datenpaket]] einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem [[Proxy]] wird aber die Verbindung selbst nicht beeinflusst.
Die Firma [[Check Point|Check Point Software Technologies Ltd.]] nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668).
==== Vorteil ====
Der Vorteil von der Zustandsgesteuerten Filterung anhand eines Beispiels:
Kommuniziert ein Rechner ''A'' mit einem Rechner ''B'' über einen einfachen Paketfilter, so muss dieser zwei Verbindungen erlauben ([[Network Address Translation|NAT]] und Ähnliches weggelassen):
* Quelle ''A'' nach Ziel ''B''
* Quelle ''B'' nach Ziel ''A'' (für die Antwortpakete)
Das bedeutet, dass beide Rechner die Kommunikation aufnehmen können, da es keine Möglichkeit gibt zu klären, wer anfangen darf.
Bei der Zustandsgesteuerten Filterung wird nur eine Regel benötigt (bzw. die zweite wird implizit hinzugefügt):
* Quelle ''A'' nach Ziel ''B''
Der Paketfilter merkt sich, dass Rechner ''A'' mit Rechner ''B'' kommuniziert und erlaubt auch Antworten darauf von Rechner ''B'' an Rechner ''A''. Rechner ''B'' kann aber nicht beginnen.
Im Normalfall wird auch auf Quell- und Ziel[[Port (Protokoll)|port]] getestet (diese dürfen sich nicht mehr ändern, damit sie zur gleichen Verbindung gehören) und somit die Kommunikation auf genau eine mögliche Kommunikation beschränkt.
Noch weitergehende Systeme prüfen zusätzlich, ob ein Paket zu einem bestimmten Zeitpunkt in der Kommunikation überhaupt erlaubt ist (zum Beispiel weitere Pakete schicken, obwohl der andere Teilnehmer die Kommunikation bereits abgeschlossen hat).
== Personal Firewalls ==
''Hauptartikel: '''[[Personal Firewall]]'''''
Personal Firewalls oder auch Desktop Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Somit ist diese Art von Firewall nicht dafür gedacht, den Verkehr ''zwischen mehreren Netzen'' zu kontrollieren, sondern bestimmten Verkehr nicht in den lokalen Rechner hineinzulassen oder hinauszulassen. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch zu filtern. Viele Produkte legen ihren Schwerpunkt auf einfache Konfiguration. Die Schutzwirkung von Personal Firewalls ist allerdings eher gering.
== Beispiel ==
[[Bild:Konzeptioneller Aufbau einer Firewall.png|thumb|300px|Aufbau einer Firewall]]
Ein einfaches Konzept soll diese trockene Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr möchte man nur die Verbindungen zu einem Mail-Server aufbauen. Damit auch eine Recherche im Internet möglich ist, soll ein PC über einen [[Proxy]] Zugriff zu Webseiten erhalten. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass [[ActiveX]] aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird.
Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden.
== DSL-Modems/DSL-Router ==
[[Digital Subscriber Line|DSL]]-Router übernehmen normalerweise die [[Routing]]-Funktionalität und können Zugriffe aus dem Internet auf das lokale Netz blockieren (Portfilter-Funktionalität). Mit Hilfe von [[Network Address Translation|NAT]] ist es möglich, mehrere Rechner an einem [[DSL-Modem]] zu betreiben. Einen Content-Filter enthalten solche Produkte zumeist nicht.
== Produkte ==
*[[Endian Firewall]] ist eine Open Source Linux-Distribution für Firewall-Systeme.
*[[Astaro Security Linux]] ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
*[[pf]] ist eine OpenSource-Firewall die ursprünglich für OpenBSD ([[Berkeley Software Distribution]]) entwickelt und später auf andere BSD-Betriebssysteme portiert wurde.
*[[Smoothwall]] ist eine für Firewall-Systeme optimierte Linux-Distribution.
*[[Iptables|Netfilter]] – Paketfilter innerhalb des Linux-Kernels.
*Der Eindisketten-Router [[fli4l]] ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer [[Nachhaltigkeit (EDV)|nachhaltigen Nutzung]] die Verwendung von alten PCs als Firewall gestattet.
*[[IPCop]] ist eine einfach zu bedienende Linux-Distribution, die zum Ziel hat, eine durch und durch sichere Firewall zu sein.
*[[M0n0wall]] ist eine BSD basierende Firewall, die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
*[[BrazilFW]] ist eine selbst auf älteren PCs lauffähige Linux-Firewall, die sich auch mit einer Diskette begnügen kann.
*[[mGuard]] ist eine Hardware-Firewall zur Absicherung einzelner Server der Firma [[Innominate]]
*[[vantronix#Firewalls|.vtFW]] sind Firewalls auf Basis von [[OpenBSD]] [[pf (Paketfilter)|pf]] der Firma .[[vantronix]].
*[[Microsoft Internet Security and Acceleration Server]] ist eine kommerzielle Firewall von Microsoft.
== Siehe auch ==
* [[Computersicherheit]]
* [[Intrusion Detection System]]
* [[Air Gap]]
== Literatur ==
* Artymiak, Jacek: ''Building Firewalls with OpenBSD and PF, 2nd ed.'' devGuide.net, Lublin, 2003, ISBN 83-916651-1-9
* Barth, Wolfgang: ''Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux''. Millin-Verl., Poing, 2004, ISBN 3-89990-128-2
* Cheswick, William R. u.a.: ''Firewalls and internet security. Repelling the Wily Hacker''. Addison-Wesley, Boston, Mass., 2003, ISBN 0-201-63466-X
* Strobel, Stefan: ''Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze''. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X
* Zwicky, Elizabeth D. u. a.: ''Einrichten von Internet Firewalls. Behandelt Unix, Linux, Windows NT''. O'Reilly, Beijing 2001, ISBN 3-89721-169-6
== Weblinks ==
*[http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html de.comp.security.firewall FAQ]
*[http://www.computec.ch/download.php?list.8 computec.ch] – Freie deutschsprachige Publikationen zum Thema Firewalling
*[http://wiki.hackerboard.de/index.php/Firewall Firewall im Habo-WiKi] Detaillierte Konzepte & Erklärungen zum Thema Firewall
[[Kategorie:IT-Sicherheit]]
[[Kategorie:Computernetzwerk]]
[[cs:Firewall]]
[[da:Firewall]]
[[en:Firewall (networking)]]
[[eo:Fajromuro]]
[[es:Cortafuegos (informática)]]
[[fa:فایروال]]
[[fi:Palomuuri]]
[[fr:Pare-feu]]
[[he:חומת אש]]
[[hr:Vatrozid]]
[[hu:Tűzfal (számítástechnika)]]
[[it:Firewall]]
[[ja:ファイアーウォール]]
[[nl:Firewall]]
[[no:Brannmur]]
[[pl:Zapora sieciowa]]
[[pt:Firewall]]
[[ru:Межсетевой экран]]
[[sl:Požarni zid]]
[[sv:Brandvägg]]
[[th:ไฟร์วอลล์]]
[[tr:Ateş duvarı]]
[[zh:防火墙 (网络)]]
Diese Version des Artikels stammt vom 23.05.2006.
Der Inhalt dieser Seite basiert auf dem Artikel
„Firewall“ aus der freien Enzyklop�die
Wikipedia und ist unter der
GNU-Lizenz f�r freie Dokumentation ver�ffentlicht. Auf der Wikipedia-Seite ist eine
Liste der Autoren einzusehen.
