Login


 
Newsletter
Werbung
Mo, 20. November 2000, 00:00

Firewall - Teil 1

Einführung

Dieses Dokument behandelt die Einrichtung einer Paketfilter-Firewall unter dem Betriebssystem Linux. Nach einer kurzen Einführung und der Erklärung wichtiger Begriffe folgt ein Überblick über mögliche Angriffe. In den weiteren Kapiteln folgt die Einrichtung der Firewall sowie weiterer Sicherheitsvorkehrungen.

Was ist eine Firewall?

Das Wort "Firewall" stammt aus der englischen Sprache und bedeutet "Feuerwand". Diese Feuerwand ist eine Struktur, die die Ausbreitung eines Feuers verhindern soll.1

Gebäude haben Firewalls, die verschiedene Bereiche des Gebäudes komplett voneinander trennen. In einem Auto übernimmt die Metallplatte, welche den Motor von der Passagierkabine trennt, die Aufgaben einer Firewall.

In der Informatik wird Firewall als Bezeichnung für einen Computer benutzt, der die Schnittstelle zwischen Computernetzen darstellt, und gleichzeitig bestimmte Bereiche der Computernetze vor Angriffen und unerwünschten Zugriffen schützt.2

Warum wird eine Firewall benötigt?3

Die Zeiten, in denen Viren, die offline per herkömmlichen Datenträgern eingeschleppt wurden, die einzige Bedrohung für Computer darstellten, sind vorbei.

Durch die zunehmende Vernetzung von Firmen, Privathaushalten, Schulen, anderen öffentlichen Einrichtungen, und deren Anbindung an das Internet, müssen diese lokalen Netze vor Angriffe aus dem Internet, geschützt werden. Doch auch Angriffe aus dem eigenen Netz sind keine Seltenheit. Der Angreifer sitzt häufig in den eigenen Reihen.

Ohne eine Firewall bemerken die Netzadministratoren die Einbrüche durch Angreifer aus anderen Netzen oder dem Internet oftmals nicht.

Eine Firewall kann jedoch nur vor Angriffen schützen, wenn sämtlicher Datentransfer über die Firewall läuft. Die Firewall muß als Schnittstelle zwischen den angrenzenden Netzen dienen. Ist es dem Angreifer möglich, den Firewallrechner zu umgehen, so hat diese Ihr Ziel verfehlt, da sie keinen ausreichenden Schutz darstellt.

Beim Betrieb einer Firewall muß die gesamte Sicherheitsphilosophie beachtet werden. Eine Firewall ist nur ein Glied in einer Kette von Sicherheitsvorkehrungen, und bietet allein noch keinen ausreichenden Schutz vor Angriffen.4

Aufgaben einer Firewall5

Eine Firewall soll heutzutage eine Vielzahl von Aufgaben wahrnehmen, von denen der Schutz des lokalen Netzes die wichtigste, aber bei weitem nicht die einzige ist.

Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit:

Eine Firewall soll

  • das eigene Netz gegenüber dem Internet absichern
  • Angriffsversuche soweit möglich melden
  • Angriffe verhindern
  • Den Zugang ins Internet regeln (nach Zeit, Benutzer oder Rechner)
  • NAT bzw. Masquerading unterstützen6
  • Zugriffe auf bestimmte Seiten sperren (z.B. Sex-Sites)
  • HTTP- und FTP Zugriffe zwischenspeichern
  • Statistiken über benutzte Dienste und Webzugriffe liefern
  • sich für Mitarbeiter transparent verhalten
  • VPN mit mehreren Standorten ermöglichen
  • fernadministrierbar sein
  • ausfallsicher sein
  • sich schnell und verzögerungsfrei verhalten
  • einfach zu bedienen und zu warten sein

Arten von Firewalls

Man unterscheidet folgende Firewalltypen:

Paketfilter-Firewall

Sie ist das Thema dieses Dokuments. Eine Paketfilter-Firewall analysiert den gesamten Datenverkehr im Netzwerk über die Informationen im Header eines jeden Paketes. An Hand von aufgestellten Regeln (was darf sein, was nicht) wird entschieden, ob das Paket seinen Weg fortsetzen darf, oder ob es geblockt wird.

Proxy Firewall

Ein Proxy wird genutzt, um ausgehenden Datenverkehr zu überwachen. Alle Verbindungen werden protokolliert. So ist es jederzeit möglich, zu prüfen, was für Verbindungen zu einem bestimmten Zeitpunkt aktiv waren und von welcher Quelle diese Verbindungen ausgelöst wurden. Zusätzlich bieten viele Proxies die Möglichkeit, Daten zwischenzuspeichern, um Übertragungsvolumen zu sparen und den Zugriff auf die Daten zu beschleunigen. Alle Daten eines per Proxy angebotenen Dienstes werden an eine Applikation auf dem Firewallrechner weitergeleitet, die dann die Verbindung zum Ziel übernimmt. So bleiben die eigentlichen Quellen der Kommunikation geschützt im Verborgenen. Alle Anfragen scheinen vom Proxyserver zu kommen.

Auf diese Art von Firewall (auch Application Level Gateway genannt) soll in diesem Dokument nicht näher eingegangen werden.7

Grundlegende Begriffe und Mechanismen

IP-Adresse

Jeder Rechner, der an das Internet angeschlossen ist, erhält eine weltweit eindeutige Kennung, die Internet Protokoll Adresse, kurz IP-Adresse. Die IP-Adresse ist eine 32 Bit breite Binärzahl. Die einzelnen Bytes werden durch einen Punkt getrennt. Die vorderen Bits bezeichnen das Subnetz, in dem sich der Rechner befindet. Die restlichen Bits unterscheiden die einzelnen Rechner innerhalb dieses Subnetzes.8 Damit lassen sich in der aktuellen Version des Internet Protokolls (IPv4) 2 hoch 32, also 4.294.967.296 Rechner eindeutig bestimmen. Allerdings steht nicht der gesamte IP-Adreßbereich zur Verfügung, da einige Bereiche für andere Zwecke reserviert sind:

Privater Adreßbereich der Klasse A

Dieser Adreßbereich reicht von 10.0.0.0 bis 10.255.255.255 und ist für lokale Netze reserviert.

Privater Adreßbereich der Klasse B

Dieser Adreßbereich reicht von 172.16.0.0 bis 172.31.255.255 und ist ebenfalls für lokale Netze reserviert.

Privater Adreßbereich der Klasse C

Ein weiterer Bereich für lokale Netze, der von 192.168.0.0 bis 192.168.255.255 geht.9

Multicast-Adreßbereich der Klasse D

Dieser IP-Adreßbereich ist für Multicast-Anwendungen reserviert. Dabei handelt es sich um Audio- oder Videoanwendungen mit einer Quelle und vielen Empfängern. Der reservierte Bereich reicht von 224.0.0.0 bis 239.255.255.255.10

Reservierter Adreßbereich der Klasse E

Hierbei handelt es sich um einen Bereich, der für zukünftige und experimentelle Zwecke freigehalten wird. Er erstreckt sich von 240.0.0.0 bis 247.255.255.255.11

Es gibt noch einige weitere Blöcke, die von der IANA, Internet Assigned Numbers Authority, reserviert sind.12

Netzmaske

Durch die Netzmaske ist festgelegt, wie viele Bits einer IP-Adresse das Subnetz bilden. Jedes Subnetzbit erhält eine Eins, jedes Hostbit eine Null. Eine Netzmaske wird wie eine IP-Adresse durch vier Bytes angegeben: 255.255.255.0 beispielsweise bedeutet, daß die ersten 24 Bit der IP-Adresse dem Subnetz zuzuordnen sind, während die letzten 8 Bit die einzelnen Rechner im Subnetz unterscheiden. Neben dieser Schreibweise ist es auch sehr verbreitet, die Netzmaske als Anzahl der Subnetz-Bits anzugeben. Bei einer IP-Adresse wie 192.168.1.15/24 beispielsweise stehen die ersten 24 Bits für das Subnetz und die letzten 8 Bits kennzeichnen den Host.13

Router

Router haben die Aufgabe, Netzwerkpakete weiterzuleiten. Ein IP-Paket erreicht sein Ziel über eine Reihe von Routern, die das Paket an einem Netzwerkinterface entgegennehmen und nach den Angaben ihrer Routertabellen an ein anderes Interface weiterleiten.14

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Frohe Ostern
Neue Nachrichten
Werbung