Mobile-Menu

Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 6 Sicherheitslösungen für Netzwerke – Firewall-Systeme

Autor / Redakteur: Karin Winkler / Dipl.-Ing. (FH) Andreas Donner

Bei Firewalls handelt es sich allgemein um Einrichtungen, die dazu geeignet sind, ein gesichertes, privates Netzwerk an ein ungesichertes, z.B. öffentliches Netzwerk, anzukoppeln, ohne die Privatheit des ersteren zu kompromittieren.

Firewall-systeme bieten guten Schutz bei der Kopplung von Intranets mit dem Internet.
Firewall-systeme bieten guten Schutz bei der Kopplung von Intranets mit dem Internet.
( Archiv: Vogel Business Media )

Konkret geht es beim Einsatz von Firewalls um die Kopplung von Intranets an das Internet, damit alle oder bestimmte speziell autorisierte Benutzer zusätzlich zu den Leistungen des eigenen Intranets auch Informationen aus dem Internet holen können, ohne dass jemand aus dem Internet wahllos auf das Intranet und die dort gespeicherten Informationen zugreifen kann.

Diese strenge Zweiteilung ist ein möglicher Ansatz. Eine weitere Alternative ergibt sich, wenn man auch den Internet-Teilnehmern teilweise kontrollierten Zugang ermöglichen möchte, z.B. im Rahmen des allgemeinen Geschäftsprozesses. Dann spricht man auch von der Schaffung einer demilitarisierten Zone (DMZ) und erzeugt drei Bereiche: das völlig ungesicherte Internet, die teilweise gesicherte DMZ und das völlig gesicherte Intranet. In jedem Falle stellen die Firewalls den einzigen Zugang vom gesicherten zum ungesicherten Netzwerk bzw. den Übergang zwischen den Zonen dar.

Die Zugriffskontrollsysteme von Firewalls können auf verschiedenen Ebenen angesiedelt und in unterschiedlicher Weise miteinander kombiniert werden. Die unterste Schicht, auf der eine Einwirkung sinnvoll erscheint, ist die Vermittlungsschicht mit dem IP-Protokoll. Hier wird man anhand von Kennungen, Portnummern und IP-Adressen die Benutzer festlegen, die vom Intranet auf das Internet zugreifen dürfen.

Die Filterung ist über diese Ebene hinaus transparent, lässt also beliebige TCP-Schaltkreise und Anwendungen zu. Solange man keinerlei Zugriff von außen auf das Intranet zulässt, bietet diese Form von Firewalls einen elementaren Basisschutz. Definiert man aber auch nur einige wenige Benutzeradressen für den Zugriff vom Internet auf das Intranet, ist eine solche Paketfilter-Firewall anfällig gegen Angriffe nach Art des IP-Spoofings.

Ähnliche Maßnahmen auf Layer 4

Ähnliche Maßnahmen lassen sich auch auf Schicht vier mit dem TCP-Protokoll durchführen. Unter gleichen Randbedingungen ergeben sich vergleichbare Ergebnisse. Alle Paketfilter lassen sich leicht und preiswert implementieren, bieten aber nur elementaren Basisschutz. Sie sind daher vornehmlich für die Durchsetzung einer inneren Strukturierung geeignet. Neben dedizierten Rechensystemen ist natürlich eine Realisierung von Paketfiltern auf Routern oder anderen Einrichtungen für die Schaffung virtueller Netze möglich.

Die nächst strengere Bauart ist das Circuit-Relay. Hier werden komplette Relationen zwischen TCP/IP-Endeinrichtungen als Basis der Schutzdefinition verwendet. Zur Definition muss klar sein, wer mit wem wie und mit welchen Parametern ggf. wann kommunizieren darf. Die Schutzdefinition ist eine recht unmittelbare Anwendung der Sicherheitspolitik. Lediglich die im Rahmen der Kommunikation betroffenen Anwendungen bleiben unberührt.

Das Circuit-Relay

Das Circuit-Relay ist ideal für die Definition von Benutzern des Intranets, die sich ohne weitere Einschränkungen im Internet bewegen sollen. Es ist hervorragend für die interne Realisierung von Abschottungen geeignet, denn die notwendige Komplexität eines erfolgversprechenden Angriffs ist so hoch, dass eine unentdeckte Durchführung von innen eher unwahrscheinlich ist. Allerdings kann ein Circuit Relay erheblich auf die Leistung drücken. Gegen gezielte Angriffe auf Anwendungen z.B. durch die Erzeugung offener Verbindungen ist ein Circuit Relay allerdings machtlos. Es eignet sich also auch nur bedingt für den Schutz des Intranets, wenn man Benutzer von außen zulassen möchte.

weiter mit: Application Gateways

(ID:2052465)