Einführung der Firewall im Computernetzwerk
Wenn die Nutzer zweier Computer im Haus auf die jeweils anderen Daten zugreifen möchten, ist es notwendig, ein Netzwerk einzurichten.
Inhaltsverzeichnis
Hierfür muss der jeweilige Besitzer des PCs eine Freigabe veranlassen, so dass der andere auf die Daten zugreifen kann.
- Akzeptieren: den Datenverkehr zulassen.
- Ablehnen: blockiert den Datenverkehr, antwortet aber mit einem "unreachable error".
- Verwerfen: blockiert den Datenverkehr ohne Antwort.
Eine Firewall bildet eine Barriere zwischen gesicherten internen Netzwerken und externen, nicht vertrauenswürdigen Netzwerken, wie z. B. dem Internet.
Geschichte und Notwendigkeit von Firewalls
Vor der Einführung von Firewalls wurde die Netzwerksicherheit durch Access Control Lists (ACLs) auf Routern gewährleistet. ACLs sind Regeln, die bestimmen, ob der Netzwerkzugriff für eine bestimmte IP-Adresse gewährt oder verweigert werden soll.
ACLs können jedoch nicht die Art des Pakets bestimmen, das sie blockieren. Außerdem sind ACLs allein nicht in der Lage, Bedrohungen aus dem Netzwerk fernzuhalten. Daher wurde die Firewall eingeführt.
Die Anbindung an das Internet ist für Unternehmen nicht mehr optional. Der Zugriff auf das Internet bietet Vorteile für die Organisation; er ermöglicht es auch der Außenwelt, mit dem internen Netzwerk der Organisation zu interagieren. Dies stellt eine Bedrohung für die Organisation dar. Um das interne Netzwerk vor unberechtigtem Datenverkehr zu schützen, benötigen wir eine Firewall.
Wie eine Firewall funktioniert
Die Firewall gleicht den Netzwerkverkehr mit dem in ihrer Tabelle definierten Regelsatz ab. Sobald die Regel zutrifft, wird eine entsprechende Aktion auf den Netzwerkverkehr angewendet. Beispielsweise werden Regeln so definiert, dass ein Mitarbeiter der Personalabteilung nicht auf die Daten des Codeservers zugreifen kann, und gleichzeitig wird eine andere Regel so definiert, dass der Systemadministrator sowohl auf die Daten der Personal- als auch der technischen Abteilung zugreifen kann. Die Regeln können auf der Firewall je nach Notwendigkeit und Sicherheitsrichtlinien der Organisation definiert werden.
Aus der Sicht eines Servers kann der Netzwerkverkehr entweder ausgehend oder eingehend sein. Die Firewall unterhält einen eigenen Satz von Regeln für beide Fälle. Meistens wird der ausgehende Datenverkehr, der vom Server selbst stammt, zugelassen. Dennoch ist es immer besser, eine Regel für den ausgehenden Datenverkehr festzulegen, um mehr Sicherheit zu erreichen und unerwünschte Kommunikation zu verhindern.
Eingehender Datenverkehr wird anders behandelt. Der größte Teil des Datenverkehrs, der auf der Firewall ankommt, ist eines der drei wichtigsten Transportschichtprotokolle - TCP, UDP oder ICMP. Alle diese Protokolle haben eine Quelladresse und eine Zieladresse. Außerdem haben TCP und UDP Portnummern. ICMP verwendet anstelle der Portnummer einen Typcode, der den Zweck des Pakets identifiziert.
Standardrichtlinie: Es ist sehr schwierig, jede mögliche Regel auf der Firewall explizit abzudecken. Aus diesem Grund muss die Firewall immer eine Standardrichtlinie haben. Die Standardrichtlinie besteht nur aus der Aktion (akzeptieren, ablehnen oder verwerfen).
Angenommen, auf der Firewall ist keine Regel für die SSH-Verbindung zum Server definiert. Dann folgt sie der Standardrichtlinie. Wenn die Standardrichtlinie auf der Firewall auf Akzeptieren eingestellt ist, kann jeder Computer außerhalb Ihres Büros eine SSH-Verbindung zum Server herstellen. Daher ist es immer eine gute Praxis, die Standardrichtlinie auf "Ablehnen" (oder "Zurückweisen") einzustellen.
Kategorie von Firewalls
Firewalls können anhand ihrer Art kategorisiert werden.
Erste Kategorie - Paketfilter-Firewall: Die Paketfilter-Firewall wird zur Kontrolle des Netzwerkzugriffs verwendet, indem sie ausgehende und eingehende Pakete überwacht und sie auf der Grundlage von Quell- und Ziel-IP-Adresse, Protokollen und Ports passieren lässt oder blockiert. Sie analysiert den Datenverkehr auf der Transportprotokollschicht (verwendet aber hauptsächlich die ersten 3 Schichten).
Paket-Firewalls behandeln jedes Paket isoliert. Sie haben keine Möglichkeit zu erkennen, ob ein Paket Teil eines bestehenden Verkehrsstroms ist. Sie kann die Pakete nur auf der Grundlage eindeutiger Paket-Header zulassen oder verweigern.
Die paketfilternde Firewall unterhält eine Filtertabelle, die entscheidet, ob das Paket weitergeleitet oder verworfen wird. Aus der gegebenen Filtertabelle werden die Pakete nach den folgenden Regeln gefiltert:
Source IP Dest. IP Source Port Dest. Port Action 1 192.168.10.0 - - -- deny 2 - - - 23 deny 3 - 192.168.10.2 - -- deny 4 - 192.168.10.0 - >1023 allow - Eingehende Pakete aus dem Netzwerk 192.168.10.0 werden blockiert.
- Eingehende Pakete, die für den internen TELNET-Server (Port 23) bestimmt sind, werden blockiert.
- Eingehende Pakete, die für den Host 192.168.10.2 bestimmt sind, werden blockiert.
- Alle bekannten Dienste zum Netzwerk 192.168.10.0 sind erlaubt.
- Zweite Kategorie - Stateful Inspection Firewall: Stateful Firewalls sind in der Lage, den Verbindungsstatus von Paketen zu bestimmen, im Gegensatz zur Paketfilter-Firewall, was sie effizienter macht. Sie verfolgt den Zustand der Netzwerkverbindung, die über sie läuft, wie z. B. TCP-Streams. Die Filterentscheidungen basieren also nicht nur auf definierten Regeln, sondern auch auf der Historie des Pakets in der Statustabelle.
Dritte Kategorie der Firewall - Application Layer Firewall: Die Application Layer Firewall kann die Pakete auf jeder OSI-Schicht, bis hin zur Anwendungsschicht, untersuchen und filtern. Sie ist in der Lage, bestimmte Inhalte zu blockieren und auch zu erkennen, wenn bestimmte Anwendungen und Protokolle (wie HTTP, FTP) missbraucht werden.
Mit anderen Worten: Application Layer Firewalls sind Hosts, die Proxy-Server betreiben. Eine Proxy-Firewall verhindert die direkte Verbindung zwischen beiden Seiten der Firewall, jedes Paket muss durch den Proxy laufen. Sie kann den Datenverkehr basierend auf vordefinierten Regeln zulassen oder blockieren.
Hinweis: Application Layer Firewalls können auch als Network Address Translator (NAT) eingesetzt werden.
- Next Generation Firewalls (NGFW): Next Generation Firewalls werden heutzutage eingesetzt, um moderne Sicherheitsverletzungen wie fortgeschrittene Malware-Angriffe und Angriffe auf der Anwendungsschicht zu verhindern. NGFW besteht aus Deep Packet Inspection, Application Inspection, SSL/SSH-Inspektion und vielen weiteren Funktionalitäten, um das Netzwerk vor diesen modernen Bedrohungen zu schützen.
Typen von Firewalls
Firewalls werden im Allgemeinen in zwei Typen unterteilt: Host-basiert und Netzwerk-basiert.
- Host-basierte Firewalls: Eine Host-basierte Firewall ist auf jedem Netzwerkknoten installiert und kontrolliert jedes ein- und ausgehende Paket. Sie ist eine Software-Anwendung oder eine Suite von Anwendungen, die als Teil des Betriebssystems geliefert wird. Host-basierte Firewalls werden benötigt, da Netzwerk-Firewalls keinen Schutz innerhalb eines vertrauenswürdigen Netzwerks bieten können. Die Host-Firewall schützt jeden einzelnen Host vor Angriffen und unberechtigtem Zugriff.
- Netzwerkbasierte Firewalls: Netzwerk-Firewalls funktionieren auf Netzwerkebene. Mit anderen Worten: Diese Firewalls filtern den gesamten ein- und ausgehenden Datenverkehr im Netzwerk. Sie schützt das interne Netzwerk, indem sie den Datenverkehr anhand von in der Firewall definierten Regeln filtert. Eine Netzwerk-Firewall kann über zwei oder mehr Netzwerkkarten (NICs) verfügen. Eine netzwerkbasierte Firewall ist normalerweise ein dediziertes System, auf dem eine proprietäre Software installiert ist.
Beide Arten von Firewalls haben ihre eigenen Vorteile.