Firewall-Typen

 

Firewalls haben die Aufgabe zwischen zwei Netzwerken als Brandmauer eingesetzt zu werden und dafür Sorge zu tragen, dass nur das was den Regeln entspricht auch übertragen wird.

 

Paketfilter-Firewall



  • Diese wertet die Header-Informationen von einem ankommenden Paket aus und entscheidet dann, was Sie damit tut.
  • In diesen Header-Informationen steht z.B. drin… „Ich bin ein UDP-Protokoll“, „Ich gehöre zu Port 80, …“
  • Jetzt wird anhand der Netzweradresse über Sperre oder Freigabe entschieden – also brauchen wir Regeln..
  • Regeln sind in einer Paketfilter-Firewall statisch!
  • Statisch bedeutet, dass klar drin steht: „Port 80 darf“, „Port 115 darf nicht“, es wird nicht variiert
  • Jedes Paket wird einzeln betrachtet, denn sie kann nicht erkennen, dass es sich um ein Folgepaket handelt
  • Die Filterung erfolgt nur anhand von von Port bzw. IP-Adressen
  • Eine Paketfilter-Firewall bildet immer noch eine Grundlage für alle anderen Firewall-Typen


Stateful-Inspection Firewall


  • Im Vergleich zu der Paketfilter-Firewall wurde hier ein Zusatz eingebaut, hier wird nicht mehr stur nach „Port darf oder darf nicht“ geschaut
  • Sie arbeitet Zustandsorientiert und mit dynamischen Paketfilter-Reglen
  • Jedes Paket wird einer bestimmten aktvien Stitzung zugeordnet
  • Die Firewall kannn also unterscheiden, ob ein Paket zu einer logischen Abfolge (Protokolltechnisch) von Paketen gehört, oder ob es willkürlich geschickt wurde, um evtl. Schaden anzurichten
  • Pakete, die in keine Sitzung passen, werden also gesperrt – auch wenn es von der Portinformationen, theorethisch gepasst hätte
  • DoS-Angriffe können so erkannt und vermieden werden

Eine Paketfilter-Firewall könnte nicht erkennen, ob es sich um ein Paket handelt, welches im Zusammenhang mit anderen Paketen an Port 80 kommt oder ob es sich um ein einzelnes Paket an Port 80 handelt.

 

 

Regelwerk - Paketfilter-Firewall

Rechner A nach Rechner B – HTTP Port 80

Bei einer Paketfilter-Firewall muss jetzt auch der Rückweg freigeschaltet werden, da diese ja keine Verbindungen zwsichen dem Hin- und Rückpaket erkennen

Rechner B nach Rechner A – HTTP Port 80

Rechner A darf Webseiten auf Rechner B aufrufen

Rechner B darf aber auch Webseiten auf Rechner A aufrufen


Eine Paketfilter-Firewall muss IMMER beide Richtungen beschreiben, deshalb muss manchmal mehr definiert werden als gewollt.
Heute gibt es diese deshalb nicht mehr in dieser Form!

Eine Einschränkung in eine Richtung ist nicht möglich!

Regelwerk Stateful-Inspection Firewall

Rechner A nach Rechner B – HTTP Port 80

Rechner A darf Webseiten auf Rechner B aufrufen

Rechner B darf keine Webseiten auf Rechner A aufrufen

Dennoch wird das Paket zurückgeschickt, denn eine SPI-Firewall erkennt, dass ein Paket, das zurückläuft eine Folge auf ein Paket ist, welches die Firewall bereits passiert hat.

Eine SPI-firewall muss nur eine Richtung beschreiben

Die Firewall ist also im Stande zu erkennen, ob es sich hier um einen normalen Netzwerktranfer (Protokolltransfer) handelt oder ob jemand etwas böses im Schilde führt!

Die Regel des Rückwegs wird also hier automatisch erzeugt

Mit dem Ende der Verbindung wird die Regel des Rückwegs gelöscht

Diese Regel wird dann nicht mehr gebraucht, nachdem die Verbindung beendet ist, deshalb wird Sie auch gelöscht!

Wenn das nächste Mal der Port wieder angesprochen wird, wird eine neue dynamische Regel aufgebaut


A pplication Firewalls gehen noch einen Schritt weiter. Sie können nämlich im Vergleich zu den beiden oben beschrieben Typen erkennen, was sich in den Datenpaketen befindet!

 

  • Dieser Typ von Firewall greift auf den Dateninhalt des IP-Pakets zu
  • Überprüft, ob der Dateninhalt zu dem angesprochenen Dienst passt
  • Wenn z.B. HTTP erwartet, wird auf HTTP überprüft


Es gibt zum Beispiel auch Application Firewalls, die SQL-Statements erkennen können und somit feststellen können, dass eine bestimmte Abfrage viel zu oft kommt. Dann wird diese Information auch rausgeworfen!


Eine Application Firewall ...

… ist den Anderen gegenüber eindeutig im Vorteil, denn Sie weiß was in den Paketen steckt und kann anhand dessen entscheiden, ob das Paket durchkommt oder nicht…auch wenn der Port und die Verbindung zwischen den Paketen stimmen!




Proxy Server

Proxy Server als Firewall

Der Proxy Server ist eigentliche keine Firewall. Dieser steht jedoch auch zwischen den Netzwerken, nimmt Informationen entgegen und lässt z.B. nur HTTP Informationen durch, wenn es sich um einen HTTP-Proxy handelt. Deswegen kann er Grundfunktionen einer Firewall übernehmen! Er wird häufig als Bindeglied zwischen Inter- und Intranet eingesetzt. Erfüllt somit die Voaussetzung einer Firewall.
Proxy Server