Register  Login  
  February 8, 2012  
 Suche  
Home

Beratung
       IT Beratung
       Internet Beratung

Entwicklung
       Individual Software
       IhrPortal
       DotNetNuke

Wissen
       eBusiness
       Internet
          Geschichte
          Protokolle
       Intranet
       Firewall
       MindMapping
          MindManager X5
          MM-Verzeichnis
          MM-Downloads
       WebService
       .NET Programmierung

Downloads

Kontakt

Weblog

HouseIndex

Preisroboter
Weitere Links Minimize
Print  

WissenFirewall    
Firewall Konzepte - Techniken - Sicherheit Minimize
Übersicht | Konzepte | Architektur | Grenzen | Betrieb | Security Policy
Anzeige als eine Seite

Firewall Konzepte

Paketfilter

  • Wirkung über Layer 3/4
  • Keine Content-Überprüfung
  • Keine Informationsveränderungen

Paketfilter sind Router oder Rechner mit spezieller Software. Sie verwenden Informationen die zum Filtern von Paketen benutzt werden, welche in der dritten und vierten Schicht der TCP/IP-Protokollfamilie vorhanden sind (Quell- und Zieladresse, Portnummern). Hierfür werden Access- bzw. Deny-Listen benutzt.

Der Paketfilter ist eine sehr preiswerte Lösung, da jeder Router die Möglichkeit besitzt, Paketfilterung durchzuführen.

Ein Problem ist die Erstellung der Access- und Deny-Listen, dies erfordert sehr gute Kenntnisse in der Programmierung des jeweiligen Routers.

Desweiteren können sich, besonders bei komplexen Filterregeln, leicht Fehler einschleichen, welche die Konsistenz der Filterregeln gefährden.

Paketfilter bieten alleine aber keinen ausreichenden Schutz vor Angriffen.

Zum Beispiel kann man einen Paketfilter durch IP-Spoofing überwinden.

Ein weiterer Nachteil ist, daß einfache Router keine Möglichkeiten haben, eine Protokollierung des TCP/IP- Verkehrs vorzunehmen, hierdurch gehen wertvolle Protokollinformationen verloren.

Eine Folge ist, daß man einen Angriff nur schwierig erkennt und ihn ebenso schwer verfolgen kann, da ein Teil der "bösartigen" Pakete ja schon von den Paketfilter-Modulen des Routers verworfen oder abgewiesen werden.

Diesen Nachteil hat man bei neueren Firewallprodukten nicht mehr. Sie bieten inzwischen die Möglichkeit Paketfilterung in Verbindung mit einer vollständigen Protokollierung des TCP/IP-Verkehrs auf einem Dual Homed Host durchzuführen.

Application Gateway

  • Wirkung über Layer 5-7 Infos
  • Logische Unterbrechung der Kommunikationsverbindung
  • Content-Überprüfung
  • Informationsveränderung der Layer 5-7 Infos möglich

Application Level Gateways arbeiten auf der Schicht 7 des OSI-Modells. Sie unterbrechen und untersuchen den Verkehr auf der TCP/IP-Applikationsebene.

Für jede Anwendung, die weitergeleitet wird, verwendet man einen speziellen Code, den Proxy-Server. Er ist gleichzeitig Client und Server.

Der Server im externen Netz "sieht" den Client-Teil des Proxy-Servers und der Client im internen Netz "sieht" den Server-Teil des Proxy-Servers.

Der Proxy-Server übernimmt die Vermittlung.

Durch die vollständige Kontrolle des stattfindenden Datenverkehrs zwischen dem Client und dem Server vom Proxy-Server, kann dieser eine detaillierte Protokollierung vornehmen.

Für jeden Dienst den das Application Level Gateway anbietet, muß ein neues Programm (Proxy-Server) geschrieben werden.

Aus diesem Grund bieten die meisten Firewallprodukte mit Application Level Filterung nur die gängigen Internet-Dienste Gateways an.

In den meistern Firewall-Rechnern ist standardmäßig die TCP/IP abgeschaltet. Um Verbindung aufnehmen zu können muß für den Dienst ein passender Proxy-Server vorhanden sein.

Hier wird das folgende Konzept verfolgt:

"Was nicht ausdrücklich erlaubt ist, ist verboten !"

Circuit Level Gateways

  • Wirkung: Layer 3-7
  • Keine Unterbrechung der Kommunikationsverbindung
  • Informationsveränderung der Layer 3-7 Infos möglich
  • Sichern der UPD-, aktiven FTP- und RPC- basierenden Anwendungen möglich

Circuit Level Gateways fungieren auf der Verbindungsschicht, sie vermitteln als Relais TCP-Verbindungen.

Wenn eine externe Verbindung auf einem TCP-Port des Gateway eingeht, dann kontaktiert dieser das interne Ziel.

Das Gateway kopiert dann die Daten zwischen den Schnittstellen während die Verbindung besteht.

Die Relaisdienste kontrollieren den durchfließenden Datenstrom im Allgemeinen nicht.
Ein Risiko bei abgehenden Verbindungen besteht nicht. Hingegen können eingehende Verbindungen ein Sicherheitsrisiko darstellen, wenn sie allgemein verfügbar sein sollen.
Zum Beispiel könnten interne Benutzer für eingehende Verbindungen auf ihrem Rechner ungeschützte Dienste anbieten.

Übersicht | Seite 2 von 6 | Architektur
Syndicate   Print  

Google Minimize
Print  

Artikel Minimize
Sie wollten schon immer wissen, was eine Firewall ist und wie eine Firewall funktioniert und welche Arten von Firewall es gibt. Dann lesen Sie einfach hier   


Print  

GoogleAds Minimize
Print  

  Home | Beratung | Entwicklung | Wissen | Downloads | Kontakt | Weblog | HouseIndex | Preisroboter  
  Schelian IT Beratung   Terms Of Use | Privacy Statement