Firewalls
Eine Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“), auch Sicherheitsgateway, Netzwerk-, oder Hardware-Firewall genannt, ist eine Netzwerk-Sicherheitskomponente in der Computertechnik, die Netzwerkverkehr anhand eines definierten Firewall-Regelwerks erlaubt oder verbietet. Das Ziel einer Firewall ist, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauens-Stufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) (hohes Vertrauen) und dem Internet (kein Vertrauen) zu kontrollieren.
Links
Firewalltypen
Netzwerk-Firewalls
Üblicherweise wird ein Gerät Netzwerk- oder Hardware-Firewall genannt, wenn es sich um ein dediziertes Gerät handelt, das mindestens zwei Netze voneinander trennt. Diese Geräte sind auch üblicherweise mit dem Begriff „Firewall“ gemeint. Die Hardwarekomponente besitzt mehrere Netzwerkschnittstellen (üblicherweise zwischen 3 und 20), an denen jeweils die zu trennenden Netze angeschlossen sind. Dabei unterscheidet man grob drei Netzwerkzonen:
- externe Netze (WAN), meist das Internet, aber auch Kundennetze. Diese gelten als nicht vertrauenswürdig (kein Vertrauen).
- die sogenannte demilitarisierte Zone (DMZ), in der vom externen Netz aus erreichbare Server beherbergt sind (wenig Vertrauen).
- das interne Netz (LAN), welches als vertrauenswürdig gilt (hohes Vertrauen).
Personal Firewalls
Eine Personal Firewall ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert.
Firewall-Technologien
Paketfilter
Die einfache Filterung von Datenpaketen anhand von Ziel-Port, Quell- und Ziel-Adresse ist die Grundfunktion aller Netzwerk-Firewalls. Die Prüfung erfolgt anhand eines vom Firewall-Administrator definierten Regelwerks.
Oft leicht zu umgehen, da man auf geöffnete Ports ausweichen kann.
Stateful Inspection
Unter Stateful Packet Inspection versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.
Web Application Firewall
Eine Web Application Firewall beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der Netzwerkpakete (Schicht 7 / Applikationsschicht des ISO-OSI-Modell).
Linux / BSD
Firewall-Generatoren
- gufw (Generatur für ufw)
- kmyfirewall
LiveCDs
Interessant ist dabei z.B. die OpenBSD Live-CD Firewall. Enthalten sind:
| Programm | Beschreibung |
|---|---|
| arpd | ARP Proxy Server |
| arping | Ping on MAC Layer |
| arpwatch | detects ARP spoofing |
| dante | SOCKS Proxy Server |
| dnsmasq | DNS & DHCP server |
| honeyd | Honeypot |
| isc-dhcp-server | DHCP Server |
| logsurfer | Logfile analyser |
| ntop | Network traffic analyser |
| ntp | Time synchronisation |
| pfstat | graphical Firewall statistics |
| pftop | real-time Firewall status |
| portsentry | Port knocking daemon |
| scanlogd | detects portscans |
| squid | HTTP Proxy Server |