Firewall

Firewall

Firewalls sollen Ihr internes Netz vor unautorisierten Zugriffen (z.B. von Hackern) aus dem Internet schützen, indem sie die ein und ausgehenden Daten kontrollieren.

"Statefull Inspection Firewall"

"Applications Layer Firewalls"

"Personal-Firewalls"

Ein Portfilter überwacht nur ein und ausgehende Verbindungen auf die Protokolle und die genutzten Ports. Stimmen sie mit dem Regelwerk überein ist der Zugang frei. Die kommunizierenden IP-Adressen bleiben hierbei unberücksichtigt. Jeder interne und externe Client bekommt also mit dem richtigen Protokoll auf dem richtigen Port den Zugang gewährt.

Im Beispiel ist POP3 (110) ist zugelassen, jedoch nicht HTTP (80).

Eine Statefull Inspection Firewall öffnet den Header der Datenpakete und prüft neben dem Protokoll und dem Port auch die IP-Adresse des Senders und Empfängers. Wenn ein interner Client eine Session nach außen aufbaut, z.B. FTP (21), erlaubt die Firewall auch automatisch den Aufbau des Rückkanals (>1024).

Hier ist POP3 zugelassen, für die Kommunikation zwischen der externen IP Y und der internen IP X. Die IP Z wird abgelehnt.

Sie ersetzt aber nur den Header der Pakete. Die Daten selber bleiben unberührt.

Nur Austausch des Headers

Hierbei kann man mit einer zugelassenden IP z.B. auf Port 110 (POP3) gehen, mit Standad POP3 Befehle z.B. "get" eine Session durch die Firewall öffnen und weitere, nicht POP3 typische Befehle, hinten anhängen um so z.B. Zugriff auf Ihr Dateisystem zu bekommen.
Ganz schnell kann dies auch bei den Applikationen der MP3s Tauschbörsen geschehen. Hier bietet die interne Workstation Ihre MP3s zum dload an alle externen Beteiligten an. D.h. sie öffnet eine Session zu unbekannten Clients im Internet. Die externen bauen dann einen Rückkanal auf, was die Firewall zuläßt, da die Session ja von intern aufgebaut wurde. Mit einfachen Tricks und speziellen Programmen kann man dann vom Internet aus auf die gesamten Resourcen der Workstation zugreifen.

Eine Applikations Firewall öffnet die Datenpakete, und ersetzt sie komplett. Sie prüft Protokoll, Port und Befehle. Hier kann man z.B. von den 16 Möglichen SMTP Befehlen nur sechs freischalten. Alle anderen (also auch nicht SMTP Befehle) werden dann nicht durchgelassen.
Sie erlaubt auch den automatisch Aufbau eines Rückkanals.

Der "GET" Befehl der externen IP Y zum Server ist zugelassen. Andere im Datenpaket versteckte Befehle werden verweigert.

Datenpakete werden komplett ersetzt

Ist "nur" eine State Full Firewall im Einsatz muss ein Applikationsproxy hinter die Firewall geschaltet werden, der dann die Datenpakete entsprechend kontrolliert.

Die Personal Firewall kann bei den Schutmechanismen mit den "großen Firewalls" nicht mithalten. Dennoch ist es sinnvoll sie zusätzlich auf jeden Client einzusetzten. In ihren Regelwerk können Programme, über ihren MD5 "Message Digest Algorithm 5" (Einweg-Hash-Funktion) Signaturen, definiert werden, die auf fremde Resourcen (z.B. Internet) zugreifen dürfen. Alle anderen Programme werden dann geblockt. Damit schütz die Personal Firewall den lokalen PC Verbindungen ins Internet herzustellen. Mit dieser Funktion lassen sich lästige Tratschprogramme (die nach Hause telefonieren wollen) sperren.