Das InfoTip Kompendium

Ein kostenloser Service der InfoTip Service GmbH

Zum Anfang der
Seite scrollen

Firewalls und DMZ - Netzwerkkomponenten

Inhaltsverzeichnis

1. Firewalls

Historisches

Bis in die späten 1980er Jahre war das Internet eine fast rein akademische Domäne und die ethischen Regeln zur Benutzung des Netzes waren hoch. Obwohl die Schwächen der Betriebssysteme und Anwendungen bekannt waren, war man ausschließlich darauf fixiert, die daraus entstehenden Probleme nur zu Gunsten  des praktischen Nutzens in der Anwendung auszumerzen. Niemand in der damaligen Internetgemeinde hegte "schlechte Gedanken", da man sich gegenseitig kannte und sich vertraute. Es war schlichtweg kein Bedarf an allumfassenden Schutzmaßnahmen für Computer, Programme und Daten.
Obwohl das Hacken von Computern schon zu dieser Zeit nichts ungewöhnliches war (siehe Film "WarGames" von 1983), wurde dies meist weniger als kriminell sondern als "Jugendsünde" betrachtet. Diese heile Welt wurde plötzlich durch zwei gravierende Vorkommen bis in die Grundfesten erschüttert. 1986 konnte dem vom sowjetischen Geheimdienst KGB engagierten Deutschen Markus Hess das Eindringen in 400 zivile und militärische Computer, darunter im MIT und im Pentagon, nachgewiesen werden.
Ein weiterer Wendepunkt war der erste im Internet frei gesetzte Computer-Wurm. Ein Student der Cornell University wollte im November 1988 ursprünglich die damalige Größe des Internets erfassen. Hierzu erstellte er ein Programm, das Schwächen im Unix-Betriebssystem und einem Mail-Programm nutzte um bestimmte, gewünschte Reaktionen der angeschlossenen Systeme zu erzeugen. Durch einen Programmierfehler wurden die befallenden Systeme jedoch mehrfach vom später Morris-Worm genannten Programm infiziert. Jede neue Instanz des Programms belastete das System zusätzlich und verlangsamte es bis es nahezu unbrauchbar wurde.
Diese und ähnliche andere Vorfälle bewirkten, dass die Legislative bald drastische Gesetze gegen die aufkeimende Computerkriminalität schuf und eine neue, milliardenschwere Industrie, die sich mit IT-Sicherheit beschäftigt, entstehen konnte.
Erste Systeme, die sich wie eine Brandschutzwand (engl. "Firewall") zwischen dem heißen Draußen und dem sicheren Drinnen stellten, wurden 1988 von DEC (Digital Equipment Corporation) vorgestellt.

Was ist eine Firewall ?

Eine Firewall ist eine Hardware-Software-Kombination oder eine Software auf einem Rechner, die die Übertragung von Daten in ein Computernetzwerk hinein und heraus anhand von vorgegebenen Regeln erlaubt oder verweigert. Die Aufgabe einer Firewall ist es,  einen nichtautorisierten Zugriff auf ein Netzwerk zu verhindern während legitime Datenübertragungen passieren dürfen. Firewalls sitzen an den Schnittstellen zwischen einzelnen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen. Dieses können das Internet und ein privates Netzwerk oder aber auch an Subnetzen eines privaten Netzwerks, wie z.B. besonders schützenwerte Abteilungen oder Zonen in einem Unternehmen sein.

Firewalltypen

Umgangssprachlich ist mit einer Firewall häufig die Software gemeint, welche den Datenverkehr zwischen den getrennten Bereichen kontrolliert und regelt. Man muss aber zwischen dem Konzept einer Firewall und der tatsächlichen Realisierung der Firewall unterscheiden. Das Sicherheitskonzept beschreibt Regeln, welche Informationen die Firewall passieren dürfen und welche nicht.

Externe Firewalls

Realisiert wird das Konzept bei der externen Firewall  (oder Hardware-Firewall) durch eine Software, die auf einer (meist speziellen) Hardware läuft. Die Hardware ist dabei lediglich für das Empfangen und Senden der einzelnen Datenpakete zuständig und die Software regelt den Verkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?) Externe Firewalls sind meist sicherheits- und funktionsoptimiert. So können beispielsweise Teile bestimmter Protokolle hardwareunterstützt ent- und verschlüsselt werden.
Externe Firewalls filtern grundsätzlich nur in eine Übertragungsrichtung. Normalerweise ist dies vom unsicheren Netz ins sichere Netz.

Abb. 1.01: Hardware-Firewall
Abb. 1.01: Hardware-Firewall [1]
Personal-Firewalls ( Desktop-Firewalls)

Bei den Personal-Firewalls, auch Desktop- oder interne Firewalls genannt, läuft die Überwachungssoftware lokal auf dem Rechner des Anwenders. Im Unterschied zu einer externen Firewall, die lediglich den Internetzugriff kontrolliert, filtert die Personal Firewall zusätzlich auch die Verbindungen des PCs von und zu dem privaten lokalen Netz.  Dadurch ist sie in der Lage Anwendungen (ein heimlich aktivierter oder installierter Dienst) davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.

Abb. 1.02: Personal Firewalls laufen lokal auf den Computern der Anwender
Abb. 1.02: Personal Firewalls laufen lokal auf den Computern der Anwender

2. Funktionsweisen einer Firewall

Eine Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Firewall kann aus einer einzigen Stufe oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen Web- oder FTP-Server. Die entsprechenden Hosts können dann in einem Zwischennetz (DMZ) isoliert werden.

Abb. 2.01: Kanalisierung der Kommunikation eines LANs mit nicht vertrauenswürdigen Netzen
Abb. 2.01: Kanalisierung der Kommunikation eines LANs mit nicht vertrauenswürdigen Netzen

Eine Firewall kann auf drei Software-Ebenen arbeiten: einem Paketfilter, der Stateful Inspection, dem Proxyfilter und dem Contentfilter. Je nach Filtertechnologie finden die Filterfunktionen auf den Schichten 3 bis 7 des OSI-Stacks statt.

2.1. Paketfilter

Der Zugriff auf Netzwerkdienste bzw. die Ressourcen in einem Netzwerk wird über Programmschnittstellen, den sogenannten Ports, vorgenommen. Will ein externer Rechner sich mit einem internen Rechner verbinden, geschieht dies über einen geöffneten Port. An dieser Stelle setzt die einfachste Überwachungsfunktion einer Firewall an: Sie überwacht anhand jedes übertragenen Datenpakets welcher externer Computer sich mit einem internen verbinden möchte. Zur Überwachung werden die IP-Adressen von Quell- und Zielsystem, das Übertragungsprotokoll und die angesprochenen Ports untersucht. Das Resultat der Untersuchung ist von vorgegeben Regeln abhängig. Entsprechend den Regeln kann ein Paket weitergeleitet ("forward", "permit" oder "pass") , verworfen ("deny" oder "drop") oder mit einer entsprechenden Bemerkung versehen an den Absender zurückgeschickt ("reject") werden.
Das einfachste Regelwerk ist in den NAT-Routern, wie sie alle DSL-Router verwenden, umgesetzt. (Eine detaillierte Beschreibung der Funktionsweise eines NAT-Routers ist hier zu finden.) Zu den Grundregeln (Auswertung der IP-Adressen) der OSI-Schicht 3, wie ein NAT-Router sie beherrscht, filtern komplexere Paketfilter auch nach Protokollen höherer Schichten. Diese Regeln folgen dem Grundsatz "Was nicht ausdrücklich erlaubt wurde, wird verworfen". Die Filterung erfolgt nach dem Prinzip der Mustererkennung. Eine Filterregel besteht aus einer Bedingung (IF ...) und einer Aktion (... DENY/PASS/REJECT).

Beispiele für Filterregeln:

Ein bestimmter IP-Adressbereich soll gesperrt werden:
       IF Quelladresse = 60.40.*.*, DENY
Den Aufbau einer FTP-Verbindung von Außen verhindern:
       IF TCP-Zielport = 20, DENY (FTP-Datenverbindung)
       IF TCP-Zielport = 21, DENY (FTP-Kontrollverbindung)
Um z.B. auf eingehende Pings antworten zu können:
       IF ICMP Type = 0, PASS
Die letzte Regel in einer Filterliste lautet immer "DENY ALL" (Verwerfe alles, was übrig ist) um sicher zu sein, dass alle Lücken geschlossen wurden.
Nach diesem Muster werden Listen mit Regeln erstellt, nach denen die Firewall die Datenpakete auf besondere Eigenschaften untersucht. Die Filterregeln werden dabei bei jedem einzelnen Datenpaket sequentiell abgearbeitet.

Diese einfachen Paketfilter der ersten Generation von Firewalls untersuchen jedes Datenpaket für sich allein betrachtet und ohne den Versuch einen Zusammenhang mit vorhergehenden oder nachfolgenden Paketen zu finden. Daher bezeichnet man solche einfachen Paketfilter auch als "zustandslose Paketfilterung".

Abb. 2.02: Paketfilter im OSI-Modell
Abb. 2.02: Paketfilter im OSI-Modell

2.2. SPI - Stateful Packet Inspection (Zustandsorientierte Paketüberprüfung)

In zweiten Generation von Firewalls werden die Pakete zusätzlich daraufhin untersucht, ob sie zu einer im Aufbau befindlichen, einer bestehenden oder unterbrochenen Verbindung gehören. Die Analyse der Pakete erfolgt auf der OSI-Schicht 4 (Transportschicht). Die Zuordnung der Pakete erfolgt über dynamische Zustandstabellen der einzelnen Verbindungen. Je nach dem Zustand und dem Protokoll einer Verbindung kommen unterschiedliche Regelwerke zum Einsatz.

Beim Aufbau einer Verbindung über TCP detektiert und überwacht die Firewall z.B. das typische Dreiwege-Handshake-Protokoll:

  • Der Client (also hier der interne Rechner) initiiert die Verbindung mit dem Host (dem externen Rechner) mit einem SYN-Paket (synchronize) und einer Sequenznummer X.
  •  Der Host antwortet mit einer Bestätigung SYN-ACK (SYN-Acknowledge), der Sequenznummer X+1 und seiner Startsequenznummer Y.
  •  Der Client antwortet wiederum mit einem ACK-Paket (Acknowledge) und der Startsequenznummer Y+1.

Danach ist die Verbindung hergestellt und die Firewall trägt die Verbindung als solche in die Zustandsliste ein. Die CPU-intensive Analyse der Pakete ist danach beendet. Alle nachfolgenden Pakete können nun leicht dieser Verbindung zugeordnet und somit schnell weitergereicht werden.

Ist die Verbindung beendet, wird sie aus der Zustandsliste gelöscht. Weitere eintreffende Pakete der externen Quelladresse werden verworfen.

Abb. 2.03: SPI im OSI-Modell
Abb. 2.03: SPI im OSI-Modell

2.3. Application Layer Firewall (Proxy Based Firewall)

Die Filter einer Proxy Based Firewall (auch Application Layer Firewall) untersuchen neben den reinen Verbindungsdaten wie Quelle, Ziel und Dienst in erster Linie die Nutzdaten, also den Inhalt der Netzwerkpakete.
Ein Proxy oder Proxyserver (proxy = Stellvertreter, Bevollmächtigter) ist ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt. Im Unterschied zur Stateful Packet Inspection Technologie, die abhängig vom Produkt mitunter auch auf die Nutzdaten zugreift, reicht der typische Proxyfilter die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter. Vielmehr baut er selbst eine eigene Verbindung zum Zielsystem auf. Da er stellvertretend für den anfragenden Client mit dem Zielsystem kommuniziert, kann er die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen. So ist er in der Lage, Anfragen auch in Bezug auf den Kommunikationsfluss der Nutzdaten zu filtern und kann entscheiden, welche Antworten des Zielsystems er an den anfragenden Client weiterreicht. Dabei kann er den Paketinhalt beliebig verändern.

Als aktiver Vermittler verhält sich der Proxy dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client. Da er das Kommunikationsprotokoll kennen muss, gibt es für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, usw.) einen eigenen Filter. Da ein Proxyfilter auf ein bestimmtes Protokoll spezialisiert ist, arbeitet die Proxy Based Firewall als ein vermittelndes Dienstprogramm und greift daher (wie jedes Dienst- oder Anwendungsprogramm) auf die OSI-Schicht 7 (Anwendungsschicht) zu.
Bei entsprechender Regelvorgabe "versteht" eine Application Layer Firewall Anwendungen und Protokolle. So kann sie entdecken ob ein unerwünschtes Protokoll über ein Nichtstandard-Port eingeschleust werden soll oder ein Protokoll in einer (bekannten) schädlichen Weise missbraucht wird.

Besonders flexible Funktionen weisen sogenannte Content Filter auf. Als Filterregeln erhalten diese Filter Suchmuster und/oder Listen von Schlüsselwörtern und IP-Adressen. So können diese Filter ActiveX oder JavaScript aus angeforderten Webseiten herausfiltern oder verhindern dass (bekannte) Malware heruntergeladen wird. Im Rahmen des Jugendschutzes können z.B. auch ganze Webseiten gegen eine Whitelist geprüft, der Inhalt auf vorgegebene Schlüsselwörter hin durchsucht und gegebenenfalls blockiert werden. Um die Trefferquote und Trefferqualität zu erhöhen können Schlüsselwörter usw. auf Relevanz hin gewichtet werden. Eine angeforderte Web-Seite wird dann erst nach dem Überschreiten einer vorgegebenen Relevanzschwelle  blockiert.
Auf ausreichend schneller Hardware können auch weitaus komplexere Content-Filter implementiert werden, die z.B. mit Viren behaftete Mails  oder das Verschicken von Dokumenten mit geheimen Informationen blockieren.

Abb. 2.04: Proxy Based Firewall im OSI-Modell
Abb. 2.04: Proxy Based Firewall im OSI-Modell

3.DMZ (Demilitarized Zone) - die neutrale Zwischenzone

Wenn in einem Netzwerk Server betrieben werden sollen, um über  das öffentliche Netz Informationen verteilen, bzw. zugänglich zu  machen, können diese ihren Dienst im Internet nur dann erfüllen, wenn an sie auch Pakete weitergeleitet werden, die Anfragen für Webseiten usw. enthalten. Diese verbindungseröffnenden Pakete sind aber unangeforderte Pakete und würden normalerweise von einer Firewall sofort verworfen werden. Wie im Artikel "Router und Gateways" beschrieben wird, ist eine Port-Weiterleitung oder eine Exposed Host-Konfiguration sicherheitstechnisch sehr bedenklich, da sich Clients, Server und Internet-Server in einem lokalen Netzwerk befinden. Ein potentieller Angreifer aus dem Internet erhält so einen Brückenkopf im LAN, von dem aus das LAN kompromittiert werden kann.

Zweistufiges DMZ-Konzept

Um dieses Problem zu umgehen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) Server mit Web-Diensten in einer Pufferzone, auch DMZ (Demilitarized Zone = Entmilitarisierte Zone) genannt, zu betreiben, die von zwei Firewalls (Abb. 3.01) umgeben ist.   In dieser Anordnung ist das physische LAN in zwei logische Segmente mit eigenen IP-Adressbereichen unterteilt. Firewall A trennt das Internet von der DMZ und Firewall B die DMZ vom eigenen Netz. Wählt man Firewalls unterschiedlicher Hersteller, können auch über eine bekannte Schwachstelle nicht beide Firewalls überwunden werden.
Auch ein Server in einer DMZ muss unbedingt mit allen aktuellen Sicherheitsupdates des Betriebssystems und der laufenden Applikationen, einer Personal Firewall und den üblichen Schutzprogrammen ausgestattet werden. Alle nicht unbedingt benötigten Dienste sollten abgeschaltet werden.

Abb. 3.01: DMZ mit zwei Firewalls
Abb. 3.01: DMZ mit zwei Firewalls
Protected DMZ

Eine einfachere und billigere Variante ist eine einstufige Firewall, die für die DMZ einen eigenen LAN-Anschluss mit IP-Adressen in einem separaten Netz hat. Eine solche Anordnung wird als "Protected DMZ" bezeichnet.

Abb. 3.02: Protected DMZ mit einer Firewall
Abb. 3.02: Protected DMZ mit einer Firewall
Pseudo-DMZ

Manche Hersteller von DSL-Routern bezeichnen die Exposed Host-Konfiguration gelegentlich auch als DMZ. In dieser Einstellung werden nicht nur Pakete eines definierten Dienstes an einen vorgegebenen Rechner im LAN weitergeleitet, sondern alle, die der NAT-Router nicht einem Teilnehmer im privaten Netzwerk zuordnen kann. Die Einrichtung einer solchen DMZ ist absolut nicht mit einer DMZ in der professionellen IT vergleichbar.
Ein Exposed Host sollte unbedingt mit allen aktuellen Sicherheitsupdates des Betriebssystems und der laufenden Applikationen, einer Personal Firewall und den üblichen Schutzprogrammen ausgestattet werden.  Alle nicht unbedingt benötigten Dienste sollten abgeschaltet werden.

 

Abb. 3.03: Pseudo-DMZ- oder Exposed Host-Konfiguration
Abb. 3.03: Pseudo-DMZ- oder Exposed Host-Konfiguration

Referenzen

Abbildungen

[1] Foto: "Abb. 1.01: Hardware-Firewall" Quelle: Cisco Pressefoto "Cisco_ASA_5505_Adaptive_Secutity_Appliance.jpg"; http://www.cisco.com/web/DE/presse/bilder/2008-asa-5505-adaptive-security.html

 

Weblinks

1. Firewalls von Dr.Talal Alkharobi

 

Rechtshinweis

Sofern auf dieser Seite markenrechtlich geschützte Begriffe, geschützte (Wort- und/oder Bild-) Marken oder geschützte Produktnamen genannt werden, weisen wir ausdrücklich darauf hin, dass die Nennung dieser Marken, Namen und Begriffe hier ausschließlich der redaktionellen Beschreibung bzw. der Identifikation der genannten Produkte und/oder Hersteller bzw. der beschriebenen Technologien dienen.

Alle Rechte an den in diesem Kompendium erwähnten geschützten Marken- und/oder Produktnamen sind Eigentum der jeweiligen Rechteinhaber und werden hiermit ausdrücklich anerkannt. Alle in unseren Artikeln genannten und ggfs. durch Dritte geschützte Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts sowie den Besitzrechten der jeweiligen eingetragenen Eigentümer.

Die Nennung von Produktnamen, Produkten und/oder der jeweiligen Produkthersteller dient ausschließlich Informationszwecken und stellt keine Werbung dar. InfoTip übernimmt hinsichtlich der Auswahl, Leistung oder Verwendbarkeit dieser Produkte keine Gewähr.

Sollten dennoch wider unserer Absicht Rechte Dritter verletzt werden, so bitten wir um eine Benachrichtigung ohne Kostennote.