Firewalls

Firewalls sind zwischengeschaltete Server welche den Datenverkehr analysieren und filtern können. Unsere Router im Heimischennetz sind hierbei die bekanntesten und weit verbreitesten Hardware Firewalls. Das Prinzip ist hierbei relativ simple wie auch einfach, denn der heimische Router „fasst“ alle im lokalen Netz befindlichen Geräte zu einer öffentlich im Internet erreichbaren IP Adresse zusammen und regelt darüber hinaus noch die Verbindungen. In der Standartkonfiguration Ihres Routers sollte daher kein Port von aussen (Seiten des Internets) nach innen (lokales Netzwerk) geöffnet haben. Jedoch sollten gängige Ports von innen nach aussen geöffnet sein. Durch diese simple Methode sind zumindest die Geräte in lokalen Netzwerk von aussen nicht (ohne weiteres) erreichbar.
Ausserdem kann man von Seiten des Internets durch die Funktionsweise Ihres Routers Ihre lokalen Geräte nicht sehen und weiss somit auch nicht, welche und wieviele Geräte sich hinter der öffentlichen IP Adresse befinden.

Ein Router ist hierbei nur eine simple Firewall, welche zumindest ein Grundmass an Sicherheit bieten sollte.

Schutzfunktion

Firewalls sollen gegen komplexe, anwendungsbasierte Angriffe beispielsweise HTTP oder Javascript usw. schützen. Dafür ist die Application Firewall (auch Proxy genannt) zuständig.

Ebenso sollen Firewalls vor protokolbassierten Angriffen wie UDP, TCP, ICMP Protokolle schützen. Hierbei spricht man von zustandslosen wie auch zustandsbasierten Netzwerkfirewalls.

Regeln

Jede Firewall ist Regel-Programmiert, das bedeutet für jede Verbindung sollte in einer guten Firewall eine Regel vorhanden sein. Z.B. Eine Einfache Regel wäre, dass jeder Nutzer aus dem lokalen Netzwerk eine HTTP Verbindung auf Port 80 in das Internet aufbauen kann.
Die Regel lautet: Jedes Gerät darf auf Port 80 nach draussen kommunizieren.

Möchte man in seinem Netzwerk unverschlüsselte Kommunikation mittels HTTP_Protokoll verbieten und stattdessen nur verschlüsselte HTTPS-Verbindungen zu lassen, so kann man entweder alle Ausgehenden Anfragen auf Port 80 auf den Port 443 umlenken und verbietet zugleich den Port 80 nach draussen. Dadurch ist der Nutzer / Browser gezwungen mittels HTTPS Protokoll zu kommunizieren.

zustandslos und zustandsbasierte Firewall

Eine zustandslose Firewall hat nur strikte Regeln, wie sie mit verschiedenen Protokollen oder Ports umzugehen hat. Das heisst, wenn der Port erlaubt ist, lässt die Firewall diese Datenpakete passieren.

Die zustandsbasierte Firewall ist dagegen schlauer, denn diese lässt beispielsweise Datenpakete nur auf den zugelassenen Ports passieren, wenn diese auch angefordert wurden. Ruft also ein Client eine Bestimmte Seite über einen bestimmten Port ab, vermerkt sich die zustandsbasierte Firewall, dass einkommende Datenpakete von der angefragten Webseite an genau diesen Clienten angefordert sind und damit auch passieren dürfen. Antwortet die Webseite über eine andere IP oder einen anderen Port, verwirft die zustandsbasierte Firewall diese Datenpakete und stellt diese nicht an den Clienten weiter durch.

IP-Tables – linuxbasierte Firewall

Mittels IP-Tables kann relativ einfach eine zustandslose Firewall konfigurieren in dem man Regeln für den Datenverkehr festlegt (Paketfilter). Nach der Installation von IP-Tables auf einem System ist die Standartkonfiguration so, dass keine Datenpakete über die Netzwerkschnittstelle auf das System oder auch vom System über die Netzwerkschnittstelle verlassen können. „Die Türen sind zu“.

HTTP Verbindungen Erlauben:
iptables -A INPUT -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

HTTPs Verbindungen Erlauben:
iptables -A INPUT -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT

Zweistufige Firewalls

In Unternehmen welche einen lokalen Server betreiben sollten zweistufige Firewalls verwenden, hierbei ist der Aufbau wie folgt:
Eine Firewall steht genau hinter dem Gateway (DSL Modem), durch diese Firewall wird der ganze Datenverkehr geleitet, welcher von den einzelnen Clienten wie auch den lokalen Servern in oder vom Internet kommt.

Eine zweite Firewall sitzt zwischen den Clienten und dem lokalen Server im lokalen Server, um den lokalen Server von den Clienten zu schützen. Der oder die Server sitzen somit zwischen den beiden Firewalls, der sogenannten demilitarisierten Zone.

Intrusion Detection und Prevention Systems (IDS/IPS)

Im Gegensatz zu Firewalls ist bei Intrusion Detection und Prevention Systems der Übergang fliessender, das bedeutet die Funktionalität ist viel höher und die Überprüfung viel Komplexer. Während eine herkömmliche Firewall nur den Header auf IP und Port überprüfen, überprüfen Intrusion Detection System auch den Inhalt der Pakete.

Intrusion Detection Systeme (IDS)

IDS untersucht auf Netzwerkebene die einzelnen Datenpakete auf Schadcode, beispielsweise Trojaner oder Vieren und meldet dann verdächtige Datenpakete oder Kommunikation.

Intrusion Prevention Systeme (IPS)

IPS blockiert dann die durch IDS delektierten Datenpakete, oder verändert diese. Dadurch wird Schadcode unschädlich gemacht oder Datenpakete gelangen erst garnicht ausserhalb des lokalen Netzwerkbereiches.

Ich verweise bei diesem Thema an des Programm SNORT. Mit diesem Programm können Datenpakete auf deren Inhalt untersucht werden, beispielsweise kann man hiermit gezielt nach Ausdrücken suchen. Hilfreich ist SNORT bei der Übermittlung von geheimen Daten, wie Schlagworten die Firmeninterna auf nicht erlaubten Wegen nach aussen bringen könnten.