Firewall Allgemein: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 5: Zeile 5:
 
=Angriffe=
 
=Angriffe=
 
*[[Firewall Angriffe]]
 
*[[Firewall Angriffe]]
 
+
=Firewall Topologien=
=FIREWALL TOPOLOGIEN=
+
*[[Firewall Topologien]]
 
+
=Security Policy=
==Einfacher Paketfilter (wird kaum mehr eingesetzt)==
+
*[[Security Policy]]
 
 
 
 
[[Bild:paketfilter1.dia]]
 
 
 
 
 
Einfacher Paktetfilter wird das Interne Netz mit einem Router an ein öffentliches Netz angebunden Der Router arbeitet aber selektiv. Das bedeutet das nur bestimmte Arten von Pakteten das passieren erlaubt wird anderen wird es nicht gewährt. Paketfilter  arbeitet
 
auf den untersten 3 Schichten der TCP/IP- Achitektur. 
 
 
 
 
 
Vorteile der Paketfilterung :
 
 
 
* kann ganzes Netzwerk schützen 
 
 
 
* extrem effektiv
 
 
 
* weit verbreitet 
 
 
 
 
 
Nachteile:
 
 
 
* Filterbeschreibungspachen sind nicht perfekt
 
 
 
* Router wird belastet
 
 
 
* Nicht alle Sicherheitrichtlinen lassen sich durch sezten
 
 
 
==Dual Homed Host(wird kaum mehr eingesetzt)==
 
 
 
[[Bild:dualhomedhost1.dia]]
 
 
 
 
 
Auf einem Dual Homed Host laufen sogenannte Proxys(Stellvetretter) Proxy arbeitet auf allen 4 Schichten der TCP/IP- Achitektur. Das bedeutet das sie mit dem Anwendungsprotoll in Berührung kommen. Wobei man zwischen 2 verschiedenen Arten unterscheiden kann
 
 
 
*Application Level Proxys
 
Diese Proxyarten kennen das Anwednungsprotokoll genau. Beispielsweise
 
squid aber auch ein chache-only Nameserver kann man als Application Level Proxy
 
bezeichnen.(~Dolmetscher in der realen Welt)
 
 
*Circuit Level Proxys
 
Diese Proxyarten kennen das Anwednungsprotokoll nicht. Sie „quatschen“ alles nur
 
nach oder setzen es um. Beispielweise socks oder delegated sind Circuit Level Proxys
 
(~Übersetzungsprogramm in der realen Welt)
 
 
 
 
 
Vorteile:
 
 
 
* Gutes Protokollieren
 
 
 
* Caching
 
 
 
* Anwendungsspezifische Filterung
 
 
 
* Authetifikation auf Userebene
 
 
 
 
 
 
 
Nachteile:
 
 
* Neuere Protokolle werden nicht unterstützt
 
 
 
* Verschiedene Proxyserver für verschiedene Dienste notwendig
 
 
 
* Client müssen Verhalten ändern
 
 
 
==Statefull Packet Inspection==
 
 
 
[[Datei:StatefullPacketInspection.dia]]
 
 
 
==Architektur mit überwachten Hosts==
 
 
 
 
 
[[Bild:architektur1.dia]]
 
 
 
 
 
Der Paketfilter lässt nur Traffic zu dem Bastion Host zu, die Clients kommnuzieren nur
 
mit den Proxys auf dem Bastion Host.
 
 
 
==Architektur mit überwachtem Teilnetz(mit zwei Paketfiltern)==
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host
 
 
 
 
 
[[Bild:architekturteilnetz1.dia]]
 
 
 
==Geteiltes und überwachtes Teilnetz mit Dual-Homed-Host==
 
 
 
 
 
[[Bild:geteitelstdualhost1.dia]]
 
 
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Dual-Home-Host zu. Innerere Paketfilter lässt nur Traffic zu dem Dual-Home-Host  zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host. Kein Forwarding auf dem Dual-Home-Host
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter==
 
 
 
 
 
[[Bild:paketfilterinnenaußen1.dia]]
 
 
 
 
 
Häufig haben kommerzielle Produkte diese Layout
 
 
 
==Architektur mit zusammengelegtem inneren und äusseren Paketfilter und mehreren Grenznetzen==
 
 
 
[[Datei:innenaußengrenznetze.dia]]
 
 
 
==Architektur mit mehreren Grenznetzen==
 
 
 
 
 
[[Bild:grenznetzen1.dia]]
 
 
 
 
 
Äussere Paketfilter lässt nur Traffic zu dem Bastion Host zu. Innerere Paketfilter lässt nur Traffic zu dem Bastion Host zu die Clients kommunizieren nur mit den Proxys auf dem Bastion Host Das Partnernetz (z.B.Vetriebspartner) wird genauso angebunden.
 

Version vom 13. September 2017, 14:43 Uhr

Firewall Begriffsdefinitionen

Arten von Firewalls

Angriffe

Firewall Topologien

Security Policy

Abgerufen von „https://xinux.net/index.php?title=Firewall_Allgemein&oldid=13920