Firewall Allgemein

Aus xinux.net
Zur Navigation springen Zur Suche springen

Einführung

Dieses Dokument behandelt die Einrichtung einer Paketfilter Firewall unter dem Betriebsystem Linux. Nach einer kurzen Einführung und der Erklärung wichtiger Begriffe folgt ein Überblick über mögliche Angriffe. In den weiteren Kapiteln folgt die Einrichtung der Firewall sowie weiterer Sicherheitsvorkehrungen.


Was ist eine Firewall ?

Das Wort "Firewall" stammt aus der englischen Sprache und bedeutet "Feuerwand". Diese Feuerwand ist eine Struktur, die die Ausbreitung eines Feuers verhindern soll.Das Wort "Firewall" stammt aus der englischen Sprache und bedeutet "Feuerwand". Diese Feuerwand ist eine Struktur, die die Ausbreitung eines Feuers verhindern soll. Gebäude haben Firewalls, die verschiedene Bereiche des Gebäudes komplett voneinander trennen.

In einem Auto übernimmt die Metallplatte, welche den Motor von der Passagierkabine trennt, die Aufgaben einer Firewall.In der Informatik wird Firewall als Bezeichnung für einen Computer benutzt, der die Schnittstelle zwischen Computernetzen darstellt, und gleichzeitig bestimmte Bereiche der Computernetze vor Angriffen und unerwünschten Zugriffen schützt.


Warum wird eine Firewall benötigt ?

Die Zeiten, in denen Viren, die offline per herkömmlichen Datenträgern eingeschleppt wurden, die einzige Bedrohung für Computer darstellte, sind vorbei. Durch die zunehmende Vernetzung von Firmen, Privathaushalten, Schulen, anderen öffentlichen Einrichtungen, und deren Anbindung an das Internet, müssen diese lokalen Netze vor Angriffe aus dem Internet, geschützt werden. Doch auch Angriffe aus dem eigenen Netz sind keine Seltenheit. Der Angreifer sitzt häufig in den eigenen Reihen. Ohne eine Firewall bemerken die Netzadministratoren die Einbrüche durch Angreifer aus anderen Netzen oder dem Internet oftmals nicht. Eine Firewall kann jedoch nur vor Angriffen schützen, wenn sämtlicher Datentransfer über die Firewall läuft. Die Firewall muß als Schnittstelle zwischen den angrenzenden Netzen dienen. Ist es dem Angreifer möglich, den Firewallrechner zu umgehen, so hat diese Ihr Ziel verfehlt, da sie keinen ausreichenden Schutz darstellt.

Beim Betrieb einer Firewall muß die gesamte Sicherheitsphilosophie beachtet werden. Eine Firewall ist nur ein Glied in einer Kette von Sicherheitsvorkehrungen, und bietet allein noch keinen ausreichenden Schutz vor Angriffen.


Aufgaben einer Firewall

Eine Firewall soll heutzutage eine Vielzahl von Aufgaben wahrnehmen, von denen der Schutz des lokalen Netzes die Wichtigste, aber bei weitem nicht die Einzige ist. Folgende Liste erhebt keinen Anspruch auf Vollständigkeit:

Eine Firewall soll

  • das eigene Netz gegenüber dem Internet absichern
  • Angriffsversuche soweit möglich melden
  • Angriffe verhindern
  • Den Zugang ins Internet regeln (nach Zeit, Benutzer oder Rechner)
  • NAT bzw. Masquerading unterstützen
  • Zugriffe auf bestimmte Seiten sperren (z.B. Sex-Sites)
  • HTTP- und FTP Zugriffe zwischenspeichern
  • Statistiken über benutzte Dienste und Webzugriffe liefern.
  • sich für Mitarbeiter transparent verhalten
  • VPN mit mehreren Standorten ermöglichen
  • fernadministrierbar sein
  • ausfallsicher sein
  • sich schnell und verzögerungsfrei verhalten
  • einfach zu bedienen und zu warten sein


Arten von Firewalls

Man unterscheidet folgende Firewalltypen:


Paketfilter Firewall

Sie ist das Thema dieses Dokuments. Eine Paketfilter Firewall analysiert den gesamten Datenverkehr im Netzwerk über die Informationen im Header eines jeden Paketes. An Hand von aufgestellten Regeln (was darf sein, was nicht) wird entschieden, ob das Paket seinen Weg fortsetzen darf, oder ob es geblockt wird.


Proxy Firewall

Ein Proxy wird genutzt, um ausgehenden Datenverkehr zu überwachen. Alle Verbindungen werden protokolliert. So ist es jederzeit möglich zu prüfen, was für Verbindungen zu einem bestimmten Zeitpunkt aktiv waren und von welcher Quelle diese Verbindungen ausgelöst wurden. Zusätzlich bieten viele Proxies die Möglichkeit, Daten zwischenzuspeichern), um Übertragungsvolumen zu sparen und den Zugriff auf die Daten zu beschleunigen. Alle Daten eines per Proxy angebotenen Dienstes werden an eine Applikation auf dem Firewallrechner weitergeleitet, die dann die Verbindung zum Ziel übernimmt. So bleiben die eigentlichen Quellen der Kommunikation geschützt im Verborgenen. Alle Anfragen scheinen vom Proxyserver zu kommen.


IP-Adresse

Jeder Rechner, der an das Internet angeschlossen ist, erhält eine weltweit eindeutige Kennung, die Internet Protokoll Adresse, kurz IP-Adresse. Die IP-Adresse ist eine 32bit breite Binärzahl. Die einzelnen Bytes werden durch einen Punkt getrennt. Die vorderen Bits bezeichnen das Subnetz, in dem sich der Rechner befindet. Die restlichen Bits unterscheiden die einzelnen Rechner innerhalb dieses Subnetzes. Damit lassen sich in der aktuellen Version des Internet Protokolls (Ipv4) 2 hoch 32, also 4,294967296 Milliarden Rechner eindeutig bestimmen. Allerdings steht nicht der gesamte IP-Adreßbereich zur Verfügung, da einige Bereiche für andere Zwecke reserviert sind:


Privater Adreßbereich der Klasse A

Dieser Adreßbereich reicht von 10.0.0.0 bis 10.255.255.255 und ist für lokale Netze reserviert.


Privater Adreßbereich der Klasse B

Dieser Adreßbereich reicht von 172.16.0.0 bis 172.31.255.255 und ist ebenfalls für lokale Netze reserviert.


Privater Adreßbereich der Klasse C

Ein weiterer Bereich für lokale Netze, der von 192.168.0.0 bis 192.168.255.255 geht.


Multicast-Adreßbereich der Klasse D

Dieser IP-Adreßbereich ist für Multicast-Anwendungen reserviert. Dabei handelt es sich um Audio- oder Videoanwendungen mit einer Quelle und vielen Empfängern. Der reservierte Bereich reicht von 224.0.0.0 bis 239.255.255.255.


Reservierter Adreßbereich der Klasse E

Hierbei handelt es sich um einen Bereich, der für zukünftige und experimentelle Zwecke freigehalten wird. Er erstreckt sich von 240.0.0.0 bis 247.255.255.255.Es gibt noch einige weitere Blöcke, die von der IANA, Internet Assigned Numbers


Netzmaske

Durch die Netzmaske ist festgelegt, wie viele Bits einer IP-Adresse das Subnetz bilden. Jedes Subnetzbit erhält eine Eins, jedes Hostbit eine Null. Eine Netzmaske wird wie eine IP-Adresse durch vier Bytes angegeben: 255.255.255.0 beispielsweise bedeutet, daß die ersten 24 Bit der IP-Adresse dem Subnetz zuzuordnen sind, während die letzten 8 Bit die einzelnen Rechner im Subnetz unterscheiden. Neben dieser Schreibweise ist es auch sehr verbreitet, die Netzmaske als Anzahl der Subnetz-Bits anzugeben. Bei einer IP-Adresse wie 192.168.1.15/24 beispielsweise stehen die ersten 24 Bits für das Subnetz und die letzten 8 Bits kennzeichnen den Host.


Router

Router haben die Aufgabe Netzwerkpakete weiterzuleiten. Ein IP-Paket erreicht sein Ziel über eine Reihe von Routern, die das Paket an einem Netzwerkinterface entgegennehmen und nach den Angaben ihrer Routertabellen an ein anderes Interface weiterleiten.


Quality of Service

Jedes IP-Paket enthält ein Feld, daß die Priorität des Pakets angibt, das sogenannte Quality of Service Feld (abgekürzt QoS). Erreichen einen Router mehr Pakete als er gleichzeitig verarbeiten kann, wird die Verarbeitungsreihenfolge durch Hilfe dieses QoS-Feldes festgelegt: Als erstes werden Pakete mit hoher Priorität abgearbeitet, dann folgen die niedrigeren Prioritäten. Das QoS-Feld eines Pakets kann modifiziert werden, so lassen sich z.B. bestimmte Paket bevorzugt behandeln.


NAT – Masquerading

Haben die Rechner des eigenen Netzes nicht registrierte IP-Adressen (aus einem der für lokale Netze reservierten Klasse A,B oder C), sind direkte Verbindungen ins Internet nicht möglich, da diese von den Routern nicht weitergeleitet werden.

Diese nur lokal gültigen Adressen müssen also durch offizielle IP-Adressen ersetzt werden. Dieser Vorgang nennt sich Network Adress Translation (NAT) oder Masquerading.

Hier ersetzt der Rechner mit der Verbindung ins Internet alle ankommenden Pakete aus dem LAN mit seiner eigenen, gültigen IP-Adresse. Informationen über die einzelnen maskierten Verbindungen werden in Routingtabellen gespeichert, um anschließend ankommende Pakete, die für das interne Netz bestimmt sind (von aus dem LAN initiierten Verbindungen), wieder zu demaskieren.

Während beim normalen NAT m lokale Adressen auf n offizielle maskiert werden (m:n Zuordnung) ist das Masquerading ein Sonderfall von NAT. Hier werden alle lokalen Adressen auf eine gültige IP-Adresse maskiert (m:1 Zuordnung).

Die Vorteile von NAT:

  • Internetanbindung des gesamten lokalen Netzesüber eine IP-Adresse.
  • Zusätzlicher Schutz, da Rechner im LAN für das Internet nicht sichtbar sind.


Ports

Viele Server im Internet bieten gleichzeitig mehrere Netzwerkdienste an. Erreicht ein Datenpaket den Server, muß dieser herausfinden, für welchen Dienst die Daten bestimmt sind. Dies erreicht man durch den Einsatz von Ports. Jedem Netzwerkdienst ist ein spezieller Port zugeordnet.

Hier nun einige wichtige Portnummern:

Portnummer Dienst

20,21 FTP 23 Telnet 25 SMTP 53 DNS 80 HTTP 110 POP3 119 NNTP 143 IMAP 443 HTTPS

Ports mit Nummer unter 1024 werden als privilegierte Ports bezeichnet. Diese Ports werden von den verschiedenen Servern benutzt. Die Server warten hier auf Verbindungen aus dem Netz. Ports zwischen 1024 und 65535 werden als unprivilegierte Ports bezeichnet. Sie werden von Clients für Verbindungen genutzt.

Zusätzlich sind Ports zwischen 1024 und 49151 von der IANA registriert. Sie können entweder als normale unprivilegierte Ports benutzt werden, oder hier läuft ein bestimmter Dienst, wie z.B. das X-Windows System, die grafische Benutzeroberfläche unter Linux. Die ursprüngliche Idee war, auf diesen höheren Ports Dienste laufen zu lassen, die nicht über root-Privilegien verfügen.


Port Mapping oder Port Forwarding

Port Mapping um eigene Netzwerkdienste hinter einer Firewall zur Verfügung zu stellen. Alle auf der Firewall eingehenden Anfragen auf einen bestimmten Port werden an einen bestimmten Rechner im LAN weitergereicht (deswegen auch Port Forwarding). Beispielsweise werden alle auf der Firewall eingehenden Pakete auf dem Port 80 an den Webserver im lokalen Netz weitergeleitet, alle Pakete auf Port 110 gehen auf den POP3 Mailserver, der sich ebenfalls im LAN befindet. Die Server im LAN genießen so einen zusätzlichen Schutz.

Durch Port Mapping lassen sich auch transparente Proxies realisieren.


Proxy

Ein Proxy ist ein Rechner, der für einen Client eine Verbindung zu einem bestimmten Dienst aufbaut. Proxies existieren für unterschiedliche Dienste, wie z.B. HTTP und FTP. Die Daten werden vom Proxy angefordert und an den Client weitergereicht. Dadurch bleibt der Client im Verborgenen. Sämtliche Anfragen scheinen vom Proxyserver zu kommen. Zusätzlich dient ein Proxy als großer Zwischenspeicher: Daten, die von Clients angefordert werden und bereits auf dem Proxy liegen, müssen von diesem nicht noch einmal angefordert werden. Dadurch kann die Geschwindigkeit der Übertragung gesteigert werden. Viele Internetprovider bieten ihren Kunden einen eigenen Proxyserver für FTP und HTTP an.


IP Pakete

Das IP Protokoll definiert eine Nachricht, die zwischen zwei Computern im Netzwerk gesendet wird. Eine solche Nachricht wird Paket genannt. Ein Paket ist also eine einzelne Nachricht, die im Netz gesendet wird. Ein IP Paket besteht aus einem Paketkopf (message header) und dem Nachrichtenkörper (message body). Der Körper enthält die eigentlichen Daten, die ausgetauscht werden.

Abgerufen von „https://xinux.net/index.php?title=Firewall_Allgemein&oldid=1345