ie einfachste Firewall besteht aus genau einem Gerät (Single Box). Dies kann ein Router sein, der Paketfilterung zulässt. Da ohnehin meist ein Router zur Verbindung nach außen benötigt wird, ist dies eine sehr preiswerte Lösung. Es wird einfach ein leistungsfähiger Router gekauft, der nicht nur routen, sondern eben auch Pakete filtern kann. Diese Lösung beschränkt sich aber auf Netzwerke, die nur ein oder zwei Protokolle benutzen, die Protokolle selbst sollten möglichst einfach aufgebaut sein. Eine weitere Single-Box Lösung ist ein PC mit zwei Netzwerkkarten. Eine Netzwerkkarte ist für das Internet, die andere für das interne Netz zuständig. Die Pakete werden nicht sofort durchgeleitet, sondern über eine spezielle Software (z.B. Proxy) zwischen den beiden Netzen vermittelt. Dies ist der sogenannte Dual Homed Host.. Interessant ist der Einsatz von unterschiedlichen Protokollen, z.B. TCP/IP für das Internet, Net-BEUI für das interne Netz. So werden die Chancen für einen Angreifer weiter vermindert. Auf dem Dual Homed Host dürfen keine sicherheitskritischen Dienste gefahren werden. Er muss eine auf Sicherheit getrimmte Maschine sein. Bei Single-Box-Lösungen fällt und steht die Sicherheit mit einem Gerät. Ist dieses überwunden, ist der Angreifer im Netz.

 

Sichere Bastion                                                       

Sicherer sind da Kombinationen von verschiedenen Geräten. So könnte der komplette Internetver- kehr über einen Router mit Paketfilterung geleitet werden, der seinerseits im internen Netz mit genau einem Server kommuniziert. Die Clients ihrerseits kommunizieren nur mit diesem Server, wenn sie ins Internet gehen wollen. Datenpakete von Clients direkt ins Internet oder umgekehrt werden vom Router verworfen. Da der Datenverkehr ins Internet in folgender Reihenfolge abläuft:
Client -> Server -> Router -> Internet.

ist der Server besonders von Angriffen gefährdet. Er ist der Bastion Host. da er wie eine Festung zwischen dem 
Internet und den Clients steht. Im Unterschied zum Dual Homed Host steht der Bation Host vollständig im internen Netz.

Diese Architektur wird auch als Screend Host, sinngemäß übersetzt überwachter Host genannt.

Wichtig bei dieser Lösung ist, daß der Bastion Host eine sichere Maschine ist. Zwar können über den Paketfilter viele Angriffe abgefangen werden, doch bei weitem nicht alle. Läuft auf dem Bastion ein normal konfigurierter Webserver ist dies ein nicht mehr zu großes Risiko. Hier ist er vergleichbar zum Dual Homed Server.

Nach oben

Bitte mit Filter                                                              

Ein weiterer Schritt in Richtung größerer Sicherheit ist der Einsatz eines zweiten Routers mit Paketfilterung. Da ein Zugriff auf das interne Netz möglich ist wenn der Bastion Host geknackt ist, wird er einfach vom internen Netz mit einem Router abgekoppelt. Aus Sicht des Clients verläuft der Internetverkehr wie folgt:  Client -> interner Router  -> Bastion Host oder äußerer Router -> Internet

Zwischen äußern  und inneren Routern befindet sich ein eigenes Netzwerk, an dem die kritischen Host angeschlossen werden. Einerseits wird der Bastion Host vom äußeren Router beschützt, andererseits schützt der innere Router das interne Netzwerk. Das Netzwerk zwischen den Routern wird oft als DMZ ("demiltarized zone" ) bezeichnet. Genauer wäre allerdings überwachtes Teilnetz. Die Vorteile liegen klar auf der Hand: wird der Bastion Host geknackt kann der Angreifer nur den Verkehr der DMZ abhören, das interne Netz wird ja noch von dem internen Router geschützt.   Er sorgt dafür, dass Pakete, die nur an das interne Netz gerichtet sind, auch intern bleiben. Der innere Router ist auch das Hauptschutzschild gegen Angriffe von außen. Im Prinzip sind die Filterregeln für beide Router gleich.

 Die Schutzmechanismen können noch verfeinert werden, indem man verschiedene Architekturen miteinander kombiniert. Mit Hilfe eines Dual Homed Host kann die Strecke zwischen äußerem und innerem Paketfilter in zwei unabhängige Teilnetze aufgespalten wer- den. Diese "geteilten überwachten Teilnetze" (Split Screened Subnet) erzeugen tiefer geschachtelte Verteidigungsebenen, die manchmal an die Architektur alter Bunkerlinien aus dem Ersten Weltkrieg erinnern. Wird die erste Hülle durchbrochen, muss die zweite überwunden werden, hinter der eine dritte lauert, usw. Es ist leicht vorstellbar, dass es eine Vielzahl von Konfigurationen gibt, die die Sicherheit und die Kosten immens erhöht. Für die meisten Anwendungsfälle dürfte eine DMZ ausreichen.

Allerdings ist eine Architektur kontraproduktiv, wenn mehrere innere Router (für die gleiche DMZ) verwendet werden. Diese Architektur wäre eigentlich aus Gründen der Redundanz überlegenswert. Fällt der innere Router aus, ist kein Verkehr mehr zum Bastion Host möglich. Doch bei mehreren inneren Routern könnte einer der Router den internen Verkehr über die DMZ leiten, weil der der Meinung ist, das sei der schnellste Weg. In diesem Fall würde der interne Verkehr über die DMZ laufen und könnte abgehört
werden. Der Sinn der DMZ wäre also dahin.

Nach oben

Einstellungssache                                                           

Das Einrichten und Konfigurieren von Firewalls ist zwar ein Expertenthema, doch geht die Sicherheit des eigenen PC auch  "normale Anwender" an. Besonders wenn der eigene PC permanent an einer DSL Flatrate angeschlossen ist. Mit frei verfügbaren Portscannern kann so z.B. der Adressraum der Telekom nach offenen Rechnern durchsucht werden. Ein Portscann ist auch an sich nichts Schlimmes, er ist vergleichbar mit dem Blick eines Passanten, der eine Häuserzeile ansieht. Ob der Passant allerdings ein Tourist ist oder ein Einbrecher auf der Suche nach schwach gesicherten Objekten, lässt sich auf Anhieb nicht sagen.

Der Schutz vor unbefugten "Gästen" beginnt schon beim Betriebssystem. So ist es unter Windows sinnvoll,
die Datei- und Druckfreigaben für das DFÜ Netzwerk zu entfernen. Zusätzlich können etwa unter Windows 2000 einzelne Ports gesperrt werden. Damit lässt sich nur mit Bordmittel schon ein beträchtliches Maß an Sicherheit erreichen.
Weitergehenden Schutz versprechen die sogenannten "Personal Firewall"-Programme. Dies sind Zusatzprogramme, die die Sicherheit des Betriebssystems verbessern.

Für Privatanwender dürfte eine solche Lösung in den meisten Fällen völlig ausreichen. Die Spezifikation der beiden wichtigsten Vertreter dieser Software-Gattung auf dem deutschen Markt finden Sie in den beiden Kästen ausführlich beschrieben. Für Firmen kommen dagegen nur ausgewachsene, professionelle Lösungen in Frage, die auf die speziellen Bedürfnisse zugeschnitten sind. Damit die traumhaften Vorteile des Internets nicht zum Alptraum werden.

Nach oben

 

 

zurück

 

MALTAN EDV, Trivastrasse 28, 80637 München, Tel.: +49 (089) 12 47 10 51, Fax: +49 (089) 12 47 9913

EMail: webmaster@maltan-it.de