Firewall ist nicht gleich Firewall

Vertiefung im Thema Firewall
Diese Seite drucken
CC
Firewall (120px)
Firewall-Technologien kurz erläutert
Natürlich ist das Wissen um die Unterschiede von Firewall-Technologien für die Nutzung eines an das Internet angeschlossenen Rechners bei Ihnen zu Hause nicht überlebensnotwendig. Es trägt im besten Fall dazu bei, dass Sie eine Ahnung über Sinn und Unsinn, bzw. Eignung der für Ihre Zwecke zur Verfügung stehenden Firewalls bekommen.

In unserem Einführungsartikel zum Thema 'Firewall' haben wir versucht ein grundsätzliches Verständnis für Nutzungsszenarien, bzw. Wirkungsweise herzustellen.

Dieser Teil geht einen Schritt weiter. Hier dreht es sich um unterschiedliche Firewall-Technologien. Natürlich ist das Wissen um die Unterschiede von Firewall-Technologien für die Nutzung eines an das Internet angeschlossenen Rechners bei Ihnen zu Hause nicht überlebensnotwendig. Es trägt im besten Fall dazu bei, dass Sie eine Ahnung über Sinn und Unsinn, bzw. Eignung der für Ihre Zwecke zur Verfügung stehenden Firewalls bekommen.

Datenverkehr im Netz

Daten, die beim Surfen im Internet oder beim Abholen ihrer Mail vom Provider 'über die Leitung' gehen, sind in kleine handliche Pakete unterteilt. Es existieren unterschiedliche Paketformen und -größen. Nahezu alle dieser Pakete (die einen Transmission-Control-Protocol- (TCP), die anderen User-Datagram-Protocol-Pakete (UDP) genannt) haben eine Gemeinsamkeit – sie besitzen gewissermassen Adressaufkleber mit Absender- und Empfänger-Adresse. Wenn Sie bspw. unsere Webseite besuchen, und diesen Artikel anfordern, dann wandern eine Reihe von (TCP-) Paketen von unserem Server zu Ihrem Computer. Auf jedem dieser Pakete ist verzeichnet, wer dieses Paket abgeschickt hat (nämlich der Server www.verbraucher-sicher-online.de) und wer es erhalten soll – Sie. Unser Server kennt Ihre Adresse, da Ihr Computer zuvor an den Server mit der Adresse „www.verbraucher-sicher-online.de" ein Paket geschickt hat, auf dem Ihre Absender- oder auch IP-Adresse vermerkt war. In diesem Paket befand sich nicht sehr viel mehr als eine Aufforderung, exakt diese Webseite, die Sie gerade lesen, an Sie auszuliefern.

Schema Firewall: Graphic:Harald MühlböckSchema Firewall: Graphic:Harald Mühlböck Ihrer Anfrage entsprechend verpackt unser Server die angeforderte Seite in kleine, handliche Daten-Pakete, versieht jedes davon mit ihrer Adresse und schickt sie auf die Reise. Falls eines der Pakete auf dem Weg verloren gegangen ist, dann wird es einfach erneut gesendet.

Unterschiedliche 'Dienste' (beispielsweise ein Chat-Programm, ein E-Mail-Programm oder unser Server) im Netzwerk oder Internet sind über eine Kombination aus Adresse und 'Port' erreichbar . Port ist analog zu Zimmernummern zu verstehen. So residiert unser Server, der für die Auslieferung der Website verantwortlich ist vereinfacht gesagt unter der Adresse „www.verbraucher-sicher-online“ hinter dem Port, beziehungsweise der Zimmernummer 80. Das gilt vereinfacht gesagt für alle Webserver im Internet. Aus diesem Grund müssen Sie bspw. nicht in der Adresszeile Ihres Browsers hinter dem Namen des Servers zusätzlich den Port angeben. Probieren sie das einfach mal aus:

Geben sie in ihre Adresszeile im Browser ein:

http://www.verbraucher-sicher-online.de:80

und dann:

http://www.verbraucher-sicher-online.de

Sie werden keinen Unterschied bemerken. Sollten Sie allerdings die Nummer des Ports durch eine andere ersetzen, dann wird Ihr Paket nicht an den dafür zuständigen Dienst zugestellt. Denn der erwartet Anfragen nur unter Port 80.

Auch das können Sie ausprobieren:

http://www.verbraucher-sicher-online.de:476

Analog zum Webserver-Dienst haben eine ganze Reihe weitere Dienste ihre eigenen Ports. So wartet der Mailserver auf Pakete mit E-Mail-Inhalten hinter dem Port 25, oder der FTP-Dienst (File-Transfer-Protocol) lauscht an Port 21. Somit kann anhand der Port-Nummer, an die ein Paket geschickt wird, Rückschluss auf dessen Inhalt gezogen werden. Wir sehen allerdings davon ab, jedes Zimmer, beziehungsweise Port zu erwähnen, denn es gibt 65.535 davon.

Zurück zum Thema Firewalltechnologien:

Packetfilter, Stateful Inspection, Deep Packet Inspection und Application-level Firewall

Nachdem nun die Voraussetzungen zum Verständnis einer Firewall geschaffen wurden, sollen nachfolgend die unterschiedlichen Spielarten kurz umrissen werden.

Einfach aber wirkungsvoll: der 'Paketfilter'

Ein Paketfilter entscheidet anhand verschiedener Kriterien , ob ein Paket ausgeliefert, zurückgewiesen oder still verworfen wird. Kriterien hierfür sind: Quell- oder Ziel-Adresse eines Paketes, Quell- oder Ziel-Port eines Paketes und der Protokoll-Typ. So sollte eine Firewall, die ihr lokales Netz (Intranet) schützt, eine Regel beinhalten, die die Ports 137 bis 139 für ein- und ausgehenden Verkehr blockiert. Denn über diese Ports kommunizieren Windows-Freigaben, d.h. ihre freigegebenen Ordner im Netz. Wer möchte schon die im heimischen Netz freigegebenen privaten Ressourcen im Intenet zur Verfügung stellen?

Diese definierten Kriterien zusammen bilden ein Regelwerk, vorstellbar als lange 'Checkliste', anhand dessen eine Firewall die Entscheidung trifft, ob ein Paket abgewiesen oder weitergeleitet wird.

Auf den Zustand kommt es an: Stateful Inspection

Eine Erweiterung der einfachen Paketfilter besteht darin, über die einfachen Kriterien der Quell- und/oder Zieladresse sowie Ports hinaus, den Zustand jedes Paketes zu untersuchen und für bestimmte Verbindungen eine Statustabelle zu führen.

So kann die Firewall nachvollziehen, ob ein bestimmtes Paket den Start einer neuen, den Teil einer bereits existierenden Verbindung oder ein ungültiges Paket darstellt. Damit kann die Anzahl der zu überprüfenden Regeln für ein bestimmtes Paket, und damit die zu einer Überprüfung notwendige Zeit sowie die Komplexität des Regelwerkes gesenkt werden. Hierbei wird zu Beginn der Überprüfung abgefragt, ob dieses Paket Teil einer bestehenden Verbindung ist. So kann ein Paket einer bereits bestehenden Verbindung durchgelassen werden, ohne sämtliche (nachfolgenden) Regeln überprüfen zu müssen.

Zollkontrolle: Deep Packet Inspection durch Application Level Firewall

Tiefer eingreifende Firewalls verfolgen zudem den Ansatz, neben Absender und/oder Empfänger eines Paketes zusätzlich den übermittelten Inhalt zu untersuchen. Im Unterschied zu 'Paketfilter' und 'Stateful Inspection' wird hier der Netzwerkverkehr nicht nach Überprüfung weitergeleitet oder verworfen, stattdessen übernehmen so genannte Proxys, bzw. 'Stellvertreter' den Part der eigentlichen Kommunikation als Vermittler. Nicht Ihr Rechner selbst kommuniziert dann mit Servern im Internet, sondern der Proxy übernimmt diese Aufgabe. Auf diesem Weg kann Schadsoftware, also beispielsweise Viren oder Trojaner aus der Netzwerkkommunikation herausgefiltert werden, noch bevor diese Ihren Rechner erreichen.

Diese weitergehende Untersuchung des Datenverkehrs stellt allerdings zusätzliche Anforderungen an die Ressourcen des Computers, auf dem diese Firewall-Technologie zum Einsatz kommt.