Firewall Technologie

Inhaltsverzeichnis
1. Einführung
2. Firewall-Klassen
2.1. Der Paketfilter
2.2. Der Applikationsfilter
3. Firewall-Architekturen
BTU Cottbus
Proseminar Internet
Firewall Technologie
Stefan Böhlke
sboehlke@informatik.tu-cottbus.de
3.1. Ein Paketfilter + Single-Homed Applikationsfilter
3.2. Zwei Paketfilter als Screened Subnet + Dual-Homed Applikationsfilter
4. Grenzen von Firewall-Systemen
5. Literaturhinweise
1

1. Einführung
Der Begriff Firewall kommt aus dem Englischen und bedeutet übersetzt
Brandschutzmauer. Eine Brandschutzmauer hat den Zweck, bei Ausbruch eines
Feuers in einem Gebäude zu verhindern bzw. es zu erschweren, dass dieses
Feuer auf ein anderes Gebäude überspringt. Auf die Informatik oder genauer auf
Netzwerke übertragen bedeutet dies, dass eine Firewall zwei verschiedene Netze
voneinander trennt. Dabei wird jeglicher Datenaustausch zwischen diesen
beiden Netzen über die Firewall geleitet. Diese hat dann die Aufgabe, den
Datenverkehr zu kontrollieren und nur die gewünschten Daten durchzulassen,
wobei alle ungewünschten Daten blockiert werden. Zum Vorteil des Benutzers
der Firewall sollte dies möglichst transparent geschehen, d.h. der Benutzer sollte
möglichst ungestört Daten austauschen können ohne mit der Firewall
interagieren zu müssen.
In der Realität findet man Firewalls meist zwischen einem privaten und einem
öffentlichen Netz, wobei dass private als sicher und das öffentliche als unsicher
eingestuft wird (siehe Abbildung 1). Ein gutes Beispiel dafür ist ein kleines
Firmennetzwerk mit einem Anschluss ans Internet. Um das Firmennetzwerk vor
unautorisierten Zugriffen und Angriffen von außen zu schützen, also aus dem
Internet, wird eine Firewall zwischen das Firmennetzwerk und das Internet
geschaltet, und jeglicher Datenaustausch durch die Firewall geleitet. Dadurch ist
das Firmennetzwerk und die darin enthaltenen Daten geschützt.
Abbildung 1: Firewall zwischen 2 Teilnetzen (Quelle: siehe
Literaturverzeichnis, Nr. 1. , Seite 439)
Definition: (Quelle: siehe Literaturverzeichnis, Nr. 1. , Seite 439)
’Eine Firewall besteht aus einer oder mehreren Hard- und
Softwarekomponenten, die zwei Netzwerke koppeln und sicherstellen, dass
jeglicher Verkehr zwischen den beiden Netzen durch den Firewall geleitet wird.
Er realisiert eine Sicherheitsstrategie, die Zugriffsrestriktionen und ggf.
Protokollierungs- und Authentifizierungsanforderungen umfasst. Der Firewall
leitet nur diejenigen Pakete weiter, die diese Strategie erfüllen und führt
Authentifikationen und ein Auditing gemäß der festgelegten Anforderungen
durch.’
2

Ein Firewall-System bringt dabei einige Vorteile mit sich. Da alle Verbindungen
über den Firewall-Rechner laufen, stehen verschiedene Überwachungs- und
Protokollierungsmöglichkeiten zur Verfügung, die nur auf dem Firewall-
Rechner selbst installiert sein brauchen, um alle Rechner des internen Netzes zu
schützen. Das senkt den Aufwand für die Sicherheit gewaltig, da man sich nur
auf den Firewall-Rechner als Sicherheitsrisiko konzentrieren muss, und nicht auf
alle Rechner des privaten Netzes.
Zum Abschluss der Einführung soll noch erwähnt werden, dass die Rechner, auf
denen eine Firewall realisiert wird, aus oben genannten Vorteilen besonders vor
Angriffen von außen zu schützen sind. Könnte der Angreifer z.B. unbeschränkt
auf die Firewall selbst zugreifen und diese verändern oder sie einfach umgehen,
kann er dadurch auch auf das als sicher eingestufte interne Netz zugreifen und
seinen gewünschten Aktivitäten nachgehen. Deshalb sollte auf Firewall-
Rechnern nur die notwendigste Software fehlerfrei installiert sein, und auf alles
überflüssige und unnötige (wie z.B. eine grafische Benutzeroberfläche)
verzichtet werden, um einer möglichen Bedrohung so wenig wie möglich
Angriffsfläche zu bieten.
2. Firewall-Klassen
Um ein Firewall-System aufzubauen, stehen in der Praxis verschieden Elemente
zur Verfügung, von denen zwei im folgenden erläutert werden sollen. Diese
lassen sich hauptsächlich nach den Protokollen, auf denen sie aufliegen, und den
daraus resultierenden Funktionen, die sie bieten, unterscheiden.
2.1. Der Paketfilter
Ein erstes Element eines Firewall-Systems können einfache Paketfilter sein.
Diese haben den Vorteil, dass sie eine preiswerte und relative einfach
realisierbare Sicherheitskomponente darstellen, da diese in Router integriert
werden, und die Router-Software schon meistens Möglichkeiten zur
Paketfilterung bereit stellt. Dabei zeigt sich vor allem die transparente
Nutzbarkeit der Paketfilter in den Routern als positiv, was heißt, dass der
Benutzer weder mit dem Paketfilter interagieren muss, noch merkt er es, dass
dieser überhaupt existiert.
Die Aufgabe des Paketfilters ist es, diejenigen Datenpakete nach vorher
festgelegten Regeln zu analysieren und zu kontrollieren, die mittels der
Protokolle der Netzwerk- und Transportschicht zwischen einem privaten und
einem öffentlichen Netz übertragen werden (siehe Abbildung 2).
3

Abbildung 2: Paketfilter zwischen den Schichten 3 und 4 (Quelle: siehe
Literaturverzeichnis, Nr. 1. , Seite 441)
Da in der Realität dabei das öffentliche Netz meist das Internet darstellt, sind die
betreffenden Protokolle hauptsächlich TCP und IP. Das heißt für den Paketfilter,
dass nur die Informationen aus dem TCP- und IP-Header zur Filterung zur
Verfügung stehen, also z.B. die Sender- und Empfängeradresse, die Protokoll-
Ports usw. . Die Regeln, die man zur Filterung aufstellt, werden anschließend
meistens in einer Filtertabelle, welche die Form einer Zugriffskontrollmatrix hat,
dargestellt (siehe Abbildung 3).
Abbildung 3: Auszug einer Zugriffskontrollmatrix für eine Universität
(Quelle: siehe Literaturverzeichnis, Nr. 1. , Seite 442)
In diesem Beispiel bedeutet ein *-Eintrag dabei, dass die Adresse bzw. der Port
ein beliebiger sein kann. Man erkennt dabei auf Grund der erlaubten bzw.
verbotenen Ports, dass z.B. DNS- und NTP-Anfragen erlaubt sind und dem
gegenüber z.B. TFTP Zugriffe verboten, da bei diesen Zugriffen keine
Authentifizierung durchgeführt wird.
4

Die Aufstellung solcher Filtertabellen stellt einen großen Nachteil von
Paketfiltern da, da sich dies als sehr kompliziert erweist, und gerade bei großen
unübersichtlichen Filtertabellen schnell ein Eintrag vergessen werden kann,
worunter dann die Sicherheit des gesamten internen Netzes leidet. Um dem
vorzubeugen, sollte alles was nicht explizit erlaubt ist, verboten werden.
Weitere Nachteile des Paketfilters zeigen sich anhand der Tatsache, dass bei den
Informationen, nach denen gefiltert wird, nicht gewährleistet ist, dass diese auch
korrekt sind. Da die Informationen aus den TCP/IP-Headern z.B.
unverschlüsselt übertragen werden, können diese durch einen Angreifer auch
verändert werden. Ein weiterer Nachteil ist die Zustandslosigkeit des Filters,
was zur Folge hat, dass die Filterung der Datenpakete nicht mit Hilfe von
Kontextinformationen oder der Zugriffsvergangenheit erfolgen kann, sondern
immer nur der Inhalt des aktuellen Datenpakets betrachtet wird. Abschließend
zum Thema Paketfilter sind noch die fehlenden Protokollierungs- und
Authentifizierungsmöglichkeiten zu bemängeln, wodurch man Bedrohungen
jedoch schon vorzeitig bekämpfen könnte.
2.2. Der Applikationsfilter
Ein zweites Element eines Firewall-Systems kann der Applikationsfilter, auch
Application Gateway genannt, sein. Dieser wird auf der obersten ISO/OSI-
Schicht, der Anwendungsschicht, realisiert. Der Applikationsfilter hat dabei die
Aufgabe, verschiedene Anwendungen zu filtern, was als Vorraussetzung hat,
dass er Kenntnisse über die jeweilige Anwendung haben muss. Dazu muss man
wissen das der Filter als Proxy, d.h. er tritt gegenüber dem Client als Server und
gegenüber dem Server als Client auf, zwischen zwei Netzen nach dem Storeand-Forward
Prinzip arbeitet, was wiederum bedeutet, dass er im Gegensatz
zum Paketfilter nicht jedes einzelne Datenpaket analysiert und filtert, sondern
erst den gesamten Datenstrom einer Anwendung, bevor dieser ggf.
weitergeleitet wird. Um aber überhaupt eine Anwendung zu kontrollieren und zu
filtern kommt noch hinzu, dass ein Proxy für die jeweilige Anwendung im
Applikationsfilter existiert muss.
Um das näher zu erläutern, nimmt man ein einfaches Beispiel, z.B. einen
Applikationsfilter mit FTP-Proxy (siehe Abbildung 4). Will der Client, ein
Benutzer in einem Firemennetzwerk, auf einen FTP-Server zugreifen, wobei ein
Applikationsfilter mit FTP-Proxy dazwischen geschaltet ist, wendet sich der
Client zuerst an den Applikationsfilter. Nun erfolgt ggf. eine Authentifizierung,
die ggf. protokolliert wird. Danach arbeitet der Filter transparent, d.h. der Client
hat das Gefühl, direkt mit dem FTP-Server zu kommunizieren. Der
Applikationsfilter analisiert, filtert und protokolliert ggf. nun alle übertragenden
Daten und kann unterscheiden, ob der Internetbenutzer Befehle wie PUT
(schreiben) oder GET (lesen) an den FTP-Server sendet. Ist nun im FTP-Proxy
5

des Applikationsfilters festgelegt, dass jeglicher schreibende Zugriff auf diesen
FTP-Server verboten ist, werden erst alle PUT-Befehle vom Applikationsfilter
herausgefiltert, bevor der gesamte Datenstrom weitergeleitet wird
Abbildung 4: Applikationsfilter mit verschiedenen Proxies (Quelle: siehe
Literaturverzeichnis, Nr. 1. , Seite 453)
Einer der vielen Vorteile des Applikationsfilters ist neben dieser
anwendungsorientierten Filterung die oben genannte Möglichkeit der
Authentifizierung der Benutzer und Protokollierung der übertragenden Daten.
Dies hat zur Folge, dass festgehalten werden kann, welcher Client zu welchem
Zeitpunkt mit welchem Server kommuniziert hat und welche Daten übertragen
wurden. Auf Grund dieser Tatsache lassen sich anhand auffälliger
Zugriffsmuster Angriffe frühzeitig erkennen und anschließend abwehren. So
kann man als Reaktion auf einen Angriff alle folgenden Versuche des
Angreifers Schaden zu verursachen blockieren.
Doch es existiert auch ein Hauptnachteil beim Benutzen eines
Applikationsfilters. So braucht man für jede Anwendung, die gefiltert werden
soll, einen eigenen Proxy im Applikationsfilter. Existiert nämlich kein Proxy,
wird die komplette Anwendung blockiert. Dies kann vor allem bei propietären
Protokollen, d.h. Protokolle die nicht standardkonform sind, zum Problem
werden, da in Applikationsfiltern meistens nur die wichtigsten Dienste
angeboten werden.
3. Firewall-Architekturen
Eine Firewall-Architektur ist eine Kombination der verschiedenen Elemente
eines Firewall-Systems, also der Kombination von z.B. Paketfiltern mit
Applikationsfiltern. Ausschlaggebend ist dabei die Sicherheit, die eine
Architektur bringt und dass Einsatzgebiet, worauf diese angewendet werden
6

kann. In den folgenden Abschnitten werden zwei von vielen möglichen
Kombinationen näher dargestellt.
3.1. Ein Paketfilter + Single-Homed Applikationsfilter
Eine erste einfache Kombination zwischen Firewall-Elementen ist das Benutzen
eines Paketfilters und eines Single-Homed Applikationsfilters. Ein Single-
Homed Applikationsfilter stellt dabei einen Applikationsfilter mit nur einer
Netzwerkschnittstelle da, d.h. die Datenpakete betreten und verlassen den
Applikationsfilter über diese Schnittstelle. Es ist dabei aber nicht sichergestellt,
dass alle Datenpakete den Applikationsfilter auch durchlaufen.
Bei dieser Architektur gibt es zwei Möglichkeiten (Abbildung 5), nämlich das
zuerst das Single-Homed Application Gateway und dann der Paketfilter aus
Sicht des zu schützenden Netzes durchlaufen wird und umgekehrt. Dieser
Abschnitt befasst sich nur mit dem ersteren Fall (Abbildung 5, Linke Seite).
Abbildung 5: Linke Seite: Single-Homed Application Gateway +
Paketfilter (Quelle: siehe Literaturverzeichnis, Nr. 2. , Seite 174)
Rechte Seite: Paketfilter + Single-Homed Application Gateway (Quelle:
siehe Literaturverzeichnis, Nr. 2. , Seite 174)
Bei dieser Art der Architektur steht der Paketfilter als sicherheitskritische
Komponente im Vordergrund. Dieser sollte so eingestellt werden, dass er
jeglichen Datenverkehr aus dem unsicheren Netz nur über den Applikationsfilter
laufen lässt, der nach dem Paketfilter eine zweite Sicherheitshürde für mögliche
Angreifer darstellt. Würde der Paketfilter falsch konfiguriert sein, und die Daten
nicht zum Applikationsfilter weiterleiten, hätte der Angreifer viele
7

Möglichkeiten dem sicheren Netz Schaden zuzufügen, da keine weiteren
Schutzmaßnahmen existieren.
Diese Art der Firewall stellt sich als sehr flexibel heraus, da ein Angreifer zuerst
den Paketfilter und das Application Gateway passieren muss, um ins sichere
Netz zu gelangen. Ein Benutzer aus dem sicheren Netz jedoch kann entweder
den Applikationsfilter benutzen oder auch umgehen, was z.B. nützlich ist, wenn
man eine Anwendung benutzt, für die keine Proxies im Applikationsfilter
existieren.
Diese Firewall-Architektur bietet kein besonders großes Maß an Sicherheit, da
wie oben schon erwähnt der Paketfilter als Sicherheitskomponente an vorderster
Front agiert und für viele Netze die Sicherheit, die ein Paketfilter bietet, nicht
ausreicht. Deshalb sollte sie nur dann benutzt werden, wenn man sowohl dass
sichere und das unsichere Netz kennt und ggf. überwachen kann, was z.B.
zwischen Abteilungen im Intranet einer Firma der Fall sein kann., wenn man die
Personalabteilung schützen will.
3.2. Zwei Paketfilter als Screened Subnet + Dual-Homed
Applikationsfilter
Eine weitere Firewall-Architektur entsteht durch den Einsatz von zwei
Paketfiltern als Screened Subnet und einem Dual-Homed Applikationsfilter. Ein
Screened Subnet ist dabei ein Teilnetzwerk, dem jeweils ein Paketfilter vor- und
nachgeschaltet wird. Dieses wird oft auch als demilitarisierte Zone bezeichnet.
Ein Dual-Homed Applikationsfilter ist ein Applikationsfilter mit zwei
Netzwerkschnittstellen, sodass die Datenpakete den Applikationsfilter durch
eine Schnittstelle betreten und über die zweite wieder verlassen können.
In dieser Architektur befindet sich der Applikationsfilter im Screened Subnet
(Abbildung 6), genauer gesagt zwischen beiden Paketfiltern. So ist er zum einen
vor Angriffen aus dem sicheren als auch aus dem unsicheren Netz geschützt.
Das Screened Subnet wird dabei zwischen das unsichere und das zu schützende
Netz gelegt.
8

Abbildung 6: Zwei Paketfilter als Screened Subnet + Dual-Homed
Applikationsfilter (Quelle: siehe Literaturverzeichnis, Nr. 2. , Seite 180)
Diese Art der Firewall-Architektur wird auch als High-Level Security Firewall
System bezeichnet, da es ein Höchstmaß an Sicherheit bietet. So ist der
Applikationsfilter von beiden Seiten her durch Paketfilter geschützt und kann
nicht umgangen werden, d.h. alle Datenpakete müssen durch ihn durch. Das
zieht jedoch wieder einen Nachteil mit sich, da für jeden Dienst, den man nutzen
will, auch die Proxies im Applikationsfilter existieren müssen. Diese
Kombination wird eingesetzt, wenn man das unsichere Netz weder genau kennt
noch überwachen kann, weshalb ein größeres Gefahrenpotenzial davon ausgeht.
Deshalb wird sie häufig bei der Verbindung von einem Firmennetzewerk mit
Internet genutzt
4. Grenzen von Firewall-Systemen
Zum Abschluss des Themas Firewall-Technologie werden Grenzen von
Firewall-Systemen aufgezeigt, die durch die Firewall-Systeme nicht selbst
gelöst werden können.
Ein erstes Problem von Firewall-Systemen auf den Punkt Sicherheit bezogen
sind Bedrohungen, die sich aus den übertragenden Daten ergeben. So können
Firewalls weder Viren, Trojaner noch andere Bedrohungen abwehren, die sich
aus dem Inhalt der Datenpakete zusammensetzen. Das geht aus der Menge der
Möglichkeiten hervor, wie man zur heutigen Zeit Daten kodieren und
9

komprimieren kann. Deshalb sollte zu einem effektiven Schutz eines System
auch stets ein aktueller Virenscanner installiert sein.
Ein anderes Problem ist die innere Bedrohung, die aus dem Netz, dass man
eigentlich schützen will, stammt. Wie am Anfang bereits erwähnt, schottet eine
Firewall zwei unterschiedliche Netze voneinander ab, verhindert aber nicht
Bedrohungen, die aus dem selben Netz kommen. So kann ein Angreifer dem zu
schützenden Netz Schaden zufügen, in dem er über einen Computer des inneren
Netzes sich Zugang zum gesamten inneren Netz selbst verschafft und dort
seinen Absichten verwirklicht. Aus diesem Grund sollte man zum einen nie mit
sicherheitskritischen Daten leichtsinnig umgehen oder vollkommen auf die
Sicherheitswirkung einer Firewall vertrauen, zum anderen sollte ein
umfassendes Sicherheitsmanagement und interne Kontrollen in z.B. einer Firma
stets zum Alltag gehören.
Abschließend lässt sich sagen, dass Firewalls ihren Teil zur Sicherheit von
Netzen erheblich beitragen. Jedoch sollte man auch stets im Gedächtnis
behalten, dass diese immer nur auf bereits bestehende Sicherheitslücken
reagieren und sozusagen vorhandene Löcher stopfen. Das eigentliche
Kernproblem, nämlich das aktive Einbeziehen des Themas Sicherheit beim
Entwickeln von Software, wird mit einer Firewall nicht beseitig. Die Firewall
dient nur als eine Art Maßnahme, die Auswirkungen vorhandener
Sicherheitsmängel einzugrenzen und diese nicht selbst zu beheben.
5. Literaturverzeichnis
1. Claudia Eckert: "IT-Sicherheit", Oldenbourg Wissenschaftsverlag GmbH,
2001, Abschnitt 11.1
2. Norbert Pohlmann: "Firewall-Systeme – Sicherheit für Internet und
Intranet", 2. aktualisierte und erweiterte Auflage, MITP-Verlag GmbH,
1998, Abschnitt 5 und 6
3. William R. Cheswick, Steven M. Belovin, Aviel D. Rubin: "Firewalls und
Sicherheit im Internet – Schutz vor cleveren Hackern", 2. aktualisierte
Auflage, Addison-Wesley Verlag, 2004, Abschnitt 9 und 11
4. Othmar Kyas: "Sicherheit im Internet", International Thomson
Publishing, 1998, Abschnitt 13, 14 und 15
5. Wikipedia, die freie Enzyklopädie, unter dem Begriff Paketfilter und
Firewall:
o http://de.wikipedia.org/wiki/Paketfilter
o http://de.wikipedia.org/wiki/Firewall
10