Firewall Technologie

Weitere Magazine

Empfehlungen

Info

des Applikationsfilters festgelegt, dass jeglicher schreibende Zugriff auf diesen FTP-Server verboten ist, werden erst alle PUT-Befehle vom Applikationsfilter herausgefiltert, bevor der gesamte Datenstrom weitergeleitet wird Abbildung 4: Applikationsfilter mit verschiedenen Proxies (Quelle: siehe Literaturverzeichnis, Nr. 1. , Seite 453) Einer der vielen Vorteile des Applikationsfilters ist neben dieser anwendungsorientierten Filterung die oben genannte Möglichkeit der Authentifizierung der Benutzer und Protokollierung der übertragenden Daten. Dies hat zur Folge, dass festgehalten werden kann, welcher Client zu welchem Zeitpunkt mit welchem Server kommuniziert hat und welche Daten übertragen wurden. Auf Grund dieser Tatsache lassen sich anhand auffälliger Zugriffsmuster Angriffe frühzeitig erkennen und anschließend abwehren. So kann man als Reaktion auf einen Angriff alle folgenden Versuche des Angreifers Schaden zu verursachen blockieren. Doch es existiert auch ein Hauptnachteil beim Benutzen eines Applikationsfilters. So braucht man für jede Anwendung, die gefiltert werden soll, einen eigenen Proxy im Applikationsfilter. Existiert nämlich kein Proxy, wird die komplette Anwendung blockiert. Dies kann vor allem bei propietären Protokollen, d.h. Protokolle die nicht standardkonform sind, zum Problem werden, da in Applikationsfiltern meistens nur die wichtigsten Dienste angeboten werden. 3. Firewall-Architekturen Eine Firewall-Architektur ist eine Kombination der verschiedenen Elemente eines Firewall-Systems, also der Kombination von z.B. Paketfiltern mit Applikationsfiltern. Ausschlaggebend ist dabei die Sicherheit, die eine Architektur bringt und dass Einsatzgebiet, worauf diese angewendet werden 6
kann. In den folgenden Abschnitten werden zwei von vielen möglichen Kombinationen näher dargestellt. 3.1. Ein Paketfilter + Single-Homed Applikationsfilter Eine erste einfache Kombination zwischen Firewall-Elementen ist das Benutzen eines Paketfilters und eines Single-Homed Applikationsfilters. Ein Single- Homed Applikationsfilter stellt dabei einen Applikationsfilter mit nur einer Netzwerkschnittstelle da, d.h. die Datenpakete betreten und verlassen den Applikationsfilter über diese Schnittstelle. Es ist dabei aber nicht sichergestellt, dass alle Datenpakete den Applikationsfilter auch durchlaufen. Bei dieser Architektur gibt es zwei Möglichkeiten (Abbildung 5), nämlich das zuerst das Single-Homed Application Gateway und dann der Paketfilter aus Sicht des zu schützenden Netzes durchlaufen wird und umgekehrt. Dieser Abschnitt befasst sich nur mit dem ersteren Fall (Abbildung 5, Linke Seite). Abbildung 5: Linke Seite: Single-Homed Application Gateway + Paketfilter (Quelle: siehe Literaturverzeichnis, Nr. 2. , Seite 174) Rechte Seite: Paketfilter + Single-Homed Application Gateway (Quelle: siehe Literaturverzeichnis, Nr. 2. , Seite 174) Bei dieser Art der Architektur steht der Paketfilter als sicherheitskritische Komponente im Vordergrund. Dieser sollte so eingestellt werden, dass er jeglichen Datenverkehr aus dem unsicheren Netz nur über den Applikationsfilter laufen lässt, der nach dem Paketfilter eine zweite Sicherheitshürde für mögliche Angreifer darstellt. Würde der Paketfilter falsch konfiguriert sein, und die Daten nicht zum Applikationsfilter weiterleiten, hätte der Angreifer viele 7
Seite 1 und 2: Inhaltsverzeichnis 1. Einführung 2
Seite 3 und 4: Ein Firewall-System bringt dabei ei
Seite 5: Die Aufstellung solcher Filtertabel
Seite 9 und 10: Abbildung 6: Zwei Paketfilter als S

Firewall Technologie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?