Donnerstag, 1. Juli 2010


Topthema

Donnerstag, 8. Dezember 2005 | Topthema

About Security #35: Die Firewall — Zusammenspiel der Komponenten

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/025742)

Erst durch die Kombination von Paketfiltern und Application Level Gateways entsteht eine wirksame Firewall. Welche Varianten es gibt und welche Vor- und Nachteile diese haben, erfahren Sie in dieser Folge.

Paketfilter oder Application Level Gateway einzeln

Der einfachste Fall einer Firewall ist ein einzelner Paketfilter oder ein einzelnes Application Level Gateway zwischen unsicherem und zu sch�tzendem Netz.

Mit einem Paketfilter k�nnen folgende Sicherheitsziele erreicht werden:

  • Die Zugangskontrolle auf Netzzugangs- und Netzwerkschicht sorgt daf�r, dass nur erw�nschte Verbindungen aufgebaut werden k�nnen.
  • Die Rechteverwaltung legt fest, welche Protokolle und welche Dienste, d.h. Portnummern, zul�ssig sind.
  • Sicherheitsrelevante Ereignisse werden protokolliert, in bestimmten F�llen wird ein Alarm ausgel�st.

Der ausschlie�liche Einsatz eines Paketfilters reicht nicht aus, um ein schutzbed�rftiges Netz sicher mit dem Internet zu verbinden. F�r die Verbindung zweier Netze mit vergleichbarem Schutzniveau innerhalb eines gemeinsamen Verantwortungsbereichs ist er jedoch geeignet.

Einzelner Paketfilter oder einzelnes Application Level Gateway

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Mit einem Application Level Gateway in Form eines Dual-Homed Gateway k�nnen folgende Sicherheitsziele erreicht werden:

  • Die Zugangskontrolle auf der Netzwerkschicht sorgt daf�r, dass nur erw�nschte Verbindungen aufgebaut werden k�nnen.
  • Die Zugangskontrolle auf der Benutzerschicht kann eingesetzt werden, um eine Identifikation und Authentifizierung der Benutzer zu erzwingen.
  • Die Rechteverwaltung legt fest, welche Protokolle und Dienste zul�ssig sind. Nur Dienste, f�r die ein Proxy installiert und aktiviert ist, k�nnen genutzt werden.
  • Eine Kontrolle auf der Anwendungsschicht verhindert, dass ein Benutzer unerw�nschte Aktionen durchf�hrt.
  • Die vollst�ndige Entkoppelung der Dienste sch�tzt die Programme im gesch�tzten Netz vor Zugriffen aus dem unsicheren Netz.
  • Sicherheitsrelevante Ereignisse werden protokolliert, in bestimmten F�llen wird ein Alarm ausgel�st.
  • Die Struktur des gesch�tzten Netzes wird verborgen.

Ein Application Level Gateway kann f�r die sichere Verbindung zweier Netze mit vergleichbarem Schutzniveau verwendet werden, wenn das unsichere Netz au�erhalb des eigenen Verantwortungsbereichs liegt. Zur sicheren Verbindung eines schutzbed�rftigen Netzes mit dem Internet reicht es nicht aus.

Kombinationen von Paketfiltern und Application Level Gateways

Paketfilter und Single-Homed Application Level Gateway

Paketfilter und Single-Homed Application Level Gateway
About Security: Die komplette Serie

Ein Single-Homed Application Level Gateway empf�ngt die Daten �ber dieselbe Netzwerkschnittstelle, �ber die sie auch weitergeleitet werden. Dadurch kann das Gateway selbst nicht garantieren, dass alle Pakete analysiert und kontrolliert werden. Die Sicherheit bei dieser Kombination wird daher haupts�chlich vom Paketfilter gew�hrleistet. Das Application Level Gateway stellt zus�tzliche Schutzfunktionen zur Verf�gung.

Variante 1: Paketfilter vor dem Application Level Gateway
Der Paketfilter kann so konfiguriert werden, dass eine Kommunikation aus dem unsicheren Netz nur �ber das Application Level Gateway erfolgen kann.
Da sich das Gateway im gesch�tzten Netz befindet, hat ein Angreifer, der die Kontrolle dar�ber erlangt, Zugriff auf alle Systeme im gesch�tzten Netz.

Variante 2: Application Level Gateway vor dem Paketfilter
Die Kommunikation aus dem gesch�tzten Netz wird vom Paketfilter so gesteuert, dass sie immer �ber das Application Level Gateway erfolgt.
Da sich das Gateway im ungesch�tzten Netz befindet, ist es Angriffen ungesch�tzt ausgesetzt. Ein erfolgreicher Angreifer hat jedoch keinen Zugriff auf das gesch�tzte Netz.

Bewertung
Bei der Kombination eines Paketfilters und eines Single-Homed Application Level Gateways k�nnen bestimmte Verbindungen zwingend �ber das Gateway geleitet werden. Erw�nschte Verbindungen, f�r die keine Proxies vorhanden sind, k�nnen vom Paketfilter am Gateway vorbei direkt in das gesch�tzte Netz geleitet werden. Dadurch ist diese Kombination sehr flexibel.

Die Sicherheit ist dabei weitgehend von der Sicherheit des Paketfilters abh�ngig. Ist der Schutzbedarf des zu sch�tzenden Netzes h�her als der Schutz, den der Paketfilter leisten kann, ist diese Kombination f�r den Anschluss eines zu sch�tzenden Netzes an das Internet nicht ausreichend. Zur Koppelung von Netzen mit unterschiedlichen Schutzniveaus innerhalb eines gemeinsamen Verantwortungsbereichs ist sie jedoch geeignet.

Paketfilter und Dual-Homed Application Level Gateway

Paketfilter und Dual-Homed Application Level Gateway

Variante 1: Paketfilter vor dem Application Level Gateway
Das Application Level Gateway befindet sich im gesch�tzten Netz. Der Paketfilter sch�tzt es vor Zugriffen aus dem unsicheren Netz.

Variante 2: Application Level Gateway vor dem Paketfilter
Das Application Level Gateway befindet sich ungesch�tzt im unsicheren Netz.

Bewertung
Sowohl Paketfilter als auch Application Level Gateway kontrollieren die gesamte Kommunikation zwischen zu sch�tzendem und unsicherem Netz. Es besteht keine M�glichkeit, das Gateway zu umgehen.

Die Sicherheit h�ngt von der Sicherheit sowohl des Paketfilters als auch des Application Level Gateways ab. Durch die Kombination der unterschiedlichen Schutzfunktionen wird eine hohe Gesamtsicherheit erreicht. Diese Kombination ist geeignet, um ein zu sch�tzendes Netz mit nicht besonders hohem Schutzniveau mit dem Internet zu verbinden.

Dabei ist die erste Variante vorzuziehen (d.h. das Application Level Gateway befindet sich im gesch�tzten Netz).

In der n�chsten Folge wird der Aufbau einer demilitarisierten Zone mithilfe zweier Paketfilter behandelt.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Firewall"

Kommentare

Folgende Links könnten Sie auch interessieren