Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerksicherheit Grundkurs

Firewall-Typen

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Es stehen zahlreiche unterschiedliche Typen von Firewalls zur Verfügung. Dieses Video listet die verschiedenen Arten von Firewalls auf und liefert grundsätzliche Informationen über die einzelnen Varianten.

Transkript

Mit diesem Video widme ich mich der Firewall, und zwar den Grundlagen. Was ist denn überhaupt eine Firewall? Die Definition Firewall ist nicht klar umrissen. Einzig und allein weiß man, dass die Firewall die Aufgabe hat, zwischen zwei Netzwerken als Brandmauer eingesetzt zu werden und dafür Sorge zu tragen, dass nur das, was den Regeln entspricht, auch wirklich übertragen wird. Was sie noch zusätzlich kann, das hat mit der Firewall direkt nichts zu tun. Das sind natürlich alles nützliche Komponenten, aber eine Firewall, eine Definition der Firewall, exakte Definition gibt es eigentlich nicht. Angefangen hat das Ganze mit einem sogenannten Paketfilter, Paketfilter-Firewall, deren Aufgabe war schlicht und ergreifend, sich den Header anzuschauen. Das heißt also anzugucken: Was kommt denn da für ein Paket? Und anhand dieses Paketes dann festzulegen: Was soll ich denn damit tun? Die Firewall wertet den Header aus, in diesem Fall die Header Information aus, jedes Paket hat einen sogenannten Protokoll-Header, wo zum Beispiel drin steht: "Ich bin ein UDP Protokoll, ich bin ein TCP Protokoll, ich gehöre zu Port 80" und so weiter und so fort. Alle diese Informationen können aus dem Header herausgelesen werden. Nun wird anhand der Netzwerkadresse zum Beispiel über Sperre und Freigabe entschieden. Das heißt, wir brauchen Regeln letztendlich, die das Ganze machen. Und diese Regeln sind in einer Firewall vom Typ Paketfilter statisch. Das heißt, hier wird nicht variiert, sondern man hat klare Aussagen, klare Definitionen, die da zum Beispiel heißen: Port 80 darf, Port 112 darf nicht oder was auch immer. Das heißt, es wird nicht situations- oder verbindungsorientierend gearbeitet, denn das kann die Paketfilter-Firewall nicht. Sie kann keine Verbindung zwischen den einzelnen Paketen herstellen. Für sie ist jedes Paket einzeln auswertbar und sie kann nicht erkennen, dass dieses Paket die Folge von einem anderen Paket ist. Schlicht und ergreifend, sie kann nicht erkennen, es findet eine Verbindung statt oder es findet keine Verbindung statt. Es ist einfach ein Paket, was da drauf gedonnert wird oder es ist ein Paket, was wirklich logisch in der Reihenfolge von Verbindungen zu erwarten ist. Die Filterung erfolgte anhand von Port bzw. IP Adressen. Das heißt. man ist schlicht und ergreifend her gegangen und hat gesagt, dieser Port oder dieser Port mit dieser IP Adresse, die dürfen passieren oder sie dürfen nicht passieren. Das war die Möglichkeit, die man bei der Paketfilter-Firewall nun hatte. Grundsätzlich kann man aber sagen, dass die Paketfilter-Firewall die Grundlage bildet für alle anderen Firewall-Typen, die es heutzutage gibt. Der nächste Firewall-Typ ist die Stateful Packet Inspection Firewall. Das ist eigentlich ein Zusatz, der eine gewisse Intelligenz in die Firewall bringt, weil früher war ja ganz stur: Port darf - darf nicht, und das ist bei der Stateful Packet Inspection Firewall nicht mehr so. Sie arbeitet zustandsorientiert und sie arbeitet mit dynamischen Paketfilterregeln oder Paketfiltertechnik. Jedes Paket wird einer bestimmten aktiven Sitzung zugeordnet. Wenn ich eine Sitzung aufbaue, bearbeite oder abbaue, dann kann ich das anhand des Protokolls erkennen und wissend um diese Protokolltechnik, kann nun die Firewall entscheiden, ob dieses Paket, was da jetzt kommt, ein Paket ist, was willkürlich geschickt wurde, um in irgendeiner Form Störungen zu produzieren oder ob das eine logische Abfolge, protokolltechnische Abfolge, von Paketen ist. Das ist also der große Vorteil, den hier die Stateful Packet Inspection Firewall besitzt. Das bedeutet also, der Zustand der Datenverbindung ist für die Filterung mitentscheidend. Will heißen, wenn ein Paket in keine Sitzung passt, dann wird es gesperrt, auch wenn es rein theoretisch von der Port Information her hätte durchgehen können. Wenn es nicht passt, wenn hier keine Sitzung existiert, aufgebaut wurde, die zu dieser Information passt, dann wird sie definitiv nicht durchgelassen. Und dieser Vorteil hilft uns gegen Angriffe, sogenannte "Denial of Services", das heißt also, dadurch können sogenannte DoS-Angriffe erkannt und vereitelt werden. Die Paketfilter-Firewall könnte das nicht. Ob da jetzt 1000 Mal Port 80 kommt, im Zusammenhang oder zusammenhanglos, wäre für sie nicht erkennbar. Die Stateful Packet Inspection Firewall die kann das sehr wohl und ist damit der Paketfilter-Firewall um einiges überlegen. Schauen wir uns mal ein Regelwerk einer Paketfilter-Firewall an. In diesem Fall haben wir Rechner A nach Rechner B HTTP Port 80. für den Rechner A zum Rechner B über den Port 80, dass dort die Information ankommt. Jetzt müssen wir bei der Paketfilter-Firewall auch den Rückweg freischalten, denn sie kann ja bekanntlich keine Verbindung zwischen dem Hin- und dem Rückpaket erkennen. Also keine Verbindung überhaupt erkennen, demnach müssen wir auch noch Rechner B nach Rechner A ebenfalls Port 80 freischalten. Rechner A darf Webseiten auf Rechner B aufrufen, Rechner B darf aber auch Webseiten auf Rechner A aufrufen und das wollte man ja vielleicht gar nicht haben. Eine Paketfilter-Firewall muss immer beide Richtungen beschreiben und kann unter Umständen mehr freigeben als ich überhaupt definieren möchte. Das heißt also, die Paketfilter-Firewall ist heutzutage nicht mehr von Interesse und die gibt es in der Form eigentlich auch nicht mehr. Nur es waren Grundfunktionalitäten, die man damals brauchte und die sie halt bedient hat, aber eben heutzutage nicht mehr verwendbar. Eine Einschränkung, und genau das ist der Punkt, in nur eine Richtung ist nicht möglich. Schauen wir uns das Ganze mal mit der SPI-Firewall an. Dort haben wir Rechner A nach Rechner B HTTP Port 80, Rechner A darf Webseite auf Rechner B aufrufen. Ganz klar. Rechner B darf keine Webseiten auf Rechner A aufrufen und dennoch wird das Paket zurückgeschickt, weil nämlich die SPI-Firewall erkennt, dass ein Paket, was rückläufig ist oder zurückläuft, eine Folge auf ein Paket ist, was bereits die Firewall passiert hat. Und genau diese Möglichkeit der Verbindung ist entscheidend, dass die SPI-Firewall in der Lage ist, zu erkennen, ob es sich jetzt hier um einen ganz normalen Netzwerktransfer und einen Protokolltransfer handelt, oder ob hier jemand irgendetwas Böses im Schilde führt. Die Regel des Rückwegs wird bei der SPI-Firewall demnach automatisch erzeugt und ich habe die Möglichkeit, eben ganz genau zu sagen, was Sache ist. Und nach einer gewissen Zeit wird diese Regel natürlich gelöscht. Gerade dann, wenn die Verbindung beendet ist, dann brauche ich die Regel ja nicht mehr. Dann gibt es ja dementsprechend keine Verbindung mehr, dann kann ich die auch löschen. Und wenn das nächste Mal wieder der Port angesprochen wird, dann wird eine neue dynamische Regel aufgebaut und das Ganze geht von vorne los. Der nächste Typ von Firewall ist die sogenannte Application Firewall. Die geht jetzt noch einen Schritt weiter. Was Paketfilter und SPI-Firewall nicht können, sie können nicht erkennen, was sich in den Datenpaketen befindet. Wenn man also ein Paket schickt, kann der Paketfilter keinen Zusammenhang zwischen den Paketen erkennen. Die SPI-Firewall, die kann das, kann aber nicht wissen, welcher Inhalt dort geliefert wird und die Application Firewall, die kann sich jetzt den Inhalt genau anschauen. Das bedeutet, die Firewall vom Typ Application greift auf den Dateninhalt des Paketes zu und schaut nach, was sich dort befindet und überprüft den Dateninhalt gemäß dem Dienst, der angesprochen wurde und ob das dazu passt. Das heißt, der Port 80 wird ja nicht nur für HTTP verwendet, sondern da gibt es bestimmt auch noch andere Applikationen, die über den Port 80 sich unterhalten. Nun werden die in diesem Falle kein HTTP verwenden und die Application Firewall würde nun anhand dieser Fehlinformation oder der Fehlprotokolle, die im Paket sind, erkennen, dass es überhaupt kein HTTP ist und dementsprechend handeln. Das heißt, wenn HTTP erwartet wird, dann wird auch auf HTTP-Konformität überprüft. Das Gleiche kann natürlich auch zum Beispiel bei SQL passieren. Es gibt Application Firewalls, die erkennen SQL Statements und können zum Beispiel herausfinden, dass da ein Statement viel zu oft kommt und dementsprechend wird auch diese Information dann rausgeworfen, weil man sagt, das kann nicht sein, SQL Statement 1000 Mal das Gleiche oder 500 Mal das Gleiche, das macht keinen Sinn, wir sperren. Application Firewall ist im Gegensatz zu den anderen Firewalls eindeutig im Vorteil, denn sie weiß, was in den Paketen steckt und dadurch kann sie entscheiden, ob das Paket durchkommt oder nicht, auch wenn der Port stimmt und auch die Verbindungen, die Verbindungen zwischen den Paketen stimmen würden, kann sie festlegen: Der Inhalt ist nicht HTTP konform, den lassen wir nicht durch. Ich habe jetzt hier noch die Proxy als Firewall, oder den Proxy Server als Firewall aufgeführt. Der Proxy ist eigentlich keine Firewall, nur dadurch, dass er ja im Prinzip auch zwischen den Netzwerken steht, Informationen entgegen nimmt und nur die Informationen durchlässt, sprich, wir haben einen HTTP Proxy, dann lässt er ja nur HTTP Informationen durch, deswegen kann er Grundfunktionalitäten einer Firewall übernehmen. Das heißt, da er als Bindeglied zwischen Inter- und Intranet eingesetzt wird, wäre er strategisch in der Lage, ebenfalls die Voraussetzungen einer Firewall zu besitzen. Die normalen Firewalls sind Application Firewalls und diese SPI-Firewall. Alle anderen, diese normalen Paketfilter, die hat man heute eigentlich nicht mehr im Einsatz. Was zusätzlich noch kommt, das sind wie schon erwähnt, nette Informationen, nette Mechanismen, aber sie sind nur ein Mehr für die Firewall, aber machen nicht unbedingt das Thema Firewall aus.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Ihr(e) Trainer:
Erscheinungsdatum:30.05.2014
Laufzeit:11 Std. 47 min (142 Videos)

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!