ABSTRACT: der begriff "firewall" wird erklaert. AUDIENCE: junior admin SYSTEM: any unix SECTION: basic unix commands AUTHOR: mond COPYRIGHT: GNU Free Documentation Licence http://www.gnu.org/licenses/fdl.txt in naechster zeit wollen wir einwenig ueber firewalls lernen. mit dem begriff firewall werden oft sehr unterschiedliche dinge gemeint. von einem einfachen packet filterenden hardwareloesung bis zu komplexen security loesungen aus 2, 3 oder mehreren rechnern. grundsaetzlich kann man firewalls einmal in 2 gruppen teilen: 1. packet filter firewalls 2. application firewalls die erste gruppe von firewalls filtert, wie der name schon sagt netzwerkpackete. nur packete von und zu rechnern und ports die wirklich gebraucht werden sollten auf der firewall freigeschalten sein den rest sollte eine firewall filtern. der typische aufbau sieht etwa so aus: +-------------+ | | worldwide internet ---+ firewall +---- internes lan | | | | +----+--------+ | | +-- DMZ die packet filter firewall ist somit ein basis schutz der verhindert dass z.b. jemand von aussen aus dem internet direkt auf einen firmeninternen drucker oder fileserver zugreifen kann. umgekehrt muss auch der uneingeschraenkte datentransfer vom internen netz nach aussen nicht moeglich sein. email wird ohnehin meist ohnehin ueber einen email server abgewickelt und zum surfen koennen die leute einen proxy eintragen. zugan von innen nach aussen zu sperren ist desshalb wichtig damit nicht ein trojan oder virus der auf einem rechner im lan gelandet ist "nachhause telefonieren" kann. d.h. eine verbindung nach aussen machen ueber die dann ein hacker die kontrolle ueber einen rechner im inneren uebernehmen kann. das heisst also dass wir die sicherheit die eine firewall bietet mit einem verlusst an komfort bezahlen muessen. wir koennen jetzt hinter einer firewall nicht mehr so einfach filesharing tools oder aehnliches verwenden. je dichter wir die firewall machen desto muehsamer wird die internet benutzung. eine solche abschirmung kann natuerlich nie perfekt sein solange man das intenetz noch irgendwie benuetzen will kann ein hacker z.b. einen tunnel ueber webrequests oder DNS requests aufbauen, etc.. da IP addressen (zumindest im jetzt noch gebrauechlichen ipv4) netz schon langsam rar werden (32 bit sind 4 Giga addressen aber wir haben schon ueber 6 Gig menschen) und die rechner in einem bueronetz ohnehin nicht direkt aus dem netz erreichbar sein sollen verwendet man in einem internen netz vorallem private IP addresse die nicht im oeffentlichen internet geroutet werden (siehe RFC1597: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). sollen die computer im internen lan dennoch direkte verbindunden nach aussen aufbauen koennen so muss die firewall die IP packete umschreiben damit sie so aussehen als kaemen sie von einer echten IP addresse. man nett das "masquerading" oder NAT. ueblicherweise will man auch server betreiben die von aussen aus sichtbar sind. diese server will man aber nicht voellig ungeschuetzt ins netz lassen sondern nur die ports aufmachen die wirklich benoetigt werden. ein riskiko besteht natuerlich dennoch und damit der moegliche schaden beschraenkt bleibt wenn so ein rechner gehackt wird verbannt man solche server ueblicherweise in einen speziell abgesicherten bereich. (ueblicherweise DMZ - "demilitarized zone" - genannt) komplexere firewalls koennen natuerlich mehrere soclher DMZ haben und eventuell auch mehrere getrennte interne LANs verwalten. weiters kann man groessere firewallsysteme aus mehren einzelnen packet filtern aufbauen. die groesste bedrohnung geht allerdings heute kaum noch von angriffen aus wo sich hacker direkt auf ein port connecten. die weitaus groesste gefahr sind angriffe durch viren und trojans die via emails verbreitet werden. weiters sind bugs in browsern und office packeten die das ausfuehren von beliebigen programmcode erlauben eine der groessten gefahren. wozu erst muehsam durch eine firewall hacken wenn es reicht einem einzigen unbedarften mitarbeiter ein .exe file zu mailen dass dieser ohne bedenken anklickt. der virus/trojan hat damit ueblicherweise die totale kontrolle ueber den computer des opfers. neben dem schaden den der virus/trojan direkt anrichten kann ist auch ein "nachhause telefonieren" kaum wirklich aufzuhalten. computersicherheit ist damit heutzutage in netzwerken die auf mircosoft windows technologie aufbauen defakto nicht existent. daran aendert auch die beste packet firewall nichts. eine leichte entschaerfung der situtation koennen nur application firewalls bringen: application firewalls filtern nicht blos auf der ebene von IP addressen sondern auf der ebene der verwendeten applicationen. d.h. z.b. ein filter fuer emails dass eben nur emails durchlaesst und aus diesen potentiell gefaehrlichen inhalt (d.i forallem alle microsoft office dateiformate, etc..) entfernt. oder ein web proxy der die webseiten die er an den browser liefert von gefaehrlichen plugins oder javascript befreit. hat man keinen filternden webproxy dann sollte man tunlichst darauf zu achten immer eine aktuelle browserversion zu verwenden und alle extrfeatures wie javascript, java, plugins, etc.. weitestgehend zu deaktivieren. die oben angefuehrte regel dass wir uns die sicherheit mit einem verzicht auf manchen komfort erkaufen muessen gilt also auch hier. wollen wir sicherheit so muessen wir eben auf manche webseiten mit javascript schnickschnack verzichten und duerfen keine dokumente in unsicheren office formaten austauschen. verantwortungsvolle IT manager planen daher schon heute den ausstieg aus der microsoft einbahnstrasse. in einer der naechsten CD folgen lernen wir wie wir packet filter firewalls mit linux realisieren. EXERCISES: * diskutiere aktuelle sicherheitsrisken und in welcher form sie von verschiedenen firewall loesungen entschaerft werden koennen. REFERENCES: zless /usr/share/doc/HOWTO/en-txt/Firewall-HOWTO.txt.gz http://directory.google.com/Top/World/Deutsch/Computer/Sicherheit/Firewall/