Upload
agneth-stommel
View
110
Download
3
Embed Size (px)
Citation preview
Die FirewallDie Firewall
Was versteht man unter dem Begriff „Firewall“?
Firewall / Zugangsschutzsystem:
- Konzept zur Trennung von Netzbereichen
- korrekte Umsetzung
- dauerhafte Pflege
Das in der Umgangsprache „Firewall“ genannte Konstrukt ist besteht aus zwei Teilen. Der Hadware und der Software
Die HardwareDie Hardware
- im Regelfall zwei oder mehreren Netzwerkschnittstellen.
(auch mit einer Schnittstelle möglich, aus Sicherheits-
gründen aber nicht zu empfehlen)
Nur eine Schnittstelle bedeutet keine physikalische Trennung!
Software kann evtl. umgangen werden?
Die SoftwareDie Software
- Paketfilter
- Content-Filter
- Proxy
- SOCKS
- NAT
- Router – Funktionalitäten
-arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells
- sehr unterschiedliches Implementationsniveau
Der PaketfilterDer Paketfilter
Der Paketfilter ist zuständig für:
- Vergleich von Quell- und/oder Zieladresse der Pakete
- Definition von Regeln, ob einzelne oder zusammenhängende Pakete das Schutzsystem passieren dürfen
z.B.
alle Pakete from 1.2.3.4 = drop;
alle Pakete to 5.6.7.8 = fw to 9.10.11.12;
Der Content-FilterDer Content-Filter
Der Content-Filter ist zuständig für:
- Überprüfung von Inhalten der Pakete:
z.B.
- Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten
- Filtern/Kennzeichnen von Spam-Mails
- Löschen von Viren-Mails
Der ProxyDer Proxy
Der Proxy ist zuständig für:
- Stellvertreter zur Annahme von Anfragen
Verhält sich gegenüber dem anfragenden Client wie ein Server. Gegenüber dem eigentlichen Ziel, z.B. dem Web-Server,
verhält er sich wie ein Client.
Vorteil: Keine Pakete können die Firewall direkt passieren -> Sicherheit
- wird oft mit dem Content-Filter kombiniert
SOCKSSOCKS
Der Socks-(Secure Sockets)Server ist zuständig für:
- Bedienung von Anwendungen und Protokollen
- Socks-Software hört als Server auf Port 1080
- Clientanwendung kann einen Tunnel zum Socks-Server aufbauen und Daten an den Server schicken
Wird verwendet, wenn die Anwendung von der Firewall geblockt wird
NAT & Router-FunktionalitätenNAT & Router-Funktionalitäten
NAT / Network Address Translation:
- Wird besondern benötigt, wenn nur eine oder wenige
öffentliche IPs zur Verfügung stehen
Router-Funktionalitäten
- Zielgerichteter Transport von Paketen von der Quelle, durch die Firewall bis hin zur Ziel-Addresse
Kleines BeispielKleines Beispiel
DMZDMZDemilitarized Zone
Was ist eine DMZ?
- Ein geschützter Rechnerverbund, der sich zwischen zwei Netzwerken befindet.
- Wird genutzt, um Dienste des Rechnerverbundes beiden Netzwerken zur Verfügung zu stellen
Vorteile einer DMZ?
- Im Falle einer Kompromittierung eines Servers der DMZ, bleiben
die Netzwerke außerhalb der DMZ weiterhin geschützt
EndeEnde
Done by Frederik Malek – FA1B