Safer Net
Arten von Firewall-Systemen
Die Leistungsfähigkeit einer "Brandschutzmauer" hängt von den Kontrollkomponenten ab. Systeme mit einfachen Paketfiltern bieten nur eingeschränkte Funktionen und sind außerdem schwer zu warten. Eine Alternative sind dynamische Paketfilter, die ein breites Spektrum von Kommunikationsvorgängen absichern. Firewalls, die auf der Transport- beziehungsweise Verbindungsschicht arbeiten, reichen TCP- oder UDP-Verbindungen weiter. Die externe Kommunikation läuft in diesem Fall über ein Gateway.
Am sichersten, aber auch sehr komplex, sind Systeme auf der Anwendungsschicht. Statt den gesamten Datenfluß zu kontrollieren, versieht die Firewall jede Applikation mit einem Code und trennt mit seiner Hilfe den Datentransfer zwischen dem internen und externen Netz. Jeder Dienst, also Telnet, FTP oder HTTP, läuft auf einem eigenen Proxy-Server. Die Firewall agiert nach außen hin als Server, nach innen als Client oder umgekehrt bei einer Verbindung zwischen einem internen Client und einem externen Server. Die doppelte Verarbeitung geht jedoch zu Lasten der Performance.
Die meisten Firewalls sind eine Mischung aus Transport- und Applikationsschicht-Systemen. Sie leiten ausgehende Dienste über Transportschicht-Komponenten, während die hereinkommenden Daten durch Anwendungsschicht-Firewalls gefiltert werden. Häufig anzutreffen ist folgende Kombination: Ein Paketfilter auf einem Router analysiert die ankommenden Daten und gestattet nur den Zugriff auf die Rechner zwischen dem internen und externen Router sowie der Firewall. Der Router im internen (sicheren) Netz läßt nur Datenverkehr mit der Firewall zu. Diese Konfiguration heißt "Zwinge".
Ein sicheres Extranet erfordert ein umfassendes Sicherheitskonzept. Unabhängige Gremien wie das Computer Emergency Response Team (CERT, http://www.cert.org) geben dem IT-Verantwortlichen Hinweise, wie er ein Extranet "abdichten" kann. Diese Organisation sammelt Informationen über Sicherheitsmängel im Internet und beschreibt Angriffsarten.
Ob die Sicherungsmechanismen funktionieren, kann der Fachmann mit Hilfe von Tools wie "Satan" (Security Administrator Tool for Analyzing Networks) oder dessen Nachfolger "Saint" überprüfen [3]. Allerdings sollte er diese Werkzeuge nicht auf dem Gateway installieren, damit ein Angreifer dort nicht einen gut gefüllten "Werkzeugkoffer" vorfindet.