|
|
Firewall Einstellung inklusive zwei Einrichtung Varianten Hier werden Sie einiges über Firewalls erfahren, was sie sind, wie sie funktionieren und wer sie herstellt. Was ist ein Firewall?Eine Firewall ist jedes Gerät, das dazu entwickelt wurde, Außenseiter davon abzuhalten, Zugang zu Ihrem Netzwerk zu erhalten. Dieses Gerät ist in der Regel ein unabhängiger Rechner, ein Router oder eine Firewall in einer Box (proprietäres Hardware-Gerät). Das Gerät dient als einzelner Eingangspunkt zu Ihrer Site. Die Firewall bewertet jede eingehende Verbindungsanfrage. Es werden nur Verbindungsanfragen von autorisierten Hosts weiterverarbeitet, die anderen Verbindungsanfragen werden abgelehnt. Die meisten Firewalls erreichen dies, indem sie die Ursprungsadresse überprüfen. Wenn Sie beispielsweise nicht wollen, dass sich die Benutzer des Rechners www.mcp.com auf Ihrer Site umsehen, können Sie die entsprechende Adresse sperren, indem Sie Verbindungsanfragen von 206.246.131.227 blockieren. An deren Ende wird dann eine Meldung wie »Verbindung abgelehnt« oder ähnliches generiert (oder es gibt gar keine Meldung, der Versuch zum Verbindungsaufbau wird einfach ignoriert). Was macht eine Firewall?Firewalls können eingehende Datenpakete von verschiedenen Protokollen analysieren. Basierend auf dieser Analyse kann eine Firewall verschiedene Aktionen starten. Daher können Firewalls an Bedingungen geknüpfte Auswertungen durchführen (»Wenn ich auf diesen Pakettypen treffe, dann werde ich das tun«). Diese an Bedingungen geknüpften Konstruktionen werden Regeln genannt. Wenn Sie eine Firewall aufstellen, werden Sie sie im allgemeinen mit Regeln versorgen, die die Zugangsrichtlinien Ihrer Organisation widerspiegeln. Nehmen wir beispielsweise an, Sie haben Buchhaltungs- und Vertriebsabteilungen. Unternehmensrichtlinien verlangen, dass nur die Vertriebsabteilung Zugang zu Ihrer Website erhält. Um diesen Richtlinien zu entsprechen, weisen Sie Ihrer Firewall eine Regel zu; in diesem Fall ist die Regel, dass nur Verbindungsanfragen und Verbindungen aus der Vertriebsabteilung erlaubt werden. In dieser Hinsicht sind Firewalls für Netzwerke das, was Benutzerprivilegien-Schemata für Betriebssysteme sind. Zum Beispiel können Sie unter Windows NT festlegen, welche Benutzer auf eine bestimmte Datei oder ein bestimmtes Verzeichnis zugreifen können. Das ist benutzerbestimmbare Zugriffsberechtigungszuweisung auf Betriebssystemebene. Ganz ähnlich dazu ermöglichen Ihnen Firewalls Zugriffsberechtigungszuweisungen zu Ihren vernetzten Workstations oder Ihrer Website. Diese Zugangsüberprüfung ist allerdings nur ein Teil dessen, was moderne Firewalls tun können. Zum Beispiel ermöglichen die meisten kommerziellen Firewalls eine Überprüfung des Inhalts. Diese Möglichkeit können Sie ausnutzen, um Java-, JavaScript-, VBScript- und ActiveX- Scripts sowie Cookies an der Firewall zu blockieren. Sie können sogar Regeln kreieren, um bestimmte Angriffssignaturen zu blockieren. Tipp:
Wie baue ich eine Firewall?Im esoterischen Sinn existieren die Bestandteile einer Firewall im Kopf der Person, die sie entwickelt. In ihrer Essenz ist eine Firewall eher ein Konzept als ein Produkt; sie basiert auf der Bestimmung, wer Zugang zu Ihrer Site erhält. In generellem Sinn besteht eine Firewall aus Software und Hardware. Die Software kann Proprietär, Shareware oder Freeware sein. Die Hardware kann jede Hardware sein, die die Software unterstützt.
Firewall- TypenFirewalls kommen in zwei grundlegenden Versionen:
Lassen Sie uns jede kurz anschauen.
Netzwerkschicht- FirewallsNetzwerkschicht- Firewalls sind in der Regel Router mit mächtigen Paketfilterfunktionen. Mit einer Netzwerkschicht- Firewall können Sie basierend auf verschiedenen Variablen Zugang zu Ihrer Site gewähren oder ablehnen. Diese Variablen sind u.a.
Router- basierte Firewalls sind populär, weil sie leicht zu implementieren sind. (Sie schließen sie einfach an, versehen sie mit einigen Regeln und das war's.) Außerdem arbeiten die meisten neuen Router hervorragend mit dualen Interfaces (für die IPs von außen einem anderen Protokoll innen übersetzt werden müssen). Eine Router- basierte Firewall stellt eine periphere Lösung dar. Da Router externe Geräte sind, brauchen Sie den normalen Netzwerkbetrieb nicht zu unterbrechen. Wenn Sie eine Router- basierte Firewall einsetzen, müssen Sie nicht ein Dutzend Rechner (oder ein Dutzend Dienste) konfigurieren, um sie anzuschließen. Und schließlich bieten Router eine integrierte Lösung, d.h. wenn Ihr Netzwerk dauerhaft mit dem Internet verbunden ist, brauchen Sie sowieso einen Router, warum also nicht zwei Fliegen mit einer Klappe schlagen? Router- basierte Firewalls haben andererseits auch einige Nachteile. Einer ist, dass Router anfällig für Spoofing- Angriffe sind (obwohl Router- Hersteller Lösungen dafür entwickeln). Von einem rein praktischen Standpunkt aus gesehen sinkt die Performance von Routern erheblich, wenn Sie übermäßig strenge Filterprozesse durchführen wollen. (Router- Performance kann ein Aspekt sein oder auch nicht, je nachdem wie viel Datendurchsatz Sie erwarten.) Tipp:
Application- Proxy- Firewalls (Anwendungsschicht- Gateways)Eine andere Art von Firewalls ist die Application- Proxy- Firewall (auch Anwendungsschicht- Gateway genannt). Wenn ein entfernter Benutzer ein Netzwerk kontaktiert, auf dem ein Anwendungsschicht- Gateway läuft, nimmt dieser Gateway die Verbindung stellvertretend an, d.h. IP- Pakete werden nicht an das interne Netzwerk weitergeleitet. Statt dessen findet eine Art Übersetzung statt, mit dem Gateway als Zwischenstation und Übersetzer. Der Vorteil von Anwendungsschicht- Gateways ist, dass sie verhindern, daß IP- Pakete sich einen Weg in Ihr Netzwerk schleusen. Der Nachteil ist, dass sie hohe laufende Kosten verursachen und Sie sich eingehend mit ihnen beschäftigen müssen. Für jeden vernetzten Dienst wie FTP, Telnet, HTTP, Mail, News usw. muß eine Proxy- Applikation konfiguriert werden. Außerdem müssen interne Benutzer Proxy- Clients benutzen (wenn sie dies nicht tun, müssen sie neue Richtlinien und Verfahren annehmen). Wie John Wack in seinem Artikel »Applikation Gateways« berichtet: Ein Nachteil von Anwendungsschicht- Gateways ist, daß in bezug auf Client-Server-Protokolle wie Telnet zwei Schritte notwendig sind, um innen und außen zu verbinden. Einige Anwendungsschicht- Gateways benötigen modifizierte Clients, was als Vor- oder Nachteil betrachtet werden kann, je nachdem ob die modifizierten Clients eine Benutzung der Firewall einfacher machen. Ein Telnet-Anwendungsschicht- Gateway verlangt nicht unbedingt einen modifizierten Client, aber eine Änderung im Verhalten des Benutzers: Der Benutzer muß sich zunächst mit der Firewall verbinden (sich aber nicht einloggen), statt eine direkte Verbindung zum Host einzugehen. Ein modifizierter Telnet-Client dagegen würde die Firewall praktisch durchsichtig werden lassen, da er dem Benutzer ermöglicht, das Zielsystem (im Gegensatz zur Firewall) im Telnet-Befehl zu spezifizieren. Die Firewall würde als Weg zum Zielsystem fungieren und damit die Verbindung aufhalten, um weitere notwendige Schritte auszuführen, wie beispielsweise ein Einmalpasswort zu verlangen. Der Benutzer braucht sein Verhalten nicht zu ändern, allerdings muß in diesem Fall für jedes System ein modifizierter Client eingesetzt werden. Das Trusted Information Systems Firewall Toolkit (TIS FWTK)Ein gutes Beispiel für ein Anwendungsschicht- Gateway ist das TIS Firewall Toolkit. Dieses Paket (das für nichtkommerzielle Zwecke kostenlos erhältlich ist) beinhaltet Proxies für die folgenden Dienste:
Für jeden dieser Proxies müssen Sie Regeln spezifizieren. Sie müssen drei Dateien editieren, um Ihre Regeln einzuführen:
In bezug auf Zugangsberechtigungen können Sie zwei Ansätze benutzen:
Ich empfehle Ihnen den ersten Ansatz, da er wesentlich einschränkender ist. Mit Hilfe des TIS Firewall Toolkits ist das Gewähren oder Ablehnen von Zugangsberechtigungen sehr leicht. Sie können breitgefaßte Masken von Adressen und Hosts angeben, denen ein Zugang verweigert wird. Sie können Sternchen benutzen, um eine ganze Reihe von Adressen anzuzeigen:
(http-gw ist der Proxy für HTTP.) Wie Sie sehen, müssen Sie Zugangsregeln für jeden Dienst konfigurieren. Dies ist einer der Nachteile von Anwendungsschicht- Gateways. Ein anderer Nachteil ist, daß jede Applikationssession mit Proxies versehen sein muss. Dies kann für interne Benutzer eine arbeitsintensive und lästige Umgebung sein. (Interne Benutzer müssen ihren ausgehenden Verkehr ebenfalls mit Proxies versehen. Dies kann bedeutende Kosten zur Folge haben, da eingehender Verkehr in bezug auf Ressourcen auf den ausgehenden Verkehr einwirkt.) Anwendungsschicht- Gateways sind geeigneter, wenn Sie keinen ausgehenden Verkehr haben - zum Beispiel wenn Ihre Site Clients außerhalb der Firewalls mit archivierten Informationen bedient. Ein typisches Beispiel hierfür ist, wenn Sie Kunden haben, die gegen Gebühr technische Spezifizierungen von Ihrem Server erhalten. Diese technischen Spezifizierungen sind sensible Daten und daher sollten nur Ihre Kunden in der Lage sein, diese zu erhalten. In einem solchen Fall ist ein Anwendungsschicht- Gateway perfekt. Anwendungsschicht- Gateways sind weniger geeignet für Unternehmen, Universitäten, Internet Service Provider oder andere Umgebungen, für die eine flüssigere Kommunikation (und mehr Kontakte mit der Öffentlichkeit) notwendig sind. In solchen Umgebungen können Sie beispielsweise nicht immer sicher sein, daß sich Benutzer stets von bestimmten Servern oder Netzwerken verbinden. Sie können von einer ganzen Reihe von IP- Adressen kommen. Wenn Sie einen Anwendungsschicht- Gateway benutzen und eine Benutzerverbindung von netcom.com autorisieren müssen, müssen Sie, wenn es sich nicht um eine statische Adresse handelt, jeden Benutzer von netcom.com zulassen. Wenn Sie noch keine Firewall gekauft haben (oder nur etwas über Firewalls lernen wollen), sollten Sie sich das TIS Firewall Toolkit besorgen. Wenn Sie es konfigurieren und Ihre Regeln ausprobieren, werden Sie viel darüber lernen, wie Firewalls arbeiten. Tipp:
Tipp:
Generell sind Anwendungsschicht- Gateways (proxybasierte Firewalls) sicherer als die vielen verfügbaren Paketfilter.
Allgemeines zur FirewallViele Firewalls machen Ihr System für die Außenwelt unsichtbar. SunScreen von Sun Microsystems beispielsweise bietet Nicht-IP-Möglichkeiten, die es Crackern unmöglich machen, Netzwerkknoten hinter der Firewall ausfindig zu machen. Tipp:
Firewalls sind die strengsten Sicherheitsmaßnahmen, die Sie ergreifen können. Aber Sie sollten sich einiger Nachteile bewusst sein. Ein Nachteil ist, daß Firewall- Sicherheit dermaßen streng konfiguriert sein kann, dass die eigentliche Funktion des Netzwerks beeinträchtigt wird. Zum Beispiel stellen einige Studien klar, dass der Einsatz einer Firewall in solchen Umgebungen unpraktisch ist, in denen Benutzer sehr von verteilten Applikationen abhängen. Die strikten Sicherheitsrichtlinien einer Firewall führen in diesen Umgebungen dazu, dass sich das System festfährt. Was sie an Sicherheit hinzugewinnen, verlieren sie an Funktionalität. Universitäten sind ein perfektes Beispiel für derartige Umgebungen. Forschungsarbeiten werden in Universitäten oft von zwei oder mehr Abteilungen (oft auf Netzwerksegmenten, die weit voneinander entfernt sind) gemeinsam ausgeführt. In solchen Umgebungen ist es schwer, unter den strengen Sicherheitsauflagen zu arbeiten, die eine Firewall implementiert. Ein anderer ernsterer Punkt ist, dass es mit dem Einsatz einer Firewall oft nicht getan ist. Wenn Ihre Firewall durchbrochen wird, kann Ihr internes Netzwerk schnell zerstört werden. Wiegen Sie sich nicht in Sicherheit. Die Tatsache, daß Sie eine Firewall verwenden, sollte Sie nicht davon abhalten, andere Sicherheitspraktiken einzusetzen. Tun Sie dies nicht, werden Sie es eines Tages bereuen. Firewalls verengen den Eingang zu Ihrem Netzwerk und fördern eine Umgebung, die sich auf einen einzigen zentralen Abwehrpunkt konzentriert. Das ist eine unzureichende und potentiell gefährliche Situation. Bevor Sie eine Firewall kaufen, sollten Sie Ihr eigenes Netzwerk, Ihre Benutzer und die Bedürfnisse Ihrer Benutzer ernsthaft untersuchen. Sie sollten außerdem eine visuelle Darstellung der Vertrauensverhältnisse (sowohl zwischen Rechnern als auch zwischen Menschen) in Ihrem Unternehmen generieren. Verschiedene Netzwerksegmente müssen miteinander kommunizieren können. Die Kommunikation zwischen diesen Netzwerken kann durch automatisierte Prozesse oder durch menschliche Interaktion stattfinden. Automatisierte Prozesse erweisen sich möglicherweise als einfach zu bewerkstelligen. Vom Menschen initiierte Prozesse dagegen können sich als schwierig erweisen. Für manche Organisationen ist eine Firewall schlicht und einfach nicht praktikabel. In solchen Fällen wäre es vielleicht besser, sich auf altbewährte Systemadministrationstechniken (und umfassende Paketfilter) zu verlassen.
Aufbau einer SchutzwallsEs gibt sechs Schritte, denen Sie beim Aufbau einer Firewall folgen sollten:
Bedürfnisbestimmung in Bezug auf Topologie, Applikationen und ProtokolleIhr erster Schritt besteht darin, Ihre Bedürfnisse in bezug auf Topologie, Applikationen und Protokolle zu bestimmen. Dieser Schritt ist schwerer als er sich anhört, abhängig von der Größe und der Zusammensetzung Ihres Netzwerks. Natürlich ist diese Aufgabe leichter, wenn Sie ein komplett homogenes Netzwerk haben (nur wenige Leute haben das). Sie haben dann durchgehend ein Betriebssystem und eine bestimmte Sammlung von Applikationen. Sie sollten sich glücklich schätzen, wenn das so ist. Die meisten Netzwerke sind heterogen. Wenn Ihres dazugehört, müssen Sie jedes Betriebssystem und alle Applikationssammlungen, die in diesem Netzwerk benutzt werden, zusammentragen. Vielleicht müssen Sie hierfür sogar Experten einbringen, die die speziellen Sicherheitsaspekte für jede Applikation kennen. Die Firewall, das Internet und der eigene Rechner
FirewallEine Firewall im eigentlichen Sinne ist ein einzelner Rechner oder ein Router/Gateway, der mit Firewall-Funktionen oder -Software versehen, an der Übergangsstelle zwischen einem internen, abgeschlossenem Netzwerk (z. B. einem Firmennetzwerk) aus mehreren Rechnern und einem äußeren, offenen Netzwerk (z. B. dem Internet) steht. Router und Gateways Ein Router (von Route: Reiseweg, Wegstrecke) ist ein Rechner, der
verschiedene Netzwerke miteinander verbindet. Auch das Internet ist ein großes
Konglomerat mehrerer Netzwerke. Die Aufgabe des Router besteht bei der
Versendung von Datenpaketen zum Zielhost darin, in seiner Routingtabelle
nachzusehen, die günstigste Route zu ermitteln und dann das Datenpaket über
diese Route weiterzusenden. Software oder Personal Firewalls Rechner mit Firewall-Software sind oft Linux oder OpenBSD Rechner, auf denen nur das Betriebssystem und die Firewall läuft. Die Firewall schottet also ein Netzwerk von einem anderen ab, bzw. fungiert als Torwächter, der darüber entscheidet, was in das innere Netzwerk hinein (inbound) und was aus dem inneren Netzwerk hinaus (outbound) gelangen darf. Die so genannten Personal- oder Desktop- Firewalls sind dagegen Programme,
die auf einem Einzelrechner als Applikation laufen, der mit einem Netzwerk wie
dem Internet verbunden ist. Hier ist die Firewall eine Software wie jedes andere
Programm auch, die die Funktionalität der obigen Firewall in Software nachahmt
(wie ein Software-Modem, dass ein richtiges Modem als Programm nachahmt). NetzwerkeUm eine Firewall richtig zu handhaben, muss man ein gewisses Verständnis über
die Mechanismen und Funktionen des Verkehrs in einem Netzwerk oder zwischen
Netzwerken besitzen, also zu dem was sich unter der Oberfläche von Browsern oder
E-Mail Programmen bewegt. Server und Clients Im Internet treffen sich zwei Arten von Rechnern (Hosts): Die Server offerieren dem Client Dienste ("Services"): Man kann
Webseiten abrufen, E-Mails versenden oder abholen, die News im Usenet lesen und
welche versenden, Dateien versenden oder herunterladen, daher auch die Begriffe
Mail-Server, Web-Server, News-Server, FTP-Server usw. Der Client nimmt diese Dienste wahr, indem er Programme einsetzt, die mit den Servern kommunizieren: Das E-Mail Programm, den Newsreader, den Browser. Auch hier wird sowohl der einzelne Rechner als Client als auch die einzelnen Programme als Clients bezeichnet. TCP/IP, UDP, Ports und Dienste Im Internet werden Daten aller Art in Form von Datenpaketen hin und her geschickt. Eine Datei oder eine E-Mail, die wir als Client versenden, wird in einzelne dieser Pakete zerlegt und auf der anderen Seite beim Server wieder zusammengesetzt. Das gleiche passiert, wenn uns der Server Daten schickt. Jedes Paket trägt dabei die Adresse des Absenders und des Empfängers in Form der IP (Internet Protocol)- Nummern mit sich, die Art des Dienstes und die eigentlichen Inhalte der Daten, damit die Pakete ihre Zielorte auch erreichen und die Rechner wissen, zu welchem Dienst diese Daten gehören. Für jeden Dienst gibt es im Internet eine Verteil- und
Formatierungsvorschrift, die so genannten Protokolle. Die Basisprotokolle TCP
(Transmission- Control- Protocol) und IP sind dabei die bekanntesten Protokolle,
die u. a. für die Adressierung und Aufteilung in Pakete zuständig sind.
Daneben gibt es zum Beispiel auch das NNTP (Network-News-Transport-Protocol)
für die News des Usenets, das SMTP (Simple-Mail-Transfer-Protocol) für das
Versenden von E-Mails oder auch das FTP (File-Transfer-Protocol) für die
Versendung von Dateien.
Zu diesem Zweck besitzt jeder Server einen eigenen Anschluss mit einer Anschlussnummer, man könnte auch sagen eine eigene Schleusenöffnung, die die Daten annehmen und passieren lassen, die sogenannten Ports (Port: Hafen) und Portnummern. Jedem Dienst wird eine dieser Nummern zugeteilt. So benutzt NNTP 119, SMTP 25 und FTP 21. Insgesamt gibt es 65535 Ports, von denen nur ein Teil genutzt wird.
Bekannte Services und Ports:
Kontrollnachrichten Ausser den Protokollen werden eine Reihe von Kontrollnachrichten im Verbund
der Gateways, Ziel- und Ursprungshosts eingesetzt unter Verwendung des Internet
Control Message Protocol [ICMP]. ICMP Typen
Die Aufgabe der Firewall besteht nun darin, zu bestimmen, welche Dienste,
Ports und Protokolle benutzt werden dürfen und welche nicht, die unbenutzen zu
schliessen und die Programme einzugrenzen, die dabei verwendet werden.
Beispiel für eine Konfiguration IVorbereitungenZuerst werden nach der Installation von NPF alle vorkonfigurierten
Regeln für bestimmte Programme gelöscht. Der Rechner wird insgesamt, beginnend von der Installation über die
Anwendung von Virenscannern bis hin zu Netzwerk-Konfiguration weitestgehend
abgesichert konfiguriert - dazu zählt auch u. a. die Deaktivierung von NetBIOS
in der Netzwerkkonfiguration. Das HauptfensterIm Hauptfenster von NPF kann die Firewall mit Aktivieren/Deaktivieren
aktiviert, bzw. deaktiviert werden. Kommen wir zur Konfiguration der beiden Sicherheitskategorien Sicherheit und
Datenschutz. SicherheitMit Aktiviere Sicherheit wird die Sicherheit Kategorie
aktiviert Persönliche Firewall wird generell auf Hoch: Blockiere alles... gestellt, so dass alles standardmässig blockiert wird, bis eine entsprechende Erlaubt-Regel vergeben wurde. Java Applet Sicherheitsstufe hier stellt man ein, was mit Java basierten Programmen in Webseiten passieren soll:
ActiveX-Steuerelemente Sicherheitsstufe hier stellt man ein, was mit Programmen in Webseite passieren soll, die auf
Microsofts ActiveX Technik basieren. Generell besitzen ActiveX Controls noch
geringere Sicherheitsmechanismen als Java Applets.
Java Applet und ActiveX-Steuerelement Konfiguration können in Abstimmung mit
den Sicherheitseinstellungen im verwendeten Browser durchgeführt werden: Aus Sicherheitsgründen hier alle Java Applets und ActiveX Controls
generell blockieren und nur für einzelne Websites, für die diese Techniken
unbedingt erforderlich sind (z. B. Internet-Banking) an anderer Stelle zulassen,
denn es hat sich mittlerweile herausgestellt, dass gerade Java und ActiveX die
Hauptverantwortlichen für Sicherheitslöcher in Bezug zum Websurfen sind. Mit Aktiviere Personal Firewall Warnungen wird im Hauptfenster ein Warnsymbol sichtbar, über das man zum entsprechenden Firewall-Protokolleintrag gelangt. Zusätzlich verändert sich das Trayicon. Mit Nicht verwendete Anschlüsse blockieren werden generell alle Anschlüsse (Ports) gesperrt, wenn eine eingehende Verbindung von außerhalb hergestellt werden soll, auf dem PC aber keine Applikation oder ein Service läuft, der Verbindungen auf diesem Port annehmen könnte (im Regelfall Serverdienste). Eine Warnmeldung unterbleibt. DatenschutzMit Datenschutz aktivieren wird die Datenschutz Kategorie
aktivieret. Unter Vertrauliche Info können sensible Daten (wie
Kreditkarten- oder Personalausweisnummern) eingegeben werden, deren Weitergabe
per HTTP im WWW NPF blockieren soll. Benutzerdefiniert Vertrauliche Info Unter Vertrauliche Info kann dann eingegeben werden, wie NPF mit den vertraulichen Informationen umgehen soll:
NPF will also den Anwender vor sich selbst schützen, wenn dieser auf einer
Website eine der vorher gespeicherten vertraulichen Informationen eingeben will. Cookie Blockierung In Cookie Blockierung wird festgelegt, wie NPF mit der Rücksendung von
Cookie-Informationen, bzw. der Anforderung von Cookies durch Web-Server
verfährt.
Abweichende Cookie-Regeln für einzelne Websites können in den erweiterten Optionen erstellt werden (siehe unten) Mit Browser-Datenschutz aktivieren wird die Übertragung des
FROM und REFERER Headers blockiert, über die die eigene E-Mail Adresse und die
zuletzt besuchte Seite an den aktuellen Webserver weitergereicht werden können. OptionenDie NPF kann entweder automatisch bei jedem Windowsstart geladen oder manuell
gestartet werden. Eine elegantere Lösung ist es, die Verknüpfung "LW:\Pfad\iamapp.exe"
-LOAD anzulegen, Ereignisprotokoll Über Zeige Ereignisprotokoll wird das Ereignisprotokoll der NPF angezeigt.
Statistiken Über Zeige Statistiken wird die Echtzeit-Anzeige der NPF gestartet. Im Menü Ansicht/Optionen kann festegelegt werden, welche Daten angezeigt werden sollen:
Mit Werte zurücksetzen werden alle Werte (außer Netzwerkverbindungen) der Echtzeit-Statistik auf 0 zurückgesetzt Erweiterte Optionen In den erweiterten Optionen wird die Kern-Konfiguration der NPF durchgeführt. Registerkarte Web In der Einstellung Web werden unter Standard die
Standardeinstellungen für alle Websites angezeigt, wie sie in den
Sicherheitskategorien Datenschutz und Sicherheit festgelegt wurden. Das betrifft
die Handhabung von Java Applets, ActiveX Steuerelementen und Cookies.
Verschiedenes
Wie bereits im Abschnitt Sicherheit gesagt, wird die
Regelung aktiver Inhalte/Skripte absolut restriktiv gehandhabt und nur für
einzelne Sites zugelassen. Registerkarte Firewall Im Firewall Fenster werden alle definierten und gespeicherten Firewall-Regeln
aufgelistet:
Die Buttons Hinzufügen, Ändern und Entfernen dienen der Pflege der Regeliste, mit dem Test Button können Verbindungen simuliert werden, um die Regeln zu testen. Mit den beiden Positionierungspfeiltasten kann die Reihenfolge der Regeln geändert werden. Dies erst einmal zur Übersicht, zur genaueren Erklärung des Firewall fensters kommen wir später. Registerkarte Andere HTTP-Anschlussliste In der HTTP-Anschlussliste sind alle Anschlussnummern (Portnummern) aufgeführt, über die Anwendungen wie Browser, lokale Suchprogramme und Proxy per HTTP mit Servern im Internet kommunizieren und die NPF überwachen soll. Verschiedenes
Konfiguration IIDie Erstellung und Pflege von Firewall-RegelnName-Server Der Name-Server nimmt eine zentrale und primäre Rolle ein, wenn es um
Verbindungsaufnahmen zu anderen Rechnern geht. Deshalb sollte man zuerst eine
Regel erstellen (lassen), die die Verbindungen mit dem Name-Server grudsätzlich
erlaubt. Ob man eine halbautomatische oder eine manuelle Regel-Erstellung vornimmt: Dabei bietet die Datei SERVICES im Windows Verzeichnis eine bessere und umfangreichere Übersicht zu Ports und Diensten als die verkürzte Liste der NPF Hilfe. A) IP-Adressen liegen vorWir öffnen das Hauptfenster, gehen in die erweiterten Optionen und öffnen das Firewall-Fenster: Mit Hinzufügen/Add öffnen wir das Regel-Fenster der NPF:
In der Registerkarte Anwendung/Application können wir bestimmen, ob die Regel
Die Nameserver-Regel soll für alle Anwendungen gültig sein. In der Registerkarte Dienst/Service können wir unter Remote-Dienst bestimmen, welche Dienste von fernen Rechnern (Servern) und unter Lokaler-Dienst, welche Dienste auf dem eigenen Rechner zugelassen werden:
Während ein Dienst zumeist nur einen Port auf dem Server betrifft, kann dieser Dienst auf dem eigenen/lokalen Rechner aber über mehrere und unterschiedliche Ports laufen, deshalb wurde hier im lokalen Bereich Jeder Dienst/Any service aktiviert. In der Registerkarte Adresse/Address werden unter Remote-Adresse die Adressen oder Adressbereiche der entfernten Server oder Netzwerke und unter Lokale Adresse die Adresse des eigenen Rechners bestimmt, die von der Regel betroffen sind: Remote-Adresse:
Lokale Adresse:
In der Registerkarte Protokollieren/Logging kann eingestellt werden, ob ein Eintrag in das Ereignisprotokoll/Event Log und ein visueller Hinweis erfolgen soll, wenn eine Übereinstimmung mit einer Regel erfolgt ist:
Ob man alles oder nur ausgewählte Regeln mitprotokollieren sollte, bleibt dem
eigenen Geschmack überlassen. Ich würde nur Logeinträge für Regeln zulassen, die
Verbindungen und Dienste betreffen, die nicht zum normalen Internetverkehr
zählen oder zeitlich begrenzt, wenn über eine Regel ein neues Programm
aufgenommen wurde, um zu überprüfen, ob die Verbindungen über dieses Programm
funktionieren. B) die IP-Adressen liegen nicht vor - automatische RegelerstellungDie Aufnahme aller Internetprogramme Am besten startet man alle Programme, vom E-Mail Reader bis zum Browser, die
man im Internet verwenden möchte oder legt sich eine Liste der verwendeten
Programme zurecht. Danach stellt man eine Onlineverbindung her.
Wird zum ersten Mal eine neue Verbindung zum Internet hergestellt, für die
keine Regel existiert, öffnet sich das NPF Alarm Fenster. Der Anwender hat nun drei Möglichkeiten zu reagieren:
Für alle oben erwähnten, regelmässig verwendeten Programme und
Netzwerk-Verbindungen sollte direkt eine permanente Regel konfiguriert werden.
Bei den meisten Verbindungen muss nur eine Outbound-Regel erstellt werden, es
kann aber auch vorkommen, dass zuerst eine Outbound und danach eine Inbound
Regel erstellt werden, da sich zwischen Client und Server
Anfrage/Anforderung<=>Rückantwort/Rücksendung Beziehungen ergeben.
Im darauf folgenden Fenster wird bestimmt, ob die permanente Regel eine Verboten (Always block...)- oder Erlaubt (Always permit...)-Regel ist und ob man dem beteiligten Programm den totalen Internetzugriff über alle Ports erlaubt (Permit Programm XY) oder verweigert (Block Programm XY). Wir entschliessen uns für die erste Option.
Deshalb schränken wir die Regel auf den Service XY mit Port YZ (Only this service) ein und weiten die Regel nicht auf alle Dienste (Any service) aus.
In diesem Fenster schränken wir die Regelbeziehung auf die bestimmte IP-Adresse eines Rechners (Address:) ein und beziehen sie nicht auf jede beliebige IP-Adresse (Any address), damit auch nicht auf jeden x-beliebigen Rechner im Internet.
Hier kann man der Regel noch eine bestimmte Kategorie zuordnen. Die Kategorien haben für NPF keine Bedeutung, da keine Auswertung möglich ist. Es gibt Zusatzprogramme wie NISrules, mit denen man die Kategorien verwerten kann.
Zum Schluss zeigt uns NPF eine summarische Übersicht des Regelinhalts an. Nehmen Sie sich die Zeit, die Regel nochmal zu überschauen, auch wenn eine nachträgliche Änderung möglich ist. Diesen Vorgang wiederholen wir für jedes Programm, mit dem wir in Konatkt mit dem Internet kommen Übersicht der gängisten Regeltypen:
Anmerkung Mit dem whois Befehl, bzw. einer Anfrage an einen Whois
Server können detailierte Informationen zu einer IP-Adresse in Erfahrung
gebracht werden. Die NIC (Network Information Center) Server unterhalten dazu
grosse Datenbanken über registrierte User und Hosts. Zusammen mit Traceroute und
Finger wird Whois dann eingesetzt, um nähere Informationen zu Angreifern in
Erfahrung zu bringen. Z. B. sind in der BlackIce Firewall solche Befehle bereits
implementiert, d. h. registriert BlackIce einen Connect als Angriff, versucht
sie selbstständig über obige Befehle den Angreifer zu identifizieren und zu
lokalisieren. Noch ein Tip: Regeln für ICMP NachrichtenFür die ICMP Kontrollnachrichten (siehe oben) erstellen wir eine Inbound-Regel, die alle zulässigen inbound ICMP Verbindungen bündelt und eine Outbound-Regel, die alle zulässigen outbound ICMP Verbindungen bündelt nach dem Verfahren, wie es unter IP-Adressen liegen vor beschrieben ist. ICMP-Inbound
ICMP-Outbound
UltraBlock-RegelnWenn wir für die System-Verbindungen, ICMP-Verbindungen und Programm-Verbindungen alle Regeln aufgestellt haben, legen wir noch drei Regeln an, die für TCP/UDP und ICMP:
Diese Regeln schliessen alle Verbindungen, für die keine Regel existiert, generell aus. D. h. auch, wenn wir ein neues Programm installieren oder einen neuen Dienst aufnehmen, müssen diese Regeln für die Dauer der Regelerstellung deaktiviert werden. UltraBlock A
Ultrablock B
UltraBlock C
Anmerkung: Wer will, kann auch noch die Ereignisprotokollierung aktivieren oder Trojaner-Ports aus den Bereichen ausnehmen und dafür eine eigene UltraBlock-Regel mit Protokollierung erstellen, wenn man einen besonderen Eintrag zu Trojanern im Ereignisprotokoll wünscht, für die Blockierung von Hackangriffen ist das aber nicht nötig. Nun stehen eine Menge von Regeln in der Firewall-Regelliste, die aber noch
mit Hilfe der Reihenfolge-Pfeilbuttons sortiert werden müssen. Denn die NPF
arbeitet die Regelliste bei jeder Verbindung der Reihe nach ab.
Die Ignorieren-RegelNeben dem Erlauben und Verbieten (Blockieren) kann man als weitere Aktion
Ignorieren wählen. Eine Überprüfung der Firewall mit diesen Konfigurationen ergibt bei den Online-Sicherheitschecks Shields Up, HackerWhacker und dem Selbst-Test des Datenschutzbeauftragten Niedersachsen keinerlei Sicherheitsprobleme, was offene Ports und unberechtigte Zugriffe betrifft. Links und nützliche Programme
Analyse der Vertrauensverhältnisse in Ihrer OrganisationDer nächste Schritt betrifft die Analyse von Vertrauensverhältnissen in Ihrer Organisation. Dafür müssen Sie möglicherweise mit verschiedenen Abteilungen reden. Bestimmte Netzwerksegmente brauchen eventuell gegenseitigen Zugriff auf ihre Informationsquellen. Wenn sich diese Segmente in geographisch unterschiedlichen Orten befinden, muss Ihr Netzverkehr unter Umständen einen oder mehrere der von Ihnen entwickelten Gateways überqueren. Um einer totalen Unterbrechung Ihres derzeitigen Systems vorzugreifen, ist es empfehlenswert, zunächst eine detaillierte Analyse dieser Verhältnisse vorzunehmen. Sie sollten während dieses Prozesses äußerst taktvoll vorgehen. Sie werden möglicherweise Benutzer oder Manager treffen, die darauf bestehen, dass »sie es jetzt schon seit 10 Jahren auf diese Art und Weise durchführen«. Sie müssen mit diesen Leuten arbeiten. Es ist notwendig, dass sie den Vorgang vollkommen verstehen. Wenn Ihre Sicherheitspraktiken die Arbeitsumgebung dieser Mitarbeiter enorm beeinflussen, sollten Sie ihnen erklären, warum das so ist. Das letzte, was Sie jetzt gebrauchen können, sind verärgerte lokale Benutzer. Statt dessen brauchen Sie ihre Unterstützung, da Sie nach der Konstruktion Ihrer Firewall wahrscheinlich neue Richtlinien verteilen werden. Die Tatsache, ob die Benutzer diese Richtlinien auch befolgen, hat dramatische Auswirkungen auf die Sicherheit des gesamten Netzwerks. Wenn Sie anständig mit den Benutzern umgehen, haben Sie nichts zu befürchten. Wenn Sie jedoch drakonische Anweisungen ohne jegliche Erklärung erlassen, werden die lokalen Benutzer Sie ablehnen und jede Gelegenheit suchen, Ihnen eins auszuwischen.
Richtlinien aufstellen und die richtige Firewall findenDer nächste Schritt besteht darin, Richtlinien zu entwickeln, basierend auf dem, was Sie über Ihr Netzwerk und seine Benutzer gelernt haben. Hier bestimmen Sie, wer auf Ihr Netzwerk zugreifen kann und wie. Außerdem fügen Sie jegliche plattform- oder protokollspezifische Informationen ein, die Sie gefunden haben. Basierend auf diesen Informationen können Sie jetzt eine kluge Auswahl für eine Firewall treffen. Zumindest verfügen Sie über genügend Informationen, um diese Angelegenheit intelligent mit verschiedenen Herstellern ausdiskutieren zu können. Solange Sie wissen, was Sie brauchen, werden Sie nicht von Marketingleuten des Herstellers übers Ohr gehauen. Bevor Sie Auskünfte über einen Kauf sammeln, sollten Sie sich eine Liste der absolut notwendigen Punkte zusammenstellen und Ihre endgültige Kaufentscheidung darauf basieren.
Anwenden und Testen der FirewallNachdem Sie Ihre Firewall gekauft haben, werden Sie schließlich Ihre gesammelten Informationen einsetzen und Ihre Richtlinien anwenden. Dafür empfehle ich Ihnen umfangreiche Testläufe. Hierbei gibt es zwei Phasen:
Die erste Phase können Sie jederzeit durchführen, auch (und vielleicht vorzugsweise) wenn Ihre Benutzer nicht anwesend sind. Die zweite Phase ist komplizierter. Erwarten Sie viele Probleme und planen Sie einige Zeit für Netzwerkausfälle ein. (Machen Sie sich außerdem auf einige ärgerliche Benutzer gefasst.) Es ist sehr unwahrscheinlich, dass Sie es gleich beim ersten Mal richtig hinbekommen, außer wenn Ihr Netzwerk vollkommen homogen ist und Sie über durchgehend gleiche Applikationssammlungen verfügen.
Sind Firewalls narrensicher?Natürlich sind Firewalls nicht narrensicher. Viele Sites, die Firewalls benutzten, wurden geknackt. Firewall- Produkte sind nicht in sich fehlerhaft, aber sie werden manchmal falsch implementiert. Die Nummer-eins-Ursache für trotz Firewall geknackter Sites liegt darin, dass der Systemadministrator die Firewall nicht korrekt konfiguriert hat. Das heißt nicht, dass nicht manche Firewalls Sicherheitsschwachstellen haben. Einige haben sie. Meistens aber sind diese Schwachstellen minimal. Die folgenden Abschnitte beschreiben einige. Cisco-PIX-DES-SchwachstelleIm Juni 1998 wurde entdeckt, dass der Cisco PIX Private Link einen kleinen (48 Bit) DES- Schlüssel benutzt. Es ist denkbar, daß dieser geknackt werden kann. Hierzu die CIAC:
Cisco fand eine Abhilfe für dieses Problem. Details finden Sie unter http://www.cisco.com/ warp/public/770/pixkey-pup.shtml. Firewall-1-Reserved-Words-SchwachstelleIm Mai 1998 wurde entdeckt, dass Firewall-1 mehrere reservierte Schlüsselwörter beinhaltete, die ein großes Sicherheitsloch öffneten, wenn sie benutzt wurden, um ein Netzwerkobjekt zu repräsentieren (das benannte Objekt wird als »undefiniert« interpretiert und ist für jede Adresse zugänglich, wenn nicht andere Änderungen vorgenommen werden). Sie können diese Schwachstelle besser verstehen (und eine Liste der Schlüsselwörter erhalten), wenn Sie sich das folgende Dokument herunterladen: http://www.checkpoint.com/ techsupport/config/keywords.html.
Kommerzieller SchutzDer nächste Abschnitt gibt Ihnen Details über Firewall- Hersteller, ihre Produkte und spezielle Funktionen der jeweiligen Firewalls. AltaVista Firewall 98Firewalltyp: Software - Anwendungsschicht-Gateway Hersteller: Digital Equipment Corp. Unterstützte Plattformen: DEC Unix, Windows NT Weitere Informationen: http://www.altavista.software.digital.com/firewall/products/ overview/index.asp AltaVista Firewall 98 bietet Anwendungsschicht- Gateways für FTP (Telnet), HTTP, Mail, News, SQL*Net, RealAudio und finger. Einmal- Passwörter werden für FTP- und Telnetdienste unterstützt. Dieses Produkt läuft sowohl auf Intel- als auch auf Alphaplattformen. ANS InterLockFirewalltyp: Software Hersteller: ANS Communications Unterstützte Plattformen: Solaris (Sun Microsystems) Weitere Informationen: http://www.ans.net/whatneed/security/interlock/interloc.htm ANS InterLock bietet komplette Kontrolle über den Netzwerkverkehr, einschließlich Sperren und Filtern nach IP- Adresse, Datum, Zeit, Benutzer, Logins und Protokoll. Die ANS- InterLock- Programmfamilie ist eine komplette Netzwerkmanagement-Paketlösung und bietet Anwendungsschicht- Gatewaydienste. AvertisFirewalltyp: Firewall in einer Box Hersteller: Galea Network Security Inc. Unterstützte Plattformen: keine Angaben Weitere Informationen: http://www.galea.com/En/Products/Avertis/Index.html Avertis ist eine proprietäre Lösung, die auf proprietärer Hardware und Software basiert. Es bietet Echtzeit- Filtering und -Analyse von Netzwerkverkehr, Schutz gegen Spoofing- Angriffe und Hardware- Proxying. BorderManagerFirewalltyp: Software Hersteller: Novell Inc. Unterstützte Plattformen: Novell NetWare Weitere Informationen: http://www.novell.com/text/bordermanager/index.html BorderManager ist die führende Firewall für Novell- Netzwerke, schützt aber auch Unix- und NT-basierte Netzwerke. Das Produkt bietet zentralisiertes Management, starke Filter und schnelle Echtzeitanalyse von Netzwerkverkehr. Außerdem verfügt BorderManager über eine Funktion zum Aufbau von »Mini-Firewalls«, die interne Angriffe von Abteilungen oder lokalen Netzwerken innerhalb Ihrer Organisation abwehren. ConclaveFirewalltyp: Software Hersteller: Internet Dynamics Inc. Unterstützte Plattformen: Windows NT Weitere Informationen: http://www.interdyn.com/fyi.html Conclave wurde entwickelt, um Intranets und Extranets zu schützen. Daher stellt Conclave nicht nur Zugangskontrollen für die Benutzer- oder Paketebene, sondern auch für die Dateiebene zur Verfügung. Conclave wendet außerdem MD5-Paketintegrität-Analysen an, um es Crackern zu erschweren, Datenpakete zu fälschen oder Arbeitssitzungen an Terminals abzufangen. CSM Proxy/Enterprise EditionFirewalltyp: Software - Anwendungsschicht-Gateway Hersteller: CSM-USA Inc. Unterstützte Plattformen: Linux, Solaris und Windows NT Weitere Informationen: http://www.csm-usa.com/proxy/index.htm CSM Proxy ist eine umfassende Proxy-Server- Lösung, die das Filtern von ActiveX und Java Scripts, Cookies, News und Mail beinhaltet. CSM Proxy unterstützt jetzt auch Windows 95. CyberGuard FirewallFirewalltyp: Software - Anwendungsschicht- Gateway Hersteller: CyberGuard Corp. Unterstützte Plattformen: UnixWare und Windows NT Weitere Informationen: http://www.cyberguard.com/products2/frames/nt_overview.html CyberGuard bietet statische und dynamische Echtzeit-Paketfilter für alle üblichen Protokolle (IP, TCP, UDP und ICMP) und eine ganze Reihe von Proxies. CyberShieldFirewalltyp: Hardware/Software Hersteller: BDM International Inc. Unterstützte Plattformen: Data General Weitere Informationen: http://www.cybershield.com/ CyberShield ist eine proprietäre, fokussierte Lösung. Viele der Protokollierungs- und Auditingfunktionen von CyberShield wurden für eine nahtlose Integrierung in die B2-Level Assurance Security Controls in DG-UX entwickelt. Es ist eine gute »komplette« Lösung, insbesondere wenn Ihre Beschäftigten Erfahrungen mit Data General Unix haben. CyberShield gibt Ihnen Sicherheit auf einem sehr hohen Niveau. Elron Firewall/SecureFirewalltyp: Software/Hardware Hersteller: Elron Software Inc. Unterstützte Plattformen: Windows NT und Secure32OS Weitere Informationen: http://www.elronsoftware.com/proddoc.html Die Elron Firewall beinhaltet ein Firewall- Betriebssystem, das als NT-Dienst läuft. Die Administration findet über NT statt und das Produkt bietet zentrales Management und Benutzerfreundlichkeit. FireWall A 3.0Firewalltyp: Software Hersteller: Check Point Software Technologies Ltd. Unterstützte Plattformen: Windows NT und Unix Weitere Informationen: http://www.checkpoint.com/products/firewall-1/descriptions/ products.html Die Firewall A hat weltweit den größten Marktanteil. Das Produkt beinhaltet Paketfilter, starke Inhaltsüberprüfungen, integrierten Schutz gegen Spoofing und sogar Echtzeit- Scan- Vorgänge für Computerviren. Außerdem bietet Firewall A eine Time-Object- Kontrolle; es ermöglicht Ihnen die Kontrolle darüber, wie oft auf Ihre Netzwerk-Ressourcen zugegriffen werden kann. Gauntlet Internet FirewallFirewalltyp: Software - Anwendungsschicht- Gateway Hersteller: Trusted Information Systems Unterstützte Plattformen: Unix, Windows NT, DMS, ITSEC E3 und IRIX Weitere Informationen: http://www.tis.com/prodserv/gauntlet/index.html Erinnern Sie sich an das TIS Firewall Toolkit? Es bildete die Grundlage für Gauntlet. Gauntlet bietet starke Paketfilter, DES- und Triple-DES- Verschlüsselung, Benutzertransparenz und integriertes Management. GNAT Box FirewallFirewalltyp: Firewall in einer Box Hersteller: Global Technology Associates Unterstützte Plattformen: keine Angaben Weitere Informationen: http://www.gnatbox.com/ GNAT ist eine Firewall in einer Box. Diese proprietäre Hardware und Software ist in ein einzelnes Gerät gepackt. (Diese Art von Produkten sind Plug-in- Lösungen. Sie schließen Sie einfach nur an und können loslegen.) Sie können die GNAT-Box entweder über ein Befehlszeilen- oder ein Web-basiertes Interface bedienen. GNAT filtert eingehenden Verkehr, basierend auf IP-Ursprungsadresse, Zieladresse, Port, Netzwerk-Interface und Protokoll. GuardianFirewalltyp: Software Hersteller: NetGuard Inc. Unterstützte Plattformen: Windows NT Weitere Informationen: http://www.ntguard.com/grfeatures.html Guardian bietet komplette Transparenz (Benutzer müssen ihre Gewohnheiten nicht ändern), Filter, Inhaltsüberprüfung und Zugangskontrollen. Das Produkt benutzt außerdem ein proprietäres Kommunikationsprotokoll zwischen der Systemmanager-Applikation und den Agent- Applikationen. Außerdem verfügt das Programm über gute Verschlüsselungsunterstützung. IBM eNetwork FirewallFirewalltyp: Software - Anwendungsschicht- Gateway Hersteller: IBM Unterstützte Plattformen: AIX und Windows NT Weitere Informationen: http://www.software.ibm.com/enetwork/firewall/ eNetwork Firewall ist eine Kombination mehrerer Firewall-Architektur- Designs. Es bietet sowohl Anwendungsschicht- Gateways als auch komplexe Paketfilter. Außerdem stellt das Produkt einen VPN-Pfad zwischen Ihren Benutzern und der Firewall zur Verfügung. Interceptor Firewall ApplianceFirewalltyp: Firewall in einer Box Hersteller: Technologic Inc. Unterstützte Plattformen: BSDI Weitere Informationen: http://www.tlogic.com/appliancedocs/index.html Dies ist eine preiswerte Komplettlösung für Netzwerke, die keine umfassende Anpassung benötigen. Interceptor bietet Plug&Play-Firewall- Funktionalität, darunter vorkonfigurierte Proxies, zentralisierte Überwachung, Audit- und Protokollverfolgung und plattformneutrale Administration. (Sie können dieses Produkt von jeder Plattform managen.) NETBuilderFirewalltyp: Router-basiert Hersteller: 3Com Corp. Unterstützte Plattformen: Solaris, Windows NT, HP-UX Weitere Informationen: http://www.3com.com/products/dsheets/pdf/40023808.pdf NETBuilder ist eine Router- Hardware- und -Softwarefamilie. Die IP-Firewall- Möglichkeit ist in das NETBuilder- Routerpaket integriert. Es bietet extrem feines Filtern nach Protokoll, Port, Adresse und Applikation. NetRoad TrafficWARE FirewallFirewalltyp: Software - Anwendungsschicht- Gateway Hersteller: Ukiah Software Inc. Unterstützte Plattformen: Windows NT Weitere Informationen: http://www.ukiahsoft.com/ NetRoad bietet Anwendungsschicht- Gateways, zentralisiertes Management, Bandbreitenkontrolle und sogar Arbeitssitzungsprioritäten. Basierend auf bestimmten Regeln können Sie bestimmen, welche Netzwerk-Arbeitssitzungen zuerst erledigt werden. NetScreenA0Hersteller: NetScreen Technologies Inc. Gestützte Podeste: keine Angaben Weitere Informationen: http://www.netscreen.com/netscreen100.htm NetScreen ist sowohl eine Firewall als auch eine Extranet-Lösung. Es bietet IPSEC-, DES- und Triple-DES- Verschlüsselung und Arbeitssitzung- Integritätsprüfungen über MD5 und SHA. Unterstützte Protokolle sind ARP, TCP/IP, UDP, ICMP, DHCP, HTTP, RADIUS und IPSEC. PIX Firewall 4.1Firewalltyp: Router- basiert Hersteller: Cisco Systems Inc. Unterstützte Plattformen: keine Angaben Weitere Informationen: http://www.cisco.com/warp/public/751/pix/ Diese Firewall verlässt sich nicht auf Anwendungsproxies (die zusätzliche Ressourcen und CPU-Zeit brauchen), sondern auf ein sicheres Betriebssystem innerhalb der Hardwarekomponente selbst. Spezielle Funktionen sind ein HTML- Konfigurations- und Administrationstool, IP- Verbergung und Nichtübersetzung und Unterstützung für 16.000 sofortige Verbindungen. Raptor FirewallHersteller: Raptor Systems Unterstützte Plattformen: Solaris und Windows NT Weitere Informationen: http://www.raptor.com/products/datasheets/prodsheet.html Raptor-Produkte verbinden eine ganze Reihe von Firewalltechniken, darunter umfassende Protokollierung, spezialisierter, ereignisabhängiger Umgang mit verdächtigen Aktivitäten und extrem enggefasste Zugangskontrollen. Diese Familie von Firewallprodukten integriert Anwendungsschicht- Proxies. Secure AccessFirewalltyp: Router-basiert Hersteller: Ascend Communications Inc. Unterstützte Plattformen: keine Angaben Weitere Informationen: http://www.ascend.com/656.html Secure Access wird durch die Ascend-MAX- Routerfamilie zur Verfügung gestellt. Funktionen sind u.a. Zugangskontrollen, Verschlüsselung, fortgeschrittene Filter, Unterstützung für die meisten bekannten Protokolle und RADIUS Anwahlmanagement. SecurIT FirewallFirewalltyp: Anwendungsschicht- Gateway Hersteller: Milkyway Networks Corp. Unterstützte Plattformen: Solaris und Windows NT Weitere Informationen: http://www.milkyway.com/libr/solarisdes.html SecurIT ist eine duale Anwendungsschicht-/Schaltungsschicht-Firewall- Lösung, die Proxies für die meisten bekannten Dienste (darunter SQL*Net und Pop3), hochgradige Verschlüsselung und ein eingebautes VPN bietet. SunScreenFirewalltyp: Gemischt Hersteller: Sun Microsystems Unterstützte Plattformen: SunOS und Solaris Weitere Informationen: http://www.sun.com/security/overview.html SunScreen von Sun Microsystems besteht aus einer Reihe von Produkten. Mit ihrer SunScreen- Produktlinie reagiert Sun auf eines der Hauptprobleme, das ich vorher angesprochen habe: Wenn Ihr Engpass durchbrochen wird, ist Ihr Netzwerk komplett offengelegt. Suns neue Produktlinie wird wahrscheinlich die Firewall- Industrie revolutionieren (sicherlich, was die Sun-Plattform betrifft). Die hauptsächlichen Produkte sind:
ZusammenfassungFirewalls sind zur Zeit der letzte Schrei, und das ist durchaus berechtigt. Sie bieten umfassende Sicherheit vor Angriffen von außen. Firewalls sollten jedoch nicht die einzige Komponente Ihrer allgemeinen Sicherheitsarchitektur sein. Ich empfehle Ihnen ausdrücklich, sich nicht nur auf eine Firewall zu verlassen.
InfoquellenDieser Abschnitt stellt Ihnen einige URLs zur Verfügung, unter denen Sie Online-Dokumente finden, die Ihnen die Firewall-Technologie weiter erklären, bitte hier drücken.
Wichtigste Kundenvorteile
|
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|