Arten von Firewalls

Im Grunde genommen gibt es mehrere Arten von Firewalls, aus denen man wählen kann. In der heutigen Zeit werden (statische) Packetfilter vor allem auf Router eingesetzt. Hinsichtlich der TCP-Filterung ist es nun auch möglich, nach den TCP-Flags innerhalb eines Pakets zu filtern. Dies hat den doppelten Wettbewerbsvorteil, dass sie kostengünstig sind - die normalerweise als ACL (Access Control List) bezeichneten Standardfilter brauchen nur noch nachgerüstet zu werden.

Grundsätzlich können Routers Informationen aus der Anwendungsschicht nicht einsehen. In dieser Hinsicht bietet sie auf dieser Stufe keinen ausreichenden Angriffsschutz. Es gibt keine Steuerung, ob eine (vermeintlich) vorhandene Verknüpfung tatsächlich richtig hergestellt wurde. Bei komplexeren Protokollen wie FTP müssen die Kernfilter in manchen Fällen sehr weit offen sein, so dass es kaum noch Möglichkeiten des Schutzes für die verbliebenen firmeneigenen Anlagen gibt.

Schlussfolgerung: Neben einer "echten" Firewall ist der Gebrauch von stationären Packetfiltern genauso nützlich wie im Intra- und Internetzugang, bei dem die Vertrauensunterschiede nicht so ausgeprägt sind wie im Vergleich zum Internetzugang. Dieser Filtertyp wird oft als "Dynamische Paketfilterung" oder "Dynamic Packet Filtering" oder "Dynamic Packet Filtering" oder "Dynamic Packet Filtering" oder "Dynamic Packet Filtering" oder "Dynamic Packet Filter" oder "Dynamic Packet Filter" oder "Dynamic Packet Filter" oder "Dynamic Packet Filter" oder "Dynamic Packet Filtering" oder "Dynamic Packet Filter" oder Das Hauptmerkmal besteht darin, dass für die gefilterten Datensätze die dynamischen Verzeichnisse beibehalten werden.

Dies hat den Nebeneffekt, dass die Steuerung der Einzelverbindungen tatsächlich komplett erfolgt, wodurch diese Form der Entstörung nun zum Teil auch für UDP oder IKMP möglich ist. Das Filtern wird bereits im Keim erstickt, so dass kaum Performance-Einbußen zu befürchten sind. Darüber hinaus können Firewalls mit diesem Finanzierungsmechanismus sowie stationäre Bündelfilter für den Anwender völlig nachvollziehbar konfiguriert werden.

Denkbarer Nachteil der (reinen) Zustandsinspektion ist zum einen die Vielschichtigkeit dieser Gesamtlösung und zum anderen die mangelnde Beherrschung der Gesamtdaten der Anwendungsschicht, sofern dieser Algorithmus nicht durch weitere Möglichkeiten vervollständigt wird. Schlussfolgerung: In Verbindung mit anderen Filtersystemen kann die Zustandsinspektion gefahrlos aufgebaut werden. Auf der einen Seite bietet sie die Trümpfe der Paketfilter und auf der anderen Seite die völlige Beherrschung der Einzelverbindungen.

Die Firewalls funktionieren in der Ebene 6 des ISO/OSI-Schichtmodells und werden auch als "benutzerdefinierter Proxy" oder "generisches Service-Register" bezeichnet. Auf Anwendungsebene ist es nicht möglich, die gesammelten Informationen zu verarbeiten, und bei der Abfrage der gesammelten Informationen von den Bedienern fungieren Sie als Ersatz für die Nutzer. Verschiedene Mechaniken sagen dem Kabelmodem, von wem die Serverdaten abgerufen werden sollen.

An dieser Stelle kommt das "modifizierte Verfahren", bei dem sich ein Nutzer auf direktem Weg an die Brandmauer anschließt und ihn über die gewünschte Destination informiert. Nachteilig an dieser Gesamtlösung ist, dass alle mit Paketen prinzipiell realisierbaren Attacken auf Netzwerk- und Transport-Ebene nicht durchgeführt werden können, da die Brandmauer selbst eine Verknüpfung mit dem Gesamtsystem herstellt.

Die Tatsache, dass die übermittelten Datensätze selbst nicht verifiziert werden können, kann sich negativ auswirkt. Der Mangel an Markttransparenz mit dem schwerfälligen Betrieb von klassischen Circuit-Level-Gateways kann diese Form der Brandmauer für den Anwender verbergen und erfordert eine gute Notrufnummer. Darüber hinaus ist die Leistung dieser Firewalls in der Regel nicht so hoch wie bei Packetfiltern oder zustandsbehafteter Inspektion.

Schlussfolgerung: In Verbindung mit Application-Level-Gateways sind solche modernen Firewalls eine gute Erweiterung für die Inanspruchnahme von "exotischen" Diensten. Man hört einige Gerüchte, dass diese Firewalls " auf dem neuesten Stand der Technik " sind. Durch die Arbeit in der Ebene 7 des ISO/OSI-Schichtmodells haben sie auch die vollständige Steuerung der innerhalb des Prüfplans übermittelten Datensätze.

Es ist vorteilhaft, wenn ein spezielles Provisorium für das verwendete Kommunikationsprotokoll zur Auswahl steht, so dass die vollständige Beherrschung tatsächlich gegeben ist. Darüber hinaus gibt es die Möglichkeit, aktiven Inhalt herauszufiltern, z.B. im Falle von HTTP. Die Authentifizierung der Nutzer muss auf direktem Wege über das Kommunikationsprotokoll erfolgen, so dass auch hier ein guter Rundumschutz konfiguriert werden muss.

Darüber hinaus gibt es nun vor allem für empfindliche E-Business-Anwendungen Anwendungsgateways, die einen Zugriff über die Anwendungsebene nahezu ausschließen, da auch Sitzungs-IDs und ein Cookie sehr sorgfältig geprüft werden. Der Nachteil eines Application-Level-Gateways besteht unter anderem darin, dass für jedes zu filtrierende Kommunikationsprotokoll ein sogenannter Stellvertreter existieren muss.

Sollen von den Normen abgewichene Prozeduren herausgefiltert werden, müssen hier Circuit Level Gateway verwendet werden. Bei den Proxys handelte es sich um Anwendungen, die eine niedrigere Leistung in puncto Datenfluss aufweisen als Packetfilter oder zustandsbehaftete Inspektionen. Das Schützen der darunter liegenden Ebenen erfolgt nicht bei puren Applikations-Level-Gateways.