Netzwerk Firewall

Bei den Netzwerken kann es sich z.B. um ein Privatnetzwerk (LAN) und das Intranet ( "WAN") handeln; es ist aber auch möglich, verschiedene Teilnetze ein und desselben Netzes zu verbinden. Im Gegensatz zur persönlichen Firewall funktioniert die Funktion der Fremdsoftware nicht auf den zu sichernden Rechnern selbst, sondern auf einem eigenen Endgerät, das Netzwerk oder Netzabschnitte untereinander vernetzt und dank der darauf ausgeführten Firewallsoftware den Zugang zwischen den Netzwerken zeitgleich einschränkt.

Eine solche Spezialvorrichtung stellt vor allem ein sicherheitsoptimiertes und netzwerkseitiges Stabilitätssystem dar, das aufgrund der physikalischen Entkopplung von den zu sichernden Rechnersystemen nicht so leicht manipulierbar ist. Ein externer Firewall setzt sich also aus Soft- und Hardware-Komponenten zusammen. Hardware-Komponenten sind Einrichtungen mit Netzwerk-Schnittstellen, die die Netzwerke untereinander verknüpfen, wie Brücken, Routers oder Proxies; Software-Komponenten sind ihre Betriebssysteme und die auf diesen Einrichtungen installierte Firewall-Software (einschließlich ihrer Paket- oder Proxyfilter).

Dabei werden die Netzwerk-Schnittstellen wie bei einer Brücke (heute besser bekannt als Switch) gekuppelt. Eine Brücke braucht für sich selbst keine hohen (IP-)Adressen (im Gegensatz zu einem Kreuzschienenrouter wird sie von keinem Gesprächspartner auf dieser Stufe unmittelbar angesprochen) und ist daher im Netzwerk nahezu unsichtbar und kann auf dieser Stufe nicht angegriffen werden ("Bump in the wire").

Die bridging firewall kann jedoch in der Regelfall auf eine übergeordnete (IP-)Adresse konfiguriert werden, so dass sie nicht nur dezentral, sondern auch über das Netzwerk verwaltet werden kann. Dieses wird in der Regel über eine spezielle Verwaltungsoberfläche durchgeführt, die für die Verwaltung von Firewalls entwickelt wurde. Um eine Beschränkung der Filtrierung auf Low-Level-Adressen zu vermeiden, weicht die Bridging-Firewall von einer herkömmlichen Brücke dadurch ab, dass sie intern auf übergeordnete Protokollstufen greift und somit in der Lage ist, IP-Adressen und Ports zu filtert, manchmal einschließlich einer zustandsorientierten Paketprüfung.

Eine solche Firewall kann z.B. mit dem Netfilter-Framework implementiert werden. Dabei werden die Netzwerk-Schnittstellen wie bei einem Kreuzschiene verbunden. Dies ist der häufigste Typ; er wird in nahezu allen SoHo-Geräten ( "Privatanwendern" und kleineren Unternehmen), aber manchmal auch in großen Anlagen eingesetzt. Verglichen mit einer Brücke funktioniert ein Kreuzschienenrouter auf einer übergeordneten Ebene der Abstraktion durch Wechsel zwischen verschiedenen IP-Domänen (Subnetze) (alle Pfade, die ein Netzwerk-Paket in vernetzten Netzwerken einnehmen soll, werden vom klassischen Kreuzschienenrouter auf Basis der IP-Adresse verwaltet).

Nachteilig ist, dass eine darauf montierte Firewall daher im Netzwerk erkennbar ist und unmittelbar attackiert werden kann (entweder als Verbindung zwischen den Teilnetzen - Routern ohne NAT - oder sogar als angeblicher Gesprächspartner - im NAT-Modus - Router behandelt wird). Sie wirkt sich auf das Funktionieren der Firewall aus, wenn sie auf einem solchen Endgerät installiert ist:

Diese Firewall ordnet im NAT-Modus, der aus der Privatwirtschaft vor allem durch DSL-Router bekannt ist, ihre eigene Außenadresse dem jeweils eigenen Kunden zu, der eine Anbindung an das Fremdnetz (Internet) aufgebaut hat. Im übertragenen Sinne fungiert es dann wie eine automatisierte Mailbox, die alle abgehenden Datenpakete, die durch die Firewall gehen, mit einer eigenen Senderadresse versorgt.

Durch eine spezielle NAT-Administration (PAT) wird erkannt, zu welchem internem Endgerät ein ankommendes Antwortpacket aus dem Int. gehort. Dort wird das Päckchen weitergeleitet, ohne dass der Absender die tatsächliche (interne) Anschrift seines Gesprächspartners aus dem Netz kannte. Die Routing-Firewall verschleiert in diesem Fall - ähnlich wie eine Proxy-Firewall - die Strukturen des firmeneigenen Netzwerks, ist aber nicht in der Lage, den Kommunikationsverlauf zu beeinfluss.

Dabei fungiert die Firewall als Stellvertreter zwischen Quell- und Zielsystem. In diesem Fall wird die Firewall als Stellvertreter eingesetzt. Stattdessen stellt es eine eigene Anbindung an das Gesamtsystem her. Daher übernimmt sie die eigentliche Abwicklung der Mitteilung im Namen des anfordernden Kunden. So kann eine Firewall den Content der Netzwerk-Pakete fortlaufend auswerten, Anforderungen herausfiltern und bei Bedarfen anpassen, aber auch bestimmen, ob und in welcher Weise die Response vom Ziel an den eigentlichen Kunden weitergegeben wird.

Hierbei beauftragt der Kunde den Bevollmächtigten, die Korrespondenz mit dem Zielsystem in seinem Namen zu bernehmen. In der Realität gibt es keine Firewall, die ausschliesslich auf Hardwaresystemen basiert. Obwohl eine Firewall auf ihrem eigenen Betriebsystem ausgeführt werden kann und auf verschiedene Netzebenen zugreift, ist sie dadurch nicht Teil der Infrastruktur.

In einer Firewall ist immer eine wesentliche Komponente enthalten. Die Bezeichnung Hardwarefirewall wird eher als Abkürzung für external Firewall benutzt. Es sollte ausgedrückt werden, dass es sich um eine eigene Hardwaresysteme für den Betrieb der Firewallsoftware der Firma XVI. handeln. Es gibt jedoch eine für den Einsatz der Firewallsoftware optimierte Hard- ware, z.B. durch ein entsprechendes Hardware-Design, das dazu beiträgt, einen Teil der Entschlüsselung und Ver- schlüsselung gewisser Protokollierungen zu forcieren.

Der Hardwarebaustein einer fremden Firewall verfügt über mehrere Netzwerk-Schnittstellen (in der Regel zwischen 2 und 20), an die die zu separierenden Netzwerkbereiche angebunden sind. Diese können je nach Angebot in die folgenden Netzwerk- und Vertrauensbereiche untergliedert werden: 1: Meistens das Web, aber auch ein anderes Kundennetzwerk. Dies ist aus Sichtkontakt mit der Firewall das eigene Netzwerk, das geschützt werden muss und gegenüber der Firewall zuverlässig ist (High Trust).

Diese Netzwerkverbindung ist als Option erhältlich. Hier erfolgt der gesamte Zugriff für die Einrichtung des Firewall-Systems, den Import der Regel und anderer administrativer Funktionen (absolutes Vertrauen). Dieses Netzwerk stellt sicher, dass die Firewall nicht nur aus dem firmeneigenen Netzwerk heraus angepasst werden kann. Diese (!) Netzwerkverbindung nimmt die aus dem fremden Netzwerk zugänglichen Datenserver auf (wenig Vertrauen).

Während diese Datenserver keine eigenen oder nur begrenzte Konnektivität zum firmeneigenen Netzwerk herstellen können, können die firmeneigenen Kunden in der Standardausführung auf diese Datenserver so wie auf Datenserver über das Int. zurückgreifen. Dies hat den Vorzug, dass - sollte ein solcher Rechner aus dem fremden Netzwerk genommen werden - von dort aus kein unmittelbarer Zugang des Angreifers zum fremden Netzwerk möglich ist.

Große Unternehmen verfügen oft über mehrere Brandmauern und DMZs, die alle unterschiedliche Rechte haben, z.B. um die anfälligeren Web- und E-Mail-Server von den Servern im Außendienst mit den entsprechenden Informationen für den Außendienst zu scheiden. Der Begriff "exponierte DMZ" ("exponierte entmilitarisierte Zone") deutet darauf hin, dass es sich um ein eigenständiges Netzwerk handelt, obwohl seine virtuelle Netzwerkverbindung nur einem einzelnen internen Rechner zugewiesen werden kann.

Je nach Fabrikant wird diese "Zone" gelegentlich "DMZ" oder " ungeschützt " bezeichnet, hat aber nichts mit einer realen DMZ oder einer eigenen Netzzone zu tun. Auf diesem exponierten Rechner werden alle Datenpakete aus dem Fremdnetz durchlaufen, die nicht einem anderen Adressaten zuordenbar sind. So ist sie vom Intranet aus über die Außenadresse der Firewall an allen ihren Anschlüssen zu erreichen, so dass die Beteiligten nahezu alle ihre Netzdienste über das Intranet erreichen können.

Aber sobald dieser (exponierte) Rechner von einem Einbrecher übernommen wird, geht auch für alle anderen inneren Abonnenten der Firewall-Schutz unter, denn von dort aus ist ein unbehinderter Zugang zum inneren Netzwerk möglich. Dabei wird ein Low-Confidence-Element (exponierter Host), das tatsächlich in eine reale DMZ passt, in die Mitte einer High-Confidence-Zone (das innere Netzwerk) gesetzt.

Packet Filter Die simple Filtration von Dateipaketen nach Port, Quell-IP-Adresse und Ziel-IP-Adresse ist die Basisfunktion aller Netzwerk-Firewalls. Zustandsüberprüfung Bei dieser zustandsgesteuerten Filtration handelt es sich um eine ausgedehnte Art der Paketfiltration, die zusätzliche Anschlussdaten bewertet und damit gewährleistet, dass nur die betroffenen Gesprächspartner auf die Anbindung Zugriff haben. Nach dem Aufbau einer Internetverbindung kann die Firewall damit auch feststellen, ob und wann der interner Klient mit dem fremden Zieldesign- System korrespondiert, wodurch die Firewall erst dann Reaktionen darauf erlaubt.

Schickt das Zielsystem Dateien, die nicht vom firmeneigenen Mandanten angefragt wurden, sperrt die Firewall die Übertragung auch nach dem Aufbau der Datenbankverbindung zwischen Kunde und Zielsystem. In diesem Fall wird die Übertragung durch die Firewall gesperrt. Außerdem blockt es Netzpakete, die nicht in den Kommunikationsablauf hineinpassen, d.h. die offensichtlich verändert wurden oder schlichtweg defekt sind. Proxy-Filter Ein Proxy-Filter baut im Namen des anfordernden Mandanten die Anbindung an das Zielsystem auf und übermittelt die Rückmeldung des Zielsystems an den aktuellen Mandanten.

Als Spezialist für ein spezielles Kommunikations-Protokoll wie HTTP oder FTP kann er die gesammelten Informationen kohärent auswerten, Anforderungen herausfiltern und ggf. anpassen, aber auch bestimmen, ob und in welcher Ausprägung die Reaktion des Zielpublikums an den eigentlichen Kunden weitergegeben wird. Content-Filter Dieser Content-Filter ist eine Art Proxy-Filter, der die Benutzerdaten einer Internetverbindung bewertet und z.B. dazu dient, AktivX oder Java Script von angefragten Websites abzufiltern oder generell bekannter Malware beim Download zu unterdrücken.

Je nach Art kann die Firewall die Netzadresse (innerhalb des IP-Netzwerks ist dies die IP-Adresse) ändern, sobald die Datenpakete das Netzwerk auf dem Weg zum Bestimmungsort der Firewall-Vorrichtung durchlaufen. Danach rief er den Pizzabetrieb an, erteilt die Order, übernimmt die Päckchen an der Haustür und gibt sie an seine Freundinnen weiter.

Er nahm die Päckchen in seinem Namen an der Haustür und verteilte die Pizzas später anhand der Listen an seine Freundinnen und Freund. Der Kunde kann die Waren vorab auf ihre richtige Zustellung prüfen und auf Wunsch die Pizzas vor der Weitergabe nachträglich dekorieren (Pakete wechseln).

Durch die Adaption der Anschrift kann nicht nur die tatsächliche IPAdresse des eigentlichen Gesprächspartners verdeckt werden, sondern es können auch individuelle Abonnenten eines Netzwerks oder sogar ganze Netze untereinander verbunden werden, auch wenn sie in Bezug auf die Adressierung nicht kompatibel sind und eine Direktverbindung daher nicht möglich wäre. Streng genommen ist es das Port-Management, das es der Firewall-Vorrichtung erlaubt, ein vollständiges, privates Netzwerk über eine einzige amtliche IPAdresse mit dem Web zu verknüpfen.

Ähnlich wie bei der oben verwendeten "Liste der Bestellungen" wird für jede Internetverbindung ein eigener Return-Port in der Firewall-Vorrichtung eingerichtet. Anschließend können die Anschlüsse verschiedenen hausinternen Mandanten - den PC aus dem Privatnetzwerk - zugewiesen werden. Somit werden mehrere Rechner im Privatnetzwerk, die nicht über ihre private IP-Adresse (z.B. 192.168.0. 0/16) unmittelbar mit dem Netzwerk in Kontakt treten können, durch eine einzelne amtliche IP-Adresse (d.h. gültig für das Fremdnetzwerk ) gemappt.

Weil das Zielsystem nicht den eigentlichen Kunden, sondern nur das Firewall-Gerät erkennt, werden eventuelle Attacken von dort auf die dafür vorgesehene Firewall gelenkt und schlagen nicht unmittelbar auf den Kunden zu. In einem NAT-Gerät wird dieses Phänomen als Adressübersetzung bezeichnet, da es die Anschrift ein und derselben Netzwerkkomponente anpaßt. Genau genommen implementiert die Proxy-Firewall dagegen nicht die Adressübersetzung einer Netzwerk- Verbindung, sondern ist selbst ein verkehrsberuhigender Gesprächspartner.

Daher ist ein Stellvertreter das Ende und der Anfangspunkt getrennter Anschlüsse an das andere Netzwerk. Allerdings ist das Zusammenspiel beider Endgeräte von aussen ( "oberflächlich") ähnlich: Die Senderadresse verändert sich, sobald die Anforderung an das Web das Firewall-Gerät durchläuft. Andererseits ermöglichen die Bridging-Firewall und ein Firewall-Router (im Modus ohne NAT) eine unmittelbare Verbindung mit dem Kunden, ohne die Anschrift am Netzübergang zu ändern.

Mit DSL-Routern soll eine DSL-Internetverbindung für die Computer eines Privatnetzwerks erreichbar gemacht werden. Sie fungieren im Privatnetzwerk als Routers (oft auch als Layer-3-Switch, der den Routers enthält). Damit ist es möglich, den DSLAutomaten auf den Innengeräten als Standard-Gateway zu projektieren und zwischen den Unternetzen des inneren (privaten) Netzwerkes sowie zwischen dem persönlichen Netzwerk und dem Internetz zu mediation.

Der Sicherheitsaspekt der Adresskonvertierung beruht darauf, dass diese Vorrichtungen ihre Anschlüsse nur an diejenigen Gesprächspartner weitergeben, die eine Übertragung aus dem firmeneigenen Netzwerk gewünscht haben. Daher sind die Anschlüsse des Geräts blockiert, solange sie nicht zu einer inneren Anbindung passen. Allerdings ist die Verwendung der zu einer solchen Anbindung gehörenden Schnittstellen bei der Einführung von NAPT nicht auf die originalen Gesprächspartner begrenzt.

Nur durch eine Firewall mit stateful Paketinspektion können auch die in dynamischer Form offenen Schnittstellen nur vom entsprechenden Gesprächspartner ansprechen werden. Es ist in der Lage, Datenpakete (einschließlich Stateful-Paketinspektion) und Forward-Ports (Portweiterleitung) auszuwerten und zu Filter. Seitdem DSL-Router darauf ausgelegt sind, Netzwerke zu vernetzen und nicht zu unterbrechen, bemühen sich die Hausgerätehersteller, Anschlussprobleme so automatisch wie möglich zu vermeiden, auch wenn dies eine Aufweichung oder gar Zerstörung der Sicherheitsfunktionen impliziert.

Ein externer Zugang dazu sollte in der Regel durch den DSL-Router gesperrt werden, sobald der Anschluss des Services vom Rückkanal der gewünschten Anschlu? weicht. Damit ist der Zugriffsschutz auf das unerbetene Internetsurfen für diesen Rechner nahezu abgeschaltet, da alle Netzdienste des Privatrechners über das Netz einsehbar und zugänglich sind.

Weil die kostengünstige Gerätehardware eine gleichzeitige Auswertung der Prüfprotokolle bereits ausklammert, sie aber zumindest auf ein Mindestmaß begrenzt, wird bei manchen Geräten lediglich versucht, alle äußeren Erfordernisse so weit wie möglich zu berücksichtigen, in der Erwartung, dass die jeweilige Applikation störungsfrei abläuft. Wenn der DSL-Router keine Packetfilterfunktion hat, können nicht einmal einzelne Anschlüsse ausgeschlossen werden.

Eine einfache Firewall-Struktur sollte die Angelegenheit klären: Ein Unternehmen möchte seine Arbeitsplätze mit dem Netz vernetzen. Damit z. B. keine Malware aus dem Netz geladen wird, kann eine Firewall dafür sorgen, dass die Arbeitsplatz-PCs nur auf zulässige Websites Zugriff haben (White List). Für die Suche im Netz kann es auch einen eigenen Surfcomputer gibt, der einen Proxy-Zugang zu Websites empfängt.

Dabei ist es von Bedeutung, dass in dieser Situation die Arbeitsplätze selbst keine unzulässige Direktverbindung zum Netz herstellen können. Das bedeutet, dass auf andere Weise eingeführte Malware keine Daten über das Netz übermitteln kann und nur dann weitere Malware aus dem Netz verbreiten oder herunterladen kann, wenn sie über den Vollmachts- oder den Mail-Server einen Weg findet.

Die Firewall-Regeln eines Rechners mit zustandsabhängiger Inspektion würden in diesem Beispiel wie folgt aussehen: Ein wichtiger Aspekt von Firewall ist die Vermeidung von Spoofing. Brandmauern mit Spoofing-Schutz-Funktionalität ermöglichen es daher, gewissen Netzwerkschnittstellen gewisse IP-Adressen und Netzwerke zuzuordnen. Brandmauern mit Internetverbindung können alle Datenpakete von und zu privaten IP-Adressen (RFC 1918) auf der Internetschnittstelle ablegen, da diese ohnehin nicht über das Netz weitergeleitet werden.

Damit wird verhindert, dass IP-Spoofing mit diesen Anschriften aus dem Int. Auch wenn die Zuweisung von IP-Netzen zu gewissen Netzwerkschnittstellen klar sein sollte, gibt es in der Realität gelegentlich Schwierigkeiten mit doppelten referenzierten Hostel- und Routing-Schleifen (Pakete, die auf dem Weg hin und zurück verschiedene Wege nehmen). Weil die Filtration nach IPAdressen aufgrund von potentiellem IP-Spoofing nicht voll vertrauenswürdig ist, gibt es einige Firewall-Lösungen, die die Authentifizierungsmöglichkeit anbieten und nur dann werden gewisse Verhaltensregeln für einen begrenzten Zeitraum aktiviert.

Zur starken Authentisierung sind beispielsweise die Firewalls Firewall-1 von Checks Point und Juniper Networks kompatibel mit den SecurID-Token von RSA Security. "Einbruchmeldeanlagen ( "Intrusion Detection Systems (IDS) und Injection Injury Injection Systems (IPS)") werden manchmal auf einem Firewall-Gerät eingerichtet, sind aber nicht Teil des Firewallmoduls. Das Firewall-Modul erfasst zwar keine Attacken, sondern soll nur gewisse Kommunikationsverbindungen ermöglichen - abhängig von der Absender- oder Empfängeradresse und den verwendeten Services - diese Zusatzmodule vervollständigen das Gesamtsystem um die Möglichkeit, nun auch einen Eindringversuch auf Basis von Kommunikations-Mustern zu erfassen.

Beispielsweise erstellen einige Computer eine vorübergehende Firewall-Regel, die alle weiteren Verbindungs-Versuche von der angeblich angegriffenen IP-Adressen blockiert. Schreibt ein Hacker jedoch nun Datenpakete mit einer falschen Absenderadresse an das Gesamtsystem, kann er damit sicherstellen, dass der Zugang zu der falschen Absenderadresse nicht mehr möglich ist. Der weitere Pluspunkt dieser Technik ist, dass individuelle Brandmauern für Wartungsarbeiten oder Software-Updates heruntergefahren werden können, ohne die Anbindung zu trennen.

Für die Implementierung werden oft die selben Lösungsansätze verwendet wie für hochverfügbare Router (z.B. HSRP, VRRP oder CARP) oder Spezialprodukte wie die EMC2-Regenwand. Im Falle eines Failovers gibt es zwei Wege, wie die Stateful Inspection Firewall mit den vorhandenen Anschlüssen umgehen kann. Ein Verfahren ist, dass alle Brandmauern ihre dynamischen Verbindungstabellen dauerhaft miteinander abgleichen, so dass jede Brandmauer in der Möglichkeit ist, alle Anschlüsse richtig zuzuweisen.

Die andere Methode funktioniert ohne Synchronisierung, aber alle vorhandenen Anschlüsse werden nach der Änderung durch die akzeptierende Firewall erneut gegen die Regeln überprüft. Weil die für die Datenverbindungen verhandelten Anschlüsse willkürlich sind, kann die akzeptierende Firewall diese Datenpakete keiner Richtlinie zuweisen und verwirft sie. Für die Synchronisierung der Verbindungstabellen sorgen die Firewall von Check Point, OpenBSD (via pf_sync) und Linux (via ct_sync).

Der Firewall ist ein Aspekt des Sicherheitskonzeptes. Der Firewall kann aus mehreren Bestandteilen zusammengesetzt sein, von denen einige z.B. eine DMZ bereitstellen. Es kann jedoch keine völlige Unbefangenheit gegeben sein; auch eine gut organisierte Firewall ist kein Sicherungsmechanismus, der früher oder später nicht ausreicht. Zur Minimierung der Nutzung von Sicherheitslöchern innerhalb der Firewall können im Ausnahmefall auch Mehrschichtlösungen hilfreich sein.

Das Netzwerk-Paket kann z. B. mehrere in Reihe geschaltete Firewall- und Sicherheitssysteme verschiedener Anbieter durchlaufen, so dass systembezogene Störungen oder möglicherweise von Herstellern installierte Backdoors je nach Koordination der Anlagen einen großen Teil ihrer Effektivität einbüßen. Die modernen Brandmauern sind mit Virtual Local Area Networks (VLANs) ausgestattet, d.h. mehrere Logiknetzwerke sind über eine physikalische Netzschnittstelle erreichbar.

Auf diese Weise können mehr Netzwerke mit der Firewall verbunden werden, als es die physische Grenze der Netzwerk-Schnittstellen zulässt. Der Einsatz von Video-LANs kann günstiger sein als der Kauf zusätzlicher Netzwerk-Schnittstellen für die Firewall. Der weitere Pluspunkt ist, dass die Softwarekonfiguration der Firewall und der anderen Netzkomponenten allein für den Anschluss von neuen Netzwerken ausreichend ist; es müssen keine neuen Leitungen verlegt werden.

Die Tatsache, dass die Abtrennung der einzelnen Netzwerke nicht der Souveränität der Firewall unterworfen ist, ist aus sicherheitstechnischer Sicht fragwürdig; das Gesamtsystem ist daher einfacher zu beeinträchtigen. Die Firewall hängt in diesem Falle von der Kooperation mit den verwendeten Netzkomponenten ab. Bei Sicherheitsproblemen kann es aus unterschiedlichen Ursachen zu Problemen kommen: durch eine nicht funktionierende Netzkomponente, durch eine nicht korrekte Komponentenkonfiguration (z.B. SNMP), durch eine nicht korrekte Umsetzung oder Konfigurierung der Glasfasertrennung oder durch einen Eingriff in die Verwaltung der Netzwerkgeräte.

Bei den meisten Brandmauern handelt es sich um Routers. Genau wie beim Routingbetrieb ist auch die IP-Multicast-Fähigkeit einer Firewall abhängig vom jeweiligen Betriebsystem des Geräts, auf dem die Firewall-Software ausgeführt wird. Weil die Schnelligkeit von vielen Dynamikfaktoren abhängig ist, ist es nicht unbedeutend, die Performance einer Firewall zu beurteilen. Dies umfasst die Grösse des Regelsatzes und die Ordnung der Regelsätze, die Form des Netzwerkverkehrs und die Gestaltung der Firewall (z.B. zustandsorientiert, Protokollierung).

In RFC 2647 wird ein durchgängiges Leistungsvergleich von Brandmauern in RFC 2647 dargestellt. Vergewissern Sie sich, dass alle Netzwerkschnittstellen mit Vollduplex funktionieren. Bei der Fehlerbehebung in einem großen Netzwerk kann es sehr aufwendig sein. Häufig auftretende Probleme sind, dass eine Firewall-Regel IP-Adressen beinhaltet, die durch eine NAT-Verbindung oder ein VPN verändert wurden. Abhängig von der verwendeten Firewall-Software und dem verwendeten Betriebsystem sind die Optionen zur Fehlerbehebung unterschiedlich.

Die Protokolldateien können verwendet werden, um fehlerhafte Firewall-Regeln oder IP-Spoofing zu erkennen. Mithilfe von Tools wie z. B. TCPpdump oder Schnüffeln unter Sunris können Sie den aktuellen Netzwerkauslastung an ein- und ausgehenden Netzwerkschnittstellen überwachen und miteinander abgleichen. Darüber hinaus geben einige System einen Überblick über die internen Abläufe der Firewall-Software (z.B. am Check Point FW1 mit "fw monitor").

In einem geclusterten Firewall-System sind Protokolldateien sinnvoll, um zu bestimmen, welcher Computer die defekte Verbindung verarbeitet. Für eine ausführliche Fehlerbehebung sind die Protokolldateien nicht geeignet, wenn sie nicht für jedes Einzelpaket, sondern nur für jede einzelnen Verbindungen einen eigenen Datensatz eintragen. Zusätzlich zu den Fähigkeiten der Firewall sind Tools wie ping, smap oder traceoute hilfreich, um zu bestimmen, ob der aufgetretene Defekt außerhalb des Netzwerks auftritt, z.B. beim Routingbetrieb oder ob der Ziel-Port überhaupt nicht intakt ist.

Sprachübermittlung (VoIP) und Videokonferenz sind für zustandsbehaftete Brandmauern nicht unbedeutend, da in der Regel mehrere unterschiedliche Übertragungsprotokolle (z.B. für Rufsignalisierung, Klangübertragung, Bildübertragung, Anwendungsfreigabe ) und Abonnenten (Anrufer, Angerufene, Telefonanlage, Telefonkonferenz) beteiligt sind. Einige handelsübliche Firewall-Systeme kennen IP-basierte Kommunikationsprotokolle (SIP oder Skinny) und sind daher in der Regel in derstande, Ports auf dynamische Weise zu eröffnen.

Das FTP ist ein recht uraltes Verfahren, aber für eine Firewall schwierig. Vor allem der Aktiv-FTP-Modus, bei dem neben der Kontrollverbindung auf Port 21 eine weitere Dateiverbindung sozusagen zurück vom Datenserver zum Clienten hergestellt wird, verursacht bei einigen Firewall-Problemen einiges. In der Theorie kann der FTP-Serverbetreiber die Rückwärtsverbindung auch für Attacken mißbrauchen.

12 ] Daher untersagen einige Firewall-Systeme den Verbindungsaufbau von Datenverbindungen zu Port-Nummern, die für andere Services bekannt sind. Die typischen Anzeichen einer Firewall, die Schwierigkeiten mit FTP hat, ist eine arbeitsfähige Navigationsstruktur durch die Ordner, aber die Verbindung stürzt ohne Fehlermeldungen während der Datenübermittlung ab. 15 ] Danach wurde die Verwendung von Brandmauern immer beliebter. "â??Astaro Security Linux ist eine kostenpflichtige Linux-Distribution fÃ?r die Firewall.

Die Endian Firewall ist eine quelloffene Linux-Distribution für Gateway-, Router- und Firewall-Systeme, die einen umfangreichen Gateway-Schutz (Antivirus, Antispam, DMZ, Intrusion Detection, etc.) bereitstellt und sehr leicht als Headless-Server über ein Web-Frontend zu installieren ist. Die Single Disk Router fli4l ist neben der CD-Version Gibraltar ein Vorhaben, das die Benutzung alter PC als Firewalls im Sinn einer zukunftsfähigen Entwicklung ermöglicht.

Die kostenlose Linux-Distribution IPFire funktioniert in erster Linie in Form eines Routers und einer Firewall, die durch einen Package Manager mit vielen zusätzlichen Funktionalitäten leicht erweitert werden kann. Der IPCop ist eine benutzerfreundliche Linux-Distribution, ein ausgeglichener Kompromiß zwischen einer sicheren Firewall und umfangreichen Funktionalitäten (Antivirus, Antispam, DMZ, Proxy). Die BSD-basierte Firewall ist eine auf Security optimierte und dennoch sehr leicht zu konfigurierende Sicherheitslösung. Die BSD-basierte Firewall ist ein Ausläufer der BSD-basierten Firewall und ein Kompromiß zwischen Sicherheitsfirewall und umfassender Funktionalität (Antivirus, Antispam, DMZ, Proxy).

vhion netfence - European corporate firewall product, das als Soft- und Hardware-Appliance erhältlich ist. Der Microsoft Web Security and Acceleration Server ist eine handelsübliche Firewall von Microsoft, die auf Windows Server 2000/2003 aufsetzt und die Einbindung in die Verzeichnisstruktur des aktiven Verzeichnisses von Vorteil ist. pf ist eine Open Source Firewall, die zunächst für OpenBSD konzipiert und später auf andere BS DOS-Betriebssysteme übertragen wird.

Der SME Servers ist eine auf Open-Source-Software basierte Firewall, die auch Serverbetriebssysteme für den SoHo-Bereich beinhaltet. Firewallgeräte ermöglichen eine koordinierte Verbindung von Hardware, verhärtetem Betriebsystem und Firewall-Software: Besuchen Sie den ? BSI-Basisschutzkatalog: WW30, Nr. 2016, Nr. 2016, 29. Juni 2016. Zurückgeholt am 5. September 2016. Jacek Artymiak: Firewalls mit OpenBSD und PF erstellen.

2. Auflage. divGuide. net, Lublin 2003, ISBN 83-916651-1-9 Wolfgang Barth: The Firewall Book. Grundlegende Kenntnisse, Bau und Einsatz von sicheren Netzwerken mit dem Betriebssystem Windows. Die passende Struktur und die richtigen Bausteine für ein gesichertes Netzwerk. BGBl., Köln 2005, ISBN 3-89817-525-1 William R. Cheswick, Steven M. Bellovin, Flyer D. Rubin: Firewalls und Internetsicherheit.

Eine Linux-Firewall. Verhalten und Anforderungen von RFC 2979 für Internet-Firewalls. Stefán Strobel: Firewall und IT-Sicherheit.