Die Unterschiedlichen Firewall-Kategorien

Eine Firewall kann je nach Anwendungszweck u.a. in folgende Kategorien eingeteilt werden:

1. Paketfilter
2. Inhaltefilter
3. Proxy

1. Paketfilter

Ein Paketfilter ist ein Firewall-System, das meistens auf einem Router lokalisiert ist. Der Datenverkehr wird aufgrund von Regeln gefiltert. Man unterscheidet dabei zwischen zwei Konzepten:

• Default allow: Alles, was nicht explizit anhand von Regeln verboten ist, wird durch die Firewall hindurchgelassen. Dies ist aus Benutzersicht sehr bequem, aber auch sehr riskant.
• Default deny: Alles, was nicht explizit erlaubt ist, wird gesperrt. Dies bedeutet mehr Aufwand für den Benutzer, ist aber unter dem Aspekt der Sicherheit die bessere Wahl.

Entscheidet man sich für default deny, so müssen Filterregeln definiert werden, damit bestimmte Pakete weitergeleitet werden. Ursprünglich wurden nur Pakete an die bekannten Ports (well known Ports) durchgelassen.

Pakete werden vom Paketfilter getrennt analysiert. Somit gilt als Entscheidungsgrundlage, ob ein Paket die Firewall passieren darf, immer nur die Adressinformationen im aktuellen Paket. Ein Paketfilter ist somit beispielsweise in der Lage, den Zugriff auf das lokale Netz für individuelle Rechner (spezielle Adressen) oder auch für ein gesamtes Subnetz zu sperren oder zu erlauben. Ebenfalls kann er die Übermittlung von oder zu bestimmten Ports überwachen. Häufig wird beispielsweise Port 23 für den Telnet-Dienst gesperrt, weil er für einen unberechtigten Zugriff auf einen Rechner besonders gefährlich ist.

Da ein Paketfilter als Entscheidungsgrundlage für eine Weiterleitung immer nur ein einzelnes Paket in Betracht zieht, wird das Konzept einer Sitzung nicht berücksichtigt. Der Internet-Dienst FTP (File Transport Protocol) zum Beispiel benötigt dynamische Ports ausserhalb des Well-known-Bereichs, um neben der Datenverbindung eine Kontrollverbindung aufzubauen. Dies geschieht auf Serverseite von Port 20 aus, wobei der Zielport des Clients unbekannt ist. Auf Clientseite müssten alle Verbindungen von Port 20 vom Paketfilter akzeptiert werden, was allerdings sehr unsicher ist.

Die Filtereigenschaften eines Paketfilters lassen sich deutlich verbessern, wenn die IP-Pakete in ihrem Kontext überprüft werden. Dadurch wird der Paketfilter zustandsbasiert. Er führt eine dynamische Liste aller ein-und ausgehenden Verbindungen und kann ebenfalls dynamische Filterregeln erstellen und löschen. Dadurch könnte man zum Beispiel bei FTP für eine beschränkte Zeitdauer die Ports öffnen.

2. Inhaltsfilter

Inhalts- oder Contentfilter dienen dazu, spezifische Informationen oder Daten für ein lokales Netz unzugänglich zu machen, beziehungsweise den Zugriff darauf zu reglementieren und zu überwachen, um überflüssige Netzlast (durch unnötige Downloads) und den Download bedenklicher oder verbotener Inhalte von Webseiten zu vermeiden.

Es gibt unterschiedliche Verfahren mit sich teilweise stark unterscheidenden Trefferquoten. Einige Verfahren reagieren bereits beim Abrufen der Webseite (Adressfilter), andere Verfahren analysieren den Inhalt der Seite, bevor sie auf dem Bildschirm aufgebaut wird und verweigern nach dem Entdecken unerwünschter Inhalte den Seitenaufbau. Wieder andere Verfahren verbieten den Einsatz bestimmter Protokolle vollständig, um grundsätzlich spezifische Probleme wie illegalen Datendownload zu vermeiden oder lassen den Download bestimmter Dateitypen nicht zu, um Systeme zum Beispiel vor Viren in E-Mails zu schützen.

Für E-Mails werden oft Spamfilter eingesetzt, welche unerwünschte Werbung (Spam) herausfiltern. Dabei gibt es unterschiedliche Methoden. Eine davon ist das Führen einer so genannten schwarzen Liste (Blacklist). Diese Methode überprüft den Inhalt der E-Mail nach bestimmten Ausdrücken bzw. Stichworten aus einer Blacklist. Ist der Ausdruck bzw. das Stichwort in der E-Mail enthalten, wird die E-Mail aussortiert. Diese Blacklists müssen im Allgemeinen manuell erstellt werden und sind entsprechend aufwändig zu verwalten. Ausserdem besteht die Gefahr eines Irrtums; hin und wieder wird Spam als unbedenkliche E-Mail und eine unbedenkliche E-Mail als Spam klassifiziert.

Virenscanner werden eingesetzt, um Viren, Würmer oder trojanische Pferde aufzuspüren und zu beseitigen. Um Bedrohungen aufspüren zu können, hat jeder Virenscanner eine Liste mit Beispielen aller ihm bekannten Viren und anderer schädlicher Software, mit der er die zu überprüfenden Dateien vergleicht. Bei einer Übereinstimmung werden Schritte zur Neutralisierung der infizierten Datei unternommen. Da ständig neue Viren auftauchen, müssen die entsprechenden Listen laufend aktualisiert werden.

Bei der Worterkennung werden aufgerufene Webseiten unmittelbar vor dem Aufbau nach bestimmten Wörtern, Sätzen oder Teilsätzen analysiert, die zuvor in entsprechenden Listen definiert wurden. Enthält eine aufgerufene Seite ein verbotenes Wort, so wird sie am Zielrechner nicht aufgebaut. Die Suche nach den Stichwörtern kann in der Regel auch auf einzelne Bereiche der Webseiten beschränkt und sogar bereits vor dem eigentlichen Abruf schon auf die URL angewandt werden.

3. Proxy-Server

Ein Applikations-Gateway agiert nach innen als Stellvertreter (Proxy-Server) für einen externen Rechner und nach aussen als Stellvertreter für einen internen Rechner. Es handelt sich um ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt. Dadurch wird der Datenverkehr effizienter und zugleich sicherer.

Möchte ein Rechner auf einen Server-Dienst zugreifen, so baut er eine Verbindung zum Proxy auf. Der Proxy analysiert die übertragenen Daten und überträgt diese bei Unbedenklichkeit an den Zielserver. Aus Sicht des Servers verhält sich der Proxy wie ein Client.

Strukturell liegt der Proxyserver zwischen anfragendem Client und dem angefragten Server, zu dem er vermittelt. Proxies sind generell für jedes verbindungsorientierte Protokoll möglich, zum Beispiel für HTTP. In diesem konkreten Fall vermittelt der Proxy zwischen Browser (Client) und Web-Server. So können bestimmte Kategorien von Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden. Es kann auch der Inhalt auf schädliche Programme durchsucht werden. Ist der Web-Server nicht frei im Internet erreichbar, so kann ein vorgeschalteter Proxy den Zugriff ermöglichen. Ein Angreifer kann dann den Server nicht mehr direkt angreifen, sondern nur den Proxy.

Ein Proxy ist aus Sicht des Clients auch ein Anonymisierungsdienst, da die Daten des Clients vom Proxy zum Server weitergeleitet werden. Dadurch kann der Server die IP-Adresse des Clients nicht auslesen.

Ein Proxy-Server spielt auch eine wichtige Rolle bei der Performance-Optimierung des Internets, so können z.B. häufig angefragte Seiten gepuffert werden (Caching). Wiederkehrende Anfragen lassen sich dann aus dem Cache beantworten, ohne dass zuerst der betreffende Web-Server angefragt werden muss. Der Proxy stellt mit bestimmten Mechanismen sicher, dass die von ihm ausgehändigten Informationen nicht allzu veraltet sind. Allerdings kann eine vollständige Aktualität nicht gewährleistet werden. Anfragen werden jedoch schneller beantwortet, die Netzlast gleichzeitig verringert. Wird ein Proxy-Server zum Beispiel in einem Unternehmen verwendet, so vermittelt er den gesamten Datenverkehr der lokalen Computer mit dem Internet.