Hammer Flashcards
Paketfilter Firewall
Verfahren, bei dem Paket-Header durch einen Firewall inspiziert werden, um eine Entscheidung über das Passieren des Pakets zu treffen
Header-Informationen werden ausgewertet und mit einem festen Regelwerk verglichen (Zulassen oder Verweigern)
Nutzlast wird bei der Entscheidungsfindung nicht berücksichtigt
zustandslose Paketfilter Firewall
- auch statischer Paketfilter genannt
- filtert mit ACLs auf OSI-Schicht 3/4
- filter nur nach Headerinformationen
- filtert zu berücksichtigen, ob die Verbindung zwischen den Kommunikationspartnern bereits besteht und wer sie initiiert hat
- keine Berücksichtigung des Verbindungskontextes
zustandslose Paketfilter Firewall - Filterkriterien
Source- und Ziel-IP Protokoll (TCP, IP, ICMP, OSPF, UDP, . . . ) IP-Rangordnung (Type of Service [ToS]) ICMP-Type und Code TCP- und UDP-Portnummern TCP-Flags (SYN, ACK, FIN, PSH, RST, . . . ) Interface in/out
Port80-Problem
Paketfilter lässt Anfragen auf Port 80 des Webservers durch, kann aber nicht den Inhalt der HTTP-Verbindung überprüfen. Mögliche Attacken laufen über erlaubte TCP-Verbindungen
Paketfilter-Firewall kann diesen Angriff nicht erkennen und verhindern, da auf OSI-Shicht 3/4 keine Inhalte gefiltert werden können.
Nachteile Paketfilter
- kann keine Paketinhalte einsehen
- keine Sicherheit für OSI-Schichten 5-7
- insbesondere kein Schutz vor Application-Layer Attacken
- kein Schutz vor Mailbomben, Port-80-Problem, etc.
- komplexe Konfiguration über ACLs
- kein Verbindungsstatus
- keine Authentifizierung der Kommunikation
- verwundbar für manche TCP/IP-Attacken
- limitierte Logging-Möglichkeiten
Vorteile Paketfilter
- Skalierbarkeit
- hoher Datendurchsatz, da simple, ressourcenschonende ACLs
- Anwendungsunabhängigkeit
Einsatzgebiete Paketfilter
- in vorderster Front als Perimeter Router
- wenn Security Policies mittels einfacher Paketfilter implementiert werden können
- wenn Authentisierung keine Rolle spielt
- SOHO-(Small Office, Home Office)-Netzwerke mit geringer Sicherheit/geringen Kosten
zustandsorientierte Paketfilter
stateful inspection, OSI-Layer 2-5
- Protokolliert Verbindungszustände und lässt nur Pakete durch, dessen Verbindung von innen aufgebaut wurde
- ausgewählte Ports können zu Beginn einer legitimen Sitzung geöffnet und an deren Ende wieder geschlossen werden, um sie gegen unbefugten Zugriff zu sichern
- besonders nützlich für Protokolle, die Ports dynamisch zuweisen zB FTP
zustandsorientierte Paketfilter - FTP
Port 21 (FTP Control Port) muss permanent offen bleiben, damit FTP-Server nach Verbindungsversuchen der Kunden von außen ”lauschen“ kann- -> kann man mit statischer Filterregel erreichen
Port 20 (FTP Data Port) muss nur geöffnet werden, wenn Daten vom FTP-Server hoch- oder heruntergeladen werden mit statischer Filterregel müsste Port 20 permanent offen gelassen werden
dynamische Filterung ermöglicht diesen Port beim Start einer FTP-Sitzung zu öffnen
und am Ende der Session wieder zu schließen
——————————————————————————–
FTP-Server wählt zwei zufällige Highports für für die Steuerung (connection control) und für die Datenübertragung (data transfer)
statische Filterung muss daher alle Highports offen lassen, um FTP-Zugang durch Firewall zu ermöglichen. Stateful Firewall kann Highports als Teil der Session dynamisch öffnen.
zustandsorientierte Paketfilter - Vorteile
- hohes Maß an Sicherheit
- Anwendungsunabhängigkeit
- Leistung (Pakete müssen nicht an Applikation im Userspace weitergegeben werden)
hoher Datendurchsatz, da keine Filterung nach Inhalten - Skalierbarkeit
zustandsorientierte Paketfilter - Nachteile
- kann keine Paketinhalte einsehen
- höherer Ressourcenbedarf als zustandsloser Paketfilter
Application Gateway Firewalls
analysiert auf OSI-Layer 7, dh inkl. Payload
oft auch Proxy, Cache usw
transparent proxy möglich
Unterscheidung Aplication Level Proxy oder Circuit Level Proxy
Application Level Proxy
ein Proxy für jedes Protokoll wie etwa FTP, TELNET, HTTP, . . .
Zugriffsentscheidung nach Paket-Header und -Payload,
Circuit Level Proxy
keine genaue Kenntnis sämtlicher Protokolle wie bei Application-Level-Proxy
Zugriffsentscheidung ähnlich wie Paketfilter
Personal Firewall
- Filtert auf dem zu schützenden Host himself auf Anwendungsebene -> keine Firewall nach Definition (trennt Netze)
- hauptsächlich Paketfilter mit zus. Anwendungsfilter
- Filtert auf Kernelebene
- Eingriff ins System (Treiber, Registry, Dienste usw)
