Beschreibung
Die Firewall schützt das interne Netz, das Lan, bzw. das
Intranet einer Firma. Mit speziell definierten Regeln werden
Zugriffs-Berechtigungen, Dienste etc. freigegeben bzw. entzogen.
Eine Firewall ist immer ein Kompromiss zwischen Freiheit,
Benutzer-Freundlichkeit und dem Sicherheits-Aspekt. Für
dieses Dilemma gibt es verschiedene Ansätze:
- grundsätzlich alles verbieten, aber bestimmte Dienste
etc. freigeben
- grundsätzlich alles erlauben, aber bestimmte Dienste
etc. verbieten
Der erste Ansatz lässt sich wunderbar mit einem Proxy kombinieren.
Eine Firewall mit Proxy erlaubt nicht, dass die
Benutzer direkt vom internen Netzwerk auf das Internet zugreifen. Die
Datenpakete werden vom Client an den Proxy Server geschickt, dort
sorgt die Proxy-Software für die Weiterleitung der Informationen
und auch dass die Antwort zum Empfänger gelangt.
Dieses Firewall-Konzept hat den Vorteil, dass der Datenfluss unter
der Kontrolle der Firewall ist, und dass -- wenn eine
Fehlkonfiguration stattgefunden hat -- keine Datenpakete direkt ins
externe Netz, bzw. Internet geschickt werden. Ausserdem ermöglicht
die Proxy-Lösung das genaue Loggen der transferierten Daten.
Das IP-Masquerading (oder Network Address
Translation) ist eine weitere Möglichkeit dafür zu sorgen,
dass der Internet-Netzverkehr, bzw. Informationen ueber den Aufbau des
internen Netzwerkes nicht nach aussen gelangen. Dabei wird die
IP-Adresse des Clients/Server aus dem internen Netz, der seine Daten
ins Internet schicken will, durch die IP-Adresse des Firewalls
ersetzt. Dh, nur die Firewall weiss, wer der effektive Absender
war. Im internen Netz werden dabei bei Möglichkeit private
IP-Adressen verwenden, die im Internet nicht geroutet werden. Dies hat
neben dem Hiding den Vorteil, dass man im Intranet sicher genügend
IP-Adressen hat, da man sich ganze C-, wenn nötig sogar B-Class
Netze zuteilen kann und diese vom jeweiligen Internet-Provider
unabhängig sind.
"Security by Obscurity" kann als zusätzlicher
Schutz eingesetzt werden; gegen Hacker kann es längere Zeit nicht
bestehen. Die Idee ist, dass man die Firewall nur auf den
gewünschten Ports ansprechen kann und dies auch nur von
definierten Rechnern.
Bedürfnisse
- Schützen der Firmendaten, des Firmennetzwerkes
- Authorisationscheck
- Availability (Denial of Service)
- Zugriffkontrolle
- Beschränken des Internetzugangs für Angestellte
- QoS (Quality of Service: Traffic Shaper)
- Gewünschte Services stehen zur Verfügung
Hardware
Für eine Firewall unter Linux kann man die ganze Palette der
Hardware verwenden, auf denen Linux zur Verfügung steht.
Software
Es gibt zahlreiche zusätzliche Software, die die im Kernel
integrierte Firewall Features ergänzt. Grundsätzlich
genügen allerdings die Möglichkeiten des Kernels und bieten
eine stabile, äusserst verlässliche Firewall.
Sourcen und weitere Informationen