Swiss Penguin Logo

LINUX - Plakat für die iEX
Firewall

LUGS

Über die LUGS
Statuten und Protokolle
Sektionen
Terminliste
IRC
Mailinglisten
Kontaktadressen
Mitglied werden
Internes
Mitgliederliste

LINUX

Was ist Linux?
   Screenshots
Distributionen
   kmLinux
Firmen
Ressourcen
LIB

Dokumentation
Events
Projekte
Vorträge
Allgemeines

ChangeLog
Sprache
Galerie

Beschreibung

Die Firewall schützt das interne Netz, das Lan, bzw. das Intranet einer Firma. Mit speziell definierten Regeln werden Zugriffs-Berechtigungen, Dienste etc. freigegeben bzw. entzogen.

Eine Firewall ist immer ein Kompromiss zwischen Freiheit, Benutzer-Freundlichkeit und dem Sicherheits-Aspekt. Für dieses Dilemma gibt es verschiedene Ansätze:

  • grundsätzlich alles verbieten, aber bestimmte Dienste etc. freigeben
  • grundsätzlich alles erlauben, aber bestimmte Dienste etc. verbieten

Der erste Ansatz lässt sich wunderbar mit einem Proxy kombinieren.

Eine Firewall mit Proxy erlaubt nicht, dass die Benutzer direkt vom internen Netzwerk auf das Internet zugreifen. Die Datenpakete werden vom Client an den Proxy Server geschickt, dort sorgt die Proxy-Software für die Weiterleitung der Informationen und auch dass die Antwort zum Empfänger gelangt.

Dieses Firewall-Konzept hat den Vorteil, dass der Datenfluss unter der Kontrolle der Firewall ist, und dass -- wenn eine Fehlkonfiguration stattgefunden hat -- keine Datenpakete direkt ins externe Netz, bzw. Internet geschickt werden. Ausserdem ermöglicht die Proxy-Lösung das genaue Loggen der transferierten Daten.

Das IP-Masquerading (oder Network Address Translation) ist eine weitere Möglichkeit dafür zu sorgen, dass der Internet-Netzverkehr, bzw. Informationen ueber den Aufbau des internen Netzwerkes nicht nach aussen gelangen. Dabei wird die IP-Adresse des Clients/Server aus dem internen Netz, der seine Daten ins Internet schicken will, durch die IP-Adresse des Firewalls ersetzt. Dh, nur die Firewall weiss, wer der effektive Absender war. Im internen Netz werden dabei bei Möglichkeit private IP-Adressen verwenden, die im Internet nicht geroutet werden. Dies hat neben dem Hiding den Vorteil, dass man im Intranet sicher genügend IP-Adressen hat, da man sich ganze C-, wenn nötig sogar B-Class Netze zuteilen kann und diese vom jeweiligen Internet-Provider unabhängig sind.

"Security by Obscurity" kann als zusätzlicher Schutz eingesetzt werden; gegen Hacker kann es längere Zeit nicht bestehen. Die Idee ist, dass man die Firewall nur auf den gewünschten Ports ansprechen kann und dies auch nur von definierten Rechnern.

Bedürfnisse

  • Schützen der Firmendaten, des Firmennetzwerkes
  • Authorisationscheck
  • Availability (Denial of Service)
  • Zugriffkontrolle
  • Beschränken des Internetzugangs für Angestellte
  • QoS (Quality of Service: Traffic Shaper)
  • Gewünschte Services stehen zur Verfügung

Hardware

Für eine Firewall unter Linux kann man die ganze Palette der Hardware verwenden, auf denen Linux zur Verfügung steht.

Software

Es gibt zahlreiche zusätzliche Software, die die im Kernel integrierte Firewall Features ergänzt. Grundsätzlich genügen allerdings die Möglichkeiten des Kernels und bieten eine stabile, äusserst verlässliche Firewall.

Sourcen und weitere Informationen

Powered by Linux, served by Apache / PHP, last changes done 04.02.2008 -- Copyright