Netzwerksicherheit: Firewall und IPS

Hinter dem Begriff Firewall verbirgt sich im Grunde eine Ansammlung von Programmen, welche - auf einem als Gateway fungierenden System(verbund) ausgeführt - die Ressourcen eines Netzwerkes vor anderen Netzwerken schützt.

Man unterscheidet mehrere Arten von Firewalls:

• eine circuit-level-Firewall (z.B. das im Linux-Kernel integrierte ipchains) filtert den Datenverkehr direkt auf TCP/IP-Ebene:
  welche IP-Adresse darf mit welcher IP-Adresse über welche Ports kommunizieren
• eine application-level-Firewall (s.u.) entscheidet auf Protokollebene:
  welche Protokolle/Dienste sind erlaubt (egal auf welchem Port der Dienst läuft) und welche nicht
• eine (Web-)Application-Firewall überprüft, ob Anfragen an ein (Web-)Programm gültig sind:
  dazu muß bekannt sein, was gültige und was ungültige Anfrage sind (bei Nicht-Standard-Applikationen nicht trivial)

Üblicherweise wird derzeit in der Praxis eine Kombination aus den beiden ersten Systemen eingesetzt, wobei die application-level-Firewall entweder vom ZID oder von einem Instituts-NOC eingesetzt wird (s.u.), die circuit-level-Firewall sollte vom Admininstrator des Rechners aktiviert werden.

Als application-level-Firewall auf TUGnet-Ebene kommt derzeit ein Produkt von Cisco in Kombination mit einem IPS (in gewissem Sinne eine Application-Firewall) zum Einsatz, Institute können (kostenlos) eine „virtuelle“ Firewall beantragen, können sich aber aus dem Institutsbudget natürlich auch eigene Firewalls anderer Hersteller anschaffen (müssen diese dann aber auch selbst warten und verwalten).

Der ZID betreibt aber auch eine zentrale circuit-level-Firewall (einen sogenannten „Traffic-Shaper“), über die die IP-Adressen von Angreifern (z.B. ssh-Scanner) noch vor der application-level-Firewall blockiert werden:

[1] auch im zentralen Bereich von ACOnet in Wien kommen bereits Filter zur Anwendung
[2] auch Router haben einfache Filtermechanismen auf TCP/IP-Ebene