Firewalls allgemein

Was sind Firewalls und wie funktionieren sie? Zunächst fallen Firewalls unter dem Begriff aktive Sicherheitskomponenten und befinden sich in den meisten Netzwerken an vorderster Front. Sie sorgen dort im sogenannten Perimeter für eine Trennung von LAN und WAN. Aber auch innerhalb des LANs sorgen sie für Sicherheit durch Netzwerksegmentierung und durch Zugriffsteuerung. Firewalls operieren je nach Typ auf den Schichten 2 bis 7 im OSI-Modell. Im Prinzip sehen Sie, wie Switches oder Router deren Hauptaufgabe der Frame- oder Paketvermittlung durch ein zusätzliches Regelwerk, das sogenannte Ruleset erweitert wurde. Aufgrund dessen wird entschieden, ob ein Frame oder ein Paket weitergeleitet oder verworfen werden soll. Das Ruleset wird zumeist in Form einer Tabelle konfiguriert und ermöglicht, das festzulegen, welche Aktion wann durchgeführt werden soll. Die Art und Anzahl der Parameter hängt vom eingesetzten Produkt beziehungsweise der Art der Firewall ab. Allen gemeinsam sind aber zumindest die Felder Quell- und Ziel-IP, Port, Zeitraum und die durchzuführende Aktion. Passt ein Paket zu den vorgegebenen Parametern, dann spricht man von einem sogenannten Match. Auch die zur Verfügung stehenden Aktionen sind abhängig vom eingesetzten Produkt. Hier gibt es vier gängige Grundaktionen, die allen Firewalls gemein sind. Die erste Grundaktion ist das Erlauben einer Verbindung. Das eingehende Paket erfüllt in diesem Fall die vom Administrator festgelegten Bedingungen für zulässige Kommunikation und leitet das Paket in Richtung des Zielhosts weiter. Trifft das Paket auf Empfängerseite auf einen offenen Port, dann melden das Portscanner als Open. Die zweite Grundaktion ist das Ablehnen einer Verbindung. Ein eingehendes Paket wird in diesem Fall aufgrund des Regelwerks verworfen und ein ICMP-Paket an die Source-IP geschickt. Diese Antwort soll dem Absender oder der Absenderin bekannt geben, dass die Verbindung nicht zugelassen wurde. Je nach Firewall können hier auch ICMP-Type und Code konfiguriert werden, um die Art der Fehlermeldung zu präzisieren. Portscanner melden diese Antworten zumeist als closed oder prehibited. Die dritte Grundaktion ist das einfache Verwerfen eines Pakets oder einer Verbindung. Im Gegensatz zur Ablehnung wird hier keine ICMP-Antwort versandt, wodurch der sendende Host nicht darüber in Kenntnis gesetzt wird, dass das Paket verworfen wurde. Während dieses Verhalten eigentlich nicht RFC-konform ist, wird es in der Regel irgendwann eingesetzt, um Scans oder Angriffe zu verzögern, da ein Angreifer oder eine Angreiferin so erst die entsprechenden Timeouts und Retransmissions abwarten muss, bis sichergestellt ist, dass eine Anfrage nicht das Ziel erreichen konnte. Portscanner melden diese Art von ausbleibender Antwort in der Regel als filtert. Die Grundaktion LOG wird bei manchen Firewalls als eigene Aktion geführt und hat keine Auswirkungen auf die eigentliche Behandlung des Pakets selbst. Die meisten Hersteller führen das LOG aber als zusätzliche Option zu den Aktionen Accept, Reject oder Drop aus. Das eingehende Paket oder die eingehende Verbindung wird durch Auswahl diese Aktion mit all seinen Metainformationen wie APis und Ports aufgezeichnet und somit für spätere Auswertungen vorgehalten. In der Regel kann das Loging für jede Rule individuell konfiguriert werden. Je nach zur Verfügung stehender Performance sollten die Aufzeichnungen aber auf das Wesentlichste beschränkt werden. Die Art und Weise, wie Firewalls ihre Rules jetzt verarbeiten, unterscheidet sich von Produkt zu Produkt. Langt ein Paket an der Firewall ein, dann kommt es wie aus einem sogenannten Matching. Das bedeutet, die Metadaten des Pakets werden mit jeder einzelnen Regel verglichen und treffen mehrere Regeln auf ein Paket zu, so entscheidet das Rule Matching oder die Rule Matching Strategie des jeweiligen Produktes, welche der Regeln nun effektiv anzuwenden ist. Am besten stellen wir das mit einem Beispiel dar. Unsere Firewall wird mit einem IP-Paket konfrontiert, das folgende Eigenschaften erfüllt. Die Quell-IP ist 10.0.0.1, die Ziel-IP ist 192.168.0.1, der Ziel-Port ist HTTP, also Port 80. Das Beispiel Ruleset der Firewall hat vier Regeln. Alle vier treffen grundsätzlich auf unser IP-Paket zu. Bei Regel 1 stimmt die Ziel-IP exakt mit unserem Paket überein, bei Regel 2 die Quell-IP. Bei Regel 3 finden wir eine vollständige Übereinstimmung und bei Regel 4, diese trifft auf jedes Paket mit beliebigen Metainformationen zu. Wir sprechen hier von einer sogenannten Catch-all-Regel. Testen wir nun die drei gängigsten Matching-Strategien. First Match Rulesets arbeiten das Regelwerk von oben nach unten durch, und sie verarbeiten das Paket bei der ersten Übereinstimmung. In unserem Fall zieht hier Regel 1, das Paket wird also zugelassen. Auch Last Match Firewalls arbeiten das Regelwerk von oben nach unten durch. Allerdings bestimmt die letzte Regel, die auf das Paket zutrifft über dessen Schicksal. In diesem Fall matcht also Regel 4 als letzte in unserem Ruleset, und sie blockiert die Verbindung. Best Match Firewalls analysieren das gesamte Ruleset und wählen jene Regel, welche am genauesten zutrifft. In diesem Beispiel ist Regel 3 diejenige, die sowohl die exakte Quell-, als auch Ziel-IP und den korrekten Port vorweisen kann. Sie erhält daher den Vorzug vor den anderen Regeln, und das Paket wird zugelassen.