Exchange und Firewalls
Seite 2/6
Was ist die Firewall ?
Eine Firewall ist eine Logik zwischen dem Internet und ihren Systemen, die für die erforderlichen Kommunikationsbeziehungen eine entsprechende Kontrolle, Protokollierung und Überwachung bereitstellt und alle anderen unerwünschten Verbindungsversuche verhindert. Die Bandbreite der als Firewall verzeichneten Systeme ist groß und beginnt bei "Personal Firewalls" (ZoneAlarm, BlackIce) über kleine Router mit Schutzfunktion (Ascend Pipelinge, Bianca Brick etc.), Betriebssysteminterne Filtern (TCPWrapper, Portfilter) bis zu ausgewachsenen Firewalls (Checkpoint FW-1, Borderware, TIS, etc.). Fast alle Firewalls können nur TCP/IP kontrollieren. Wir beschränken uns daher hier auf TCP/IP als Protokoll.
Komponenten einer Firewall
Eine Firewall erfüllt mehrere Funktionen und für jede Aufgabenstellung gibt es ein passendes Mittel. Daher ist eine Firewall nicht nur ein einzelnes Produkt, sondern in der Regel eine Kombination mehrere Hilfsmittel. Das hindert einige Hersteller aber nicht, von einer Firewall zu sprechen, wenn Sie z.B.: wie ein Router nur NAT und Portfilter beherrschen.
Portfilter
Kaum ein System, welches keine Portfilter umsetzen kann. Es wird schlicht und einfach auf Portebene blockiert. Ein auf dem Router geschlossener Port kann damit nicht von außen erreicht werden. Wenn sie z.B. verhindern wollen, dass von außen jemand auf ihre NetBIOS Ports zugreifen kann, dann sperren Sie einfach Port 137-139.
Portfilter sind sehr einfach zu effektiv zu konfigurieren, z.B.: habe ich bei mir eingehend nur die absolut notwendigen Ports für Dienste, die ich anbiete, geöffnet. Das sind HTTP(80/TCP), HTTPS (443/TCP), FTP (21/20), SMTP (25) und DNS (53). Allerdings ist das kein Schutz gegen Werbemails, Relay, Überlastung oder Angriffsversuche. Es gibt ausreichend Trojaner, die einfach einen der offenen Port nutzen. Es ist nirgendwo festgeschrieben, dass hinter Port 80 sich eine Webserver melden muss.
NAT/PAT
IP-Adressen im Internet sind knapp und daher gibt es "private" Adressen. Das sind Adressen, die nirgendwo genutzt und geroutet werden und für den internen Bedarf bestimmt sind. für den Übergang aus diesen privaten Netzwerk in das Internet muss eine Umsetzung erfolgen (Network Address Translation bzw. Port Address Translation).
Diese Funktion bieten die meisten Router und auch das Windows Internet Connection sharing. NAT ist recht sicher gegen Angriffe von außen und trotzdem einfach zu konfigurieren. Die Gefahr ist eher von innen, da Trojaner nahezu Problemlos eine Verbindung nach außen aufbauen können. Und ob das erreichte Ziel mir nicht Müll sendet, um mich zu ärgern, ist auch nicht sicher.
Ciruit Level Proxy, Protokollfilter
Daher sind Protokollfilter die höhere Form. Meist in Verbindung mit NAT und Portfiltern kann ein System hier auch das verwendete Protokoll prüfen. Die Firewall überwacht quasi Verbindungsaufbau, Datenaustausch und Abbau und passt auf, ob sich beide Parteien an die Grundregeln halten oder unterbricht die Verbindung. Beim TCP-Datenstrom werden auf beiden Seiten laufende Nummern hochgezählt und Pakete weit außerhalb der Reihenfolge können einen Angriff darstellen. Einige Programme gehen sogar noch weiter und analysieren den Inhalt der Daten, z.B.: ob beim SMTP-Handshake alles mit rechten Dingen zugeht.
Proxy und Contentfilter
Auf der obersten Ebene sind dann Proxyserver, SMTP-Relays und Contentfilter angesiedelt, die zwischen Anwender und Zielsystem vermitteln, wie ein Ober im Restaurant, der zwischen Tisch und Küche oder Weinkeller Transportdienste anbietet.
Dies ist die sicherste Methode, da es keine direkte Verbindung von Client und Zielsystem gibt, sondern der Client immer nur seinen Proxyserver anspricht und dieser in einer zweiten eigenständigen Verbindung das Zielsystem erreicht. Hier haben wir dann alle Möglichkeiten der Protokollierung, Inhaltsfilterung, Zeitsteuerung, Relayschutz und im Bezug auf Websurfen auch die Möglichkeit zu Cachen.
Nachteil dieser Proxyserver ist, dass Sie mehr Rechenleistung erfordern und je Dient ein passender Proxydienst bereitgestellt werden muss. Das ist bei NAT nicht so. Dafür stellt ein Proxy aber auch den höchste Schutz bei maximaler Funktionalität dar. Gerade die Basisdienste wie DNS, Mail, Web und FTP sollten über Proxyserver realisiert werden. Andere Dienste wie ICQ etc. können über einen SOCKS-Proxy umgesetzt werden, so dass NAT als letzte Option genutzt werden sollte.