komplette Ausgabe - Comment - Universität Wien
komplette Ausgabe - Comment - Universität Wien
komplette Ausgabe - Comment - Universität Wien
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
16<br />
95/2<br />
basierten Services auf Basis der IP-Adresse eingeschränkt<br />
werden: In den entsprechenden Konfigurationsdateien<br />
muß vermerkt werden, welchen Rechnern ein Zugang<br />
über Telnet, FTP usw. erlaubt oder verboten ist.<br />
Firewalls<br />
Internet<br />
Firewall<br />
Ein Firewall ist eine Einrichtung, die einen Abschnitt des<br />
Netzwerks – etwa das Netzwerk eines Instituts – vom<br />
„unsicheren“ Rest des Netzwerks trennt. Die Kommunikation<br />
zwischen Internet und Subnetz (oder „privates<br />
Netz“) geht ausschließlich über den Firewall, der eine<br />
Zugangskontrolle durchführt. Es gibt zwei Modelle für<br />
Firewalls: Packet Filtering und Application Gateways.<br />
Packet Filtering<br />
Hier entscheidet der Firewall auf Paketebene, ob die Pakete<br />
zwischen privatem Netz und Internet weitergereicht<br />
oder blockiert werden. Die Implementierung des Firewalls<br />
kann mittels Routern (mittels Accesslisten) oder auf<br />
Unix-Rechnern mit entsprechender Software erfolgen.<br />
Die Konfiguration des Filters erfolgt durch Definition von<br />
Regeln, die etwa folgende Semantik haben:<br />
●<br />
●<br />
Verbindungen zu einem Port/Protokoll von einer<br />
Adresse im Internet zu einer Adresse im privaten Netz<br />
werden erlaubt.<br />
Verbindungen zu einem Port/Protokoll von einer<br />
Adresse im privaten Netz zu einer Adresse im Internet<br />
werden erlaubt.<br />
Bei der Konfiguration können statt Ports auch Bereiche<br />
von Ports und statt Rechneradressen auch Adressen von<br />
Netzwerken angegeben werden. Die Regeln für einen<br />
Firewall könnten beispielsweise lauten:<br />
●<br />
●<br />
●<br />
●<br />
Verbindungen zum SMTP-Port des Mail-Rechners im<br />
privaten Netz sind vom ganzen Internet aus möglich<br />
(SMTP = Simple Mail Transfer Protocol, das Protokoll<br />
zum Transport von eMail im Internet).<br />
Telnet-Verbindungen vom privaten Netz in das Internet<br />
sind möglich.<br />
SMTP-Verbindungen vom privaten Netz in das Internet<br />
sind möglich.<br />
http-Verbindungen vom privaten Netz in das Internet<br />
sind möglich (http = Hypertext Transfer Protocol, das<br />
für WWW-Services verwendete Protokoll).<br />
Bei TCP-Verbindungen sind die Folgepakete einer einmal<br />
aufgebauten Verbindung durch das gesetzte SYN-Bit<br />
erkennbar. Weil bekannt ist, wer die Verbindung aufgebaut<br />
hat, können TCP-Verbindungen einfach in einer<br />
Richtung erlaubt und in der anderen Richtung gesperrt<br />
werden. Die Überprüfung der Zugriffsbeschränkungen<br />
erfolgt beim Verbindungsaufbau, Pakete mit gesetztem<br />
SYN-Bit dürfen den Firewall ungehindert passieren.<br />
Unter den TCP-basierten Services machen vor allem Anwendungen<br />
wie FTP Probleme: FTP arbeitet mit einer<br />
Verbindung, die vom Klienten aufgebaut wird und auf<br />
der Kommandos zum Server übertragen werden. Für die<br />
Übertragung von Dateien wird eine weitere Verbindung<br />
vom Server zurück zum Klienten aufgebaut. Die Schwierigkeit<br />
liegt nun darin, daß dieser Datenstrom nicht auf<br />
ein bestimmtes Port festgelegt ist, sondern irgendein<br />
freies Port benutzt.<br />
UDP-basierte Services stellen bei der Konfiguration des<br />
Firewalls generell ein Problem dar, da bei den Nachrichten<br />
nicht auf einfache Weise zwischen Anfragen und Antworten<br />
unterschieden werden kann.<br />
Die Probleme mit UDP-basierten Services oder Services,<br />
welche wie FTP oder X-Windows Verbindungen zurück<br />
zum Klienten verlangen, sind mit einfachen Paketfiltern<br />
ohne Modifikation der Klienten nicht mit vertretbarem<br />
Aufwand lösbar. Die neuesten Firewall-Produkte analysieren<br />
jedoch den Datenverkehr und sind so imstande,<br />
die obigen Schwierigkeiten zu umgehen.<br />
Application Gateways (Proxy-Server)<br />
Bei diesem Konstruktionsprinzip wird der gesamte IP-<br />
Verkehr zwischen dem Internet und dem privaten<br />
Netzwerk blockiert, und alle Verbindungen müssen über<br />
Serverprozesse am Firewall abgewickelt werden. Die<br />
Proxy-Server arbeiten entweder transparent und schleusen<br />
den Verkehr einfach durch den Firewall durch, oder<br />
sie verlangen die Authentisierung der Verbindung, die<br />
z.B. durch Username und Paßwort erfolgen kann.<br />
Firewalls stellen jedoch nur eine Abschirmung des privaten<br />
Netzes gegen Gefährdungen von außen dar – gegen<br />
Attacken im privaten Netz helfen sie naturgemäß nicht.<br />
Martin Gräff ■<br />
NETZWERK