6
Eine grundsätzliche Frage zu Firewalls
oder welche Firewall ist die richtige?
Ersteinmal möchte ich allen Usern für Ihre für mich sehr hilfreichen Beiträge danken.
Und jetzt zum eigentlichen Kern:
was ist eigentlich eine "richtige" Firewall. Was ist der Unterschied zu einer Firewall, die
z. B. ja in jedem kleinen Router irgendwie vorhanden ist. Was können "große" und "teure" Firewalls, die teilweise per Update gepflegt werden müssen, besser?
Reicht es nicht, in einem "kleinen" Router einfach alle Ports dicht zu machen ? Nach meinem Verständnis soll eine Firewall doch "nur" verhindern, dass übers Netz auf das dahinterliegende Netzwerk (Rechner) zugegriffen werden kann. Das geht doch bei der kleinen Lösung auch - ODER ???
Und jetzt zum eigentlichen Kern:
was ist eigentlich eine "richtige" Firewall. Was ist der Unterschied zu einer Firewall, die
z. B. ja in jedem kleinen Router irgendwie vorhanden ist. Was können "große" und "teure" Firewalls, die teilweise per Update gepflegt werden müssen, besser?
Reicht es nicht, in einem "kleinen" Router einfach alle Ports dicht zu machen ? Nach meinem Verständnis soll eine Firewall doch "nur" verhindern, dass übers Netz auf das dahinterliegende Netzwerk (Rechner) zugegriffen werden kann. Das geht doch bei der kleinen Lösung auch - ODER ???
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82303
Url: https://administrator.de/contentid/82303
Printed on: April 23, 2024 at 21:04 o'clock
6 Comments
Latest comment
Nach meinen Verständnis ist eine Firewall zuerst mal ein Konzept.
Der Umfang dieses Komzepts ist ein Konsenz aus Anfoderungen (Wie sicher darfs denn sein)
und Witschaftlichkeit (was darf der spaß den kosten).
Der Umfang dieses Komzepts ist ein Konsenz aus Anfoderungen (Wie sicher darfs denn sein)
und Witschaftlichkeit (was darf der spaß den kosten).
Ich empfehle dir das Buch "Firewall für Dummies", und das soll keine Beleidigung sein. In diesem Buch werden solche grundsätzlichen Fragen zu Firewalls gut, wenn auch nicht ausführlich, behandelt und für Einsteiger gut verständlich erklärt. Nur so viel: Eine gute Firewall macht viel mehr, als nur ein paar Ports dicht......
Um es kurz zu machen, du hast bei einer "richtigen" Firewall viel mehr Konfigurationsmöglichkeiten.
Du kannst sehr detailierte Regeln anlegen, was ich mal als den größten Vorteil ansehen würde.
Schau dir doch mal bei Wikipedia den beitrag zu Firewall an. iCh würde das keineswegs als Fachlektüre bezeichnen, aber dann siehst du, was mit Firewalls generell so möglich ist. Das kannst du ja mal mit der Firewall in einer Fritz!Box, Speedport oder ähnlichem vergleichen.
Ich würde gerne noch tiefer darauf eingehen, aber ein Blick auf die Uhr verrät mir, das ich jetzt weg muss.... Vielleicht melde ich mich heute abend oder morgen noch mal.
Du kannst sehr detailierte Regeln anlegen, was ich mal als den größten Vorteil ansehen würde.
Schau dir doch mal bei Wikipedia den beitrag zu Firewall an. iCh würde das keineswegs als Fachlektüre bezeichnen, aber dann siehst du, was mit Firewalls generell so möglich ist. Das kannst du ja mal mit der Firewall in einer Fritz!Box, Speedport oder ähnlichem vergleichen.
Ich würde gerne noch tiefer darauf eingehen, aber ein Blick auf die Uhr verrät mir, das ich jetzt weg muss.... Vielleicht melde ich mich heute abend oder morgen noch mal.
Ja, ist natürlich klar, dass man eine "Security Appliance" nicht mit ner Fritzbox vergleichen kann.
Konkret habe ichg aber folgende Situation: Kleines Steuerberaterbüro (6 Arbeitsplätze) sollen endlich ans Netz der Netze. Im Lan steht eine Maschine die von einer externen Mitarbeiterin via RDP beackert werden soll. Mehr nicht, keine Web-, FTP oder sonstige Server die von aussen erreichbar sein müssen. Und genau da suche ich den goldenen Mittelweg der genügent Sicherheit bietet ohne gleich mit Kanonenkugeln auf Spatzen zu schiessen.
Konkret habe ichg aber folgende Situation: Kleines Steuerberaterbüro (6 Arbeitsplätze) sollen endlich ans Netz der Netze. Im Lan steht eine Maschine die von einer externen Mitarbeiterin via RDP beackert werden soll. Mehr nicht, keine Web-, FTP oder sonstige Server die von aussen erreichbar sein müssen. Und genau da suche ich den goldenen Mittelweg der genügent Sicherheit bietet ohne gleich mit Kanonenkugeln auf Spatzen zu schiessen.
Entweder würde ich kleine DMZ aufbauen oder eine VPN-Verbindung herstellen.
Oder beides ;)
Oder beides ;)
so Allgemein kann man nicht sagen was eine Firewall eigentlich ist. Im grunde genommen (aus meiner Sicht) ist es eine Kombination aus Paketfilter, state-inspection(SPI), Protokollanalyse(detection, prevention), Routing (state-routing, policy-routing), NAT (Masquerading, 1:1NAT, Port-NAT (Portforwarding), grundlegender OS-Abhärtung (Spezielles oder abgehärtetes Betriebssystem/Netzwerkstack usw.), Proxydiensten (Forward/Reverse Proxy's, Socketproxys, Multi/Broadcasthelpern), Protokollprüfungen (ist das wirklich HTTP was da kommt?), Socket/Processwrappern(Sicherheitsdienste die vor die eigentliche Anwendung geschaltet werden), Schadcodeerkennung(Virenscanner, Anti-Injection Tools) und dem passendem Admin der das alles Verwaltet.
Je nachdem welche Geräteklasse du kaufst hast du mehr oder weniger diese Funktionen enthalten. grundlegende Konzepte wie DMZ, Softwareauswahl, Patchzyklus usw. runden das ganze ab. Die Firewall besteht also aus den Komponenten(Hard/Software) die dir diese Dienste anbieten und je nach konfiguration alles mögliche unternehmen um nicht für den Dienst vorgesehene Datenpakete abzuwehren. Ein Dienst kann auch nur die Bereitstellung des Internetzugangs für ein kleines Netzwerk sein. Dann reichen NAT (MASQ) in Verbindung mit einem Proxyserver für HTTP/FTP und Virenscannern auf den Clients vollkommen aus.
Hast du allerdings externe Dienste zu schützen, greift das Firewallkonzept auf mindestens all diesen Servern die einen der Dienste bereitstellen und allen Schnittstellen (Router, proxy's, DB-Server usw...) die von diesen Systemen genutzt werden. Beispiel, die beste Firewall bringt nichts wenn der Filter des Virenscanners auf dem Mailserver mit einer modifizierten ZIP-File lahmgelegt werden kann. Also muss vorher noch etwas kommen das die Schädlichen von den guten "mails" unterscheidet und verhindert, das kiddiz ihre neuen Scripte an deinem SMTP-Prompt ausprobieren. Dazu noch die Physische trennung der Netze, was wieder NAT und Paketfilter erfordert usw usw usw.
Es ist absolut sinnlos einfach eine Firewall zu kaufen, irgendwelche Grenznetze (DMZ) einzurichten, die Server dort reinzupaken und zu hoffen das nix passiert. Ich gehe lieber nicht weiter ins detail, sonst schreibe ich hier in 1 Woche noch
.
Je nachdem welche Geräteklasse du kaufst hast du mehr oder weniger diese Funktionen enthalten. grundlegende Konzepte wie DMZ, Softwareauswahl, Patchzyklus usw. runden das ganze ab. Die Firewall besteht also aus den Komponenten(Hard/Software) die dir diese Dienste anbieten und je nach konfiguration alles mögliche unternehmen um nicht für den Dienst vorgesehene Datenpakete abzuwehren. Ein Dienst kann auch nur die Bereitstellung des Internetzugangs für ein kleines Netzwerk sein. Dann reichen NAT (MASQ) in Verbindung mit einem Proxyserver für HTTP/FTP und Virenscannern auf den Clients vollkommen aus.
Hast du allerdings externe Dienste zu schützen, greift das Firewallkonzept auf mindestens all diesen Servern die einen der Dienste bereitstellen und allen Schnittstellen (Router, proxy's, DB-Server usw...) die von diesen Systemen genutzt werden. Beispiel, die beste Firewall bringt nichts wenn der Filter des Virenscanners auf dem Mailserver mit einer modifizierten ZIP-File lahmgelegt werden kann. Also muss vorher noch etwas kommen das die Schädlichen von den guten "mails" unterscheidet und verhindert, das kiddiz ihre neuen Scripte an deinem SMTP-Prompt ausprobieren. Dazu noch die Physische trennung der Netze, was wieder NAT und Paketfilter erfordert usw usw usw.
Es ist absolut sinnlos einfach eine Firewall zu kaufen, irgendwelche Grenznetze (DMZ) einzurichten, die Server dort reinzupaken und zu hoffen das nix passiert. Ich gehe lieber nicht weiter ins detail, sonst schreibe ich hier in 1 Woche noch
.
