Erst durch die Kombination von Paketfiltern und Application Level Gateways entsteht eine wirksame Firewall. Welche Varianten es gibt und welche Vor- und Nachteile diese haben, erfahren Sie in dieser Folge.

Paketfilter oder Application Level Gateway einzeln

Der einfachste Fall einer Firewall ist ein einzelner Paketfilter oder ein einzelnes Application Level Gateway zwischen unsicherem und zu schützendem Netz.

Mit einem Paketfilter können folgende Sicherheitsziele erreicht werden:

• Die Zugangskontrolle auf Netzzugangs- und Netzwerkschicht sorgt dafür, dass nur erwünschte Verbindungen aufgebaut werden können.
• Die Rechteverwaltung legt fest, welche Protokolle und welche Dienste, d.h. Portnummern, zulässig sind.
• Sicherheitsrelevante Ereignisse werden protokolliert, in bestimmten Fällen wird ein Alarm ausgelöst.

Der ausschließliche Einsatz eines Paketfilters reicht nicht aus, um ein schutzbedürftiges Netz sicher mit dem Internet zu verbinden. Für die Verbindung zweier Netze mit vergleichbarem Schutzniveau innerhalb eines gemeinsamen Verantwortungsbereichs ist er jedoch geeignet.

Mit einem Application Level Gateway in Form eines Dual-Homed Gateway können folgende Sicherheitsziele erreicht werden:

• Die Zugangskontrolle auf der Netzwerkschicht sorgt dafür, dass nur erwünschte Verbindungen aufgebaut werden können.
• Die Zugangskontrolle auf der Benutzerschicht kann eingesetzt werden, um eine Identifikation und Authentifizierung der Benutzer zu erzwingen.
• Die Rechteverwaltung legt fest, welche Protokolle und Dienste zulässig sind. Nur Dienste, für die ein Proxy installiert und aktiviert ist, können genutzt werden.
• Eine Kontrolle auf der Anwendungsschicht verhindert, dass ein Benutzer unerwünschte Aktionen durchführt.
• Die vollständige Entkoppelung der Dienste schützt die Programme im geschützten Netz vor Zugriffen aus dem unsicheren Netz.
• Sicherheitsrelevante Ereignisse werden protokolliert, in bestimmten Fällen wird ein Alarm ausgelöst.
• Die Struktur des geschützten Netzes wird verborgen.

Ein Application Level Gateway kann für die sichere Verbindung zweier Netze mit vergleichbarem Schutzniveau verwendet werden, wenn das unsichere Netz außerhalb des eigenen Verantwortungsbereichs liegt. Zur sicheren Verbindung eines schutzbedürftigen Netzes mit dem Internet reicht es nicht aus.

Kombinationen von Paketfiltern und Application Level Gateways

Paketfilter und Single-Homed Application Level Gateway

Ein Single-Homed Application Level Gateway empfängt die Daten über dieselbe Netzwerkschnittstelle, über die sie auch weitergeleitet werden. Dadurch kann das Gateway selbst nicht garantieren, dass alle Pakete analysiert und kontrolliert werden. Die Sicherheit bei dieser Kombination wird daher hauptsächlich vom Paketfilter gewährleistet. Das Application Level Gateway stellt zusätzliche Schutzfunktionen zur Verfügung.

Variante 1: Paketfilter vor dem Application Level Gateway
Der Paketfilter kann so konfiguriert werden, dass eine Kommunikation aus dem unsicheren Netz nur über das Application Level Gateway erfolgen kann.
Da sich das Gateway im geschützten Netz befindet, hat ein Angreifer, der die Kontrolle darüber erlangt, Zugriff auf alle Systeme im geschützten Netz.

Variante 2: Application Level Gateway vor dem Paketfilter
Die Kommunikation aus dem geschützten Netz wird vom Paketfilter so gesteuert, dass sie immer über das Application Level Gateway erfolgt.
Da sich das Gateway im ungeschützten Netz befindet, ist es Angriffen ungeschützt ausgesetzt. Ein erfolgreicher Angreifer hat jedoch keinen Zugriff auf das geschützte Netz.

Bewertung
Bei der Kombination eines Paketfilters und eines Single-Homed Application Level Gateways können bestimmte Verbindungen zwingend über das Gateway geleitet werden. Erwünschte Verbindungen, für die keine Proxies vorhanden sind, können vom Paketfilter am Gateway vorbei direkt in das geschützte Netz geleitet werden. Dadurch ist diese Kombination sehr flexibel.

Die Sicherheit ist dabei weitgehend von der Sicherheit des Paketfilters abhängig. Ist der Schutzbedarf des zu schützenden Netzes höher als der Schutz, den der Paketfilter leisten kann, ist diese Kombination für den Anschluss eines zu schützenden Netzes an das Internet nicht ausreichend. Zur Koppelung von Netzen mit unterschiedlichen Schutzniveaus innerhalb eines gemeinsamen Verantwortungsbereichs ist sie jedoch geeignet.

Paketfilter und Dual-Homed Application Level Gateway

Variante 1: Paketfilter vor dem Application Level Gateway
Das Application Level Gateway befindet sich im geschützten Netz. Der Paketfilter schützt es vor Zugriffen aus dem unsicheren Netz.

Variante 2: Application Level Gateway vor dem Paketfilter
Das Application Level Gateway befindet sich ungeschützt im unsicheren Netz.

Bewertung
Sowohl Paketfilter als auch Application Level Gateway kontrollieren die gesamte Kommunikation zwischen zu schützendem und unsicherem Netz. Es besteht keine Möglichkeit, das Gateway zu umgehen.

Die Sicherheit hängt von der Sicherheit sowohl des Paketfilters als auch des Application Level Gateways ab. Durch die Kombination der unterschiedlichen Schutzfunktionen wird eine hohe Gesamtsicherheit erreicht. Diese Kombination ist geeignet, um ein zu schützendes Netz mit nicht besonders hohem Schutzniveau mit dem Internet zu verbinden.

Dabei ist die erste Variante vorzuziehen (d.h. das Application Level Gateway befindet sich im geschützten Netz).

In der nächsten Folge wird der Aufbau einer demilitarisierten Zone mithilfe zweier Paketfilter behandelt.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"

• About Security #29: Die Firewall – Grundlagen
• About Security #30: Die Firewall – Paketfilter
• About Security #31: Die Firewall – FTP-Verbindungen
• About Security #32: Die Firewall – Application Level Gateway
• About Security #33: Die Firewall – Application Level Proxies
• About Security #34: Die Firewall – Circuit Level Proxies
• About Security #35: Die Firewall – Zusammenspiel der Komponenten
• About Security #36: Die Firewall – Demilitarisierte Zone