LF10: Betreuen von IT-Systemen
von Julian Möller
Ich kann...
1... erklären was eine Firewall ist und wofür man sie nutzt.
2... den Aufbau einer Firewall erklären.
3... die Stärke des Schutzes und angrifbarkeit einer Firewall erkennen.
4... eine Firewalllösung für vorhandene Probleme erstellen.
5... zwei bekannte Firewall-Sicherheitsstrategien (Alles sperren / Alles freigeben) benennen und erklären.
Lernachweis:
1... Einfache erklärung einer Firewall, nutzen und Einsatzgebiete.
2... Aufbau einer Firewall anhand von eigenen Visio-Zeichnungen.
3... Einschätzen und Abwägen des Schutzes einer Firewall anhand der Lernsituation.
4... Erstellen einer Firewalllösung für eine vorhandenes Problem.
5...Informationen auf meinem Portfolio.
Weg:
Ich beginne damit, mir die vorhandenen Informationsblätter durchzugehen, welche uns zur Verfügung gestellt wurden.
Dort hole ich mir viele Informationen über die vorhandene Lernsituation.
Ich brauche außerdem meine virtuelle Maschine, um eine Firewall dort aufzusetzen und Visio zum zeichnen meiner Problemlösungen.
Auswertung:
Da diese Woche eine Wiederholungswoche war, habe ich mich erneut in das Thema eingearbeitet. Dabei habe ich gemerkt, dass viel Wissen über die Zeit verloren geht, wenn man sich nicht mehr mit der Thematik beschäftigt. Ich habe die alten Aufgaben aufgearbeitet und neue Produkte ergänzt.
Grundsätzlich unterscheidet man folgende Sicherheitsstrategien:
Firewall-Strategie: Alles sperren (Alles ist gesperrt. Bekannte sichere und erwünschte Vorgänge werden freigegeben)
Diese Variante ist sehr sicher. Allerdings erfordert sie eine aufwendige Konfiguration der Firewall.
Firewall-Strategie: Alles freigeben (Alles ist freigegeben. Bekannte unsichere und unerwünschte Vorgänge werden gesperrt)
Diese Variante ist relativ komfortabel. Bei der Einführung ist mit keinerlei Problemen zu rechnen. Allerdings ist sie nur so sicher, wie Gefahren und Sicherheitslöcher bekannt sind und gesperrt werden.
Was ist BSI?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der zentrale IT-Sicherheitsdienstleister des Bundes. Es ist für IT-Sicherheit in Deutschland verantwortlich und die Grundlagen der Arbeit sind Fachkompetenz und Neutralität.
Was hat das BSI für Aufgaben?
* Zu allen wichtigen Themen der IT-Sicherheit informieren
* Bei Fragen zur IT-Sicherheit beraten und Unterstützung bei der Umsetzung geben
* Konzipieren und entwickeln von IT-Sicherheitsanwendungen und -produkten
* Prüfen, bewerten und zertifizieren von IT-Systemen hinsichtlich der Sicherheitseigenschaften.
* Zulassung von IT-Systemen für die Verarbeitung geheimer Informationen
Eine Firewall ist eine Schutzmaßnahme vor fremden und unberechtigten Verbindungsversuchen aus dem öffentlichen (Internet) ins lokale Netzwerk. Mit einer Firewall lässt sich der kommende und gehende Datenverkehr kontrollieren, protokollieren, sperren und freigeben. Dabei ist die Firewall genau zwischen dem öffentlichen und dem lokalen Netzwerk platziert. Meist ist die Firewall teil eines Routers. Sie kann aber auch als externe Komponente einem Router vor- oder nachgeschaltet sein.
• Zu schützende Ressourcen: Daten, Rechnersysteme, Kommunikationseinrichtungen, etc.
• Zugangskontrolle auf der Benutzerebene (Authentisierung), Anwendungsebene, Netzwerkebene
• Verbergen der internen Netzstruktur
• Vertraulichkeit von Nachrichten
• Schutz gegen Angriffe auf Verfügbarkeit, z.B. für Informationsserver
• Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen
• Anforderungen an das Firewall-System selber
• Behandlung von sicherheitsrelevanten Ereignissen
Die Demilitarisierte Zone (DMZ) ist ein eigenständiges Subnetz, welches das lokale Netzwerk (LAN) durch Firewall-Router (A und B) vom Internet trennt. Die Firewall-Router sind so konfiguriert, dass sie Datenpakete, für die es keine vorhergehenden Datenpakete gab, verwerfen. Wird beispielsweise aus dem Internet ein Datenpaket an den Server geschickt, wird es vom Firewall-Router A verworfen. Sollte ein Hacker doch auf einen Server innerhalb DMZ Zugriff erhalten und Datenpakete in das LAN zum Schnüffeln oder Hacken schicken wollen, werden diese vom Firewall-Router B verworfen.
In beiden Firewall-Routern müssen statische Routen konfiguriert werden, damit die eingehenden Datenpakete an die richtige Station im LAN geschickt werden. Dieses Vorgehen hat den Vorteil, dass es den Datenverkehr vom Internet kommend aus dem LAN fern hält und deshalb im LAN nur der interne Datenverkehr und die Internet-Verbindungen ablaufen. Das LAN ist dann weniger anfällig für Überlastungen, die durch den Datenverkehr aus dem Internet kommen.
Lösungen zu der Lernsituation
Profilinformation
- Bundesland/Kreis: Hessen
- Land: Deutschland
- Vorname: Julian
- Nachname: Möller
- Berufstätigkeit: Auszubildender Anwendungsentwicklung
- Stadt: Hessisch Lichtenau
- E-Mail Adresse: moeller-julian93@web.de
Paketfilter:
Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint).
Proxyfilter:
Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter. Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen. Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen. Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.
Grundsätzlich gibt es zwei Arten von Paketfiltern: statische und dynamische.
Die statische Paketfilterung arbeitet zustandlos, das heißt, die Filterregeln arbeiten
unabhängig von vorangegangenen Paketen. Auf jedes Paket wird immer derselbe
Satz von Filterregeln angewandt. Für eine TCP-Verbindung werden also mindestens
zwei Regeln benötigt, eine für die Hin- und eine für die Rückrichtung.
Die dynamische Paketfilterung, auch
”Statefull Inspection“ genannt, ist zustandsabhängig
und erweitert das Regelwerk temporär um zusätzliche Regeln. Für eine
erlaubte Verbindung wird also bei Bedarf die benötigte Rückrichtung für die Dauer
der Verbindung freigeschaltet.
Creative Commons Lizenz
LF10: Firewall von Julian Möller ist mit einer Creative Commons Namensnennung-Keine Bearbeitung 3.0 3.0 Unported Lizenz ausgestattet.
Jede der Bedingungen kann aufgehoben werden, sofern Sie die ausdrückliche Genehmigung von Julian Möller dazu erhalten.
