1914381

Paketfilter vs. Firewall - Netzverkehr im Detail

12.06.2014 | 12:16 Uhr |

Die Kontrolle, was in das eigene Netzwerk herein und heraus darf, übernehmen Paketfilter und Firewall. Doch wo liegt eigentlich der Unterschied zwischen den beiden?

Wer einen Rechner oder ein lokales Netzwerk (LAN) mit dem Internet verbindet, kann nicht nur Hosts erreichen, sondern ist auch selbst erreichbar. Als Teilnehmer in einem riesigen, schwer zu kontrollierenden Wide Area Network (WAN), um das es sich beim Internet handelt, steht Netzwerksicherheit an erster Stelle. Für die Auswahl, welcher Datenverkehr von außen erlaubt ist, muss ein Türsteher darauf achten, dass nur erlaubte Pakete passieren dürfen. In einigen Fällen, etwa in restriktiven Firmennetzwerken, wird zudem darauf geachtet, dass nicht Beliebiges hinausdarf. Die Aufgabe des Türstehers übernimmt ein Paketfilter im Router oder eine dezidierte Firewall, die auf einem isolierten Gerät läuft.

Firewall versus Paketfilter

In der Marketingsprache von Software-Unternehmen gehen die Begriffe Paketfilter und Firewall durcheinander und werden gern synonym gebraucht: Windows-Programme, die höchstens Paketfilter sind, werden da schon mal gern als Firewall angepriesen. Tatsächlich handelt es sich aber nicht um ein und dasselbe. Erbsenzählerei? Vielleicht. Aber Netzwerksicherheit ist eine exakte Wissenschaft, und die beginnt schon bei der richtigen Benennung.

Ein Paketfilter ist ein Software-basierter Filter für Netzwerkpakete, um diese anhand ihrer Merkmale wie Protokollart, Zielport, Zieladresse und Absenderadresse einzuordnen und dann vordefinierte Regeln darauf anzuwenden. Diese Filter können Pakete durchwinken (accept), abweisen (reject) oder sich schlicht taub stellen (drop) und die Netzwerkadresse damit nahezu unsichtbar machen. Eine Firewall arbeitet natürlich auch wie ein Paketfilter. Die Firewall ist aber auf einem eigens dafür abgestellten Gerät eingerichtet, der das gesamte Netzwerk schützt. Sie ist nicht wie ein Router oder ein Server Teil des Netzes, sondern eine eigenständige logische Komponente, über die der gesamte Datenverkehr zwischen LAN und WAN läuft. Dabei muss die Firewall immun gegen Eindringlinge sein, denn die Sicherheit der Firewall entscheidet über die Sicherheit des gesamten Netzwerks dahinter.

Der entscheidende Vorteil der zentralen Firewall ist, dass sie das Sicherheitsmanagement vereinfacht. Die Filterregeln müssen nicht für jeden Rechner einzeln definiert werden. Die Überwachung geschieht ebenfalls zentral über die Firewall. So kann sie gegebenenfalls auch einen Alarm auslösen, da Angriffe von außen nur über diese definierte Schnittstelle zwischen LAN und WAN erfolgen können.

Mit Wireshark Netzwerk-Probleme finden

Fortgeschrittene Firewall für Netzwerkadministratoren: Hybride Firewalls, um die es sich beispielsweise bei Linux-Systemen handelt, erlauben unterschiedliche Filtertypen und Regeln über Iptables-Scripts.
Vergrößern Fortgeschrittene Firewall für Netzwerkadministratoren: Hybride Firewalls, um die es sich beispielsweise bei Linux-Systemen handelt, erlauben unterschiedliche Filtertypen und Regeln über Iptables-Scripts.

So arbeiten Paketfilter

Paketfilter entscheiden bei jedem Datenpaket anhand vorher festgelegter Filterregeln, ob sie es weiterleiten oder nicht. Als Auswahl-kriterium stehen alle Daten bereit, die das Paket in seinem Header trägt: IP-Ursprungsadresse, IP-Zieladresse, eingebettetes Protokoll (TCP, UDP, ICMP oder IP-Tunnel-Protokolle wie VPN), TCP/UDP-Absender-Port, TCP/UDP-Ziel-Port, ICMP-Typ, Eingangsnetzwerkschnittstelle (Ethernet, WLANSchnittstelle, WAN) und Ausgangsnetzwerkschnittstelle.

Firewall-Konzepte lassen sich gut mit Hilfe von Linux, noch besser mit BSD umsetzen, da diese Systeme einen exzellent dokumentierten und stabilen Netzwerk-Stack haben, ferner zahlreiche Programme zur Paketfilterung und Analyse. Selten werden Windows- Server eingesetzt, da der Netzwerk-Stack von Microsoft einen schlechten Ruf hat und sich eher für Client-PCs eignet. Natürlich gibt es Fertig-Firewalls auch als Netzwerk-Hardware zu kaufen, etwa von Cisco oder Check Point. Darauf arbeitet aber meistens auch ein schlankes, angepasstes Linux-System. Neben ihrer Eigenschaft als Paketfilter bieten gute Firewalls eine Reihe an Sicherheitsmechanismen und Analysefunktionen, um ohne Verzögerung in Pakete blicken zu können.

Paketfilter-Router: Die einfachste Form der Firewall trifft Entscheidungen anhand Absender- und Zieladressen sowie den angegebenen Ports. Die Analyse der Pakete erfolgt also in der Netzwerkschicht. Die Konfiguration besteht aus manuell erstellten Zugriffslisten mit exakter Angabe von erlaubten Ports und Adressen. Die Firewall hat ansonsten keine Ahnung vom Inhalt der Pakete, und die Zuordnung zu einem Dienst erfolgt nur anhand der angegebenen Portnummer. Die meisten WLAN/DSL-Router lassen sich zu diesem Firewall-Typ konfigurieren.
Stateful Packet Inspection (SPI): Anstatt nur den Header von Netzwerkpaketen anzusehen, macht dieser Typ von Firewall die Filterregeln abhängig vom Zustand einer Verbindung. Schickt ein PC aus dem lokalen Netz eine HTTP-Anfrage an einen Webserver im Internet, dann merkt sich die Stateful Packet Inspection diese Anfrage. Die Firewall erlaubt dann Antwortpakete von außen für eine bestimmte Zeit, falls diese an den anfragenden Rechner gehen sollen. Andernfalls wird nicht angeforderter Traffic verworfen.

Proxy-Server: Anstatt den Netzwerkverkehr zwischen Internet und LAN auf der Netzwerkebene zu filtern, funktioniert der Proxy-Server auf Anwendungsebene. Alle Anfragen gehen über den Proxy als Zwischenstation: Die Proxy-Adresse muss daher Anwendungen wie Browser, Mailprogramm und Dateimanager mitgeteilt werden. Auf dem Proxy-Server können akribische Filter aktiv sein, die auch Inhalte blocken, etwa um virenverseuchte Mailanhänge zu entfernen oder um Webinhalte zu sperren.

Hybride Firewalls: Dieser Typ stellt ein Regelwerk bereit, das die Eigenschaften von Paketfiltern, Stateful Packet Inspection und sogar Proxy-Server kombiniert. Netzwerkadministratoren können unterschiedliche Regeln für Dienste, Ports und Adressen erstellen. Firewall-Systeme, die unter Linux und BSD laufen, sind Hybrid-Firewalls.

Clevere Netzwerk-Tools zum Download

Vom LAN ins WAN und zurück: Damit Netzwerkpakete von LAN-Teilnehmern ins Internet kommen (WAN) und dessen Antworten auch wieder zurück, übersetzt der Router die Netzwerkadressen.
Vergrößern Vom LAN ins WAN und zurück: Damit Netzwerkpakete von LAN-Teilnehmern ins Internet kommen (WAN) und dessen Antworten auch wieder zurück, übersetzt der Router die Netzwerkadressen.

Network Address Translation (NAT)

Lokale Netzwerke nutzen private Subnetze, beispielsweise 192.168.0.x, die im Internet nicht geroutet werden.

An der Schnittstelle beider Netze, dem Router, wird deshalb Network Address Translation (NAT) verwendet, um von einem Netz ins andere zu kommen (LAN – WAN). Bei NAT behauptet der Router gegenüber allen Hosts im Internet, dass er der Absender aller Pakete ist, die tatsächlich aber von mehreren Geräten im lokalen Netz stammen. Dazu setzt er die vom Internet-Provider zugeteilte, meist dynamische IP-Adresse als Absenderangabe in jedes abgehende Paket ein. Damit die von dort kommenden Antworten das richtige Gerät im LAN erreichen, bekommen eintreffende Pakete wieder die passende Empfängeradresse eingesetzt, die NAT aus einer zuvor erstellen Tabelle entnimmt. NAT ist nicht nur eine Lösung für den IPv4-Adressenmangel, sondern sorgt auch für Sicherheit: Von außen sind die LAN-Teilnehmer nicht über ihre tatsächliche Adresse erreichbar. Für Heimnetzwerke, aus denen keine Server-Dienste heraus angeboten werden, reicht NAT als Abschirmung gegen unerwünschten Traffic aus.

0 Kommentare zu diesem Artikel
1914381