Kapitel 7. Firewalls

Die Sicherheit von Informationen wird üblicherweise als Prozess und nicht als Produkt angesehen. Allerdings werden bei der Realisierung von standardmäßigen Sicherheitsvorgängen normalerweise gewisse Formen angepasster Mechanismen verwendet. So können Privilegien zugänglich gemacht und Netzwerke auf Benutzer beschränkt werden, die autorisiert, identifizierbar und rückverfolgbar sind. Red Hat Enterprise Linux enthält mehrere kompetente Tools, die Systemadministratoren und Sicherheitstechnikern bei Fragen der Netzwerklevel-Zugangskontrolle unterstützen können.

Abgesehen von VPN-Lösungen wie CIPE oder IPsec (siehe Kapitel 6), sind Firewalls einer der Kernbestandteile bei der Realisierung von Netzwersicherheit. Einige Vertreiber bieten Firewall-Lösungen an, die für alle Bereiche des Marktes geeignet sind: vom Heimbenützer, wo ein PC geschützt wird, bis hin zu Lösungen für Datenzentren, wo wichtige Unternehmensinformationen geschützt werden. Firewalls können alleinstehende Hardware-Lösungen sein, wie die Firewall-Einrichtungen von Cisco, Nokia und Sonicwall. Es gibt aber auch geschützte Software-Firewall-Lösungen für den Heim-und Firmenbereich, vonVertreibern wie z.B. Checkpoint, McAfee und Symantec.

Neben den Unterschieden zwischen Hardware- und Software-Firewalls gibt es auch Unterschiede in der Funktionsweise von Firewalls, die die verschiedenen Lösungen voneinander abheben. Tabelle 7-1 erklärt drei gängige Firewall-Typen und wie sie funktionieren:

MethodeBeschreibungVorteileNachteile
NATNetwork Address Translation (NAT) reiht Subnetzwerke von internen IP-Netzwerken hinter eine externe IP-Adresse oder eine kleine Gruppe von externen IP-Adressen. Alle Anfragen werden nur für eine Quelle maskiert, nicht für alle.

· Kann für Machinen an einem LAN
· übersichtlich konfiguriert werden
· Schützt viele Maschinen und Service hinter einer oder mehreren IP-Adresse(n). Vereinfacht die Aufgaben der Systemadministratoren
· Durch das Öffnen und Schließen von Ports an der NAT Firewall/Gateway kann eine Benutzerbeschränkung zu und von dem LAN konfiguriert werden

· Kann keine bösartigen Aktivitäten verhindern, sobald der Benutzer mit einem Service außerhalb der Firewall verbunden ist

PaketfilterPaketfilter-Firewalls lesen alle Datenpakete, die sich innerhalb und außerhalb einem LAN bewegen. Sie können Pakete mit Hilfe der Kopfzeileninformation lesen und bearbeiten und filtern die Pakete auf der Grundlage von programmierbaren Regeln, die vom Systemadministrator der Firewall aufgestellt wurden. Der Linux Kernel hat eine eingebaute Paketfilterfunktion über das Netfilter Kernel Subsystem.

· Kann durch das iptables front-end utility
· angepasst werden. Erfordert keine Anpassung auf Seiten des Client, da alle Netzwerkaktivitäten beim Router-Level und nicht beim Level der Anwendung gefiltert werden
· Da Pakete nicht durch ein Proxy übertragenwerden, ist das Netzwerk aufgrund direkter Verbindung vom Client zum Remote Host schneller

· Kann Pakete nicht nach Inhalt filtern wie Proxy Firewalls
· Verarbeitet Pakete auf dem Protokoll Layer, aber kann sie nicht auf dem Layer der Anwendungen filtern
· Eine komplizierte Netzwerkarchitektur kann das Erstellen von Regeln zur Paketfilterung schwierig machen, im Speziellen, wenn sie mit IP masquerading oder mit lokalen Subnetzen und DMZ-Netzwerken gekoppelt sind

ProxyProxy-Firewalls filtern alle Anfragen eines bestimmten Protokolls oder Typs von den LAN-Clients zu einer Proxy-Maschine, von wo aus die Anfragen im Namen des lokalen Clients an das Internet gestellt werden. Eine Proxy Maschine fungiert als ein Buffer zwischen bösartigen Benutzern von außen und den internen Client- Maschinen des Netzwerkes.

· Gibt dem Administrator Kontrolle darüber, welche Anwendungen und Protokolle außerhalb des LAN funktionieren
· Manche Proxy-Server können Daten in einer Cache-Datei speichern, damit Clients Zugang zu oftmals gebrauchten Daten von der lokalen Cache-Datei haben, anstelle die Internetverbindung benützen zu müssen. Dies ist hilfreich beim Einsparen von unnötigem Bandbreitenkonsum.
· Proxy-Service können genau dokumentiert und beobachtet werden, was bessere Kontrolle bezüglich der Nutzung von Netzwerkressourcen ermöglicht

· Proxies sind oft anwendungsspezifisch (HTTP, telnet, etc.) oder protokollbeschränkt (die meisten Proxies arbeiten nur mit TCP-verbundenen Servicen)
· Die Service von Anwendungen können nicht hinter einem Proxy laufen, daher müssen Ihre Anwendungsserver eine andere Form von Netzwerksicherheit verwenden
Proxies können zu einer Engstelle in einem Netzwerk werden, da alle Anfragen und Übetragungen durch eine Quelle gehen im Gegensatz zu direkten Verbindungen vom Client zum Remote Service

Tabelle 7-1. Firewall-Typen

7.1. Netfilter und IPTables

Der Linux Kernel enthält ein kompetentes Netzwerk-Subsystem mit dem Namennetfilter. Das Netfilter-Subsystem bietet eine Paketfilterung mit oder ohne Status sowie NAT und IP Maskierungsservice. Netfilter hat auch die Möglichkeit, IP-Kopfzeileninformation für fortgeschrittenes Routing und zur Überprüfung des Verbindungszustandes zu verarbeiten.mangle Netfilter wird durch die IPTables Utility kontrolliert.

7.1.1. IPTables Übersicht

Die Kompetenz und Flexibilität von Netfilter wird durch die IPTables-Schnittstelle erreicht. Dieses Tool für die Befehlszeile ist syntaxgleich zu seinem Vorläufer IPChains. IPTables verwendet jedoch das Netfilter-Subsystem, um die Netzwerkverbindung, die Inspektion und die Verarbeitung zu verbessern, während IPChains komplizierte Regeln zur Filterung von Quell- und Zielpfaden sowie zugehörige Verbindungsports verwendete. IPTables bietet in einer Befehlszeilen-Schnittstelle fortschrittliche Dokumentation, Vor- und Nachrouting-Aktionen, Übersetzung von Netzwerkadressen und Port-Weiterleitung

Dieser Abschnitt enthält eine Übersicht über IPTables. Für genauere Informationen siehe Red Hat Enterprise Linux Referenzhandbuch.