Netzwerksicherheit: Firewall und IPS

Hinter dem Begriff Firewall verbirgt sich im Grunde eine Ansammlung von Programmen, welche - auf einem als Gateway fungierenden System(verbund) ausgeführt - die Ressourcen eines Netzwerkes oder Rechners vor anderen Netzwerken (oder Rechnern) schützt.

Man unterscheidet mehrere Arten von Firewalls:

  • Eine Circuit-Level-Firewall (z. B. das im Linux-Kernel integrierte iptables) filtert den Datenverkehr direkt auf TCP/IP-Ebene:
    Welche IP-Adresse darf mit welcher IP-Adresse über welche Ports kommunizieren.
  • Eine Application-Level-Firewall (s. u.) entscheidet auf Protokollebene:
    Welche Protokolle/Dienste sind von wo und wohin erlaubt (egal auf welchem Port der Dienst läuft) und welche nicht.
  • Eine (Web-)Application-Firewall überprüft, ob Anfragen an ein (Web-)Programm gültig sind:
    Dazu muß bekannt sein, was gültige und was ungültige Anfrage sind (bei Nicht-Standard-Applikationen nicht trivial).

Am ZID wird (wie derzeit in der Praxis üblich) eine Kombination aus den beiden ersten Systemen eingesetzt, außerdem sollte jeder Administrator auch die Circuit-Level-Firewall des Rechners aktivieren und nur solche Dienst öffnen, die auch wirklich notwendig sind („Härtung des Betriebssystems“).

In Summe spielen an der TU Graz dabei dann mehrere Systeme zusammen, wobei die Systeme [1]-[4] (bzw. auch [5], wenn vom ZID betrieben) redundant ausgeführt sind:


Internet → ACOnet[1] → IPS[2] → Traffic-Shaper[3] → Core-Router[4] → (Instituts-)Firewall[5] → Firewall am Host


[1] Auch im zentralen Bereich von ACOnet in Wien kommen bereits Filter zur Anwendung
[2] Das IPS stellt dabei eine Art Application-Level-Firewall dar, kann aber z. T. auch als Application-Firewall betrieben werden und unterbindet z. B. auch Downloads von Malware
[3] Hier treten z. B. die internen Sperren in Kraft
[4] Auch Router haben einfache Filtermechanismen auf TCP/IP-Ebene
[5] Kann vom Institut selbst oder - im Auftrag des Instituts - vom ZID betrieben werden. Wird die Instituts-Firewall mit NAT betrieben, dann können wir am ZID im Anlaßfall i. Allg. nicht feststellen, welcher Rechner betroffen ist und müssen in gravierenden Fällen bis zur Klärung das gesamte Institutsnetz sperren