Dein letzter Login ist schon eine Weile her.

Bitte überprüfe, ob alle Angaben in Deinem Profil noch aktuell sind.


Bildnachweis: Networking, Bildausschnitt, by Norlando Pobre Lizenz: CC BY 2.0

22.11.2015
von Jan-Dirk
in IT-Talents

Firewalls und Proxies (2) - OSI-Modell und Paketfilter

Das OSI-Referenzmodell und Firewall-Klassen

Im 2. Teil unserer Blogreihe rund um Firewalls und Proxies beschäftigen wir uns mit dem OSI-Referenzmodell und Firewall-Klassen.
Gemäß ihrer Funktionseigenschaften und Schichten des OSI-Referenzmodells, auf denen entsprechende Firewalls ansetzen, werden sie in die Klassen Paketfilter, Proxy-Firewalls und Applikationsfilter eingeteilt.
Die erste Klasse der Paketfilter schauen wir uns einmal genauer an.

Lesezeit: ca. 5 Min.

Bewerten

Themen auf dieser Seite:

Sowohl in Theorie als auch Anwendung werden verschiedene Firewall-Klassen unterschieden. Als Klassifizierungen haben sich Paketfilter, Proxy-Firewall und Applikationsfilter durchgesetzt. Die Klasse der Paketfilter wird in diesem Blogartikel besprochen, Proxy-Firewalls und Applikationsfilter schauen wir uns im dritten Teil an.
Verschiedene Firewall-Klassen werden in der Praxis häufig kombiniert und bilden dann eine Firewall-Architektur (mehr dazu wirst Du im vierten Teil der Firewall-Blogserie erfahren).


IT-Talents.de ist Deine Plattform für Förderung und Weiterbildung während des IT-Studiums!
Fördermöglichkeiten ansehen


Das OSI-Referenzmodell

Die Klassifizierung in Firewall-Klassen findet anhand des OSI-Modells statt. Jede Klasse setzt auf einer anderen OSI-Schicht an.
Aber was ist überhaupt das OSI Referenzmodell? Das Open Systems Interconnection Modell ist ein Modell, das Kommunikationsübertragungen, hier genauer Netzwerkübertragungen in Schichten zerlegt.

Eine Netzwerkverbindung lässt sich anhand des OSI-Modells in verschiedenen Schichten betrachten, die wir uns einmal genauer ansehen.

Anwendungsschicht (7):
Hier können Daten ausgelesen und eingegeben werden. Abstrakte Anwendungen laufen auf dieser Schicht.
Darstellungsschicht (6):
Umwandlung der Daten in spezielle Formate, die dargestellt und an die Anwendungsschicht übergeben werden können.
Sitzungsschicht (5):
Stellt die Verbindung zwischen zwei spezifischen Endgeräten sicher.
Transportschicht (4):
Hier findet die Zuweisung von Datenpaketen zu speziellen Anwendungen statt.
Vermittlungsschicht (3):
Hier findet das Routing und die Lenkung des Kommunikationsflusses statt.
Sicherungsschicht (2):
Hier findet die Überprüfung der Verbindung statt. Es stehen Mechanismen zur Fehlerkorrektur und Aufrechterhaltung einer Verbindung bereit.
Bitübertragungsschicht (1):
Beinhaltet Verfahren/Protokolle, die die Übertragung durch physikalische/elektrische Signale kodieren.

Je höher also die Schicht ist, auf der ein Protokoll angesiedelt ist, desto höher ist auch der Abstraktionsgrad.

Das OSI-Referenzmodell. Eigene Darstellung.



Aber zurück zur Klassifizierung von Firewalls: Die Klassifizierung erfolgt also, indem man sich anschaut, auf welcher Schicht einer Kommunikationsverbindung das betrachtete Firewallsystem filtert bzw. arbeitet.

Klasse der Paketfilter

Definition

Paketfilter setzen auf den OSI-Schichten 3 und 4 an, also der Netzwerk- und der Transportschicht. Sie filtern Pakete aus dem Datenstrom, die mittels Schicht 3 oder Schicht 4 Protokollen übertragen werden anhand von Informationen aus dem IP-Header sowie bedingt auch dem Payload der jeweiligen Datenpakete.
Anhand dieser Informationen sind auch erste Prüfungen möglich, ob beispielsweise die im IP-Header angegebene Paketgröße mit der tatsächlichen Paketgröße übereinstimmt.

Filterregeln

Ein Paketfilter nutzt verschiedene Filterregeln (sog. Rules), die in Listen (sog. Chains) angeordnet sind. Sämtliche Datenpakete werden mit den Filtern abgeglichen.
Eine Regel besteht dabei aus einer Bedingung und einer Folgerung. Wenn die Bedingung auf ein Datenpaket zutrifft, werden die Befehle (z.B. blockieren oder durchlassen) in der Folgerung ausgeführt.

Am ehesten lässt sich das Prinzip an einer Beispielregel aus dem Paketfilter iptables/netfilter verdeutlichen:
iptables -A INPUT-p tcp --dport ssh -j DROP

iptables steht hier für das Programm iptables (Name des Befehls). Durch die Option -A ist gekennzeichnet, dass die Nachfolgende Regel an eine Liste (Chain) angehängt werden soll (A steht für append). INPUT ist hier der Name der Liste, an die die Regel angehängt wird. Durch die Optionen -p tcp und --dport ssh wird erreicht, dass nur Pakete des TCP-Protokolls, die als Ziel (destination-port) den Port des ssh-Dienstes haben, durch diese Regel betroffen sind.
Für alle Pakete, auf die diese Bedingung zutrifft, wird die Folgerung -j DROP ausgeführt, die in diesem Fall alle betroffenen Pakete verwirft.
Achtung: Die Rules in einer Chain werden immer sequentiell abgearbeitet. Wenn eine Regel auf ein Paket zutrifft, wird die jeweilige Folgerung angewandt und danach die Abarbeitung der Chain für das jeweilige Datenpaket abgebrochen.

Eine Besonderheit bei Paketfiltern ist, dass diese in der Lage sind, Pakete gezielt zu manipulieren. So können Adressänderungen (mittels NAT) oder Portänderungen (mittels PAT) durchgeführt werden. Hierbei sei angemerkt, dass Informationen aus dem IP-Header ohnehin nicht als vertrauenswürdig eingestuft werden können, da diese leicht manipuliert werden können und keine Möglichkeiten der Authentizitätsprüfung vorhanden sind.

Bekannte Beispiele für Paketfilter sind iptables/netfilter (unter Linux), der Routing und Remote Access Dienst (unter Windows) sowie ipfilter (Unix-Derivate, zB FreeBSD).


Auf IT-Talents.de kannst Du Dich mit dem Who-is-Who der IT-Branche vernetzen!
Jetzt Top-Unternehmen anschauen


Stateless und Stateful Paketfilter

Es kann zwischen stateless (zustandslosen) und stateful (zustandsbehafteten) Paketfiltern unterschieden werden. Erstere sind simpel zu verstehen, hier beziehen sich die Filterregeln jeweils nur auf ein Datenpaket. Die Filterentscheidung wird ausschließlich anhand der darin enthaltenen Informationen getroffen.
Zustandsbehaftete Paketfilter (auch Dynamische Filter oder Stateful Inspection oder Content based access control genannt) sind umfangreicher. Sie speichern Informationen über Pakete ab und können so Filterentscheidungen anhand von Informationen vorheriger Pakete entscheiden. So können zustandsbehaftete Paketfilter beispielsweise erkennen, es sich bei einem Paket um die Antwort auf ein zuvor gesendetes Paket handelt und das Paket entsprechend akzeptieren. Durch zustandsbehaftete Paketfilter lässt sich so z.B. das von FTP-Verbindungen bekannte Callback-Problem umgehen.


Wenn Du willst: IT-Talents.de ist Dein Headhunter! Unser Team macht sich für Dich auf die Suche nach dem passenden Arbeitgeber. Bequem und persönlich.
Jetzt JobScout anschauen


Vor- und Nachteile von Paketfiltern

Da Paketfilter keine zusätzliche Spezialhardware benötigen, sondern auf herkömmlichen Rechnern nur durch eine Software in Betrieb genommen werden können, sind sie preiswert zu realisieren. Da jeglicher Datenverkehr über die Firewall geroutet werden muss, und da er direkt in den Paketvermittlungsweg eingebunden ist, eignet sich ein Paketfilter zum effizienten absichern eines kompletten Subnetzes.
Zudem lassen sich viele IP-Spoofing und Routing-Attacken durch Paketfilter alleine durch die Auswertung des IP-Headers bereits abwehren.
Mit der Abhängigkeit von Daten aus dem IP-Header geht aber auch ein nicht zu vernachlässigender Nachteil von Paketfiltern einher: IP-Header sind grundsätzlich manipulierbar, und Filterentscheidungen damit beeinflussbar. So kann es insbesondere bei zustandsbehafteten Paketfiltern zu merklichen Performanceeinbußen bis hin zu DoS-Attacken anhand gefälschter IP-Header kommen. Zustandslose Paketfilter hingegen sind zwar ressourcenschonender, führen aber beispielsweise bei FTP-Verbindungen zum Callback-Problem.
Zudem sind die verbreiteten Paketfilter auf einem niedrigen Abstraktionsniveau, wodurch das Einrichten passender und umfassender Filterregeln - die trotzdem nur vergleichsweise grobgranulare Kontrolle bieten - Fachkenntnisse voraussetzt.

Leitlinien für Filterregeln

Grundsätzlich gilt das Prinzip, Datenverkehr möglichst frühzeitig zu filtern. Am besten direkt, wenn dieser die Netzwerkschnittstelle passiert. Filterregeln werden sequentiell und nach dem Erlaubnisprinzip abgearbeitet. Das heißt alles, was nicht ausdrücklich erlaubt ist, ist verboten. Die Umsetzung dieses Prinzips wird erreicht, indem in jeder Chain (also jeder kette von Regeln) als letztes eine Verbotsregel steht, die jeglichen Datenverkehr blockiert (block) oder zurückweist (reject). Diese Regel kommt für alle Datenpakete zum Tragen, auf die keine der vorherigen (Erlaubnis-)Regeln zutrifft. Pakete, die von außerhalb des jeweiligen Netzsegments kommen, aber eine interne Adresse im IP-Header stehen haben (und umgekehrt), sollten grundsätzlich abgewiesen werden, da diese Adressen keinen logischen Sinn ergeben und der Verdacht einer gefälschten Adresse naheliegend ist.

Standardketten und benutzerdefinierte Ketten (iptables)

Iptables verfügt über drei Standardketten: INPUT (enthält Regeln für eingehende Datenpakete), OUTPUT (Enthält Regeln für ausgehende Datenpakete) und FORWARD (Enthält Regeln für Datenpakete, die geroutet werden). Benutzerdefinierte Ketten können erstellt werden aber nicht direkt, sie können nur über eine Regel in einer der drei Standardketten betreten werden.

Erklärung des OSI-Modells im Video:

Oft gelesen:

Dein Studiengang? Wirtschaftsinformatik!
Jetzt lesen!

12 Bücher, die jedes IT-Talent gelesen haben sollte
Jetzt lesen!

Dein Weg in die IT-Branche (3)
Jetzt lesen!

Aktuelle Aktionen:

IT-Stipendium Juli 2019

1200€ Förderung für IT-Talente


Sei dabei und sichere Dir beim IT-Stipendium im Juli 2019 bis zu 1200€ Förderung!
Jetzt bewerben!

IT-Talents ist ein Netzwerk nur für IT'ler. Auf unserer Plattform kannst Du Dich als registriertes Mitglied mit wenigen Klicks auf die Jobs unserer Partnerunternehmen oder auf IT-Projekte für Studierende bewerben. Darüberhinaus führen wir Wettbewerbe durch und vergeben IT-Stipendien.

Jetzt Mitglied werden.

Verwandte Artikel

Was macht ein IT-Auditor? - Aufgaben, Ausbildung, Gehalt

17. Jul 2019 in IT-Talents

Was genau macht eigentlich ein IT-Auditor? In diesem Artikel schlüsseln wir nicht nur die Verantwortlichkeiten eines …

weiter

Was ist E-Commerce?

13. Jul 2019 in IT-Talents

E-Commerce, auch Internethandel oder Onlinehandel genannt, ist der Fachbegriff für jegliche Ein- und Verkaufsvorgänge, d…

weiter

E-Commerce Manager - der Beruf, die Aufgaben und das Gehalt

05. Jul 2019 in IT-Talents

E-Commerce, also der Handel im Internet, nimmt eine immer größere Bedeutung in der heutigen Gesellschaft ein. Dadurch w…

weiter

Kaufmann/Kauffrau im E-Commerce - Ausbildung und Beruf

03. Jul 2019 in IT-Talents

Der Onlinehandel boomt und macht derzeit einen Großteil der Wirtschaft aus. Mit dem Ausbildungsberuf Kaufmann/frau im …

weiter

Was ist SAP PM?

15. May 2019 in Software

SAP PM bietet eine umfassende Palette von Business-Softwarelösungen, damit Unternehmen ihre Geschäftsmodelle optimieren u…

weiter

Was ist SAP EWM?

14. May 2019 in Software

Die reibungslosen Prozesse im Bereich der Lagerlogistik sind von fundamentaler Bedeutung für Unternehmen. Aus diesem …

weiter

Was ist SAP PP?

13. May 2019 in Software

Der Produktionsprozess hat in den letzten Jahrzehnten einen Wandel erlebt. Die begrenzte Auswahl von Produkten und…

weiter

Was ist SAP MM?

10. May 2019 in Software

SAP ist mit dem Modul MM (Materials Management) in der Materialwirtschaft längst angekommen. Das Modul SAP MM gilt als …

weiter

Was ist ABAP?

09. May 2019 in Software

Mit ABAP hat SAP eine Programmiersprache für alle seine Anwendungen im SAP-Produktbereich entwickelt, die proprietär i…

weiter

Schnell-Login für unsere Mitglieder

Tipp: Halte Dein Profil aktuell.

Lass' uns wissen, falls sich etwas Neues bei Dir ergibt.

Tipp: Vervollständige Dein Profil für noch bessere Karrierechancen.

Bist Du Schüler, Student oder bereits berufstätig? Teile uns Deinen aktuellen Status mit, damit wir Dir sinnvolle Aufgaben anbieten können.

Jetzt Status angeben

Wann stehst Du der IT-Branche zur Verfügung?

Bitte Monat und Jahr angeben.

{{ perspectiveForm.availableFrom.$error.dynamic }}

Neuer Versuch

Wo möchtest Du durchstarten?

{{ location.geolocation.name }}×
Bitte mindestens ein Ort angeben.

Als {{currentUser.status.title}} bist Du bereit für:


Lade Beschäftigungsarten

Bitte wähle den Zeitpunkt, Ort und min. eine Beschäftigungsart aus.

You have voted!
Schliessen
Vote for:
stars
Vote
You have not rated!