title image


Smiley Re: Firewall: Software oder Hardware
Hallo

Einen Proxyserver einzusetzen ist ein guter Ansatz zur Absicherung eines privaten Netzwerkes. Aber eben, nur ein Ansatz und ein Sicherungselement von vielen.



Eine optimale Absicherung eines privaten Netzwerkes ist nur mit einer dezidierten und sauber konfigurierten Zugriffsregellösung möglich und auch sinnvoll. Der Einsatz sogenannter Personalfirewalls, welche auf den zu schützenden Hosts selbst laufen, dienen da eher der eigenen Beruhigung als der wirklichen Netzsicherheit.



Eine "Firewall" im eigentlichen Sinn besteht aus mehreren Elementen:



- Mind. 2 NIC's, welche in verschiedenen Netzwerksegementen laufen. Somit erfolgt eine physische Trennung zwischen privatem und öffentlichem Netz.

- Ein Mailserver oder auch andere Serverdienste gehören nie auf den Schutzhost sondern in eine sogenannte DMZ (Demilitarisierte Zone), welche nur via Schutzhost zugänglich ist (wiederum eigenes Netzwerksegment). Dafür wären dann zwei Firewalllösungen notwendig (Netz im Netz).

- Ausgeklügelte Paketfilterung auf dem Schutzhost (Grundsatz: Es ist alles verboten, was nicht ausdrücklich erlaubt ist).

- NAT (Network Adress Translation). Diese Technik beherrscht jeder Router, da ja sonst der gemeinsame Zugriff nur über eine öffentliche IP gar nicht möglich wäre. Die meisten Software-Firewall-Produkte fungieren meist auch als Router.

- Proxyserver auf dem Schutzhost.

- Ueberprüfung der Datenpakete auf Uebereinstimmung der Anforderungs- und Zielinformationen im Header (Statefull Inspection). D. h. nicht von einem privaten Host angeforderte IP-Pakete werden sofort und ohne weitere Ueberprüfung verworfen.

- Evtl. Ueberprüfung der Datenpakete auf virenverdächtigen Code. Dies bedingt aber einen Virenscanner, der in der Lage ist, die Datenpakete bis auf IP-Ebene (Layer 3) zu prüfen. Herkömmliche Virenscanner sind dazu nicht in der Lage.



Eine dezidierte Hardware-/Softwarefirewall lässt sich mit einem älteren Rechner (PI oder höher) unter Windows bzw. unter Linux einrichten. Wichtig ist einfach, dass das OS sauber konfiguriert und mit Bordmitteln möglichst sicher abgesichert ist (sämtliche nicht benötigten Dienste deaktivieren, alle Patches und Servicepacks installiert.



Eine mögliche "Firewall" wäre z. B. ein Rechner mit Windows 2000 (SP 3 voll gepatcht) und die Firewalllösung Winroute Pro von Kerio. Kostenpunkt für 5 Hosts: EUR 190.12.



Die Software Winroute Pro ist ICSA zertifiziert und bietet damit einigermassen Gewähr, dass sie recht sicher ist und zuverlässig ihren Dienst versieht. Die Software kann kostenlos 30 Tage getestet werden (Vollversion).



geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: