Firewall
Topic outline
-
-
Firewalls können sowohl auf dedizierter Hardware als auch auf normalen Computern betrieben werden. Die grundlegende Funktionsweise bleibt gleich, jedoch gibt es Unterschiede in Bezug auf Leistungsfähigkeit, Skalierbarkeit und Anpassungsfähigkeit.
-
Verarbeitung eingehender Pakete durch eine Firewall
Unabhängig davon, ob eine Firewall auf einem normalen Computer oder auf dedizierter Hardware betrieben wird, folgt sie einem ähnlichen Prozess bei der Behandlung eingehender Pakete:
Paketüberprüfung: Die Firewall prüft jedes eingehende Paket gegen ihre Sicherheitsregeln. Diese Regeln können Adressen, Ports, Protokolle und andere Merkmale umfassen.
Entscheidung: Basierend auf den Regeln entscheidet die Firewall, ob das Paket akzeptiert, abgelehnt oder verworfen wird.
- Akzeptieren: Das Paket wird durchgelassen.
- Ablehnen: Das Paket wird blockiert, und es wird eine Antwort an den Absender geschickt, die ihm mitteilt, dass das Paket abgelehnt wurde.
- Verwerfen: Das Paket wird stillschweigend blockiert, ohne den Absender zu benachrichtigen.
Protokollierung und Alarmierung: Die Firewall kann die Entscheidung protokollieren und bei verdächtigem oder schädlichem Verkehr Alarmierungen auslösen.
Stateful Inspection: Bei Firewalls, die eine zustandsorientierte Überprüfung durchführen, wird der Zustand der Verbindung überwacht, um sicherzustellen, dass eingehende Pakete Teil einer legitimierten Sitzung sind.
-
Im Allgemeinen wird eine Vielzahl von Maßnahmen empfohlen, um ein Betriebssystem gegen Hackerangriffe zu schützen. Einige der wichtigsten Maßnahmen sind
Regelmäßige Sicherheitsupdates und Patches, um bekannte Schwachstellen zu schließen.
Verwenden Sie Antiviren- und Anti-Malware-Software, um Ihr System vor Malware und anderen Bedrohungen zu schützen.
▪ Verwenden Sie Firewalls, um unerwünschte Netzwerkverbindungen zu blockieren und den Zugriff auf bestimmte Ports und Dienste einzuschränken.
▪ Verwenden Sie starke Passwörter und Multi-Faktor-Authentifizierung, um den Zugriff auf Ihr System einzuschränken.
▪ Beschränken Sie die Administratorrechte, um das Risiko von Malware-Infektionen und anderen Bedrohungen zu minimieren.
▪ Regelmäßige Überprüfung von Protokolldateien, um potenzielle Bedrohungen frühzeitig zu erkennen und darauf reagieren zu können.
Die spezifischen Maßnahmen für Windows oder Linux können je nach Betriebssystem und Umgebung variieren.
Einige spezifische Maßnahmen für Linux sind
- Aktivierung und Konfiguration der Firewall.
- Verwendung von AppArmor, um die Sicherheit von Anwendungen und Diensten zu erhöhen.
- SSH-Schlüssel-basierte Authentifizierung aktivieren und Passwort-Authentifizierung deaktivieren.
- Fail2Ban als Schutzmaßnahme gegen Brute-Force-Angriffe.
- Deaktivieren Sie nicht benötigte Dienste und Anwendungen, um potenzielle Angriffsvektoren zu minimieren.
- Verwendung einer zuverlässigen Antiviren-Software wie ClamAV oder Sophos.Einige der spezifischen Maßnahmen für Windows sind beispielsweise:
• Aktivieren von Windows-Firewall und konfigurieren Sie diese entsprechend.
• Verwendung von BitLocker oder anderen Verschlüsselungstools, um Festplatten und Daten zu schützen.
• Deaktivieren von nicht benötigten Diensten und Anwendungen, um potenzielle Angriffsvektoren zu minimieren.
• Aktivieren von UAC (User Account Control) und Verwendung von Benutzerkonten mit eingeschränkten Rechten.
• Verwendung von Microsoft Defender Antivirus oder einer anderen zuverlässigen Antivirus-Software.-
Eine Firewall ist unter anderem eine Maßnahme zur Kontrolle des ein- und ausgehenden Datenverkehrs anhand von IP-Adressen, Portnummern oder Protokollen.
Eine Firewall vergleicht die Eigenschaften jedes Netzwerkpakets mit definierten Regeln und entscheidet, ob das Paket durchgelassen oder abgewiesen wird.
Es gibt verschiedene Arten von Regeln, die festlegen, wie der Datenverkehr gefiltert und behandelt wird. Diese Regeln werden vom Administrator entsprechend den Sicherheitsanforderungen definiert und konfiguriert. -
Ein Ruleset besteht aus mehreren einzelnen Regeln, die eine Firewall bei jeder Anfrage in oder aus dem Internet/Netzwerk von oben angefangen nach unten abgearbeitet bzw. überprüft, und beim Zutreffen einer Regel anhält und diese ausführt, die darauffolgenden Regeln werden dann ignoriert!
Das Ruleset verarbeitet jede Kommunikation und filtert alle Datenpäckchen, die zwischen Computern z.B. im Internet / Netzwerk hin- und herlaufen.Im Regelwerk (Ruleset) einer Firewall wird beschrieben, welcher Verkehr durch eine Firewall erlaubt und welcher verboten ist. Firewall Regeln setzen das Konzept der Mandatory Access Control (MAC) um. Die Entscheidung wird also nicht nach der Identität der Verursachers (DAC) oder seiner Zugehörigkeit zu einer Rolle oder Gruppe (RBAC) getroffen, sondern immer nach Absender, Zustelladresse, Protokoll und Sendevorgang. Die Regel enthält auch die gewünschte Reaktion, also ob erlaubte Datenpakete passieren (engl. pass) dürfen, verbotene werden abgelehnt (reject) oder verworfen (deny, drop).
Die Anwendung des Rulesets ist eine im Kernel von Linux verankerte Aufgabe.
Rulesets wurden in der Vergangenheit in iptables oder nftables editiert. -
Die Syntax der iptables und nftables ist einerseits sehr leistungsfähig und flexibel, andererseits wird sie auch als komplex empfunden. Auf der Linux Variante Ubuntu wird daher ein unkompliziertes kommandozeilen-basiertes Frontend namens ufw (uncomplicated firewall) bereitgestellt.
-
Nach der Installation eines Ubuntu-Systems ist noch keine Firewall vorhanden, da es auch noch keine Netzwerkdienste gibt. Erst wenn remote Zugriffe, Datenbankdienste, ftp- oder email-Dienste eingesetzt werden, ist eine Kontrolle der ein- und ausgehenden Pakete erforderlich.
-
Beschränkung des Zugangs auf eine geografische Region
o Einzelne Regionen ausschließen
o Zugang nur aus bestimmten Regionen
-
-
-