Extra Information
9.7 Firewall
Mit einer Stateful Inspection Firewall (SIF) verfügt die Digitalisierungsbox über eine leistungsfähige Si-
cherheitsfunktion.
Zusätzlich zur sogenannten statischen Paketfilterung hat eine SIF durch dynamische Paketfilterung
einen entscheidenden Vorteil: Die Entscheidung, ob ein Paket weitergeleitet wird, kann nicht nur auf-
grund von Quell- und Zieladressen oder Ports, sondern auch mittels dynamischer Paketfilterung auf-
grund des Zustands (Status) der Verbindung zu einem Partner gefällt werden.
Es können also auch solche Pakete weitergeleitet werden, die zu einer bereits aktiven Verbindung ge-
hören. Dabei akzeptiert die SIF auch Pakete, die zu einer "Tochterverbindung" gehören. Die Aushand-
lung einer FTP-Verbindung findet zum Beispiel über den Port 21 statt, der eigentliche Datenaustausch
kann aber über einen völlig anderen Port erfolgen.
SIF und andere Sicherheitsfunktionen
Die Stateful Inspection Firewall fügt sich wegen ihrer einfachen Konfiguration gut in die bestehende Si-
cherheitsarchitektur der Digitalisierungsbox ein. Systemen wie Network Address Translation (NAT)
und IP-Zugriffs-Listen (IPAL) gegenüber ist der Konfigurationsaufwand der SIF vergleichbar einfach.
Da SIF, NAT und IPAL gleichzeitig im System aktiv sind, muss man auf mögliche Wechselwirkungen
achten: Wenn ein beliebiges Paket von einer der Sicherheitsinstanzen verworfen wird, so geschieht dies
unmittelbar, d. h. es ist irrelevant, ob es von einer anderen Instanz zugelassen werden würde. Daher
sollte man den eigenen Bedarf an Sicherheitsfunktionen genau analysieren.
Der wesentliche Unterschied zwischen SIF und NAT/IPAL besteht darin, dass die Regeln der SIF gene-
rell global angewendet werden, d. h. nicht auf eine Schnittstelle beschränkt sind.
Grundsätzlich werden aber dieselben Filterkriterien auf den Datenverkehr angewendet wie bei NAT und
IPAL:
• Quell- und Zieladresse des Pakets (mit einer zugehörigen Netzmaske)
• Dienst (vorkonfiguriert, z. B. Echo, FTP, HTTP)
• Protokoll
• Portnummer(n)
Um die Unterschiede in der Paketfilterung zu verdeutlichen, folgt eine Aufstellung der einzelnen Sicher-
heitsinstanzen und ihrer Funktionsweise.
NAT
Eine der Grundfunktionen von NAT ist die Umsetzung lokaler IP-Adressen Ihres LANs in die globalen
IP-Adressen, die Ihnen von Ihrem ISP zugewiesen werden, und umgekehrt. Dabei werden zunächst alle
von außen initiierten Verbindungen abgeblockt, d. h. jedes Paket, welches Ihr Gerät nicht einer bereits
bestehenden Verbindung zuordnen kann, wird abgewiesen. Auf diese Art kann eine Verbindung ledig-
lich von innen nach außen aufgebaut werden. Ohne explizite Genehmigungen wehrt NAT jeden Zugriff
aus dem WAN auf das LAN ab.
IP Access Listen
Hier werden Pakete ausschließlich aufgrund der oben aufgeführten Kriterien zugelassen oder abgewie-
sen, d. h. der Zustand der Verbindung wird nicht berücksichtigt (außer bei Dienste = #).
SIF
Die SIF sondert alle Pakete aus, die nicht explizit oder implizit zugelassen werden. Dabei gibt es sowohl
ein "Verweigern", bei dem keine Fehlermeldung an den Sender des zurückgewiesenen Pakets ausgege-
ben wird, als auch ein "Ablehnen", bei dem der Sender über die Ablehnung des Pakets informiert wird.
9 Internet & Netzwerk bintec elmeg GmbH
234 Digitalisierungsbox Smart