sven157
Goto Top

Definition einer Firewall

Hi Leute,
mir wurde dieses Forum aufgrund meiner Frage empfohlen. Ich zitiere einfach mal meine eigene Frage und hoffe auf eine wirklich eindeutige Antwort (die ich bisher noch nicht gefunden habe).

Frage
Gibt es irgendwo eine klare Definition einer Firewall, die zitatfähig ist?

Wikipedia:
"Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt."

Elektronik - Kompendium:
"Eine Firewall ist eine Schutzmaßnahme gegen fremde und unberechtigte Verbindungsversuche aus dem öffentlichen (Internet) ins lokale Netzwerk."

Cisco:
"Eine Firewall ist eine Netzwerksicherheitsvorrichtung, die eingehenden und ausgehenden Netzwerkverkehr überwacht und auf Grundlage einer Reihe von definierten Sicherheitsregeln entscheidet, ob bestimmter Datenverkehr zugelassen oder blockiert wird."

Ich persönlich hätte eine Firewall immer so definiert, dass sie (wie bei dem Zitat von Cisco) aktiv den Netzwerkverkehr analysiert und Ergebnisentsprechend filtert.
Laut den beiden Anderen Zitaten, die hier nur als ein Beispiel dienen, wäre eine Firewall in kleinster Form nichts weiter, als z.B. die in Windows integrierte Firewall, die nichts weiter tut als Ports zu öffnen und zu schließen.
Was genau macht denn nun eine Firewall zu eine Firewall? Provokant gesagt wäre ja jeder Internetrouter bereits eine Firewall, da er üblicherweise nur bestimmte Ports öffnet oder schließt.

Wenn dann z.B. ein Unternehmen in seinen Datenschutzdokumentationen erwähnt hat, dass es zur Absicherung des Netzwerkes eine Firewall einsetzt, wäre das dann bereits mit der Nutzung einer stinknormalen FRITZ!Box (oder ähnlichem Standard-Router) getan?

LG und vielen Dank im Voraus

Content-ID: 468856

Url: https://administrator.de/contentid/468856

Ausgedruckt am: 06.11.2024 um 01:11 Uhr

SlainteMhath
SlainteMhath 03.07.2019 um 14:00:21 Uhr
Goto Top
Moin,

Zitatfähig? Ungefähr sowas hier: https://www.researchgate.net/publication/292138198_Role_of_firewall_Tech ... ?

lg,
Slainte
JGA-Attus-IT
JGA-Attus-IT 03.07.2019, aktualisiert am 04.07.2019 um 09:32:56 Uhr
Goto Top
Moin,

Ich für meinen Teil denke, dass man grundsätzlich ersteinmal zwischen Hard- und Softwarefirewall unterscheiden sollte.
Die Softwarefirewall (z.B. Windowsfirewall) ist meist in der Tat nur auf Portregeln bzw. das Zulassen oder Verbieten von Zugriffen einer Software auf die Netzwerkschnittstelle des betreffenden Rechners/Servers beschränkt. Das trifft auch auf die meisten Routerfirewalls zu, da diese nur ein kleines Gimmik sind und kaum ernst zu nehmen wären.

Anderes gilt für eine Hardwarefirewall, da diese eine dedizierte Hardware für den Schutz deines Netzwerkes darstellt.
Sie kann neben den o.g. Portregeln auch Aufgaben wie:

  • IP-Sec Tunnel inkl. sämtlicher Portdefinitionen, Sicherheitsregeln, Verschlüsselungen etc.
  • Portweiterleitungen wie z.B. die Weiterleitung des DNS Eintrages https://www.ichbineinewebseite.de:443 auf die Interne IP-Adresse deines Webservers
  • Die Definition deiner DMZ(s), also der Nicht durch die Firewall geschützten und damit direkt aus dem Internet erreichbaren Netzwerksysteme sowie die gesicherten Weiterleitungen an das interne Netz aus dieser
  • VPN für deine externen Dienstleister/Mitarbeiter (s. IP-Sec Tunnel)
  • Uvm

übernehmen.


Die Hardwarefirewall kann unter anderem auch ein dafür fest definierter Rechner/Server sein, welcher ein entsprechendes Stück software bereit stellt, muss dann aber mehrere Netzwerkkarten haben und sollte wirklich auch nur diesem einzigen Zweck dienen. Da hierbei extrem viel Know How und eine Menge administrativer Aufwand von nöten sind, Empfiehlt sich hierfür tatsächlich eher eine entsprechende Firewall namenhafter Hersteller die entsprechend des Anwendungsbereiches getestet und supportet werden.

Ich hoffe das hilft dir in deiner Fragestellung weiter.

BG

JGA

Editiert um umständliche Ausdrucksweise zu korrigieren.
maretz
maretz 03.07.2019 um 14:28:09 Uhr
Goto Top
Moin,

was meinst du denn mit "Firewall"? Da fängt das erste problem ja schon an - da es verschiedene Typen gibt:
a) Simple Firewalls wie z.B. Windows-Firewall oder NAT bei Routern: Eingehend wird erst mal alles verworfen, von innen nach Aussen is es denen erst mal völlig egal (so nicht besonders eingestellt)

b) Port-Firewalls (iptables,...): Arbeiten nur auf Port-/Protokoll-Ebene, interessieren sich aber nicht wirklich für die höheren Ebenen

c) Application-Level-Firewalls: Das was du heute oft schon als Appliance hast - die filtern nicht nur auf Port-Level sondern gucken auch in den Datenverkehr rein - und somit kannst du auch gewisse Spiele (z.B. ssh-server auf Port 80 lauschen lassen) vergessen

Denn deine Ausschnitte oben haben ein wenig was vom täglichen Horoskop: Man KANN so ziemlich alles reininterpretieren und es würde auch irgendwie passen... Ich könnte auch sagen "soll halt schützen, ne"....
certifiedit.net
certifiedit.net 03.07.2019 um 14:43:21 Uhr
Goto Top
Hallo,

eine eindeutig Antwort wirst du nicht bekommen. Schon alleine deswegen, da auf der "Grundfirewall" mittlerweile auch UTM, SG, NSG, Next-Gen usw aufbauen, aber ggf. als Firewall verkauft werden, damit die Leute eine ungefähre Ahnung haben.

Im Prinzip ist die Cisco Definition nach wie vor auch für die Windows Firewall gültig, aber die Überwacht den durch die Ports gehenden Traffic i.d.R nicht (was auch keine Firewall ist, sondern bereits im obigen Dunstkreis besser definiert wird).

VG
erikro
erikro 03.07.2019 um 15:06:05 Uhr
Goto Top
Moin,

mein Favorit ist die Definition von Lutz Donnerhacke im Firewall-FAQ:

Als Firewall bezeichnet man ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. Ein oft benutztes Instrument der Umsetzung ist ein Stück Hardware, das zwei physisch getrennte Netzbereiche genau so verbindet, wie es im Konzept zugelassen wird. Dieses Stück Hardware bezeichnet man als Firewall-Rechner/System oder verkürzt als Firewall.

Liebe Grüße

Erik
erikro
erikro 03.07.2019 um 15:11:16 Uhr
Goto Top
Moin,

Zitat von @JGA-Attus-IT:
Anderes gilt für eine Hardwarefirewall, da diese eine dedizierte Hardware für den Schutz deines Netzwerkes darstellt.
Sie übernimmt neben den o.g. Portregeln auch Aufgaben wie:

  • IP-Sec Tunnel inkl. sämtlicher Portdefinitionen, Sicherheitsregeln, Verschlüsselungen etc.

Nein, das ist ein VPN-Gateway.

* Portweiterleitungen wie z.B. die Weiterleitung des DNS Eintrages https://www.ichbineinewebseite.de:443 auf die Interne IP-Adresse deines Webservers

Nein, das ist ein Nameserver (Auflösen des Namens in eine IP) und ein Router (routing des auf der öffentlichen IP eingehenden Pakets an die interne IP).

* Die Definition deiner DMZ(s), also der Nicht durch die Firewall geschützten und damit direkt aus dem Internet erreichbaren Netzwerksysteme sowie die gesicherten Weiterleitungen an das interne Netz aus dieser

Nein, das ist keine DMZ. Für eine DMZ braucht man immer zwei Firewalls (auch wenn die oft in einem Gerät realisiert wird): eine zwischen DMZ und trusted net und eine zwischen DMZ und externem Netz. Die DMZ ist auch nicht direkt aus dem Internet erreichbar. Dann wäre es keine DMZ.

Liebe Grüße

Erik
Dilbert-MD
Dilbert-MD 03.07.2019 um 15:38:08 Uhr
Goto Top
Zitat von @erikro:

Moin,

mein Favorit ist die Definition von Lutz Donnerhacke im Firewall-FAQ:

Als Firewall bezeichnet man ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. [...]
Erik

Und dann gibt es noch:
sp_keine_aenderungen

Quelle:
https://www.telekom.de/hilfe/downloads/bedienungsanleitung-speedport-w-9 ...
erikro
erikro 03.07.2019 um 15:59:51 Uhr
Goto Top
Zitat von @Dilbert-MD:

Zitat von @erikro:

Moin,

mein Favorit ist die Definition von Lutz Donnerhacke im Firewall-FAQ:

Als Firewall bezeichnet man ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. [...]
Erik

Und dann gibt es noch:
sp_keine_aenderungen

Quelle:
https://www.telekom.de/hilfe/downloads/bedienungsanleitung-speedport-w-9 ...

Ja nee, is klar. face-wink
ukulele-7
ukulele-7 03.07.2019 um 16:09:41 Uhr
Goto Top
Ich sehe das ganz banal:
Eine Firewall unterbindet unerwünschte Zugriffe, nur eben noch alle. Das fängt an mit Ports, an denen Datenpaket abgewiesen oder sogar verworfen werden, damit ist das System eine Firewall. Das kann umfangreicher werden, das kann sicherer werden, das ist aber dennoch eine Firewall.
St-Andreas
St-Andreas 03.07.2019 um 19:43:57 Uhr
Goto Top
Klare Ansage hier
117471
117471 03.07.2019 um 20:32:33 Uhr
Goto Top
Hallo,

eine Firewall wendet ein definierbares Regelwerk auf Datenpakete an.

Gruß,
Jörg
lcer00
lcer00 03.07.2019 um 21:57:20 Uhr
Goto Top
Hallo,

Provokant gesagt wäre ja jeder Internetrouter bereits eine Firewall, da er üblicherweise nur bestimmte Ports öffnet oder schließt.

Das trifft nicht zu. Ports werden nicht geöffnet oder geschlossen, so wie Fenster in einem Hochhaus. Ports sind Bestandteil des TCP und UDP Protokolls. Die Portnummer steht in jedem TCP und UDP Paket drin. Die Firewall analysiert das Paket und entscheidet anhand eines Definierten Regelwerks, ob das Paket weiterverarbeitet wird oder verworfen wird. Die Weiterverarbeitung kann beim PC ein Dienst wie ein DNS-Server sein, bei einem Router entspricht sie dem Weiterleiten an eine andere Schnittstelle.

Begriffe wie Hardwarefirewall sind aus meiner Sicht pures Marketing. Jede Firewall benötigt Software - außer dem Original - der Brandschutzmauer in Gebäuden.

Die Kisten, die vor 20 Jahren als Hardwarefirewall beworben wurden, leisteten kaum mehr als die integrierte Firewall im heutigen Consumer-Router. Und die gescholtene Windows-Firewall kann auf Applikationsebene filtern. Auch „Appliances“ werden irgendwann durch einen viel fortschrittlicheren Begriff ersetzt.

Halte Dich an möglichst abstrakte Definitionen - siehe oben. Das filtern von Netzwerkverkehr nach Regeln ist ein Stichwort.

Nimmt man das schöne Beispiel des IPoAC wäre der Taubenzüchter, der die Zettelchen den Tauben abnimmt, dann liest und je nach Inhalt entweder wegschmeißt oder der nächsten Taube anknippert die Firewall.


Grüße

lcer
Dilbert-MD
Dilbert-MD 03.07.2019 um 23:08:13 Uhr
Goto Top
Zitat von @Sven157:
Provokant gesagt wäre ja jeder Internetrouter bereits eine Firewall, da er üblicherweise nur bestimmte Ports öffnet oder schließt.

Richtig provokant gesagt, ist die NAT-Funktion im Router schon eine Firewall.
Damit wäre - provokant gesagt - jeder NAT-fähige Router eine Firewall.
Wenn Firmwareupdates installiert werden und die Einstellungen regelmäßig überprüft werden, ist die FW sogar "gepflegt".
certifiedit.net
certifiedit.net 03.07.2019 um 23:15:56 Uhr
Goto Top
Nun mischt du aber gut durch, Appliance ist nichts anderes, als das Stück HW auf dem die FW läuft. Übrigens ist das Wort Appliance breiter gestreut - wenn auch nicht unbedingt auf dem dt. Markt.
St-Andreas
St-Andreas 04.07.2019 um 00:11:07 Uhr
Goto Top
Characteristics

Firewalls either act as a protocol end point and relay (e.g., a SMTP
client/server or a Web proxy agent), as a packet filter, or some
combination of both.

When a firewall acts a protocol end point it may

(1) implement a "safe" subset of the protocol,

(2) perform extensive protocol validity checks,

(3) use an implementation methodology designed to minimize
the likelihood of bugs,

(4) run in an insulated, "safe" environment, or

(5) use some combination of these techniques in tandem.

Firewalls acting as packet filters aren't visible as protocol end
points. The firewall examines each packet and then

(1) passes the packet through to the other side unchanged,

(2) drops the packet entirely, or

(3) handles the packet itself in some way.

Firewalls typically base some of their decisions on IP source and
destination addresses and port numbers. For example, firewalls may

(1) block packets from the Internet side that claim a source
address of a system on the internal network,

(2) block TELNET or RLOGIN connections from the Internet to the
internal network,

(3) block SMTP and FTP connections to the Internet from internal
systems not authorized to send email or move files,

(4) act as an intermediate server in handling SMTP and HTTP
connections in either direction, or

(5) require the use of an access negotiation and encapsulation
protocol such as SOCKS [1] to gain access to the Internet, to
the internal network, or both.

(This list of decision criteria is only intended to illustrate the
sorts of factors firewalls often consider; it is by no means
exhaustive, nor are all firewall products able to perform all the
operations on this list.)
sevphera
sevphera 04.07.2019, aktualisiert am 28.06.2022 um 11:26:48 Uhr
Goto Top
Hi Sven157,

da soviele sich bereits auf viel zu tiefen Ebenen begeben, würde ich zurück zur Begriffsentstehung gehen.
Das Wort "Firewall" sollte die Funktion für eine IT-Komponente beschreiben.

Somit soll "Firewall" eine Netzwerkkomponente (HW+SW / SW) bezeichnen, die durch das hochziehen eines Regelwerks eine Abgrenzung (Mauer) zwischen Bereichen (z.B. Inside / DMZ / Outside) erstellt. Dadurch wird der Verkehr zwischen diesen Bereichen reguliert. Sollte etwas nicht Regelkonfrom sein wird es verworfen (verbrannt - "Fire"Wall).

Ob nun ein Router wie die FRITZ!Box zusätzlich eine primitivere Firewall implementiert spielt dann keine Rolle mehr. Es bleibt weiterhin ein Router, der eben auch eine Firewall on Board mitbringt.
z.B. kann ein Server mit der Bereitstellung von pfsense auch zu einer Firewall werden. - Unabhängig ob ich physische Bereiche trenne (HW-Firewall) oder nur virtuelle Bereiche auf dem Server selbst.

Firewalls haben sich weiterentwickelt und können viel mehr als die aller Erste. - Dadruch verschwimmen manche Funktionstrennungen.

MfG
certifiedit.net
certifiedit.net 04.07.2019 um 08:53:35 Uhr
Goto Top
Guten Morgen,

ich denke die Trennung/Abstraktion zwischen Firewall und HW Firewall ist die falsche. Denn HW Firewall ist insbesondere deswegen vorzuziehen, weil Sie von "unten" (Installationslayer) keine Angriffsoberfläche bietet (theoretisch kann die FIrewall ja schliesslich auch vom Hyper-Visor gekapert werden), während eine HW Firewall eben nur die Beinchen in die Netze hat. Ansonsten trifft die obige Beschreibung (Cisco) nach wie vor gut zu. Allerdings ist das Konzept einer Firewall mittlerweile nur noch erweitert praktikabel. Stichwort was läuft über DNS, NTP etc ins Netz, eine simple Firewall (wie früher üblich, Fritzbox etc) checkt nur den Port (wenn überhaupt, ins. Ausgehend) und nicht welche Pakete(art) darüber geht.

VG

Christian
certifiedit.net
sevphera
sevphera 04.07.2019 aktualisiert um 09:17:06 Uhr
Goto Top
Von deinen Zitaten ist wirklich Cisco die bessere Definition, jedoch mag ich folgende Punkte nicht.

"Eine Firewall ist eine Netzwerksicherheitsvorrichtung, die eingehenden und ausgehenden Netzwerkverkehr überwacht und auf Grundlage einer Reihe von definierten Sicherheitsregeln entscheidet, ob bestimmter Datenverkehr zugelassen oder blockiert wird."

| -vorrichtung | - etwas für einen bestimmten Zweck, für eine bestimmte Funktion [als Hilfsmittel] Hergestelltes; Mechanik, Apparatur o. Ä.
Damit ist Vorrichtung ein schlechter Begriff für eine digitale Komponente.
(Hauptzweck wäre Sicherheit, jedoch auch nur wenn man die Regeln richtig definiert. - Ich habe Firewalls extra im Einsatz die kein Sicherheitsaspekt besitzen sondern nur bestimmte Verbindungstypen regulieren. - Forschungszwecke.)

| eingehenden und ausgehenden | - Welche Seite definiert man als EIN/AUS? Trägt meiner Meinung nach nicht zur wirklichen Funktionsbeschreibung bei. Es sind einfach verschiedene Bereiche.

| überwacht | - Überprüft oder kontrolliert eher. Zur einer Überwachung müsste die Firewall selbstständig im Netz Elemente zur Untersuchung finden. Sie untersucht jedoch nur die Elemente die sie auch bekommt oder über sie weitergeleitet werden soll.

| Reihe | - Passt auch nicht ganz da ich bereits bei einer einzigen Regel ausfiltern kann.
certifiedit.net
certifiedit.net 04.07.2019 um 09:31:30 Uhr
Goto Top
Zitat von @sevphera:

Von deinen Zitaten ist wirklich Cisco die bessere Definition, jedoch mag ich folgende Punkte nicht.

"Eine Firewall ist eine Netzwerksicherheitsvorrichtung, die eingehenden und ausgehenden Netzwerkverkehr überwacht und auf Grundlage einer Reihe von definierten Sicherheitsregeln entscheidet, ob bestimmter Datenverkehr zugelassen oder blockiert wird."

| -vorrichtung | - etwas für einen bestimmten Zweck, für eine bestimmte Funktion [als Hilfsmittel] Hergestelltes; Mechanik, Apparatur o. Ä.
Damit ist Vorrichtung ein schlechter Begriff für eine digitale Komponente.
(Hauptzweck wäre Sicherheit, jedoch auch nur wenn man die Regeln richtig definiert. - Ich habe Firewalls extra im Einsatz die kein Sicherheitsaspekt besitzen sondern nur bestimmte Verbindungstypen regulieren. - Forschungszwecke.)

Siehst du zu verkrampft. Regulation ist auch ein Sicherheitsmechanismus. (Muss einem aber nicht so vorkommen).

| eingehenden und ausgehenden | - Welche Seite definiert man als EIN/AUS? Trägt meiner Meinung nach nicht zur wirklichen Funktionsbeschreibung bei. Es sind einfach verschiedene Bereiche.

Das ist ebenfalls verkrampft, man kann auch bi, tri etc direktional sagen, aber ein aus ist eben kompakt.

| überwacht | - Überprüft oder kontrolliert eher. Zur einer Überwachung müsste die Firewall selbstständig im Netz Elemente zur Untersuchung finden. Sie untersucht jedoch nur die Elemente die sie auch bekommt oder über sie weitergeleitet werden soll.

Nun, eine Polizeistreife, die nur an der Langen Straße patrouilliert überwacht auch nur diese und nicht die in 1km teilparallele kurze Straße.

| Reihe | - Passt auch nicht ganz da ich bereits bei einer einzigen Regel ausfiltern kann.

Auch eine aus einer Zahl bestehende Zahl kann eine Reihe definieren, wenn klar ist, dass diese pot. erweitert werden kann. Außerdem macht eine Firewallregel mit nur einer Definition i.d.R keinen Sinn (any-any), (deny-any), du vergisst ebenfalls, dass kaum eine heutige Firewall nicht bereits einige Regeln im Hintergrund definiert. Nur, weil du die "Reihe" nicht siehst, heisst es nicht, dass diese nicht da ist.
sevphera
sevphera 04.07.2019, aktualisiert am 05.07.2019 um 10:24:04 Uhr
Goto Top
Sehr geehrter certifiedit.net,

Nun, eine Polizeistreife, die nur an der Langen Straße patrouilliert überwacht auch nur diese und nicht die in 1km teilparallele kurze Straße.
Ist eine falsche Gleichsetzung, da sich die Streife im Netz bewegt. Wenn sie auf Ihre Metapher bestehen wäre es die Polizeistation die aufgestellt wird wo Autos durchfahren die kontrolliert werden (Zoll/Sicherheitskontolle am Flughafen). Somit bleibt es eine Kontrolle und keine Überwachung/Monitoring.

Eine Meinung mit subjektiven Begriffen wie "verkrampft" auseinander zu nehmen oder zu bewerten, trägt nicht wirklich viel mehr bei. - Dies entwertet nur die andere Meinung um beispielsweise Ihre Meinung darüber zu stellen.

Mit Ihrer letzten Aussage wollten Sie nun was genau bezwecken? - Einen anderen User als dumm bezeichnen oder nur Ihre Wissensschatz zu zeigen?
Wenn Sie so präzise sein wollen, würde ich mir nochmal die Definition von mathematischen Folgen anschauen. - Da eine Reihe durch Partialsummen anderer Folgen definiert wird.
Heutige Firewalls haben nicht bereits einige Regeln inne, sie generieren erst über eine GUI / Wizard die ersten Regeln um es den Benutzer einfacher zu machen. Solche Vorkonfigurationen nimmt man gerne für CM-Produkte vor. Aber genauso könnte ich Ihnen unterstellen, bis auf die WebUI und einpaar Basisbefehle auf der Shell, noch nie tiefer in ein solches System eingetaucht zu sein.

Ich hoffe man kehrt nun zurück zum Ausgangsbeitrag und trägt hier nur Antworten für die gestellte Frage bei.
Es ist der Beitrag von Sven157 somit geht es hier hauptsächlich um die Hilfe zu seinem Problem und nicht um ein geistiges Duell zwischen Usern.

MfG