Re: Sicherheitskonzept vs. Firewall
- From: Oliver Schad <o.schad@xxxxxx>
- Date: Sat, 18 Feb 2006 19:03:23 +0100
schweiger1984@xxxxxx schrieb:
Das Prinzip der Paketfilterung ist einfach. Applikationen auf
Computern kommunizieren über so genannte Ports miteinander.
Nein und ja. Das Konzept des Ports ist abstrakter, als es bei TCP oder
UDP oftmals von vielen verstanden wird. Nimmt man den Begriff "Port"
von TCP und UDP losgelöst, dann hast du (beinahe) Recht.
Applikationen kommunizieren über Netzwerke mittels Paketen, die auf
Grundlage von Protokollen, also Vereinbarungen über Aussehen der
Datenpakete und Ablauf der Kommunikation, erstellt werden. Viel mehr
kann man gar nicht sagen.
Ein Port ist ein Dienstzugangspunkt, adressiert also auf einer
bestimmten Schicht einen Dienst, wobei ein Dienst keine Applikation
aus Anwendersicht sein muss, sondern abstrakt als ein System
angesehen werden muss, was die Nutzdaten, die zusätzlich zu den
Protokolldaten verschickt wurden, verarbeiten kann.
Eine Applikation kann natürlich mit einer entfernten Applikation reden
und dazu muss eine eindeutige Adressierung möglich sein. Der Port
einer Anwendung muss aber nicht auf Schicht 4 des
OSI-Schichtenmodells liegen, darüber könnte beispielsweise noch HTTP
und SOAP liegen.
Zurück zu deinem Satz: Mit einem Port im Protokoll UDP oder TCP kann
man einen Dienst auf einer bestimmten Schicht eindeutig adressieren
und weil diese Adressierung möglich ist, kann man Daten an einen
Dienst schicken.
Man kommuniziert aber nicht über Ports, das wäre so, als würde man
sagen, dass Menschen mittels Namen miteinander kommunizieren oder
dass Menschen über Telefonnummern mit anderen reden.
Ein bessere Formulierung wäre daher, dass Kommunikation von
Anwendungen über Internet mittels Datenpaketen stattfindet. Um
Anwendungen adressieren zu können, gibt es in den Protokollen UDP und
TCP, die in der Regel zur Kommunikation von Anwendungen über Netze
benutzt werden, Ports.
Für einen TCP-/UDP-Port kann sich eine Anwendung auf einem Computer
bei seinem Betriebssystem registrieren und erhält dann alle Daten,
die an diesen Port geschickt werden (oder besser diesen Port
adressieren), was nichts anderes heißt, dass an einer bestimmten
Stelle im empfangenen Datenpaket die Portnummer drin stehen muss, für
die sich die Anwendung beim Betriebssystem registriert hat.
Möchte
man nicht, dass bestimmte Applikationen die Möglichkeit haben,
Informationen aus dem Netzwerk zu bekommen bzw. Informationen in das
Netzwerk zu schicken, schiebt man den Ports, die von den betroffenen
Applikationen zur Kommunikation genutzt werden, einen Riegel vor.
Nein, richtiger wäre, dass man Kommunikation filtern muss. Dabei
werden bei Paketfiltern Pakete gefiltert, weil Internet ein
paketbasiertes Netz ist.
Gefiltert wird auf den Protokolldaten der Schichten 3 und 4 OSI und
auf Zustände.
Ein Paketfilter ist aber nur *eine* Möglichkeit eine Firewall zu
implementieren. Eine Firewall ist ein Konzept zur Trennung von
Netzen, also könnte auch ein HTTP-Proxy eine Firewall-Implementierung
sein.
Um eine Firewall sinnvoll implementieren zu können, muss man die
Gesamtheit der über diesen Netzübergang abzuwickelnden Kommunikation
erfassen und verstehen - nicht nur hinsichtlich der Funktion, sondern
auch hinsichtlich der Sicherheitsrisiken.
Wer ohne Protokollkenntnisse Paketfilter aufsetzt, hinterlässt in der
Regel entweder einen kaputten Netzübergang oder aber reißt riesen
Löcher auf, wobei das "oder" logisch zu verstehen ist.
mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
.
- Follow-Ups:
- Re: Sicherheitskonzept vs. Firewall
- From: nuki
- Re: Sicherheitskonzept vs. Firewall
- References:
- Sicherheitskonzept vs. Firewall
- From: schweiger1984
- Sicherheitskonzept vs. Firewall
- Prev by Date: Re: Unbekannte Verbindung zu safe.w2kserver1.com
- Next by Date: Re: wie kann ich Norton Antivirus beenden?
- Previous by thread: Re: Sicherheitskonzept vs. Firewall
- Next by thread: Re: Sicherheitskonzept vs. Firewall
- Index(es):
Relevant Pages
|
