Facharbeit - Personal Firewall

#1 Hi,

vielleicht kann mir hier jemand helfen. Ich möchte gern eine Facharbeit (Gymnasium) über personal Firewalls schreiben. Jetzt habe ich im Internet und in Büchern schon nach Infos gesucht, jetzt habe ich noch Probleme bei der Gliederung, besonders bei den Funktionen. Bis jetzt habe ich 1. Paketfilterung und 2. (so habe ich es im Internet gefunden) Sandboxing, damit war die Überwachung der Daten in Richtung Client - Server gemeint. Könnte mir jemand bei der Gliederung Verbesserungsvorschläge machen? Ich glaube nicht, das das schon alles war, welche wichtigen Funktionen gilt es noch zu nennen?

Vielen, Vielen Dank

mfg
Mirko

#2 Na das hatten wir doch schonmal:
http://board.protecus.de/t4115.htm
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Ja, diesen Artikel habe ich auch schon gelesen, aber dort wir auf alle Firewallkonzeptionen eingegangen. Ich glaube z.B. Stateful Inspection gibt es bei einer personal Firewall nicht??? Deshalb hatte ich gefragt, welche Funktionen speziell bei einer personal FW erwähnenswert sind.

Übrigens haben mir die dort angegebenen Quellen schon gut weitergeholfen.

mfg

#4 Stateful => der Zustand eine Verbindung wird erkannt.
D.h der Paketfilter ist in der Lage Daten aus dem TCP-Header auszuwerten.
Dies wären
- Sequenznummer, Bestätigungsnummer
- Ziel-/Quellport
- Flags (Syn, Ack, Psh, RST, FIN, URG)

Ich bin der Ansicht, dass eine "Desktop-Firewall" (möglicherweise nicht jede)
dieses Daten auswerten kann. Wie sollte sie sonst erkennen, welcher Port von außen angesprochen wird, oder auf welchem Port eine Applikation Daten versenden will ?
Manche Firewalls geben in ihren Meldungen auch den Hinweis aus, ob es sich um eine Verbindungsanfrage oder eine (unsinnige) Bestätigung handelt.
Demnach ist eine "Desktop-Firewall" für mich ein zustandsorientierter Paketfilter.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5

Zitat

Ich glaube z.B. Stateful Inspection gibt es bei einer personal Firewall nicht???

Wie Joschi sagt SPI kann sehr wohl auch in einer PFW implementiert sein.
Falls ich mich recht erinnere kann das z.B. auch die Visnetic FW (Nachfolger der Conceal Signal9)

Gruß
Ajax

#6 Also ermöglicht Stateful Inspection erst den Paketfilter? Dann müßte man den diese Funktion unter dem Punkt Paketfilter erklären.

mfg
Mirko

#7 Stateful Inspection ist ein erweiterter Bestandteil des Paketfilters einer Firewall.

Deja vu Das Thema hatten wir ja bereits des öfteren.Habe jetzt sogar einen noch älteren Link gefunden.

Robert hat eigens dafür einen Beitrag geschrieben der dir behilflich sein wird es besser zu verstehen.

Gruß
Ajax

#8 Ein Paketfilter ist eigentlich ein Aschenputtel - gutes Pakt darf durch, schlechtes Paket muß direkt zu dev0. Da wird als Kriterium der Port genommen.
Stateful Insprection hingegen kann hingegen in das Paket hineinsehen und feststellen, daß es sich wirklich um ein POP3 Paket handelt, welches da über Port 110 kommt. Somit kann ich vorbeugen, daß Verkehr über freie Ports getunnelt wird.

Meiner Meinung mach verdient der Punkt einen eigenen Abschnitt, da es sich dabei um eine neue Qualität in der Filterung handelt.

Robert

PS: Es gilt da zwischen Inspection und Filterung zu unterscheiden!! Siehe dazu auch meinen Beitrag. Noch Fragen? Dann her damit!
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Hallo nochmal,

ich habe mich erstmal für diese Gliederung entschieden.

1. Sicherheitskonzepte
2. Definition des Begriffs „Firewall“
3. Komponenten/Bestandteile
1. Paketfilterung oder Stateful Filtering (?)
2. Stateful Packet Inspection
3. Sandboxing (?)
4. Grenzen einer Firewall (Virenscanner, ...)
5. ...
6. Fazit

Wenn ich Fehler gemacht habe oder etwas vergessen habe, währe es nett wenn mir das jemand schreibt. Dort wo die Fragezeichen stehen, bin ich außerdem nicht ganz sicher, ob ich das richtig bezeichnet habe.



Ich habe noch eine kleine Frage: Wo bekomme ich eine Übersicht über Features von verschiedenen (personal/desktop) Firewalls her (auch Freeware)??? Am besten gleich tabellarisch.

Vielen Dank.

mfg mirko

#10 hallo mirko11a

das ist ja ein super interessantes Thema.
Stellst du die Facharbeit ins Netz, wenn sie fertig ist ?
Da würd´ich sogar meinen Webspace anbieten, wenn Du selber keinen hast.

Wenn du links zur Konfiguration von firewalls suchst, kann ich ein par raussuchen, aber ich glaube fast, das würde den Rahmen deiner Arbeit sprengen.

Über Features von Unix und Linux basierten firewalls (z. B iptables ipchains ipfw) kannst du dich in Linux- und FreeBSD-, Open BSD-, Darwin- und ähnlichenForen informieren.
Du kannst auch mal mit Kombinationen aus folgenden Begriffen "googeln"
- ipfw
- ipchains
- iptables
kombiniert mit
- man, Manual oder Handbuch/Handbook
- Anleitung, Tutorial, Einführung
- Definition

Viel Erfolg
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)

#11 http://security.hoffie.net/pfw01.html

#12

Zitat

doenertier78 postete
http://security.hoffie.net/pfw01.html

also da steht ja schon einiges an Schwachfug drin.
Zumal die Begriffe wie Softwarefirewall und Personal Firewall wild durcheinender gewürfelt wurden
Zu guter letzt wird NAT auch noch als "Firewall" im Router bezeichne *äääächz*
Einige Beispiele.

Zitat

Das Problem dabei ist, dass man PFWs (Personal Firewalls) mit manipulierten Packeten einfach von außen "abschießen" (-> beenden) kann

... sofern sie nicht (wie zB die ipfw, die ganz sicher eine Softwarefirewall ist) in den Kernel bzw. kernelextensions einkompiliert ist

Zitat

... da im Internet jedes empfangene Datenpacket in der Regel bestätigt wird.

... sofern es sich um ein tcp Packet handelt - und selbst da wird bei Weitem nicht jedes einzelne Paket quittiert.

Zitat

Ein weiteres Problem des Stealth Modus ist, dass er das Internet (genauer: den Traffic) belastet, da der anfragende Rechner denkt, weil keine Bestätigung des zuvor gesendeten Packets angekommen ist, dass das Packet verloren gegangen ist und sendet es erneut. So wird das Internet unnötig belastet.

erstens ein Widerspruch zur vorigen Aussage
und zweitens Schachfug im Gallopp, denn wenn bei einer TCP Connection kein ACK - SYN_ACK - SYN_ACK - ESTABLISHED abgelaufen ist, dann ist noch gar keine bestätigte Verbindung eingerichtet.
Abgesehen davon, die paar Pakete bringen doch das Internet nicht zum Erliegen *ggg*

Zitat

... jeden "Ping" (entspricht dem Anklopfen an einer Haustür) als Angriff melden.

Also meine macht das nicht
Wenn ich keine pings durchlassen will, dann block ich die halt und gut ist.

Im großen Ganzen besteht der Artikel IMHO aus einigen Halbwahrheiten und viel Stuss - sorry
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)