Doch schon die zweite Bestimmung hat es in sich: Es sollen sowohl ein Mail-, als auch ein Web-Server aufgesetzt werden Beide Server kommen in eine sogenannte demilitarisierte Zone (DMZ). Eine DMZ ist ein separates Netzwerk für Rechner, die nicht vertrauenswürdig sind. Dies sind in der Regel Maschinen, die direkt mit dem Internet verbunden sind und deshalb einem Hackerangriff zum Opfer fallen könnten. Um die internen Rechner zu schützen, wird sämtlicher Traffic von der DMZ in das interne LAN unterbunden. (Weitere Informationen zum Thema DMZ finden Sie hier.)
Regel drei wird wie folgt umgesetzt: Die einzigen Daten, die vom Internet direkt ins interne LAN gehen, entstehen durch Fernwartung. Die jeweiligen Admins brauchen den Fernzugriff auf die von ihnen betreuten Systeme. Dafür wird der Dienst SSH eingerichtet, mit dessen Hilfe sich die Admins ins LAN einloggen können.
Ein weiterer Punkt kommt noch hinzu: DNS (Domain Name Service). Obwohl in den Sicherheitsbestimmungen nicht ausdrücklich erwähnt, müssen wir diesen Dienst anbieten. Aus Sicherheitsgründen wird Split-DNS implementiert. Split-DNS bedeutet, dass DNS-Anfragen auf zwei verschieden Server verteilt werden. Der externe Server befindet sich in der DMZ und hat die Aufgabe Anfragen aus dem Internet zu beantworten. Der interne DNS-Server befindet sich im LAN und beantwortet alle Anfragen der Nutzer im LAN. Der Vorteil dieser Architektur: Da der interne DNS-Server Informationen enthält, mit denen ein Hacker sich einen Überblick über das interne Netzwerk verschaffen kann, muß er gut geschützt sein, dies wird durch die Platzierung im LAN erreicht.
Diese Architektur wird jetzt in den Regelsatz für die Firewall umgesetzt. Sieht einfach aus, ist es aber nicht. Insgesamt elf Regeln werden gebraucht, um diese einfachen Sicherheitsbestimmungen auf Netzwerkebene durchzusetzen.
Anordnung der Regeln
Die Abfolge der einzelnen Regeln ist von entscheidender Bedeutung. Dieselben Regeln, nur in unterschiedlicher Reihenfolge, kann die Arbeitsweise Ihrer Firewall radikal verändern. Viele Firewalls (beispielsweise SunScreen EFS, Cisco IOS und FW-1) arbeiten die Regeln von oben nach unten ab. Sobald die Firewall ein Datenpaket empfängt, checkt Sie dieses Paket gegen die erste Regel, dann die gegen die zweite und dritte, bis sie an eine Regel kommt, die passt. Damit ist für die Firewall die Arbeit zu Ende, die Regel wird auf das Paket angewendet und alle folgenden Regeln werden nicht weiter beachtet. Sollte keine Regel zur Anwendung kommen, so verwirft die Firewall das Paket.
Es wird also nicht die Regel auf das Paket angewendet, die am besten passt, sondern die Regel, die als erste passt. Es ist deshalb wichtig, dass die spezifischen Regelen oben stehen, gefolgt von den allgemeinen Regeln. Damit sorgen Sie dafür, dass eine allgemeine Regel zur Anwendung kommt, obwohl eine spezielle Regel angemessener gewesen wäre.
Neueste Kommentare
Noch keine Kommentare zu Firewall konfigurieren: Perfekt geregelt!
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.