Linux Firewalls Teil 3 – Firewalls im Lauf der Zeit

in steemstem •  last month

(html comment removed: [if gte mso 9]> Normal 0 21 false false false DE X-NONE X-NONE MicrosoftInternetExplorer4 <![endif])(html comment removed: [if gte mso 9]> <![endif])(html comment removed: [if gte mso 10]> <![endif])(html comment removed: [if gte mso 9]> <![endif])(html comment removed: [if gte mso 9]> <![endif])


Nachdem der Morris-Wurm zeigte welcher Schaden an ungeschützten Systemen verursacht werden kann, wurde mit der Entwicklung von Firewalls begonnen. In diesem Artikel wird deren Entwicklung bis heute beachtet. Die genaue Funktionsweise von Proxys und Paketfiltern werden in späteren Artikeln behandelt, da es an dieser Stelle den Rahmen sprengen würde.

___

Router und Broadcaststürme

Bereits sehr früh gab es eine sehr einfache Form von Firewalls, es waren Router die Broadcaststürme verhindern sollten. Frühe Protokolle nutzten Broadcast-Pakete zur Kommunikation. Broadcast-Pakete sind Pakete die an alle Teilnehmer eines Netzwerkes geschickt werden und von diesen Entgegengenommen werden. In größeren Netzwerken kann durch eine Fehlkonfiguration ein Großteil der Kapazität beansprucht werden. Um zu verhindern, dass so auch andere Netzwerke negativ beeinflusst werden, wurden Router als Firewall eingesetzt. Heute finden Broadcastpakete noch im IPv4 Protokoll Verwendung um unbekannte IP-Adressen zu erreichen.

___

DEC und AT&T beginnen mit der Arbeit

DEC und AT&T begannen Anfang der neunziger Jahre Zeitgleich mit der Entwicklung verschiedener Firewalls. Andere Akteure entwickelten ebenfalls Firewalls, jedoch wurde die Grundlagenarbeit von diesen beiden Firmen geleistet.

- Entwicklung bei DEC:

Paul Vixen und Brain Reid entwickelten die erste Firewall gatekeeper.dec.com. Diese Firewall verlangte von ihren Nutzern das sie sich über eine Kombination aus telnet und ftp anmelden mussten, damit diese auf das Internet zugreifen konnten.

 

Zeitgleich arbeiteten in einer anderen Abteilung Marcus J. Ranum und Frederick Avolio an einer Firewall ohne Anmeldezwang. Zu diesem Zweck wurde der erste Proxy entwickelt. Dieser wurde 1991 unter dem Namen DEC-SEAL(Securtiy External Access Link) an einen großen Chemiekonzern verkauft.

 

Aufbau:


- Gatekeeper:  Der Gatekeeper darf als einziger Part des Systems mit dem Internet kommunizieren. Er verfügte per Proxy über Zugänge die  telnet, E-Mail, ftp, News, Whois, X ermöglichten.

- Gate: Das Gate ist ein Paketfilter der den internen Zugriff auf den Gatekeeper überwacht

DEC-SEAL wurde später zur Alta-Vista-Firewall weiterentwickelt.

Frederick Avolio und Marcus Ranum wechselten später zu Trust Information Systems(TIS) und entwickelten dort das TIS FWTK(TIS Firewall Toolkit). 1998 wurde TIS durch NAI gekauft und das TIS FWTK unter dem Namen Gauntlet kommerziell vermarktet.

- Entwicklung bei AT&T:

William R. Cheswick und Steven M. Bellovin entwickelten bei Bell Labs eine erste Firewall mit Circuit-Relay-Proxy. Dieser Proxy ist der Vorgänger des SOCKS-Protokolls und SOCKS-Proxy. Diese wurde als Raptor Eagle vermarktet.

Check Point

An dieser Stelle sollte man Check Point erwähnen. Dieser verfügte bereits von Anfang an über einen Paketfilter mit einfach zu administrierender grafischer Oberfläche. Dieser erlaubte ebenfalls bereits eine Überwachung des TCP und konnte die Richtung der Pakete bestimmen.

Fazit zu frühen Firewalls

Die ersten Firewalls setzten immer auf Proxys. Diese sind heute noch sinnvoll, da bei bestimmten Protokollen so heute noch Viren und unerwünschte Inhalte gefiltert werden können. Sie waren jedoch für ihre Zeit ausreichend.

___

Firewalls heute

Heute wird Standartmäßig eine Mischung aus Proxy und Paketfilter verwendet. Reine Proxy-Firewalls bieten heute keinen ausreichenden Schutz mehr, da bestimmte Protokolle wie z.B. IPsec(VPN) durch ihre Natur diese unbrauchbar machen. Ein weiterer Grund auf Proxys zu verzichten ist die Drosselung des Traffic, ab einer bestimmten Datenmenge schafft ein Proxy den Datendurchfluss nicht mehr in einem annehmbaren Zeitraum und es wird darauf verzichtet. In diesen Fällen wird nur auf einen Paketfilter gesetzt, welcher jedoch keinen Schutz vor Viren und ähnlichem bietet. Aus diesem Grund sind Proxys im normallfall Notwendig um das eigene System zu schützen.

___

Im nächsten Teil der Reihe gehen wir näher auf die technischen Aspekte der Bauteile einer Firewall ein.

___

Quelle:

- Ralf Spenneberg – Linux-Firewalls, Sicherheit für Linux-Server und –Netzwerke mit IPv4 und IPv6 2 Auflage

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  




This post has been voted on by the SteemSTEM curation team and voting trail in collaboration with @curie.

If you appreciate the work we are doing then consider voting both projects for witness by selecting stem.witness and curie!

For additional information please join us on the SteemSTEM discord and to get to know the rest of the community!