Firewall

Van Wikipedia

Firewall (letterlijk: "vuurmuur" of "brandmuur"). Dit soort muren (in gebouwen toegepast) dient om te voorkomen dat een brand aan de ene kant van de muur overslaat naar de andere kant. Een brandmuur in een gebouw is te herkennen doordat deze ook boven het dak uit steekt. Bij boerderijen is de muur tussen het woongedeelte en de stallen of hooischuur als brandmuur uitgevoerd. In een brandmuur zijn geen ramen opgenomen en de deuren zijn zelfsluitend en brandwerend uitgevoerd, zie ook branddeur en brandmanchet.

Naar analogie met een brandmuur heeft een firewall in een computernetwerk tot doel te voorkomen dat ongewenst verkeer van de ene netwerkzone terecht komt in een andere, teneinde de veiligheid in de laatstgenoemde te verhogen. Het beschermde netwerk is vaak een intranet of intern netwerk, en dit wordt beschermd tegen het internet. Het ongewenste verkeer bestaat bijvoorbeeld uit aanvallen van hackers en crackers (krakers), computervirussen, spyware, spam en denial of service attacks.

Inhoud 1 Types 1.1 Packet filtering firewall 1.2 Application layer firewall 1.3 Stateless firewall 1.4 Stateful firewall 1.5 Personal firewall 1.5.1 Bekende personal firewalls 1.5.2 Bekende packet filter firewalls 1.5.3 Bekende application layer firewalls 1.6 Network firewall 1.7 Managed firewall 1.8 Trivia

[bewerk] Types

Hoewel er geen eenduidige categorisering bestaat, kunnen firewalls worden ingedeeld op basis van de volgende criteria:

• of het verkeer wordt gescreend in de netwerklaag (packet filtering firewall), of in de applicatielaag (application layer firewall)
• of de firewall de status van een connectie bewaart (stateful firewall), of niet (stateless firewall).
• of de firewall één computer moet beveiligen tegen een netwerk (personal firewall), of een netwerk (network firewall)

[bewerk] Packet filtering firewall

Een packet filtering firewall grijpt in op de netwerklaag van de TCP/IP protocol stack. Aan de hand van een aantal regels bepaalt de firewall of een IP-pakket wordt doorgelaten of tegengehouden. De aspecten van een pakket die hierbij in beschouwing worden genomen zijn bijvoorbeeld de poort waarvoor het pakket bedoeld is (destination port) of het IP adres waar het pakket vandaan komt. Deze regels worden opgesteld door de beheerder of de producent van de firewall.

Een packet filtering firewall houdt enkel rekening met de ip-header van het data pakket. Dit type firewall werkt eenvoudig en snel,maar biedt een minder goede bescherming tegen virussen, spam e.d..

Gebruikers merken maar weinig van hun aanwezigheid.

Een packet filtering firewall kan bijvoorbeeld al het verkeer naar de telnetpoort verbieden. De firewall verbiedt echter niet dat het protocol van telnet op een andere poort gebruikt wordt.

[bewerk] Application layer firewall

Een application layer firewall grijpt in op de applicatielaag van de TCP/IP protocol stack. Voor elk ondersteund protocol bepaalt een stukje software of pakketjes worden tegengehouden of doorgelaten. Dit stukje software kan uit veel meer bestaan dan een aantal simpele regels.

Een application layer firewall kan beter dan een packet filtering firewall beschermen tegen virussen e.d., maar is complexer, omdat elk protocol apart moet worden behandeld. Bovendien kost het bepalen of een pakketje door mag of niet meer resources.

Een voorbeeld van een application layer firewall is een mailserver die op de SMTP-poort luistert, en alle spam filtert.

Application layer firewalls worden meestal geïmplementeerd met behulp van proxy's.

Nadeel: Indien je gebruik maakt van een ander protocol dan TCP/IP, zal deze firewall dit niet herkennen en ben je vrijwel onbeschermd.

[bewerk] Stateless firewall

Een stateless firewall behandelt elk pakketje op zichzelf, de firewall slaat tussentijds geen informatie op van de connecties die over de firewall lopen. Aangezien dit vrij grote beperkingen met zich meebrengt, zijn de meeste firewalls tegenwoordig stateful.

[bewerk] Stateful firewall

Een stateful firewall houdt wel tussentijdse informatie bij van connecties die over de firewall lopen. Hierdoor is de firewall beter in staat onderscheid te maken tussen pakketjes die wel toegestaan en niet toegestaan mogen worden.

Een voorbeeld: het FTP-protocol is zo opgezet dat soms verbindingen op willekeurige poorten nodig zijn. Als een stateless firewall FTP moet toestaan, dan zal daartoe verkeer op alle poorten moeten worden toegestaan. Een stateful firewall kan volstaan met het tijdelijk openen van de poort waarover de FTP sessie plaatsvindt.

Tegenwoordige packet filtering firewalls zijn stateful.

[bewerk] Personal firewall

Een personal firewall is een packet filtering firewall die op de computer draait die, als enige, beschermd dient te worden.

[bewerk] Bekende personal firewalls

• ZoneAlarm: veel gebruikte persoonlijke firewall
• Norton Personal Firewall: vaak gebundeld met Norton Internet Security / Norton Antivirus
• Sygate Personal Firewall: eveneens een veel gebruikte persoonlijke firewall
• Norman Personal Firewall: vast onderdeel van alle pakketten met Norman Virus Control.

[bewerk] Bekende packet filter firewalls

• Juniper Netscreen: Juniper Netscreen Series
• Cisco Pix : Link naar Pix 500 series

[bewerk] Bekende application layer firewalls

• ISA Microsoft ISA (Internet Security and Acceleration) Server

[bewerk] Network firewall

Een network firewall bestaat uit een aparte computer die twee of meer netwerken scheidt. Soms is er nog sprake van een 'niemandsland' (DMZ), waarin zich computers bevinden die wat minder beveiliging nodig hebben dan de computers in het beschermde netwerk. Webservers zullen bijvoorbeeld vaak in een DMZ aangetroffen worden.

In grote netwerken en organisaties is het beheer van een firewall een complete dagtaak voor specialisten.

[bewerk] Managed firewall

Een managed firewall (een beheerde firewall) wordt steeds vaker toegepast in bedrijven die niet zelf genoeg kennis hebben van beveiliging van netwerken. Een managed firewall is een service die bestaat uit het fysiek installeren van een firewall in een netwerk met daarnaast het geheel aan onderhoud en configuratie van de firewall volledig op afstand door een bedrijf dat daarin gespescialiseerd is [1]

[bewerk] Trivia

In Duitse theaters werd vroeger een brandscherm verplicht gebruikt als afscheiding tussen podium en zaal. De vaak brandbare decorstukken konden een vlammenzee overbrengen naar de zaal, bij een ongelukje. De door Churchill gebezigde term IJzeren gordijn is hier indirect van afgeleid.