Don't call putin a pig. Pigs don't deserve that.

Nyet Vladimir! [Youtube]

Slava Ukraini auf YouTube

Kalush Orchestra - Stefania (Official Video Eurovision 2022) auf YouTube

Oh, roter Schneeball auf der Wiese - Andriy Khlyvnyuk and The Kiffness auf YouTube

Pink Floyd - Hey Hey Rise Up (feat. Andriy Khlyvnyuk of Boombox) auf YouTube

The list of shame

A little lesson in history because it seems to repeat itself in west and east of russia:
The real name of Vladivostok ('Ruler of the East') is 海參崴 / Hǎishēnwǎi.
In reality it is a chinese city, check it's population. Imperialistic russia took it 1860.
If China re-claims it would be much more reasonable than any claim from russia related to Ukraine.

Support Ukraine

Firewalls

... als Brandschutzmauern für Ihre IT

Sicherheit, Firewall oder Brandschutzmauer

Wenn es um das Thema Sicherheit in der elektronischen Datenverarbeitung geht, dann hat sich der Begriff Firewall ohne grössere Erklärung als das Wundermittel in unserem Sprachgebrauch eingenistet. Er wird zwar von vielen Personen benutzt, jedoch können die wenigsten etwas damit anfangen. Selbst den zuständigen Administratoren ist oft nicht klar, dass Sicherheit einiges an Planung und auch im laufenden Betrieb Arbeit erfordert.

Was ist das Ding nun eigentlich?

Auf einen Nenner gebracht, ist es „nichts weiter“ als eine Anordnung von Hard- und Software, welche als Übergang zwischen zwei zu trennenden TCP/IP-Netzen dient, von denen das eine einen höheren Schutzbedarf hat (Quelle: D.Brent Chapman and Elisabeth Zwicky, „Building Internet Firewalls“, O'Reilly & Associates, 1995).

Beim zu schützenden Bereich kann es sich um einen oder mehrere Rechner (internes LAN) handeln. Zusätzlich muss die Firewall nicht nur den gewünschten Bereich sichern, sondern muss auch selbst geschützt sein.

Daraus ergeben sich verschiedene Komponenten, deren Festlegung teilweise schon vor Einsatz einer Firewall sinnvoll und notwendig ist. Unterlässt man die sorgfältige Betrachtung dieser Komponenten, dann kann man trotz installierter und laufender Firewall garantiert nicht von Sicherheit reden!

Im Einzelnen sind zu betrachten bzw. festzulegen

Es ist offensichtlich, dass eine Firewall kein Produkt ist, welches einmal installiert und dann „vergessen“ werden kann.

Eine funktionelle Firewall erfordert ständige Wartung und Pflege, da es immer Sicherheitslücken gibt.

Sicherheitsphilosphie

Grundsätzlich muss der Anwender den Sinn der Sicherheitsrichtlinien verstehen und deren Einhaltung akzeptieren.

Sollte dies nicht gegeben sein, dann macht der Einsatz einer Firewall oft keinen Sinn bzw. verursacht unnötigen Ärger. Dies könnte bis zur Nichtausführung notwendiger Tätigkeiten gehen. Deshalb sollte ein Sicherheitskonzept in Zusammenarbeit mit den Anwendern erstellt werden.

Eine hierfür notwendige Voraussetzung ist die Schutzbedarfsfeststellung.

Was ist zu schützen
Vertraulichkeit, Daten Unbefugter Zugriff auf lokal gespeicherte oder übertragene Daten oder lokale Rechner
Verfügbarkeit Der Angriff auf Verfügbarkeit lokaler Netzkomponenten
Priorisierung des Schutzbedarfs
niedrig Angriff durch zufällige Aktionen muss verhindert werden.
mittel Angriff mit einfachen Mitteln soll abgewehrt werden.
hoch Angriff mit qualifizierten Methoden soll abgewehrt werden. Ein gewisses Restrisiko wird bewusst in Kauf genommen.
sehr hoch Angriff muss verhindert werden. Das Restrisiko ist zu minimieren (eine vollständige Sicherheit ist nicht möglich, hierzu müsste die Konnektivität verhindert werden!).

Die Hardware kann aus entsprechend konfigurierbaren dedizierten Routern oder Rechnern (welche auch als Router fungieren können) bestehen. Auf diesen Routern agiert die eigentliche Firewall-Kompenente in Form von Software.

Bei der Firewall-Software wird bei klassicher Betrachtung ganz grob nach zwei Einsatz-Kriterien unterschieden:

Ein Packet-Filter betrachtet jedes ankommende Packet und vergleicht es mit den erstellten Regeln (die sogenannten firewall rules). Diese Regeln können sowohl einzelne Port-Nummern, Packet-Typen als auch Quell- oder Zieladressen von Packeten beinhalten.

Es wird jedoch immer nur das einzelne Packet betrachtet (die Anwendungsschicht bleibt vollständig aussen vor), so dass eine inhaltsbezogene Sperre oder Kontrolle nicht möglich ist - der Blick auf das Gesamte fehlt.

Filter-basierende Firewalls sind absolut wirkende Sperren. Deshalb muss jeder, der von aussen Zugriff auf den zu schützenden Bereich erhalten soll, Zugriff auf den Server haben.

Die Transparenz („Unsichtbarkeit“) auf Seite des Anwenders ist normalerweise solange gegeben, bis ein Paket abgewiesen wird - der Benutzer merkt im Alltagsbetrieb nichts von der Anwesenheit der Firewall.

Eine Erweiterung der Funktionalität ist im Normalfall durch Hinzufügen neuer Regeln zu bewerkstelligen.

Die Installation ist relativ einfach, es sind jedoch mehrere Punkte zu beachten:

Ein Anwendungs-Gateway hingegen arbeitet auf sogenannter Proxy-Basis.

Ein sehr einfaches Beispiel zur Erklärung des Funktionsprinzips ist der Zugriff mit http bzw. https (Browser) oder SSH (oder Telnet) auf einen Rechner, von dem aus wiederum per http(s), SSH oder Telnet (oder was immer) auf weitere Rechner zugegriffen wird.

Der zuerst angesprochene Rechner fungiert dabei quasi als Vermittlungsrechner oder Puffer (Proxy, nicht zu verwechseln mit Router!). Mit Hilfe eines Proxy-Servers lässt sich dieser Vorgang automatisieren und sehr fein einstellen.

Abhängig von der Sicherheitsphilosophie erfolgt eine Weiterleitung dann, wenn dies erlaubt oder nicht verboten ist.

Richtig spannend wird es ab den sogenannten „Next Generation Firewalls“ (firewall-ng).

Firewalls dieser Generation arbeiten bei entsprechender Leistungsklasse auch mit künstlicher Intelligenz (KI) und werten zusätzlich zu den Regeln das Nutzerverhalten aus. Einerseits sind sie sehr komfortabel und extrem leistungsfähig, das Einstellen des passenden Setups kann jedoch ein aufwändiger Prozess sein.