[Lerran]

Hallo zusammen,

ich habe eine generelle Frage zur Funktionalität einer Firewall (egal ob Windows oder Linux, etc.).

So wie ich das verstehe ist eine Firewall nur dazu da um Ports zu schließen oder zu öffnen, richtig?
Wenn ich jetzt aber einen Port offen habe (z. B. SSH), dann ist der ja wirklich offen für jeden sozusagen oder prüft die Firewall dann schon wer dort reinkommt?
Welchen Nutzen hätte denn dann die Firewall in so einem Fall?

Danke fürs Aufklären

[Lookbehind]

Die Firewall öffnet den Port nicht. Das macht das Programm, welches auf diesem Port lauscht (oder eben auch nicht). Um bei deinem Beispiel zu bleiben also der SSH-Server. Die Firewall kann dann aber den Datenverkehr zu dem Port blockieren, oder einfach durch lassen (oder umleiten, oder sonstige schräge Dinge damit tun, aber da sind wir dann schon im erweiterten Netzwerk-Bereich).

Wenn du also einfach nur entweder die Möglichkeit haben möchtest, auf den Server-Dienst zu zu greifen, oder nicht. Dann ist eine Firewall relativ überflüssig. Da ist es dann in der Regel einfacher den Server-Dienst einfach ab zu schalten, dann kann sich da auch keiner drauf verbinden. ... oder du machst ihn an, dann kann jeder drauf. (Zumindest aus Sicht der Netzwerk-Verbindung. Ob der SSH-Server dann auch jeden rein lässt, ist noch mal ein anderes Thema. Aber die Datenpakete erreichen ihn immerhin.)

Interessant wird es, wenn dein Setup komplizierter wird. Du möchtest z.B. den Zugriff auf deinen SSH-Server nur von bestimmten IP-Adressen erlauben. Wichtig hier ist zu verstehen, dass die Firewall das nur auf Basis der Netzwerk-Schicht entscheidet. Sprich sie kann die Entscheidung: "durch lassen oder blockieren" nur auf Basis der Netzwerk-Informationen entscheiden. Was ist die Absender-IP, was ist der Absender-Port, auf welchem Netzwerk-Interface kommt die Anfrage rein, ggf welche MAC-Adresse hat der Absender (wenns ein Layer2-Netz ist), was ist der Zielport, was für ein Paket-Typ ist das, welches Protokoll (TCP/UDP/ICMP/...) etc. pp.
Die Firewall kann aber NICHT in die Pakete rein schauen (naja, da gibts auch DPI ... ach, wir bleiben mal klassisch, sonst wird das hier echt kompliziert). Heißt sie kann z.B. nicht anhand des angegebenen Benutzernamens für die SSH-Verbindung entscheiden. DAS muss dann der SSH-Server selbst machen.

Beispiel aus der Praxis:
Ich hab bei mir zuhause nicht ein Netzwerk, sondern gleich vier (je nach Zählweise auch sechs ... anderes Thema). Die habe ich nach Funktion aufgeteilt. Ich habe mein normales LAN, in dem die PCs, Laptops, etc zuhause sind. Ich habe ein Gast-Netz für Geräte die nicht zu meinem Haushalt gehören. Ich habe ein IoT-Netz für all die kleinen IoT-Geräte, Drucker, etc.. Und ein Netz für meine Server-Systeme.

Jetzt möchte ich z.B., dass das Gast-Netz auf das Internet zugreifen kann, auf ausgewählte IoT-Geräte und ein paar ausgewählte Server-Dienste. Aber nicht auf mein LAN und auch nicht auf alle Server oder IoT-Geräte. Das LAN soll aber auf alles zugreifen können (außer das Gast-Netz). Gleichzeitig, soll das IoT-Netz nicht aufs Internet zugreifen können und von sich aus auch auf keins der anderen Netze. Einzige Ausnahme sind bestimmte IoT-Geräte die auf einen ganz bestimmten Server-Dienst zugreifen dürfen.

In so einem Setup, wird die Firewall dann wichtig. Hier geht es nicht mehr darum, ist ein einzelner Dienst generell verfügbar oder nicht, sondern auch die Frage: Von wo kommt die Anfrage und wo geht sie hin?


Für normale Desktop-Systeme ... nun, da ist das Setup in der Regel nicht so kompliziert. Da genügt in der Regel die Frage "soll der Dienst überhaupt laufen, oder nicht?".

[foobar]

Wie ich dir bereits nebenan gesagt hatte: Eine Firewall ist ein Konzept, kein Programm. Was man (leider) heutzutage häufig Firewall nennt, ist eigentlich ein Paketfilter. Der kann ein Teil einer Firewall sein – oder aber auch nicht. Das Problem ist, dass „Firewall” halt cool klingt und deshalb vor Jahren jeder Marketing-Heini anfing, seine Paketfilter (seien sie in Hard- oder in Software gegossen) Firewall zu nennen. So wie heutzutage jeder Online-Speicher und jede Remote-Mietsoftware irgendwas mit „Cloud” im Namen haben muss, wenn man sie verkauft bekommen will.

Ich nehme mal an, dass du dich mit deiner Frage auf den Paketfilter beziehst, nicht auf das generelle Konzept. Und in dem Fall hilft halt unheimlich, das Marketing-Blahblah auszublenden und die Dinge danach zu benennen, was sie sind. Mit einem „Fernseher” kann man ferne Dinge sehen, das „Automobil” fährt aus eigener Kraft (ohne Pferde), das „Telefon” überträgt Klang in die Ferne und der Paketfilter... filtert Pakete.

Ein Paketfilter guckt sich jedes Datenpaket an und entscheidet dann nach vom Benutzer festgelegten Regeln, was damit passieren soll. Er kann sie durchlassen, abweisen, verwerfen, umschreiben und so weiter. Wenn ich jetzt z.B. meinen Server von außen per SSH erreichbar machen will, dann nimmt der erst mal Anfragen aus dem ganzen Internet an. Jetzt könnte ich mir sagen: Normalerweise will ich ja eigentlich nur innerhalb Deutschlands auf die Kiste zugreifen. Von der Arbeit, bei Kundenbesuchen, bei Freunden und Kumpels, etc. Also könnte ich z.B. dem Paketfilter sagen: „Wenn ein Paket auf 22/tcp (das ist SSH) eingeht, schaue auf die Absender-IP. Kommt sie aus einem IP-Bereich, der Asien, Afrika, Nord- und Südamerika usw. zugewiesen ist, dann kannst du es gleich verwerfen, ohne es überhaupt an den SSH-Dienst zuzustellen.” Das kann ggf. eine sinnvolle Maßnahme sein, um das Risiko ein wenig zu reduzieren. Und dann muss ich nur aufpassen, dass ich das ggf. lockere, wenn ich mal in den Urlaub fliege. Das ist natürlich für sich genommen kein 100%iger Schutz gegen alle denkbaren Angriffe, kann aber eben Teil eines Sicherheitskonzepts sein.

Ein Bereich, in dem praktisch jeder Nutzer einen Paketfilter benutzt (häufig ohne es zu merken) ist beim NAT (Network Address Translation, auch IP-Masquerading genannt). Du kriegst ja von deinem Internet-Provider bestenfalls nur eine einzige öffentliche IPv4-Adresse zugewiesen. Aber hinter deinem Router hängt vermutlich mehr als ein Gerät. Da ist der PC, der Laptop, das Smartphone, der smarte Fernseher, die Xbox (oder Playstation) und so weiter. Aber die können nicht alle die gleiche IP-Adresse kriegen. Jede öffentliche Adresse muss weltweit eindeutig pro Gerät (genauer: pro Interface) sein. Und wie löst dein Router das Problem? Mit NAT. Die Geräte in deinem LAN kriegen IP-Adressen aus einem privaten Bereich (der im Internet nicht gültig ist). Schickt dann z.B. deine Xbox ein Paket an einen Microsoft-Server, um da nach Updates zu gucken, trägt sie erst einmal ihre interne, im Internet ungültige IP-Adresse als Absender ein. Der im Router eingebaute Paketfilter fängt es aber ab, schreibt seine eigene öffentliche und gültige IP als Absender rein und lässt es dann durch. Gleichzeitig notiert er sich in einer Tabelle, was er umgeschrieben hat. Der Microsoft-Server empfängt das Paket und schickt seine Antwort an den Absender, der im Paket stand. Der Empfänger ist also erstmal dein Router. Der guckt in seiner Tabelle nach, ersetzt die Empfängeradresse durch die der Xbox und leitet das Paket weiter. Nun kriegt die Xbox ein Paket, das vom Microsoft-Server stammt und an sie adressiert ist und kriegt gar nicht mit, dass sie trotz ungültiger Adresse mit dem Internet redet. Das Verfahren ist nicht perfekt und hat gewisse Schwächen, aber es funktioniert gut genug, das es kaum einer bemerkt. Das hat nichts mit Sicherheit zu tun, ist aber trotzdem ein Einsatzzweck eines Paketfilter (aka Firewall). Wer sich seinen Router selber baut (z.B. aus einer Linux-Maschine), der muss auch den Paketfilter entsprechend manuell einrichten, wenn er NAT haben will.

[Lerran]

Vielen Dank an euch beiden auch für die guten Beispiele!

Was man (leider) heutzutage häufig Firewall nennt, ist eigentlich ein Paketfilter. Der kann ein Teil einer Firewall sein – oder aber auch nicht.

Als Beispiel habe ich mir die Windows Firewall oder Gufw gedacht – wenn das der Paketfilter ist, dann ja, habe ich das gemeint ^^
Was gibt es denn sonst noch unter dem Begriff "Firewall"?

[foobar]

Was gibt es denn sonst noch unter dem Begriff "Firewall"?

Im ursprünglichen Wortsinne bezeichnet es eine Brandschutzmauer (auch Brandwand oder Brandmauer) genannt. Dann halt in der IT das abstrakte Konzept, von dem ich sprach. Und es gibt auch Hardware, die sich Firewall nennt. Das ist dann im Prinzip ein Paketfilter, der auf einen eigenen Rechner ausgelagert wurde. Zum Beispiel dieses Schnäppchen. Die kann man z.B. einsetzen, weil man sie aus Sicherheitsgründen gerne von der restlichen Software auf dem „normalen” Rechner isoliert haben möchte. Und/oder weil man so viel Traffic zu filtern hat, dass dedizierte Hardware einfach nicht zu vermeiden ist.

[Lerran]

Im ursprünglichen Wortsinne bezeichnet es eine Brandschutzmauer (auch Brandwand oder Brandmauer) genannt. Dann halt in der IT das abstrakte Konzept, von dem ich sprach. Und es gibt auch Hardware, die sich Firewall nennt. Das ist dann im Prinzip ein Paketfilter, der auf einen eigenen Rechner ausgelagert wurde. Zum Beispiel dieses Schnäppchen. Die kann man z.B. einsetzen, weil man sie aus Sicherheitsgründen gerne von der restlichen Software auf dem „normalen” Rechner isoliert haben möchte. Und/oder weil man so viel Traffic zu filtern hat, dass dedizierte Hardware einfach nicht zu vermeiden ist.

Ah verstehe, vielen Dank
Das ist ja ein nettes Gerät. Und immerhin, versandkostenfrei