Firewalls im Unternehmenseinsatz
Sie sparen 15% gegenüber der Buchausgabe!
Buchausgabe: 46,00€
Download-Version: 39,10€
(Preis inkl. Mwst. )
| Autor(en): | Jörg Fritsch, Steffen Gundel |
| Verlag: | dpunkt.verlag |
| Version: | 2. Auflage, 2005 |
| Umfang: | 368 Seiten |
| Format: | PDF: 6,72MB |
| Gewicht: | 604 g |
| ISBN: | 3898643220 |
| Bestell-Nr.: | 89864322P |
| Artikeltyp: | E-Book |
Grundlagen, Betrieb und Produkte
Firewalls sind heute eine etablierte Sicherheitstechnik in jedem professionellen Netzwerk. Nur mit einem guten Verständnis von Technik, Organisation und Produkten ist man jedoch in der Lage, deren Einsatz korrekt zu planen und sie wirkungsvoll einzusetzen. Dieses Buch bietet Planern und Administratoren daher einen grundlegenden Leitfaden für ihre tägliche Praxis.
Inhaltlich spannt es einen Bogen von der einfachen Netzabsicherung mit Access-Listen auf Routern bis hin zu komplexen lastverteilten Firewalls mit Multilink-Anbindungen. Einführend vermitteln die Autoren die sicherheitsrelevanten Grundlagen von Netzwerken, Protokollen und Firewalls. Darauf aufbauend demonstrieren sie, wie diese Prinzipien in den Produkten führender Hersteller wie Check Point, Cisco, Nokia, Nortel, Radware, Rainfinity oder Stonebeat umgesetzt werden. Die Autoren erläutern die zugrunde liegenden Technologien und erleichtern damit das Verständnis für den optimalen Einsatz des jeweiligen Produkts. Kapitel zu VPNs und Management-Architekturen von Firewalls runden das Buch ab.
Die schrittweise Absicherung eines Beispielnetzwerks in einem mittelständischen Unternehmen zieht sich wie ein roter Faden durch das gesamte Buch und macht die vermittelten Inhalte anschaulich. Ebenfalls hilfreich beim Lesen und Nachschlagen sind die über 100 detailllierten Netzwerkpläne und andere Abbildungen.
Das Buch wendet sich an Planer und Administratoren mittlerer und großer Netzwerkumgebungen in Unternehmen, Behörden und anderen Organisationen.
Zielgruppe sind Administratoren und IT-Verantwortliche.
Die Autoren
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Softwareentwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der NATO-C3-Agentur. Er ist außerdem Autor zahlreicher Fachbeiträge zu den Themen Loadbalancing, TCP/IP und Security.
Steffen Gundel studierte Medizinische Informatik in Heidelberg und Heilbronn und arbeitet seit 1999 im Bereich IT-Sicherheit. Er ist heute Sicherheitsberater bei der Firma cirosec und Autor von Fachartikeln sowie Referent zu neuen, innovativen Themen der IT-Sicherheit.
Leseprobe:
3 IP-Forwarding (S. 73-74)
Wir werden uns jetzt genauer anschauen, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten (im Folgenden »PC-Router« genannt) und in Routern (im Folgenden »echter Router« genannt) verarbeitet wird. Dazwischen betrachten wir die Check Point SecureXL API, die die Performance steigert, ohne die Hardwarearchitektur verändern zu müssen. Abschließend werfen wir noch einen Blick auf die Stellung von Beschleunigerkarten.
In der Vergangenheit war die Basis einer Firewall systemseitig meist ein (Unix-)Rechner mit mehreren Netzwerkkarten (engl. »multihomed host«). Im Folgenden werden sie »hostbasierte Firewalls« genannt (andere Autoren sprechen auch von »softwarebasierten« Firewalls). In jüngster Zeit drängen immer mehr Appliances auf den Markt, die von außen betrachtet scheinbar ziemlich einfach aus mehreren Netzwerkkarten und ein paar Kontrolllampen aufgebaut sind.
Es sind Appliances im Handel, die neben den einschlägigen Vorteilen (siehe: »Exkurs: Appliance«) eine auf den Netzwerkverkehr zugeschnittene Architektur haben und gegenüber Hosts bessere Durchsatzraten bieten. Die Hardwarearchitektur nähert sich dabei immer mehr der von Routern an.
Stark vereinfacht ausgedrückt ist ein Router umso leistungsfähiger, je mehr Aufgaben von der Netzwerkkarte erledigt werden können, ohne Rechenzeit der zentralen CPU zu benötigen und ohne den Datenbus mit Verkehr zusätzlich zu belasten. Wie wir sehen werden, handelt es sich bei Routern in der Regel um eng umrissene Routing- bzw. Switching-Entscheidungen, die von der zentralen CPU auf die Intelligenz der Netzwerkkarte verlagert werden.
Bei Firewalls bzw. Firewall-Appliances verfolgen die Hersteller zur Entlastung der CPU zwar das gleiche Prinzip, jedoch sind die zu verlagernden Aufgaben wesentlich anspruchsvoller. Details im Paketkopf oder Datenteil müssen mit manuell erstellten Adress- und Servicelisten (Access-Listen oder Regelwerk) verglichen werden und benötigen daher CPU-Leistung. Wenn ein Paket bei der Netzwerkkarte einer Firewall ankommt, wird es entweder verworfen, geroutet oder von der zentralen CPU weiterverarbeitet (NAT, Verschlüsselung, Logging usw.). Eine Sonderstellung nehmen die so genannten Beschleunigerkarten ein, die sowohl für Router wie auch für hostbasierte Firewalls nahezu aller Betriebssysteme erhältlich sind. Diese Karten erledigen die für die Verschlüsselung von IPSec-Verbindungen notwendigen Rechnungen und befreien die zentrale CPU von dieser Aufgabe.
Exkurs: Appliance (dt. Apparat, Gerät)
Der Begriff »Appliance« bezieht sich weder auf die Größe, die Hardware und auch nicht auf den Preis einer Netzwerkkomponente. Es ist ein vom Hersteller für einen bestimmten Einsatzzweck vorkonfiguriertes Gerät, das sich vom Endanwender über ein browserbasiertes GUI administrieren lässt. Bezogen auf ein Firewall-Appliance heißt das konkret, dass die nötigen Software-Pakete vorinstalliert sind und Parameter – wie zum Beispiel IPAdressen der Netzwerkinterfaces, Hostname, DNS, statische Routen usw. – sich über ein GUI weiter konfigurieren lassen. Ein zusätzlicher, bei Firewalls ganz wichtiger Aspekt, ist, dass die Härtung des Systems schon vom Hersteller übernommen wurde und wirklich nur die für den jeweiligen Verwendungszweck allernötigsten Pakete und Dienste vorhanden sind.
Firewalls sind heute eine etablierte Sicherheitstechnik in jedem professionellen Netzwerk. Nur mit einem guten Verständnis von Technik, Organisation und Produkten ist man jedoch in der Lage, deren Einsatz korrekt zu planen und sie wirkungsvoll einzusetzen. Dieses Buch bietet Planern und Administratoren daher einen grundlegenden Leitfaden für ihre tägliche Praxis.
Inhaltlich spannt es einen Bogen von der einfachen Netzabsicherung mit Access-Listen auf Routern bis hin zu komplexen lastverteilten Firewalls mit Multilink-Anbindungen. Einführend vermitteln die Autoren die sicherheitsrelevanten Grundlagen von Netzwerken, Protokollen und Firewalls. Darauf aufbauend demonstrieren sie, wie diese Prinzipien in den Produkten führender Hersteller wie Check Point, Cisco, Nokia, Nortel, Radware, Rainfinity oder Stonebeat umgesetzt werden. Die Autoren erläutern die zugrunde liegenden Technologien und erleichtern damit das Verständnis für den optimalen Einsatz des jeweiligen Produkts. Kapitel zu VPNs und Management-Architekturen von Firewalls runden das Buch ab.
Die schrittweise Absicherung eines Beispielnetzwerks in einem mittelständischen Unternehmen zieht sich wie ein roter Faden durch das gesamte Buch und macht die vermittelten Inhalte anschaulich. Ebenfalls hilfreich beim Lesen und Nachschlagen sind die über 100 detailllierten Netzwerkpläne und andere Abbildungen.
Das Buch wendet sich an Planer und Administratoren mittlerer und großer Netzwerkumgebungen in Unternehmen, Behörden und anderen Organisationen.
Zielgruppe sind Administratoren und IT-Verantwortliche.
Die Autoren
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Softwareentwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der NATO-C3-Agentur. Er ist außerdem Autor zahlreicher Fachbeiträge zu den Themen Loadbalancing, TCP/IP und Security.
Steffen Gundel studierte Medizinische Informatik in Heidelberg und Heilbronn und arbeitet seit 1999 im Bereich IT-Sicherheit. Er ist heute Sicherheitsberater bei der Firma cirosec und Autor von Fachartikeln sowie Referent zu neuen, innovativen Themen der IT-Sicherheit.
Leseprobe:
3 IP-Forwarding (S. 73-74)
Wir werden uns jetzt genauer anschauen, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten (im Folgenden »PC-Router« genannt) und in Routern (im Folgenden »echter Router« genannt) verarbeitet wird. Dazwischen betrachten wir die Check Point SecureXL API, die die Performance steigert, ohne die Hardwarearchitektur verändern zu müssen. Abschließend werfen wir noch einen Blick auf die Stellung von Beschleunigerkarten.
In der Vergangenheit war die Basis einer Firewall systemseitig meist ein (Unix-)Rechner mit mehreren Netzwerkkarten (engl. »multihomed host«). Im Folgenden werden sie »hostbasierte Firewalls« genannt (andere Autoren sprechen auch von »softwarebasierten« Firewalls). In jüngster Zeit drängen immer mehr Appliances auf den Markt, die von außen betrachtet scheinbar ziemlich einfach aus mehreren Netzwerkkarten und ein paar Kontrolllampen aufgebaut sind.
Es sind Appliances im Handel, die neben den einschlägigen Vorteilen (siehe: »Exkurs: Appliance«) eine auf den Netzwerkverkehr zugeschnittene Architektur haben und gegenüber Hosts bessere Durchsatzraten bieten. Die Hardwarearchitektur nähert sich dabei immer mehr der von Routern an.
Stark vereinfacht ausgedrückt ist ein Router umso leistungsfähiger, je mehr Aufgaben von der Netzwerkkarte erledigt werden können, ohne Rechenzeit der zentralen CPU zu benötigen und ohne den Datenbus mit Verkehr zusätzlich zu belasten. Wie wir sehen werden, handelt es sich bei Routern in der Regel um eng umrissene Routing- bzw. Switching-Entscheidungen, die von der zentralen CPU auf die Intelligenz der Netzwerkkarte verlagert werden.
Bei Firewalls bzw. Firewall-Appliances verfolgen die Hersteller zur Entlastung der CPU zwar das gleiche Prinzip, jedoch sind die zu verlagernden Aufgaben wesentlich anspruchsvoller. Details im Paketkopf oder Datenteil müssen mit manuell erstellten Adress- und Servicelisten (Access-Listen oder Regelwerk) verglichen werden und benötigen daher CPU-Leistung. Wenn ein Paket bei der Netzwerkkarte einer Firewall ankommt, wird es entweder verworfen, geroutet oder von der zentralen CPU weiterverarbeitet (NAT, Verschlüsselung, Logging usw.). Eine Sonderstellung nehmen die so genannten Beschleunigerkarten ein, die sowohl für Router wie auch für hostbasierte Firewalls nahezu aller Betriebssysteme erhältlich sind. Diese Karten erledigen die für die Verschlüsselung von IPSec-Verbindungen notwendigen Rechnungen und befreien die zentrale CPU von dieser Aufgabe.
Exkurs: Appliance (dt. Apparat, Gerät)
Der Begriff »Appliance« bezieht sich weder auf die Größe, die Hardware und auch nicht auf den Preis einer Netzwerkkomponente. Es ist ein vom Hersteller für einen bestimmten Einsatzzweck vorkonfiguriertes Gerät, das sich vom Endanwender über ein browserbasiertes GUI administrieren lässt. Bezogen auf ein Firewall-Appliance heißt das konkret, dass die nötigen Software-Pakete vorinstalliert sind und Parameter – wie zum Beispiel IPAdressen der Netzwerkinterfaces, Hostname, DNS, statische Routen usw. – sich über ein GUI weiter konfigurieren lassen. Ein zusätzlicher, bei Firewalls ganz wichtiger Aspekt, ist, dass die Härtung des Systems schon vom Hersteller übernommen wurde und wirklich nur die für den jeweiligen Verwendungszweck allernötigsten Pakete und Dienste vorhanden sind.
Empfehlen
Der besondere Tipp
Denken Sie nicht an einen blauen Elefanten!
Anhand verblüffender Experimente und einfacher Übungen lernen Sie, wie unsere Umwelt die Gedanken und die Gedanken unsere Umwelt beeinflussen.
Früher: 12,00€
bei uns nur: 4,99€
