Nicht aus der Schweiz? Besuchen Sie lehmanns.de

Firewalls im Unternehmenseinsatz

Grundlagen, Betrieb und Produkte
Buch | Softcover
X, 358 Seiten
2005 | 2., überarb. u. aktualis. Aufl.
dpunkt (Verlag)
978-3-89864-322-1 (ISBN)

Lese- und Medienproben

Firewalls im Unternehmenseinsatz - Jörg Fritsch, Steffen Gundel
CHF 64,40 inkl. MwSt
  • Titel ist leider vergriffen;
    keine Neuauflage
  • Artikel merken
Firewalls sind heute eine etablierte Sicherheitstechnik in jedem professionellen Netzwerk. Nur mit einem guten Verständnis von Technik, Organisation und Produkten ist man jedoch in der Lage, deren Einsatz korrekt zu planen und sie wirkungsvoll einzusetzen. Dieses Buch bietet Planern und Administratoren daher einen grundlegenden Leitfaden für ihre tägliche Praxis.

Inhaltlich spannt es einen Bogen von der einfachen Netzabsicherung mit Access-Listen auf Routern bis hin zu komplexen lastverteilten Firewalls mit Multilink-Anbindungen. Einführend vermitteln die Autoren die sicherheitsrelevanten Grundlagen von Netzwerken, Protokollen und Firewalls. Darauf aufbauend demonstrieren sie, wie diese Prinzipien in den Produkten führender Hersteller wie Check Point, Cisco, Nokia, Nortel, Radware, Rainfinity oder Stonebeat umgesetzt werden. Die Autoren erläutern die zugrunde liegenden Technologien und erleichtern damit das Verständnis für den optimalen Einsatz des jeweiligen Produkts. Kapitel zu VPNs und Management-Architekturen von Firewalls runden das Buch ab.

Die schrittweise Absicherung eines Beispielnetzwerks in einem mittelständischen Unternehmen zieht sich wie ein roter Faden durch das gesamte Buch und macht die vermittelten Inhalte anschaulich. Ebenfalls hilfreich beim Lesen und Nachschlagen sind die über 100 detailllierten Netzwerkpläne und andere Abbildungen.

Das Buch wendet sich an Planer und Administratoren mittlerer und großer Netzwerkumgebungen in Unternehmen, Behörden und anderen Organisationen.

1;Inhaltsverzeichnis;6
2;Vorwort;12
2.1;Was wir mit diesem Buch erreichen wollen;12
2.2;Zielgruppe;13
2.3;Der Aufbau dieses Buches;14
3;Teil I: Einführung;18
3.1;1 Tatort: Das Testnetzwerk;20
3.1.1;1.1 Aufbau des Testnetzwerks;23
3.1.1.1;1.1.1 Server- und PC-Landschaft;24
3.1.1.2;1.1.2 Internetanbindung und Webplattform;27
3.1.1.3;1.1.3 Remote-Access-Zugänge;33
3.1.1.4;1.1.4 IP-Adresskonzept;35
3.1.2;1.2 Layer-2-Switche und VLANs im Umfeld von Firewalls;38
3.1.2.1;1.2.1 VLANs und Layer-2-Attacken;38
3.1.2.2;1.2.2 Topologische Aspekte von VLANs;40
3.2;2 Technologien in Umfeld von Firewalls;44
3.2.1;2.1 Was ist eine Firewall?;44
3.2.2;2.2 Einiges zu TCP/IP;45
3.2.2.1;2.2.1 Header und Kapselung;45
3.2.2.2;2.2.2 Fragmentierung;47
3.2.2.3;2.2.3 Ports und Netzwerkverbindungen;47
3.2.3;2.3 Paketfilter;49
3.2.3.1;2.3.1 Statische Paketfilter;49
3.2.3.2;2.3.2 Dynamische Paketfilter;53
3.2.4;2.4 Proxy-Firewalls;61
3.2.4.1;2.4.1 Vorteile von Proxy-Firewalls;63
3.2.4.2;2.4.2 Probleme von Proxy-Firewalls;63
3.2.5;2.5 Firewalls in der Praxis: Hybrid-Technologie;65
3.2.5.1;2.5.1 Hybrid-Firewalls auf Paketfilter-Basis;65
3.2.5.2;2.5.2 Hybrid-Firewalls auf Proxy-Basis;66
3.2.5.3;2.5.3 Die Begriffe "Firewall-Umgebung" und "DMZ";66
3.2.6;2.6 Weitere Aufgaben von Firewalls;67
3.2.6.1;2.6.1 Logging, Alerting und Accounting;68
3.2.6.2;2.6.2 Authentifizierung;69
3.2.6.3;2.6.3 Adressübersetzung;70
3.2.6.4;2.6.4 Verschlüsselung;73
3.2.6.5;2.6.5 Content Security;74
3.2.6.6;2.6.6 Intrusion Prevention;77
3.3;3 IP-Forwarding;84
3.3.1;3.1 Verarbeitung von Netzwerkverkehr im PC-Router;86
3.3.2;3.2 Routing und Forwarding;88
3.3.3;3.3 Eine Appliance mit PC-Architektur: Cisco PIX Firewall;90
3.3.4;3.4 PC-Architekturen ausreizen: Check Point SecureXL API;90
3.3.5;3.5 Nutzung der SecureXL API Beispiel 1: Check Point FireWall- 1 Performance Pack und Nokia IPSO ab rev. 3.8;91
3.3.6;3.6 Verarbeitung von Netzwerkverkehr in echten Routern;93
3.3.7;3.7 Nutzung der SecureXL API Beispiel 2: Nortel Networks Alteon Switched Firewall System (ASFS);95
4;Teil 2: Implementierung und Betrieb von Firewalls;98
4.1;4 Integration von Firewalls in das Unternehmensnetzwerk;100
4.1.1;4.1 Absicherung des Internetzugangs mit einer Firewall;101
4.1.1.1;4.1.1 Ausgangssituation;101
4.1.1.2;4.1.2 Das Sicherheitsproblem;103
4.1.1.3;4.1.3 Netzwerkseitige Integration der Firewall;105
4.1.1.4;4.1.4 Bildung von DMZs;108
4.1.1.5;4.1.5 Das Produkt: Check Point FireWall-1;109
4.1.1.6;4.1.6 Sun als Plattform;109
4.1.1.7;4.1.7 Alternative Plattformen;115
4.1.1.8;4.1.8 Installation der Check Point FireWall-1;117
4.1.1.9;4.1.9 Konfiguration der Check Point FireWall-1;119
4.1.2;4.2 Aufbau einer Intranet-Firewall;135
4.1.2.1;4.2.1 Ausgangssituation;135
4.1.2.2;4.2.2 Sicherheitsprobleme und Lösungsansätze;140
4.1.2.3;4.2.3 Modifikation der Ausgangssituation;146
4.1.2.4;4.2.4 Netzwerkseitige Integration der Firewall;147
4.1.2.5;4.2.5 Das Produkt: Cisco PIX;150
4.1.2.6;4.2.6 Funktionsweise und Interna der Cisco PIX;151
4.1.2.7;4.2.7 Installation der Cisco PIX;153
4.1.2.8;4.2.8 Konfiguration der Cisco PIX;153
4.1.2.9;4.2.9 Ausblick;166
4.1.3;4.3 Grenzen von Firewalls;171
4.2;5 Virtual Private Networks und sichere Verbindungen;172
4.2.1;5.1 Überblick über VPN-Technologien;175
4.2.1.1;5.1.1 Layer-2-basierte VPNs: ATM;175
4.2.1.2;5.1.2 Layer-3-basierte VPNs: MPLS;176
4.2.1.3;5.1.3 IPSec-VPNs (Layer 3 und Layer 4);178
4.2.1.4;5.1.4 Applikationstunnel auf Layer 4: SSL-VPNs;179
4.2.2;5.2 IPSec = AH + ESP + (IPcomp) + ISAKMP/IKE;179
4.2.2.1;5.2.1 IP Authentication Header (AH);180
4.2.2.2;5.2.2 IP Encapsulation Security Payload (ESP; RFC 2604);181
4.2.2.3;5.2.3 Internet Key Exchange (IKE);188
4.3;6 VPNs im Umfeld von Firewalls;192
4.3.1;6.1 Remote-Access-VPNs;194
4.3.1.1;6.1.1 IPSec-basierte Remote-Access-VPNs;195
4.3.1.2;6.1.2 Anforderungen an IPSec-basierte Remote-Access-VPNs;197
4.3.1.3;6.1.3 SSL-basierte Remote-Access-VPNs

3 IP-Forwarding (S. 73-74) Wir werden uns jetzt genauer anschauen, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten (im Folgenden "PC-Router" genannt) und in Routern (im Folgenden "echter Router" genannt) verarbeitet wird. Dazwischen betrachten wir die Check Point SecureXL API, die die Performance steigert, ohne die Hardwarearchitektur verändern zu müssen. Abschließend werfen wir noch einen Blick auf die Stellung von Beschleunigerkarten. In der Vergangenheit war die Basis einer Firewall systemseitig meist ein (Unix-)Rechner mit mehreren Netzwerkkarten (engl. "multihomed host"). Im Folgenden werden sie "hostbasierte Firewalls" genannt (andere Autoren sprechen auch von "softwarebasierten" Firewalls). In jüngster Zeit drängen immer mehr Appliances auf den Markt, die von außen betrachtet scheinbar ziemlich einfach aus mehreren Netzwerkkarten und ein paar Kontrolllampen aufgebaut sind. Es sind Appliances im Handel, die neben den einschlägigen Vorteilen (siehe: "Exkurs: Appliance") eine auf den Netzwerkverkehr zugeschnittene Architektur haben und gegenüber Hosts bessere Durchsatzraten bieten. Die Hardwarearchitektur nähert sich dabei immer mehr der von Routern an. Stark vereinfacht ausgedrückt ist ein Router umso leistungsfähiger, je mehr Aufgaben von der Netzwerkkarte erledigt werden können, ohne Rechenzeit der zentralen CPU zu benötigen und ohne den Datenbus mit Verkehr zusätzlich zu belasten. Wie wir sehen werden, handelt es sich bei Routern in der Regel um eng umrissene Routing- bzw. Switching-Entscheidungen, die von der zentralen CPU auf die Intelligenz der Netzwerkkarte verlagert werden. Bei Firewalls bzw. Firewall-Appliances verfolgen die Hersteller zur Entlastung der CPU zwar das gleiche Prinzip, jedoch sind die zu verlagernden Aufgaben wesentlich anspruchsvoller. Details im Paketkopf oder Datenteil müssen mit manuell erstellten Adress- und Servicelisten (Access-Listen oder Regelwerk) verglichen werden und benötigen daher CPU-Leistung. Wenn ein Paket bei der Netzwerkkarte einer Firewall ankommt, wird es entweder verworfen, geroutet oder von der zentralen CPU weiterverarbeitet (NAT, Verschlüsselung, Logging usw.). Eine Sonderstellung nehmen die so genannten Beschleunigerkarten ein, die sowohl für Router wie auch für hostbasierte Firewalls nahezu aller Betriebssysteme erhältlich sind. Diese Karten erledigen die für die Verschlüsselung von IPSec-Verbindungen notwendigen Rechnungen und befreien die zentrale CPU von dieser Aufgabe. Exkurs: Appliance (dt. Apparat, Gerät) Der Begriff "Appliance" bezieht sich weder auf die Größe, die Hardware und auch nicht auf den Preis einer Netzwerkkomponente. Es ist ein vom Hersteller für einen bestimmten Einsatzzweck vorkonfiguriertes Gerät, das sich vom Endanwender über ein browserbasiertes GUI administrieren lässt. Bezogen auf ein Firewall-Appliance heißt das konkret, dass die nötigen Software-Pakete vorinstalliert sind und Parameter wie zum Beispiel IPAdressen der Netzwerkinterfaces, Hostname, DNS, statische Routen usw. sich über ein GUI weiter konfigurieren lassen. Ein zusätzlicher, bei Firewalls ganz wichtiger Aspekt, ist, dass die Härtung des Systems schon vom Hersteller übernommen wurde und wirklich nur die für den jeweiligen Verwendungszweck allernötigsten Pakete und Dienste vorhanden sind.

Sprache deutsch
Maße 165 x 240 mm
Gewicht 600 g
Einbandart Paperback
Themenwelt Mathematik / Informatik Informatik
Wirtschaft Betriebswirtschaft / Management Wirtschaftsinformatik
Schlagworte Firewalls • Hardcover, Softcover / Informatik, EDV/Informatik • HC/Informatik, EDV/Informatik • Internet-Firewalls • Internet-Security • IT-Sicherheit • Unternehmen
ISBN-10 3-89864-322-0 / 3898643220
ISBN-13 978-3-89864-322-1 / 9783898643221
Zustand Neuware
Haben Sie eine Frage zum Produkt?
Mehr entdecken
aus dem Bereich