25 Jahre heise online Jubiläums-Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Die Apache-Firewall

Die Apache-Firewall

Hintergrund 13.02.2006 16:09 Uhr Christiane Rütten
Inhaltsverzeichnis
  1. Die Apache-Firewall
  2. Feuersicher
  3. Und Action!
  4. Eine Firewall, die zurückschlagen kann
  5. Prüfe, was sich lange bindet
  6. Auf einer Seite lesen

Die Application-Level-Firewall mod_security kann viel differenzierter auf den Inhalt von HTTP-Anfragen und -Antworten reagieren, als es mit herkömmlichen Paketfiltern möglich wäre.

Die wesentliche Einschränkung von Paket-filternden Firewalls wie IPTables und der Windows-Firewall besteht darin, dass sie im Grunde nichts von den Nutzdaten in den Paketen verstehen, die sie verarbeiten. Für sie ist nur wichtig, welche Pakete zu welcher Netzwerkverbindung gehören, woher sie kommen und wohin sie gehen. Application-Level-Firewalls hingegen verstehen die verarbeiteten Protokolle und können so viel differenzierter beispielsweise auf den Inhalt von HTTP-Verbindungen reagieren als dies auf Paketebene möglich wäre.

Die Probleme von Paketfiltern beginnen schon dabei, beispielsweise TCP-Pakete mit bekannten Exploits oder Webseiten mit schädlichen Links zu sperren. Zu suchende Muster befinden sich durch Fragmentierung nicht immer innerhalb eines einzelnen TCP-Paketes und die verwendeten Übertragungsprotokolle repräsentieren Daten häufig auch nicht in einem einheitlichen Format. Browser und Server würden den Deteipfad /docs/2.0/configuring.html zum Beispiel auch in der teilweise hexadezimal kodierten Form /%64o%63s/2%2E0/con%66igu%72ing%2Ehtml korrekt verarbeiten, was für die Erstellung von treffenden Suchmustern eine enorme Herausforderung darstellt. Entsprechend noch komplizierter wird die Angelegenheit bei der Erkennung von problematischen Inhalten in Variablenparametern in URLs oder gar POST-Anweisungen.

Darüber hinaus lässt sich von einem reinen Paketfilter auch nicht zuverlässig bestimmen, ob es sich bei den vorbeikommenden Paketen tatsächlich um Daten einer HTTP-Verbindung handelt. Der Ansatz, eine solche Zuordnung nach Ports vorzunehmen, scheitert in der Regel schon an den vielen Ausnahmen. So werden zur Umgehung restriktiver Firewalls viele Dienste, wie Internet-Telefonie, Filesharing oder Instant-Messenger ebenfalls über den HTTP-Port 80 abgewickelt. Die immer weitere Verbreitung SSL-verschlüsselter Verbindungen tut ihr Übriges, Paketfilter vom Protokollverständnis auszuschließen.

An diesem Punkt setzen Application-Level-Firewalls an. Wie der Name schon sagt, arbeiten sie nicht mehr wie Paketfilter auf der Netzwerk- und Transportschicht des OSI-Modells, sondern auf der Applikationsebene, über die die jeweiligen Anwendungen (in obigem Beispiel Browser und WWW-Server) miteinander kommunizieren. Hieraus leitet sich für diese Technik auch die alternative Bezeichnung Level-7-Filterung ab.

Im Falle von HTTP lässt sich eine Filterung auf Protokollebene noch recht bequem als Proxy realisieren. Doch es liegt nahe, die notwendige Funktionalität direkt in die Applikationen selbst zu integrieren, um eine engere Verzahnung und größere Flexibilität zu erreichen.

Vorherige 1 2 3 4 5 Nächste

Forum bei heise online: Serversicherheit

Teile diesen Beitrag

https://heise.de/-270782 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Qnap NAS

Chrome

Tor Browser

Tails

Eigenwerbung
heise Security Tour

Praxiswissen für die Security-Achterbahn 2021

Die heise Security Tour (10. Juni oder 9. September) liefert praxisrelevantes Wissen, wie Sie die aktuelle IT-Security-Situation auch weiterhin meistern. Profitieren Sie bis zum 29. April von unserem Frühbucher-Rabatt und sparen Sie 40 €!

Anzeige
Anzeige
  • Tipps für eine erfolgreiche Google-Werbung
  • Geheime Tricks: Kostenoptimierung in der AWS-Cloud
  • Vom Datensumpf zum Datentrumpf
  • So können Sie heterogene Netze effizient managen
  • Wie und womit arbeiten Data-Science-Experten?
  • Transformation im Supermarkt – aus der Praxis!
  • Success Story (+Demo): Patch-Management in Praxis
  • Sichere Videokonferenzen im Unternehmen
  • Neue Security-Idee: Hardware-basierte IT-Sicherheit
  • Themenspecial: Business IT-Lösungen
Artikel

Windows: REvil-Trojaner trickst abgesicherten Modus aus

Eigentlich soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner macht ihm damit den Garaus.

56 Kommentare

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

18 Kommentare mit Video

Neueste Forenbeiträge

  1. Die fundamentale Frage der Sicherheit im Internet: Wem traue ich?
    Das ist bei DNS nicht anders als bei S/MIME vs. PGP oder PKIs. Es gibt den Ansatz, Sicherheit durch zentralisierte Services (bspw: CAs oder…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    arkturino hat keinen Avatar
    von arkturino; Donnerstag, 09:09
  2. Wie wär's mit Ghidra?
    https://blog.threatrack.de/2019/10/02/ghidra-patch-diff/ MfG

    Forum:  Binärdateien vergleichen: BinDiff ab sofort (fast) gratis nutzen

    Avatar von PietNomdrian
    von PietNomdrian; Mittwoch, 19:25
  3. Re: S-Runen im Text - mit Firefox 88 gerendert
    Jetzt erklären sie in ihrem Artikel doch bitte noch wie die ganzen Neonazis in ihrem gestern ausgelieferten neuen Firefox 88.0 Browser (Heil…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    Polaris hat keinen Avatar
    von Polaris; Dienstag, 10:53
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien