OSI-Layer

gateprotect Next Generation UTM Appliances und das OSI-Layermodell

Das OSI (Open System Interconnection Model) Schichtenmodell definiert die technische Basis für die Kommunikation zwischen Netzwerken. Dieses Referenzmodell umfasst 7 offizielle und 2 inoffizielle Layer (Schichten). Beschrieben werden die einzelnen Schichten und ihre Funktion in einer TCP/IP-Netzwerktopologie. Das OSI-Modell ist auf alle Kommunikationsmodelle wie LAN, WAN, MAN etc. anwendbar. Entsprechend sind alle Netzwerkgeräte von der Netzwerkkarte, Switch, Router und Firewall in der Lage diesen Standard zu verstehen. Firewalls bilden eine spezielle Gruppe in Bezug auf das OSI-Modell, denn unterschiedliche Technologieansätze bieten die Möglichkeit  die einzelnen Layer für Sicherheitsmechanismen zu nutzen.

Das gateprotect Technologiekonzept umfasst alle Layer des OSI-Schichtenmodells:

gateprotect Layer 2 Firewallfeatures
Die gateprotect Firewall kann in einem transparenten (unsichtbaren) Modus betrieben werden. Man spricht von einer Bridging Firewall.

gateprotect Layer 3 Firewallfeatures
Im Layer 3 Modus bietet die gateprotect Firewall umfangreiche Routingfeatures mit RIP und OSPF. Spezielle Funktionen wie Traffic Shaping, Loadbalancing und Concurrent Connections machen die gateprotect Appliances zu professionellen Werkzeugen für eine leistungsfähige Sicherheitsstruktur.

gateprotect Layer 7 Firewallfeatures
gateprotect Firewalls gehören zu den Smart Firewalls mit Deep Inspection und Content Inspection. Die Systeme bieten transparente Proxieserver für HTTP, HTTPS, SMTP, POP3, FTP und ein integriertes IDS und IPS System.

gateprotect Layer 8 Firewallfeatures
gateprotect bezieht den Benutzer und die Bedienung als zentrales Kriterium bei der Sicherheit mit ein. Diese intelligente Firewalltechnologie vereinfacht die Administration der Systeme, reduziert die Kosten und vereint komplexe UTM-Features in einem einfachen Bedienkonzept.

Um die Funktion der einzelnen Layer zu verdeutlichen, folgt nun eine Beschreibung des OSI-Layermodels mit dem Zusammenhang zur Firewalltechnologie:

Layer 0 (indirect parts) indirekte Bestandteile [inoffiziell]
Der Layer 0 beschreibt alle indirekten Bestandteile eines Netzwerkes, die zum Betrieb eines solchen zwingend erforderlich sind. Zu diesen Bestandteilen gehören Übertragungsmedien wie Kabel oder Funk, als auch die Stromversorgung. Ohne diese Medien gäbe es keine Netzwerkkommunikation. Indirekte Bestandteile können für ein Netzwerk von ernormer Wichtigkeit sein (Notstromversorgung, Überspannungschutz ...)

Geräte, Medien oder Protokolle dieser Schicht:
Kabel, Funkstrecke, Lichtwellenleiter und Stromversorgung

Layer 1 (physical layer) Bitübertragungsschicht
Die Bitübertragungsschicht ist für die Steuerung der physikalischen Übertragungsmedien und die Übertragung der Information in Form eines Bitstroms zuständig. Grundsätzlich werden hier die Parameter für die physische Verbindung von mindestens zwei Systemen ausgehandelt. Zu diesen Parametern gehören Funktionen wie simplex oder duplex, Daten- oder Steuerleitung oder die Übertragungsgeschwindigkeit.

Geräte, Medien oder Protokolle dieser Schicht:
Netzwerkkarte, Hub
Ethernet, Token Ring, FDDI

Layer 2 (data link layer) Datenverbindungsschicht
Die Datenverbindungsschicht sorgt für den zuverlässigen Austausch von Datenpaketen. Dafür werden die eintreffenden Bitströme in Frames eingeteilt und diesen eine Kontrollinformation hinzugefügt. Die Datenverbindungsschicht ist dabei in zwei Unterschichten geteilt. Die MAC-Schicht (Medium Access Control) grenzt an Layer 1 und managed die Nutzung der Übertragungsmedien. Sie fügt dem Protokoll der Datenpakete die physikalische Sende- und Empfangsadresse hinzu.  Die LLC-Schicht (Logical Link Control) übernimmt die Aufgabe der Fehlererkennung und Fehlerkorrektur in den Frames und grenzt an den Layer 3.

Geräte, Medien oder Protokolle dieser Schicht:
Switch, Bridge, Router
Ethernet, PPP, HDLC

Layer 2 Firewall
Eine gateprotect Firewall im Layer 2 Modus funktioniert wie eine Bridge. Alle an der Firewall angeschlossenen Ethernetsegmente sind transparent miteinander verbunden. Dabei werden durch die Firewall alle Pakete hindurchgeleitet. Eine Filterung der Pakete erfolgt durch Firewallregeln (z. B. Quell- und Zielport, IP-Adresse etc.) Ein Vorteil einer Layer 2 Firewall besteht darin, dass kein Routing notwendig ist, angeschlossene Computer benötigen keinerlei Gatewayangaben. Ein weiterer Vorteil liegt in der Implementierung. Die gateprotect Appliance wird einfach zwischen die bestehenden Netzwerkstrukturen geschaltet (sie ersetzt ein Ethernetkabel). Dabei besitzt die Firewall keine eigenen IP-Adressen, und ist daher auch über das Netzwerk nicht angreifbar.

Layer 3 (network layer) Netzwerkschicht
Die Netzwerkschicht steuert die Datenflusskontrolle und das Routing. Datenpakete, die nicht direkt zum Ziel geleitet werden können, werden mit Zwischenzielen versehen und werden von Knoten zu Knoten übertragen, bis diese ihr Ziel erreicht haben. Dabei baut die Netzwerkschicht Verbindungskanäle auf (An- und Abwahl von Teilnehmern oder Knoten) und übernimmt die Wegsteuerung (Routing) über mehrere Transitsysteme hinweg.

Geräte, Medien oder Protokolle dieser Schicht:
Router, Brouter
IP, IPX, NWLink, NetBEUI, IPv4, IPv6

Layer 3 Firewall
Der Layer 3 Modus wird für eine gateprotect Firewall am häufigsten verwendet. In diesem Modus arbeitet die gateprotect Appliance wie ein Router und benötigt mindestens eine IP-Adresse pro Netzwerkschnittstelle. Alle angeschlossenen Computer benötigen die Gatewayangaben der Firewall. Diese Technologie ermöglicht eine Filterung auf Regelbasis (z. B. Quell- und Zielport, IP-Adresse etc.). gateprotect Systeme unterstützen in ihrer Routingfunktionalität auch umfangreiche Routingprotokolle wie RIP und OSPF.

Layer 4 (transport layer) Transportschicht
Die Transportschicht ist das Bindeglied zwischen den transportierenden Schichten (Layer 1 bis 4) und den anwendungsorientierten Schichten (Layer 5 bis 7). Dabei wandelt sie die Datenpakete nach ihren Protokollinformationen um und ordnet diese einer Anwendung zu. In der Transportschicht werden auch Anforderungen in Bezug auf Segmentierung und Stauvermeidung verarbeitet.

Geräte, Medien oder Protokolle dieser Schicht:
Gateway
IP, IPX, NWLink, NetBEUI, TCP, UDP, SCTP

Layer 5 (session layer) Sitzungsschicht
Die Sitzungsschicht übernimmt die Prozesskommunikation zwischen den Systemen. Sie organisiert und synchronisiert den Datenaustausch und etabliert Checkpoints (Wiederaufsetzpunkte) um unterbrochene Transportvorgänge ohne Neuanfang der Vorgänge weiter nutzen zu können. Dabei baut die Sitzungsschicht logische Verbindungen zwischen dem Sender und dem Empfänger auf und ab.

Geräte, Medien oder Protokolle dieser Schicht:
Gateway
FTP, SMTP, Telnet, SPX

Layer 6 (presentation layer) Darstellungsschicht
Die Darstellungsschicht fungiert als Übersetzer, indem sie die Datenpakete in das jeweils benötigte Format des Sender- und Empfängerknotens übersetzt. Eine weitere wichtige Aufgabe der Darstellungsschicht ist die Datenverschlüsselung und die Datenkompression.

Geräte, Medien oder Protokolle dieser Schicht:
Gateway, Redirectors
HTML, ASCII, JPEG, Unicode, HTTP, FTP, AFP, TDI

Layer 7 (application layer) Anwendungsschicht
Die Anwendungsschicht bietet die Schnittstelle zur Benutzeranwendung. An dieser Stelle erfolgt die Umwandlung von Netzwerkdatenpaketen in vom Benutzer verwendbare Daten.

Geräte, Medien oder Protokolle dieser Schicht:
Gateway
SMB, HTTP, FTP, SMTP, SNMP, Telnet, Apple Talk

Layer 7 Firewall
Im Layer 7 Modus der gateprotect Firewall bietet das System umfangreiche intelligente Filtermethoden . Zusätzlich zu den Untersuchungsmöglichkeiten auf den unteren Layerschichten bieten die Appliance auch Deep Inspection in den Anwendungsschichten 5 und 7. Dabei sind diese Filtersysteme sowohl im TCP als auch UDP Bereich nutzbar und bieten erheblich mehr Entscheidungskriterien für die Filterung der Datenpakete. Auf der Applikationsebene sind transparente Filtermethoden für Protokolle wie HTTP, FTP, SMTP und POP3 möglich. Ein gravierender Vorteil einer Layer 7 Firewall gegenüber der herkömmlichen Layer 2 und 3 Systeme besteht darin, dass ein hinter der Firewall agierender Client immer eine Datenkommunikation über die Layer 7 Proxieserver der Firewall aufbaut. Dabei gibt der Client seine Adresse im Internet nicht preis, Angriffe aus dem externen Netzwerk treffen immer nur den geschützten Proxy. Dieser Proxy analysiert die eintreffenden Datenpakete und filtert unerwünschte Anteile heraus. Der Client ist immer optimal geschützt.

Layer 8 (user layer) Anwenderschicht [inoffiziell]
Die Anwenderschicht beschreibt den eigentlichen Benutzer vor dem Bildschirm. Sie beinhaltet alle Bedienvorgänge und Aktionen die Vorgänge und Reaktionen innerhalb des Netzwerks auslösen. Zu dieser Schicht gehören auch die Endgeräte, die durch den Benutzer bedient werden.

Geräte, Medien oder Protokolle dieser Schicht:
Endgeräte, Tastatur, Maus, Monitor
Computer, Server, Smartphone, PDA

Layer 8 Firewall
Eine Layer 8 Firewall ist grundsätzlich auf eine einfache Bedienbarkeit optimiert. Alle gateprotect Firewalls arbeiten prozessorientiert mit einer aktiven visuellen Rückmeldung an den Administrator. Das gesamte Konzept dieser Systeme beruht auf einer extremen Vereinfachung der Bedienprozesse. Dabei werden alle UTM-Features in diese Bedienstruktur integriert. Bedienfehler gehören der Vergangenheit an. Layer 8 Firewalls führen zu einer Reduzierung der Kosten und erleichtern die Integration von UTM-Features in vorhandene Netzwerkstrukturen.