Das ISO-OSI Schichtenmodell

Um die  Datenübertragung in Netzen leichter beschreiben zu können, wurde in den 1960er Jahren das DoD Schichtenmodell entwickelt.

Schicht Name
4 Process
3 Host-to-Host
2 Internet
1 Network Access

Dieses Modell besteht aus 4 Schichten und bildet eine Grundlage des heute verwendeten ISO-OSI Schichtenmodells. Die Organisation ISO hat den Open Systems Interconnect im Jahr 1978 entworfen.

Das heutige OSI Modell nutzt 7 Schichten, bei der die Kommunikation zwischen Sender und Empfänger mit Hilfe von technischen Einrichtungen beschrieben wird.

Schicht Deutsche Bezeichnung Englische Bezeichnung Protokolle Geräte oder Hardware
7 Anwendungs-schicht Application Layer HTTPS
FTP
SMTP
LDAP
Gateway
Proxy
6 Darstellungs-schicht Presentation Layer
5 Sitzungsschicht Session Layer
4 Transport-schicht Transport Layer TCP
UDP
3 Vermittlungs-schicht Network Layer IP
ICMP
IPsec
Router
Layer 3 Switch
2 Sicherungs-schicht Data Link Layer WLAN
Ethernet
MAC
Switch
Bridge
Access-Point
1 Bitübertragungs-schicht Physical Layer 1000BASE-T
Token Ring
Repeater
Hub
Netzwerk-kabel

In Schicht 7 werden Daten durch die Anwendung über das Netzwerk an ein weiteres Gerät gesandt.

Das ISO-OSI Schichtenmodell

Dabei nehmen die Daten den Weg von Schicht 7 (Application Layer) des Senders zu Schicht 1 (Physical Layer) des Senders. Dann werden die Daten als Datenpakete über das Netzwerk zum Ziel transportiert. Beim Empfänger nehmen die Daten den Weg von Schicht 1 zu Schicht 7 und werden aufbereitet. Die Anwendung im Empfänger nutzt die Daten und visualisiert sie.

 

Stateful Inspection Firewall

Die Stateful Packet Inspection Firewall (SPI) arbeitet mit einer dynamischen Filtermethode. So wird hier auch der Kontext des zu verifizierenden Datenpakets mit in Betracht gezogen. Neben der bereits bekannten ACL wird eine weitere Tabelle genutzt.

Die State Tabelle

Mit Hilfe dieser zusätzlichen State-Tabelle kann eine erweiterte Entscheidungsgrundlage genutzt werden, weil hier die Zustände der Datenpakete vermerkt werden.  So weis die Firewall, welche Datenpakete wann die Ports passieren dürfen.

Dadurch können gefakte ACK Pakete an Computer im Intranet erkannt und geblockt werden. Denn solche Pakete werden durch die SPI Firewall verworfen.

Ports werden somit nur dann geöffnet, wenn Datenpakete erwartet werden. Das sind im Regelfall Pakete, die von den Geräten aus dem Intranet angefragt wurden. Dabei können zusätzlich Sequenznummern und Flags geprüft werden.

Zur Übersicht
Firewall Übersicht – Schutz und Sicherheit in Netzen