Firewall/Grundlagen

Allgemeine Grundlagen

Funktionsweise eines Fernzugriffs

Zugriff auf ein Netzwerkdienst

Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen wie Dateien und Drucker über ein Netzwerk ermöglicht.

Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt.
Erst ein dort laufender Netzwerkdienst (hier eine Webserver-Software) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen.

Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen Port der Netzwerkschnittstelle.

Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss bedeutet, dass ein offener Port immer zu einem Computerprogramm gehört.

Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die zulässigen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen.

Hinweis: Ein Dienst (unter Microsoft Windows englisch Service; unter Unix englisch Daemon) zeichnet sich dadurch aus, dass er bei jedem Systemstart ausgeführt wird, unabhängig davon, ob sich ein Anwender an dem Computer anmeldet.

Es gibt Programme mit einer dem Netzwerkdienst entsprechenden Funktionalität, die jedoch erst nach der Benutzeranmeldung gestartet werden.
Obgleich diese Programme genau genommen keine Dienste sind, werden sie der Einfachheit halber im Folgenden ebenfalls als Netzwerkdienst betitelt.

Rückweg vom entfernten Netzwerkdienst

Der Rückweg vom entfernten Netzwerkdienst hin zum anfragenden PC (genauer dem Client), der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen.

Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll.

Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen.

Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren.
Eine Schadsoftware kann wiederum als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen.

Netzwerkimplementierung des Betriebssystems

Für die Kommunikation im Netz benötigen die Kommunikationspartner Kenntnis über die grundlegenden Protokolle, die für die Adressierung und den Transport von Daten verwendet werden.

Mitunter kann eine fehlerhaft implementierte Netzwerkanbindung des Betriebssystems (inklusive fehlerhafter Treiber-Software) für einen Netzwerkzugriff genutzt werden, der in dieser Form vom Hersteller nicht vorgesehen war.

Ein Beispiel für die Ausnutzung eines ehemals weitverbreiteten Fehlers in der Implementierung des IP-Protokolls stellt Ping of Death dar, der das Zielsystem gezielt zum Absturz brachte. Ähnliche Lücken ermöglichen es mitunter auch, Programmcode auf dem Zielsystem einzuschleusen.

Schutzfunktion und Grenzen

Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden.

Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“).
In der Regel kann eine Firewall nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf.

Bei der Ausnutzung des Rückwegs kann eine Firewall nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen kann.

Daher sollten Programme, die für den Netzwerkzugriff bestimmt sind, auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken dort zu schließen.

Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten ActiveX-Objekten aus Webseiten vorgenommen wird.

Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann.
Alternativ dazu lässt sich dieses Verhalten auch über die Konfiguration des verwendeten Browsers erreichen.

Je nach Firewall-Typ kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden.

Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (siehe dazu die Grenzen der Personal Firewall und der externen Firewall).

Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren.

Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag.

Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren.

Eine Ausnahme könnte ein Gurt bilden, der den Autofahrer gleichzeitig gefährdet (hier mit Bezug zur Personal Firewall), was unter Umständen dazu führen kann, dass alternative Lösungen eine höhere Sicherheit bieten.

Erst wenn bekannt ist, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreicht werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird.

Dabei hilft die Erstellung eines Sicherheitskonzepts.
In größeren Organisationen kommt dafür üblicherweise eine eigene Sicherheitsrichtlinie zum Einsatz.

Filtertechnologien

Paketfilter

Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint).

Stateful Inspection

Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung.

Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.

Proxyfilter

Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter.

Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen.

Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.

Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen.

Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.

Contentfilter

Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern oder allgemein bekannte Schadsoftware beim Herunterladen zu blockieren.

Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter.

Sichtbarkeit für Anwender

Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden.

Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Erscheinungsformen nur auf einer externen Firewall vorkommen können:

Sichtbar

Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem.

Hier bittet der Client die Proxy-Firewall stellvertretend für ihn, die Kommunikation mit dem Zielsystem zu übernehmen.

So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.

Der Proxy nimmt nun die Verbindung zum Zielsystem auf.
Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.

Einer Seite gegenüber transparent

Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall.

Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die (NAT- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann.

Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt.

Mögliche Angriffe von dort sind auch hier an die Firewall gerichtet und treffen nicht direkt den Client.
Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.
Diese Form ist die am häufigsten verbreitete Art bei Firewall-Geräten für den Heimbereich.

Beiden Seiten gegenüber transparent

Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können.

Der Datenstrom fließt einfach durch die Firewall hindurch.

Auf der Ebene der IP-Adressierung sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen (Router ohne NAT).
Dennoch kann die auf dem Gerät laufende Firewall-Software den Datenstrom unterbrechen (bestimmte Pakete herausfiltern).

Unsichtbar

Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch.

Das Gerät, auf dem die Firewall-Software läuft, arbeitet nun aber wie eine Bridge, wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.

Lokal

Eine lokal auf dem Computer installierte Firewall-Software überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt).

Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems.

Dadurch verändert sich weder die Netzwerkadresse des Quellsystems noch der Kommunikationsweg zum Zielsystem.

Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar.
Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt).

Regelwerk

Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.

Die Aktionen können je nach Produkt unterschiedlich betitelt sein.
Entweder ist die Anfrage nicht erlaubt und das Paket wird lokal verworfen (meist DENY oder DROP genannt) oder sie wird aktiv abgelehnt (REJECT), indem sie beispielsweise mit einem ICMP-Paket beantwortet wird.
Eine erlaubte Anfrage nennt man ACCEPT, ALLOW, PASS oder FORWARD, wobei FORWARD je nach Produkt und Konfiguration auch auf eine Umleitung der Anfrage hindeuten kann.

Überprüfbarkeit des Quelltextes

Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit.

Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll.

So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der Personal Firewalls, die selbst heimlich Daten zum Hersteller schicken, also genau das tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen.

Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können.

Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie freier Software umfassen auch kommerzielle Produkte (freie Software ist nicht dasselbe wie Freeware).

Router

Datei:Grafik51.png	Datei:Grafik52.png	Datei:Grafik53.png
(Cisco-)Symbol für einen Router	SOHO-Router: Linksys WRT54G	Hochleistungsrouter

Router (['ruːtə(r)] (anhören) oder ['raʊ̯tə(r)] (anhören)) sind Netzwerkgeräte, die Netzwerkpakete zwischen mehreren Rechnernetzen weiterleiten können.

Sie werden am häufigsten zur Internetanbindung, zur sicheren Kopplung mehrerer Standorte (Virtual Private Network) oder zur direkten Kopplung mehrerer lokaler Netzwerksegmente, gegebenenfalls mit Anpassung an unterschiedlichen Netzwerkprotokolle eingesetzt (Ethernet, DSL, PPPoE, ISDN, ATM usw.).

Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der Netzwerk-Schicht 3 (in der Regel ist das die IP-Adresse) oder höher.

Viele Router übersetzen dabei auch zwischen privaten und öffentlichen IP-Adressen (Network Address Translation, Port Address Translation) oder bilden Firewall-Funktionen durch ein Regelwerk ab.

Arbeitsweise

Router arbeiten auf Schicht 3 (Vermittlungsschicht/Network Layer) des OSI-Referenzmodells.		7				7
	6				6
	5				5
Ein Router besitzt mehrere Schnittstellen (engl. Interfaces), über die Netze erreichbar sind. Diese Schnittstellen können auch virtuell sein.		4				4
	3		3		3
	2		2	2	2
	1		1	1	1

Beim Eintreffen von Datenpaketen muss ein Router anhand der OSI-Schicht-3-Zieladresse (z. B.

IP-Adresse) den besten Weg zum Ziel und damit die passende Schnittstelle bestimmen, über welche die Daten weiterzuleiten sind.

Dazu bedient er sich einer lokal vorhandenen Routingtabelle, die angibt, über welchen Anschluss des Routers (bzw.

welche Zwischenstation) welches Netz erreichbar ist.
Router können Wege auf drei verschiedene Arten lernen und mit diesem Wissen dann die Routingtabelleneinträge erzeugen:* direkt verbundene Netze: Sie werden automatisch in eine Routingtabelle übernommen, wenn ein Interface mit einer IP-Adresse konfiguriert wird.
statische Routen: Diese Wege werden durch einen Administrator eingetragen.
Sie dienen zum einen der Sicherheit, sind andererseits aber nur verwaltbar, wenn ihre Zahl begrenzt ist, d.h.
die Skalierbarkeit ist für diese Methode ein limitierender Faktor.
dynamische Routen: In diesem Fall lernen Router erreichbare Netze durch ein Routingprotokoll, das Informationen über das Netzwerk und seine Teilnehmer sammelt und an die Mitglieder verteilt.

Die Routingtabelle ist in ihrer Funktion einem Adressbuch vergleichbar, in dem nachgeschlagen wird, ob eine Ziel-IP-Adresse bekannt ist, d. h.

ein Weg zu diesem Netz existiert.
Da ein Router nicht für alle IP-Adressen darauf eine Antwort weiß, muss es eine Standardvorgabe geben.

Da Routingtabellen bei den meisten Systemen nach der Genauigkeit sortiert werden, also zuerst spezifische Einträge und später weniger spezifische, kommt die Default-Route, als unspezifische, am Ende und wird für alle Ziele benutzt, die über keinen besser passenden, spezifischeren Eintrag in der Routingtabelle verfügen.

Einige Router beherrschen auch ein sogenanntes Policy Based Routing; dabei wird die Routingentscheidung nicht nur auf Basis der Zieladresse (Layer-3) getroffen, sondern es werden zusätzlich andere Angaben berücksichtigt, beispielsweise die Quelladresse, Qualitätsanforderungen oder Parameter aus höheren Schichten wie TCP oder UDP.

So können dann zum Beispiel Pakete, die HTTP (Web) transportieren, einen anderen Weg nehmen als Pakete mit SMTP-Inhalten (Mail).

Router können nur für Routing geeignete Datenpakete, also von routingfähigen Protokollen, wie IP (IPv4 oder IPv6) oder IPX/SPX, verarbeiten.

Andere Protokolle, wie das ursprünglich von MS-DOS und MS-Windows benutzte NetBIOS und NetBEUI, die nur für kleine Netze gedacht waren und von ihrem Design her nicht routingfähig sind, werden von einem Router nicht weitergeleitet.
Pakete aus diesen Protokollfamilien werden in aller Regel durch Systeme, die auf Schicht 2 arbeiten, also Bridges oder Switches, verarbeitet.

Viele professionelle Router können bei Bedarf auch diese Bridge-Funktionen wahrnehmen und werden dann Layer-3-Switch genannt.

Als Schicht-3-System enden am Router alle Schicht-2-Funktionen, darunter auch die Broadcastdomäne.
Das ist insbesondere in großen lokalen Netzen wichtig, um das Broadcast-Aufkommen für die einzelnen Stationen gering zu halten.
Sollen allerdings Broadcast-basierte Dienste über den Router hinweg funktionieren, dann werden spezielle Router benötigt, die diese Broadcasts empfangen, auswerten und gezielt einem anderen System zur Verarbeitung zuführen können.

Außerdem sind Ein- und Mehrprotokoll-Router (auch Multiprotokoll-Router) zu unterscheiden.

Einprotokoll-Router sind nur für ein Netzwerkprotokoll z. B.
IPv4 geeignet und können daher nur in homogenen Umgebungen eingesetzt werden.
Multiprotokoll-Router beherrschen den gleichzeitigen Umgang mit mehreren Protokollfamilien wie DECnet, IPX/SPX, SNA, IP und anderen.
Heute dominieren IP-Router das Feld, da praktisch alle anderen Netzwerkprotokolle nur noch eine untergeordnete Bedeutung haben, und, falls sie doch zum Einsatz kommen, oft auch gekapselt werden können (NetBIOS over TCP/IP, IP-encapsulated IPX).

Früher hatten Mehrprotokoll-Router in größeren Umgebungen eine wesentliche Bedeutung, damals verwendeten viele Hersteller unterschiedliche Protokollfamilien, daher kam es unbedingt darauf an, dass vom Router mehrere Protokoll-Stacks unterstützt wurden.

Multiprotokoll-Router findet man heute fast ausschließlich in Weitverkehrs- oder ATM-Netzen.

Wichtig ist auch die Unterscheidung zwischen den gerouteten Protokollen (z. B. IP oder IPX) und Routing-Protokollen.

Routing-Protokolle dienen der Verwaltung des Routing-Vorgangs und der Kommunikation zwischen den Routern, die z. B.
so ihre Routing-Tabellen austauschen (z. B. BGP, RIP oder OSPF).
Geroutete Protokolle hingegen sind die Protokolle, die den Datenpaketen, die der Router transportiert, zugrunde liegen (z. B.
IP oder IPX).

Typen (Bauformen)

Backbone-Router, Hardware-Router

Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Gigabit Datendurchsatz pro Sekunde in Hardware routen können.

Datei:Grafik54.png

Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet.

Die einzelnen Ports oder Interfaces können unabhängig voneinander Daten empfangen und senden.

Sie sind entweder über einen internen Hochgeschwindigkeitsbus (Backplane) oder kreuzweise miteinander verbunden (Matrix).

In der Regel sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile usw.), um Ausfälle zu vermeiden.

Auch ist es üblich, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug).

In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche Workstations als Router zu benutzen, bei denen das Routing per Software implementiert war.

Border-Router

Ein Border-Router oder Edge-Router kommt meistens bei Internetdienstanbietern (Internet Service Provider) zum Einsatz.

Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen Peers (Partner-Routern) verbinden.

Auf diesen Routern läuft überwiegend das Routing-Protokoll BGP.

Für den Datentransfer zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz, dieses ermöglicht dem Router den Datentransfer in ein benachbartes autonomes System.

Um den eigenen Netzwerkverkehr zu priorisieren, setzen die Betreiber oft Type of Service Routing und Methoden zur Überwachung des Quality of Service (QoS) ein.

High-End-Switches

Bei manchen Herstellern (z. B.

bei Hewlett-Packard) findet man die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router.
Router werden dort gemeinsam mit den High-End-Switches (Layer-3-Switch und höher, Enterprise Class) vermarktet.

Das ist insoweit logisch, als Switches aus dem High-End-Bereich heute praktisch auch immer die Routingfunktionalität beherrschen.

Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse z. B.
IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten.

Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich auch im Mischbetrieb arbeiten.

In diesem Bereich verschwimmen die Grenzen zwischen beiden Geräteklassen mehr und mehr – auch finanziell.

Software-Router

Anstatt spezieller Routing-Hardware kann man auch gewöhnliche PCs/Laptops/Nettops/Unix-Workstations und -Server als Router einsetzen.

Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der CPU ausgeführt.
Alle POSIX-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst MS-DOS konnte man z. B.
mit KA9Q mit Routing-Funktionalität erweitern. Microsoft Windows bietet in allen NT-basierten Workstation- und Server-Varianten (NT, 2000, XP, 2003, Vista, 7) ebenfalls Routing-Dienste.

Auch die Serverversion von Apples Mac OS X enthält Router-Funktionalität.

Das freie Betriebssystem OpenBSD (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen auch mehrere erweiterte Routingdienste, wie unter anderem OpenBGPD und OpenOSPFD, die auch in kommerziellen Produkten zu finden sind.
Der Linux-Kernel enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind i. d. R.
nichts anderes als Linux mit proprietären Eigenentwicklungen.

Es gibt auch ganze Linux-Distributionen, die sich speziell auf den Einsatz als Router eignen, z. B.

Smoothwall, IPCop oder Fli4l.
Einen Spezialfall stellt OpenWrt dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem embedded Gerät läuft und sich über SSH und HTTP konfigurieren lässt.
Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.
Gerade im SoHo-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein embedded Gerät.

DSL-Router

Ein Router, der einen PPPoE-Client zur Einwahl in das Internet via xDSL eines ISPs beinhaltet und gegenwärtig NAT in IPv4-Netzen zur Umsetzung einer öffentlichen IPv4-Adresse auf die verschiedenen privaten IPv4-Adressen des LANs beherrscht, wird als DSL-Router bezeichnet.

Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem Switch, einem WLAN Access Point, nicht selten mit einer kleinen TK-Anlage, einem VoIP-Gateway oder/und einem DSL-Modem (xDSL jeglicher Bauart) ausgestattet.

Firewall-Funktionalität in DSL-Routern

Fast alle DSL-Router sind heute NAT-fähig, d. h.

in der Lage, Netzadressen zu übersetzen.
Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen

Herstellern bereits als NAT-Firewall bezeichnet, obwohl nicht das Schutzniveau eines Paketfilters erreicht wird.

Die Sperre lässt sich durch die Konfiguration eines Port Forwarding umgehen, was z. B.
für manche VPN- oder Peer-to-Peer-Verbindungen notwendig ist.
Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären Paketfilter, teilweise auch stateful.

Diese Paketfilter kommen auch bei IPv6 zum Einsatz.

Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports.
Als Betriebssystem kommt auf vielen Routern dieser Klasse Linux und als Firewall meist iptables zum Einsatz.
Einen Content-Filter enthalten solche Produkte zumeist nicht.

WLAN-Router

Die Kombination aus Access Point, Switch und Router wird häufig als WLAN-Router bezeichnet.

Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen WAN-Port, gibt.

Datei:Grafik55.png

Das Routing findet dann zwischen den mindestens zwei Netzen, meist dem WLAN und WAN statt (und falls vorhanden auch zwischen LAN und WAN).

Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine Access Points auf OSI-Ebene 2 arbeiten und somit Bridges und keine Router sind.

Häufig sind auch WLAN-Router keine vollwertigen Router, sie haben oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT – siehe oben).

Bei IPv6 entfällt bei diesen Geräten in der Regel NAT.
Lediglich in der Übergangsphase muss der Router noch zusätzlich Tunnelprotokolle z. B. 6to4 beherrschen.

Router in der Automatisierung

Mit der Durchdringung von Netzwerktechnik in der industriellen Automatisierung werden verstärkt Modem-Router mit externem Zugang über Telefon- und Mobilfunkverbindungen eingesetzt.

Industriegeräte sind in der Regel Software-Router auf Basis von embedded Linux, die nicht auf hohen Durchsatz, sondern auf mechanische Robustheit, Befestigung im Schaltschrank und Langlebigkeit optimiert sind.

Software- oder Hardware-Router

Generell leisten Software-Router heute wertvolle und umfangreiche Dienste – allerdings überwiegend im nicht professionellen Umfeld.

Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig auch noch als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing.

Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie aber meist unterlegen.

Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen PCI-Bus mit 32-Bit Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen Bus lassen sich theoretisch ca. 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus (HDX) leiten; da die Netzwerkpakete den PCI-Bus allerdings in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s.

Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus FDX betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000Base-TX anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen.

Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann.
Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier 1GbE-Schnittstellen im FDX-Modus.

Noch höherwertige klassische (legacy) Server-Systeme verfügen über noch schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse und können daher auch ohne Probleme höhere Durchsatzraten erzielen – wobei man sich hier auf Grund des typischerweise hohen Energieverbrauchs solcher Server, besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage stellen muss – Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen (anwendungsspezifische integrierte Schaltung kurz ASIC) schaffen das weitaus energieeffizienter.

Erst durch die Einführung von PCI-Express (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im FDX-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router auch aus preiswerter Standardhardware bauen lassen.

Da bislang aber alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern auch Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen.

Vorsichtigerweise sollte man in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgehen.
Wer mit solchen Datenraten leben kann, ist mit einem Software-Router, zumindest was die Kosten und die Leistung angeht, gut bedient.

Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich allerdings auch im Preis widerspiegelt.

Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % und höher).
Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen aber ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit.

Übrigens bestehen manche so genannte Hardware-Router tatsächlich aus PC-Komponenten.

Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme.
Zwar arbeiten auch diese Systeme meist sehr robust und zuverlässig, dennoch wird auch hier das Routing per Software durchgeführt.

Routing-Cluster

Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, benötigt man nicht unbedingt einen hochpreisigen Hardware-Router.

Wer geringe Einbußen bei der Übertragungs-Geschwindigkeit in Kauf nimmt, kann dafür auch einen Routing-Cluster einsetzen.
Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei 10GbE-LAN-Karten PCI-Express) pro Ethernet-Strang aufgebaut sein.

Die Software-Router werden über einen professionellen Switch mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden.

Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s).

Optional können die Cluster auch redundant (per High-Availability-Unix oder HA-Linux) ausgelegt sein.

Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie aber höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig; daher findet man sie dort, wo Kosten höher als Performance bewertet werden, beispielsweise in Schulen oder Universitäten.

Aussprache

Der Begriff Router leitet sich ab aus dem ins Englische übertragenen französischen Begriff route (Route, Marschroute) ([ruːt] (BE)/[raʊ̯t] oder [ruːt] (AE)).

Im britischen Englisch (BE) hört man in der Regel ['ruːtə(r)], während im amerikanischen Englisch (AE) die Aussprache eher ['raʊ̯tə(r)] lautet.

Im Deutschen spricht man das Wort Router ['ruːter] lautgetreu aus.

Von „http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190“

Firewall-Arten

Firewall/Grundlagen/Firewall-Arten