|
|
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| == Allgemeine Grundlagen ==
| | [[Kategorie:Firewall]] |
| === Funktionsweise eines Fernzugriffs ===
| |
| ==== Zugriff auf ein Netzwerkdienst ====
| |
| Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen wie Dateien und Drucker über ein Netzwerk ermöglicht.
| |
| * Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt.
| |
| * Erst ein dort laufender Netzwerkdienst (hier eine [http://de.wikipedia.org/wiki/Webserver Webserver]-Software) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen.
| |
| | |
| Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port] der Netzwerkschnittstelle.
| |
| * Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss bedeutet, dass ein offener Port immer zu einem Computerprogramm gehört.
| |
| | |
| Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die zulässigen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen.
| |
| | |
| Hinweis: Ein [http://de.wikipedia.org/wiki/Dienst_%28Informatik%29 Dienst] (unter [http://de.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] [http://de.wikipedia.org/wiki/Englische_Sprache englisch] [http://de.wikipedia.org/wiki/Windows-Systemdienst Service]<nowiki>; unter </nowiki>[http://de.wikipedia.org/wiki/Unix Unix] [http://de.wikipedia.org/wiki/Englische_Sprache englisch] [http://de.wikipedia.org/wiki/Daemon Daemon]) zeichnet sich dadurch aus, dass er bei jedem Systemstart ausgeführt wird, unabhängig davon, ob sich ein Anwender an dem Computer anmeldet.
| |
| * Es gibt Programme mit einer dem Netzwerkdienst entsprechenden Funktionalität, die jedoch erst nach der Benutzeranmeldung gestartet werden.
| |
| * Obgleich diese Programme genau genommen keine Dienste sind, werden sie der Einfachheit halber im Folgenden ebenfalls als Netzwerkdienst betitelt.
| |
| | |
| ==== Rückweg vom entfernten Netzwerkdienst ====
| |
| Der Rückweg vom entfernten Netzwerkdienst hin zum anfragenden PC (genauer dem [http://de.wikipedia.org/wiki/Client Client]), der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen.
| |
| * Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll.
| |
| | |
| Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen.
| |
| * Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren.
| |
| * Eine Schadsoftware kann wiederum als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen.
| |
| | |
| ==== Netzwerkimplementierung des Betriebssystems ====
| |
| Für die Kommunikation im Netz benötigen die Kommunikationspartner Kenntnis über die grundlegenden Protokolle, die für die Adressierung und den Transport von Daten verwendet werden.
| |
| * Mitunter kann eine fehlerhaft [http://de.wikipedia.org/wiki/Implementierung implementierte] Netzwerkanbindung des [http://de.wikipedia.org/wiki/Betriebssystem Betriebssystems] (inklusive fehlerhafter [http://de.wikipedia.org/wiki/Gerätetreiber Treiber-Software]) für einen Netzwerkzugriff genutzt werden, der in dieser Form vom Hersteller nicht vorgesehen war.
| |
| | |
| Ein Beispiel für die Ausnutzung eines ehemals weitverbreiteten Fehlers in der Implementierung des [http://de.wikipedia.org/wiki/Internet_Protocol IP-Protokolls] stellt [http://de.wikipedia.org/wiki/Ping_of_Death Ping of Death] dar, der das Zielsystem gezielt zum Absturz brachte. Ähnliche Lücken ermöglichen es mitunter auch, Programmcode auf dem Zielsystem einzuschleusen.
| |
| | |
| === Schutzfunktion und Grenzen ===
| |
| Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden.
| |
| * Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“).
| |
| * In der Regel kann eine Firewall nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf.
| |
| | |
| Bei der Ausnutzung des Rückwegs kann eine Firewall nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen kann.
| |
| * Daher sollten Programme, die für den Netzwerkzugriff bestimmt sind, auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken dort zu schließen.
| |
| | |
| Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten [http://de.wikipedia.org/wiki/ActiveX ActiveX]-Objekten aus Webseiten vorgenommen wird.
| |
| * Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann.
| |
| * Alternativ dazu lässt sich dieses Verhalten auch über die Konfiguration des verwendeten Browsers erreichen.
| |
| | |
| Je nach Firewall-Typ kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden.
| |
| * Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (siehe dazu die Grenzen der [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen Personal Firewall] und der [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen_2 externen Firewall]).
| |
| | |
| Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren.
| |
| | |
| Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag.
| |
| | |
| Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren.
| |
| * Eine Ausnahme könnte ein Gurt bilden, der den Autofahrer gleichzeitig gefährdet (hier mit [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Nachteile Bezug zur Personal Firewall]), was unter Umständen dazu führen kann, dass [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Alternative_L.C3.B6sungen_zur_Unterbindung_eines_Fernzugriffs alternative Lösungen] eine höhere Sicherheit bieten.
| |
| | |
| Erst wenn bekannt ist, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreicht werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird.
| |
| * Dabei hilft die Erstellung eines [http://de.wikipedia.org/wiki/Sicherheitskonzept Sicherheitskonzepts].
| |
| * In größeren Organisationen kommt dafür üblicherweise eine eigene [http://de.wikipedia.org/wiki/Sicherheitsrichtlinie Sicherheitsrichtlinie] zum Einsatz.
| |
| | |
| === Filtertechnologien ===
| |
| ==== Paketfilter ====
| |
| Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Ports] und der [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] des Quell- und Zielsystems gemeint).
| |
| | |
| ==== Stateful Inspection ====
| |
| Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung.
| |
| * Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.
| |
| | |
| ==== Proxyfilter ====
| |
| Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter.
| |
| | |
| Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen.
| |
| * Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] oder [http://de.wikipedia.org/wiki/File_Transfer_Protocol FTP], kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.
| |
| | |
| Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen.
| |
| * Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.
| |
| | |
| ==== Contentfilter ====
| |
| Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, [http://de.wikipedia.org/wiki/ActiveX ActiveX] und/oder [http://de.wikipedia.org/wiki/JavaScript JavaScript] aus angeforderten Webseiten herauszufiltern oder allgemein bekannte [http://de.wikipedia.org/wiki/Schadprogramm Schadsoftware] beim [http://de.wikipedia.org/wiki/Herunterladen Herunterladen] zu blockieren.
| |
| * Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter.
| |
| | |
| === Sichtbarkeit für Anwender ===
| |
| Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden.
| |
| * Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Erscheinungsformen nur auf einer externen Firewall vorkommen können:
| |
| | |
| ==== Sichtbar ====
| |
| Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem.
| |
| * Hier bittet der [http://de.wikipedia.org/wiki/Client Client] die [http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29 Proxy]-Firewall stellvertretend für ihn, die Kommunikation mit dem Zielsystem zu übernehmen.
| |
| | |
| So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.
| |
| * Der Proxy nimmt nun die Verbindung zum Zielsystem auf.
| |
| * Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.
| |
| | |
| ==== Einer Seite gegenüber transparent ====
| |
| Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall.
| |
| * Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die ([http://de.wikipedia.org/wiki/Network_Address_Translation NAT]- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann.
| |
| | |
| Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt.
| |
| * Mögliche Angriffe von dort sind auch hier an die Firewall gerichtet und treffen nicht direkt den Client.
| |
| * Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.
| |
| * Diese Form ist die am häufigsten verbreitete Art bei Firewall-Geräten für den Heimbereich.
| |
| | |
| ==== Beiden Seiten gegenüber transparent ====
| |
| Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können.
| |
| | |
| Der Datenstrom fließt einfach durch die Firewall hindurch.
| |
| * Auf der Ebene der [http://de.wikipedia.org/wiki/IP-Adresse IP-Adressierung] sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen ([http://de.wikipedia.org/wiki/Router Router] ohne NAT).
| |
| * Dennoch kann die auf dem Gerät laufende Firewall-Software den Datenstrom unterbrechen (bestimmte Pakete herausfiltern).
| |
| | |
| ==== Unsichtbar ====
| |
| Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch.
| |
| * Das Gerät, auf dem die Firewall-Software läuft, arbeitet nun aber wie eine [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridge], wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.
| |
| | |
| ==== Lokal ====
| |
| Eine lokal auf dem Computer installierte Firewall-Software überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt).
| |
| * Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems.
| |
| | |
| Dadurch verändert sich weder die Netzwerkadresse des Quellsystems noch der Kommunikationsweg zum Zielsystem.
| |
| * Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar.
| |
| * Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt).
| |
| | |
| === Regelwerk ===
| |
| Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.
| |
| * Die Aktionen können je nach Produkt unterschiedlich betitelt sein.
| |
| * Entweder ist die Anfrage nicht erlaubt und das Paket wird lokal verworfen (meist DENY oder DROP genannt) oder sie wird aktiv abgelehnt (REJECT), indem sie beispielsweise mit einem [http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol ICMP]-Paket beantwortet wird.
| |
| * Eine erlaubte Anfrage nennt man ACCEPT, ALLOW, PASS oder FORWARD, wobei FORWARD je nach Produkt und Konfiguration auch auf eine Umleitung der Anfrage hindeuten kann.
| |
| | |
| === Überprüfbarkeit des Quelltextes ===
| |
| Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit.
| |
| * Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll.
| |
| | |
| So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der [http://de.wikipedia.org/wiki/Personal_Firewall Personal Firewalls], die selbst heimlich Daten zum Hersteller schicken, also genau das tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen.
| |
| * Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können.
| |
| | |
| Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie freier Software umfassen auch kommerzielle Produkte (freie Software ist nicht dasselbe wie [http://de.wikipedia.org/wiki/Freeware Freeware]).
| |
| | |
| === Router ===
| |
| {| style="border-spacing:0;margin:auto;width:17.501cm;"
| |
| |-
| |
| | align=center| [[Image:Grafik51.png|top]]
| |
| | align=center| [[Image:Grafik52.png|top]]
| |
| | align=center| [[Image:Grafik53.png|top]]
| |
| |-
| |
| | align=center| (Cisco-)Symbol für einen Router
| |
| | align=center| SOHO-Router: Linksys WRT54G
| |
| | align=center| Hochleistungsrouter
| |
| |-
| |
| |}
| |
| Router ([http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːtə(r)]] [http://www.m-w.com/cgi-bin/audio.pl?router02.wav=router (anhören)] oder [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['raʊ̯tə(r)]] [http://www.m-w.com/cgi-bin/audio.pl?router01.wav=router (anhören)]) sind [http://de.wikipedia.org/wiki/Netzwerk/Hardware Netzwerkgeräte], die [http://de.wikipedia.org/wiki/Datenpaket Netzwerkpakete] zwischen mehreren [http://de.wikipedia.org/wiki/Rechnernetz Rechnernetzen] weiterleiten können.
| |
| * Sie werden am häufigsten zur [http://de.wikipedia.org/wiki/Internet Internetanbindung], zur sicheren Kopplung mehrerer Standorte ([http://de.wikipedia.org/wiki/Virtual_Private_Network Virtual Private Network]) oder zur direkten Kopplung mehrerer lokaler [http://de.wikipedia.org/wiki/Netzwerksegment Netzwerksegmente], gegebenenfalls mit Anpassung an unterschiedlichen [http://de.wikipedia.org/wiki/Netzwerkprotokoll Netzwerkprotokolle] eingesetzt ([http://de.wikipedia.org/wiki/Ethernet Ethernet], [http://de.wikipedia.org/wiki/Digital_Subscriber_Line DSL], [http://de.wikipedia.org/wiki/PPP_over_Ethernet PPPoE], [http://de.wikipedia.org/wiki/Integrated_Services_Digital_Network ISDN], [http://de.wikipedia.org/wiki/Asynchronous_Transfer_Mode ATM] usw.).
| |
| | |
| Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der [http://de.wikipedia.org/wiki/OSI-Modell Netzwerk-Schicht] 3 (in der Regel ist das die [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse]) oder höher.
| |
| * Viele Router übersetzen dabei auch zwischen [http://de.wikipedia.org/wiki/Private_IP-Adresse privaten] und öffentlichen IP-Adressen ([http://de.wikipedia.org/wiki/Network_Address_Translation Network Address Translation], [http://de.wikipedia.org/wiki/Port_Address_Translation Port Address Translation]) oder bilden [http://de.wikipedia.org/wiki/Firewall Firewall]-Funktionen durch ein Regelwerk ab.
| |
| | |
| ==== Arbeitsweise ====
| |
| {| style="border-spacing:0;margin:auto;width:17.501cm;"
| |
| |-
| |
| | style="border:none;padding:0cm;" | Router arbeiten auf Schicht 3 (Vermittlungsschicht/Network Layer) des [http://de.wikipedia.org/wiki/OSI-Modell OSI-Referenzmodells].
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 7
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 7
| |
| |-
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 6
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 6
| |
| |-
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 5
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 5
| |
| |-
| |
| | style="border:none;padding:0cm;" | Ein Router besitzt mehrere Schnittstellen (engl.
| |
| * Interfaces), über die [http://de.wikipedia.org/wiki/Rechnernetz Netze] erreichbar sind.
| |
| * Diese Schnittstellen können auch virtuell sein.
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 4
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 4
| |
| |-
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | colspan="2" align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3
| |
| |-
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2
| |
| | align=center style="border:none;padding:0.049cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2
| |
| |-
| |
| | style="border:none;padding:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1
| |
| | align=center style="border-top:none;border-bottom:2.25pt solid #000000;border-left:none;border-right:none;padding-top:0cm;padding-bottom:0.049cm;padding-left:0cm;padding-right:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1
| |
| | align=center style="border-top:none;border-bottom:2.25pt solid #000000;border-left:none;border-right:none;padding-top:0cm;padding-bottom:0.049cm;padding-left:0cm;padding-right:0cm;" |
| |
| | align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1
| |
| |-
| |
| |}
| |
| Beim Eintreffen von [http://de.wikipedia.org/wiki/Datenpaket Datenpaketen] muss ein Router anhand der OSI-Schicht-3-Zieladresse (z. B.
| |
| * IP-Adresse) den besten Weg zum Ziel und damit die passende Schnittstelle bestimmen, über welche die Daten weiterzuleiten sind.
| |
| | |
| Dazu bedient er sich einer lokal vorhandenen [http://de.wikipedia.org/wiki/Routingtabelle Routingtabelle], die angibt, über welchen Anschluss des Routers (bzw.
| |
| * welche Zwischenstation) welches Netz erreichbar ist.
| |
| * Router können Wege auf drei verschiedene Arten lernen und mit diesem Wissen dann die Routingtabelleneinträge erzeugen:* direkt verbundene Netze: Sie werden automatisch in eine Routingtabelle übernommen, wenn ein Interface mit einer IP-Adresse konfiguriert wird.
| |
| * statische Routen: Diese Wege werden durch einen Administrator eingetragen.
| |
| * Sie dienen zum einen der Sicherheit, sind andererseits aber nur verwaltbar, wenn ihre Zahl begrenzt ist, d.h.
| |
| * die Skalierbarkeit ist für diese Methode ein limitierender Faktor.
| |
| * dynamische Routen: In diesem Fall lernen Router erreichbare Netze durch ein Routingprotokoll, das Informationen über das Netzwerk und seine Teilnehmer sammelt und an die Mitglieder verteilt.
| |
| | |
| Die Routingtabelle ist in ihrer Funktion einem Adressbuch vergleichbar, in dem nachgeschlagen wird, ob eine Ziel-IP-Adresse bekannt ist, d. h.
| |
| * ein Weg zu diesem Netz existiert.
| |
| * Da ein Router nicht für alle IP-Adressen darauf eine Antwort weiß, muss es eine Standardvorgabe geben.
| |
| | |
| Da Routingtabellen bei den meisten Systemen nach der Genauigkeit sortiert werden, also zuerst spezifische Einträge und später weniger spezifische, kommt die Default-Route, als unspezifische, am Ende und wird für alle Ziele benutzt, die über keinen besser passenden, spezifischeren Eintrag in der Routingtabelle verfügen.
| |
| | |
| Einige Router beherrschen auch ein sogenanntes Policy Based Routing<nowiki>; dabei wird die Routingentscheidung nicht nur auf Basis der Zieladresse (Layer-3) getroffen, sondern es werden zusätzlich andere Angaben berücksichtigt, beispielsweise die Quelladresse, Qualitätsanforderungen oder Parameter aus höheren Schichten wie </nowiki>[http://de.wikipedia.org/wiki/Transmission_Control_Protocol TCP] oder [http://de.wikipedia.org/wiki/User_Datagram_Protocol UDP].
| |
| * So können dann zum Beispiel Pakete, die HTTP (Web) transportieren, einen anderen Weg nehmen als Pakete mit SMTP-Inhalten (Mail).
| |
| | |
| Router können nur für Routing geeignete [http://de.wikipedia.org/wiki/Datenpaket Datenpakete], also von routingfähigen Protokollen, wie [http://de.wikipedia.org/wiki/Internet_Protocol IP] ([http://de.wikipedia.org/wiki/IPv4 IPv4] oder [http://de.wikipedia.org/wiki/IPv6 IPv6]) oder [http://de.wikipedia.org/wiki/IPX/SPX IPX/SPX], verarbeiten.
| |
| * Andere Protokolle, wie das ursprünglich von [http://de.wikipedia.org/wiki/MS-DOS MS-DOS] und [http://de.wikipedia.org/wiki/MS-Windows MS-Windows] benutzte [http://de.wikipedia.org/wiki/NetBIOS NetBIOS] und [http://de.wikipedia.org/wiki/NetBEUI NetBEUI], die nur für kleine Netze gedacht waren und von ihrem Design her nicht routingfähig sind, werden von einem Router nicht weitergeleitet.
| |
| * Pakete aus diesen Protokollfamilien werden in aller Regel durch Systeme, die auf [http://de.wikipedia.org/wiki/OSI-Referenzmodell#Schicht_2_.E2.80.93_Sicherungsschicht Schicht 2] arbeiten, also [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridges] oder [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switches], verarbeitet.
| |
| | |
| Viele professionelle Router können bei Bedarf auch diese Bridge-Funktionen wahrnehmen und werden dann [http://de.wikipedia.org/wiki/Layer-3-Switch Layer-3-Switch] genannt.
| |
| * Als [http://de.wikipedia.org/wiki/OSI-Referenzmodell#Schicht_3_.E2.80.93_Vermittlungsschicht Schicht-3]-System enden am Router alle Schicht-2-Funktionen, darunter auch die [http://de.wikipedia.org/wiki/Broadcastdomäne Broadcastdomäne].
| |
| * Das ist insbesondere in großen [http://de.wikipedia.org/wiki/Local_Area_Network lokalen Netzen] wichtig, um das Broadcast-Aufkommen für die einzelnen Stationen gering zu halten.
| |
| * Sollen allerdings Broadcast-basierte Dienste über den Router hinweg funktionieren, dann werden spezielle Router benötigt, die diese Broadcasts empfangen, auswerten und gezielt einem anderen System zur Verarbeitung zuführen können.
| |
| | |
| Außerdem sind Ein- und Mehrprotokoll-Router (auch Multiprotokoll-Router) zu unterscheiden.
| |
| * Einprotokoll-Router sind nur für ein Netzwerkprotokoll z. B.
| |
| * IPv4 geeignet und können daher nur in [http://de.wikipedia.org/wiki/Homogen homogenen] Umgebungen eingesetzt werden.
| |
| * Multiprotokoll-Router beherrschen den gleichzeitigen Umgang mit mehreren Protokollfamilien wie DECnet, IPX/SPX, SNA, IP und anderen.
| |
| * Heute dominieren IP-Router das Feld, da praktisch alle anderen Netzwerkprotokolle nur noch eine untergeordnete Bedeutung haben, und, falls sie doch zum Einsatz kommen, oft auch gekapselt werden können ([http://de.wikipedia.org/wiki/NetBIOS_over_TCP/IP NetBIOS over TCP/IP], IP-encapsulated IPX).
| |
| | |
| Früher hatten Mehrprotokoll-Router in größeren Umgebungen eine wesentliche Bedeutung, damals verwendeten viele Hersteller unterschiedliche Protokollfamilien, daher kam es unbedingt darauf an, dass vom Router mehrere Protokoll-Stacks unterstützt wurden.
| |
| * Multiprotokoll-Router findet man heute fast ausschließlich in [http://de.wikipedia.org/wiki/Weitverkehrsnetz Weitverkehrs-] oder ATM-Netzen.
| |
| | |
| Wichtig ist auch die Unterscheidung zwischen den gerouteten Protokollen (z. B. [http://de.wikipedia.org/wiki/Internet_Protocol IP] oder [http://de.wikipedia.org/wiki/Internetwork_Packet_Exchange IPX]) und Routing-Protokollen.
| |
| * Routing-Protokolle dienen der Verwaltung des Routing-Vorgangs und der Kommunikation zwischen den Routern, die z. B.
| |
| * so ihre Routing-Tabellen austauschen (z. B. [http://de.wikipedia.org/wiki/Border_Gateway_Protocol BGP], [http://de.wikipedia.org/wiki/Routing_Information_Protocol RIP] oder [http://de.wikipedia.org/wiki/OSPF OSPF]).
| |
| * Geroutete Protokolle hingegen sind die Protokolle, die den Datenpaketen, die der Router transportiert, zugrunde liegen (z. B.
| |
| * IP oder IPX).
| |
| | |
| ==== Typen (Bauformen) ====
| |
| ===== Backbone-Router, Hardware-Router =====
| |
| Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Gigabit Datendurchsatz pro Sekunde in Hardware routen können.
| |
| | |
| [[Image:Grafik54.png|right]]Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet.
| |
| | |
| Die einzelnen [http://de.wikipedia.org/wiki/Port_%28Schnittstelle%29 Ports] oder Interfaces können unabhängig voneinander Daten empfangen und senden.
| |
| * Sie sind entweder über einen internen Hochgeschwindigkeitsbus ([http://de.wikipedia.org/wiki/Backplane Backplane]) oder kreuzweise miteinander verbunden ([http://de.wikipedia.org/wiki/Koppelfeld Matrix]).
| |
| | |
| In der Regel sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile usw.), um Ausfälle zu vermeiden.
| |
| | |
| Auch ist es üblich, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug).
| |
| * In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche [http://de.wikipedia.org/wiki/Workstation Workstations] als Router zu benutzen, bei denen das Routing per Software implementiert war.
| |
| | |
| ===== Border-Router =====
| |
| Ein Border-Router oder Edge-Router kommt meistens bei [http://de.wikipedia.org/wiki/Internetdienstanbieter Internetdienstanbietern] ([http://de.wikipedia.org/wiki/Internet_Service_Provider Internet Service Provider]) zum Einsatz.
| |
| * Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen [http://de.wikipedia.org/wiki/Peer_%28Informatik%29 Peers] (Partner-Routern) verbinden.
| |
| | |
| Auf diesen Routern läuft überwiegend das [http://de.wikipedia.org/wiki/Routing-Protokoll Routing-Protokoll] [http://de.wikipedia.org/wiki/Border_Gateway_Protocol BGP].
| |
| * Für den Datentransfer zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz, dieses ermöglicht dem Router den Datentransfer in ein benachbartes [http://de.wikipedia.org/wiki/Autonomes_System autonomes System].
| |
| | |
| Um den eigenen [http://de.wikipedia.org/w/index.php?title=Netzwerkverkehr&action=edit&redlink=1 Netzwerkverkehr] zu priorisieren, setzen die Betreiber oft [http://de.wikipedia.org/w/index.php?title=Type_of_Service_Routing&action=edit&redlink=1 Type of Service Routing] und Methoden zur Überwachung des [http://de.wikipedia.org/wiki/Quality_of_Service Quality of Service] (QoS) ein.
| |
| | |
| ===== High-End-Switches =====
| |
| Bei manchen Herstellern (z. B.
| |
| * bei [http://de.wikipedia.org/wiki/Hewlett-Packard Hewlett-Packard]) findet man die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router.
| |
| * Router werden dort gemeinsam mit den High-End-Switches ([http://de.wikipedia.org/wiki/Layer-3-Switch Layer-3-Switch] und höher, Enterprise Class) vermarktet.
| |
| | |
| Das ist insoweit logisch, als Switches aus dem High-End-Bereich heute praktisch auch immer die Routingfunktionalität beherrschen.
| |
| * Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse z. B.
| |
| * IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten.
| |
| | |
| Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich auch im Mischbetrieb arbeiten.
| |
| * In diesem Bereich verschwimmen die Grenzen zwischen beiden Geräteklassen mehr und mehr – auch finanziell.
| |
| | |
| ===== Software-Router =====
| |
| Anstatt spezieller Routing-Hardware kann man auch gewöhnliche PCs/Laptops/Nettops/[http://de.wikipedia.org/wiki/Unix Unix]-[http://de.wikipedia.org/wiki/Workstation Workstations] und -[http://de.wikipedia.org/wiki/Server Server] als Router einsetzen.
| |
| * Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der [http://de.wikipedia.org/wiki/CPU CPU] ausgeführt.
| |
| * Alle [http://de.wikipedia.org/wiki/POSIX POSIX]-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst [http://de.wikipedia.org/wiki/MS-DOS MS-DOS] konnte man z. B.
| |
| * mit KA9Q mit Routing-Funktionalität erweitern. [http://de.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] bietet in allen NT-basierten Workstation- und Server-Varianten (NT, 2000, XP, 2003, Vista, 7) ebenfalls Routing-Dienste.
| |
| | |
| Auch die Serverversion von Apples Mac OS X enthält Router-Funktionalität.
| |
| * Das freie Betriebssystem [http://de.wikipedia.org/wiki/OpenBSD OpenBSD] (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen auch mehrere erweiterte Routingdienste, wie unter anderem [http://de.wikipedia.org/wiki/OpenBGPD OpenBGPD] und [http://de.wikipedia.org/wiki/OpenOSPFD OpenOSPFD], die auch in kommerziellen Produkten zu finden sind.
| |
| * Der [http://de.wikipedia.org/wiki/Linux_%28Kernel%29 Linux-Kernel] enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind i. d. R.
| |
| * nichts anderes als Linux mit proprietären Eigenentwicklungen.
| |
| | |
| Es gibt auch ganze [http://de.wikipedia.org/wiki/Linux-Distribution Linux-Distributionen], die sich speziell auf den Einsatz als Router eignen, z. B.
| |
| * Smoothwall, [http://de.wikipedia.org/wiki/IPCop IPCop] oder [http://de.wikipedia.org/wiki/Fli4l Fli4l].
| |
| * Einen Spezialfall stellt [http://de.wikipedia.org/wiki/OpenWrt OpenWrt] dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem [http://de.wikipedia.org/wiki/Eingebettetes_System embedded Gerät] läuft und sich über SSH und HTTP konfigurieren lässt.
| |
| * Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.
| |
| * Gerade im [http://de.wikipedia.org/wiki/Small_Office,_Home_Office SoHo]-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein [http://de.wikipedia.org/wiki/Eingebettetes_System embedded Gerät].
| |
| | |
| ===== DSL-Router =====
| |
| Ein Router, der einen [http://de.wikipedia.org/wiki/PPP_over_Ethernet PPPoE-Client] zur Einwahl in das Internet via [http://de.wikipedia.org/wiki/Digital_Subscriber_Line xDSL] eines [http://de.wikipedia.org/wiki/Internetdienstanbieter ISPs] beinhaltet und gegenwärtig [http://de.wikipedia.org/wiki/Network_Address_Translation NAT] in [http://de.wikipedia.org/wiki/IPv4 IPv4]-Netzen zur Umsetzung einer öffentlichen [http://de.wikipedia.org/wiki/IPv4 IPv4]-Adresse auf die verschiedenen [http://de.wikipedia.org/wiki/Private_IP-Adresse privaten IPv4-Adressen] des [http://de.wikipedia.org/wiki/Local_Area_Network LANs] beherrscht, wird als DSL-Router bezeichnet.
| |
| | |
| Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switch], einem [http://de.wikipedia.org/wiki/Wireless_Access_Point WLAN Access Point], nicht selten mit einer kleinen [http://de.wikipedia.org/wiki/Telefonanlage TK-Anlage], einem [http://de.wikipedia.org/wiki/VoIP-Gateway VoIP-Gateway] oder/und einem [http://de.wikipedia.org/wiki/DSL-Modem DSL-Modem] (xDSL jeglicher Bauart) ausgestattet.
| |
| | |
| ===== Firewall-Funktionalität in DSL-Routern =====
| |
| Fast alle [http://de.wikipedia.org/wiki/Digital_Subscriber_Line DSL]-Router sind heute [http://de.wikipedia.org/wiki/Network_Address_Translation NAT]-fähig, d. h.
| |
| * in der Lage, Netzadressen zu übersetzen.
| |
| * Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen
| |
| | |
| Herstellern bereits als NAT-[http://de.wikipedia.org/wiki/Firewall Firewall] bezeichnet, obwohl nicht das Schutzniveau eines [http://de.wikipedia.org/wiki/Paketfilter Paketfilters] erreicht wird.
| |
| * Die Sperre lässt sich durch die Konfiguration eines [http://de.wikipedia.org/wiki/Port_Forwarding Port Forwarding] umgehen, was z. B.
| |
| * für manche [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]- oder [http://de.wikipedia.org/wiki/Peer-to-Peer Peer-to-Peer]-Verbindungen notwendig ist.
| |
| * Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären [http://de.wikipedia.org/wiki/Paketfilter Paketfilter], teilweise auch [http://de.wikipedia.org/wiki/Stateful_Packet_Inspection stateful].
| |
| | |
| Diese Paketfilter kommen auch bei [http://de.wikipedia.org/wiki/IPv6 IPv6] zum Einsatz.
| |
| * Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports.
| |
| * Als Betriebssystem kommt auf vielen Routern dieser Klasse [http://de.wikipedia.org/wiki/Linux Linux] und als Firewall meist [http://de.wikipedia.org/wiki/Iptables iptables] zum Einsatz.
| |
| * Einen Content-Filter enthalten solche Produkte zumeist nicht.
| |
| | |
| ===== WLAN-Router =====
| |
| Die Kombination aus [http://de.wikipedia.org/wiki/Access_Point Access Point], Switch und Router wird häufig als WLAN-Router bezeichnet.
| |
| * Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]-Port, gibt.
| |
| | |
| [[Image:Grafik55.png|right]]Das Routing findet dann zwischen den mindestens zwei Netzen, meist dem [http://de.wikipedia.org/wiki/Wireless_Local_Area_Network WLAN] und [http://de.wikipedia.org/wiki/Wide_Area_Network WAN] statt (und falls vorhanden auch zwischen [http://de.wikipedia.org/wiki/Local_Area_Network LAN] und [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]).
| |
| * Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine [http://de.wikipedia.org/wiki/Access_Point Access Points] auf OSI-Ebene 2 arbeiten und somit [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridges] und keine Router sind.
| |
| | |
| Häufig sind auch WLAN-Router keine vollwertigen Router, sie haben oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT – siehe oben).
| |
| * Bei IPv6 entfällt bei diesen Geräten in der Regel NAT.
| |
| * Lediglich in der Übergangsphase muss der Router noch zusätzlich Tunnelprotokolle z. B. [http://de.wikipedia.org/wiki/6to4 6to4] beherrschen.
| |
| | |
| ===== Router in der Automatisierung =====
| |
| Mit der Durchdringung von Netzwerktechnik in der industriellen [http://de.wikipedia.org/wiki/Automatisierung Automatisierung] werden verstärkt Modem-Router mit externem Zugang über Telefon- und Mobilfunkverbindungen eingesetzt.
| |
| * Industriegeräte sind in der Regel Software-Router auf Basis von [http://de.wikipedia.org/wiki/Embedded_Linux embedded Linux], die nicht auf hohen Durchsatz, sondern auf mechanische Robustheit, Befestigung im Schaltschrank und Langlebigkeit optimiert sind.
| |
| | |
| ===== Software- oder Hardware-Router =====
| |
| Generell leisten Software-Router heute wertvolle und umfangreiche Dienste – allerdings überwiegend im nicht professionellen Umfeld.
| |
| * Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig auch noch als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing.
| |
| | |
| Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie aber meist unterlegen.
| |
| | |
| Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen [http://de.wikipedia.org/wiki/Peripheral_Component_Interconnect PCI]-Bus mit [http://de.wikipedia.org/wiki/32-Bit 32-Bit] Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen [http://de.wikipedia.org/wiki/Bus_%28Datenverarbeitung%29 Bus] lassen sich theoretisch ca. 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus ([http://de.wikipedia.org/wiki/HDX HDX]) leiten; da die Netzwerkpakete den PCI-Bus allerdings in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s.
| |
| | |
| Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus [http://de.wikipedia.org/wiki/FDX FDX] betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000Base-TX anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen.
| |
| * Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann.
| |
| * Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier [http://de.wikipedia.org/wiki/Gigabit-Ethernet 1GbE-Schnittstellen] im FDX-Modus.
| |
| | |
| Noch höherwertige klassische (legacy) Server-Systeme verfügen über noch schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse und können daher auch ohne Probleme höhere Durchsatzraten erzielen – wobei man sich hier auf Grund des typischerweise hohen Energieverbrauchs solcher Server, besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage stellen muss – Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen ([http://de.wikipedia.org/wiki/Anwendungsspezifische_integrierte_Schaltung anwendungsspezifische integrierte Schaltung] kurz ASIC) schaffen das weitaus energieeffizienter.
| |
| | |
| Erst durch die Einführung von [http://de.wikipedia.org/wiki/PCI-Express PCI-Express] (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im [http://de.wikipedia.org/wiki/FDX FDX]-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router auch aus preiswerter Standardhardware bauen lassen.
| |
| | |
| Da bislang aber alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern auch Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen.
| |
| * Vorsichtigerweise sollte man in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgehen.
| |
| * Wer mit solchen Datenraten leben kann, ist mit einem Software-Router, zumindest was die Kosten und die Leistung angeht, gut bedient.
| |
| | |
| Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich allerdings auch im Preis widerspiegelt.
| |
| * Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt ([http://de.wikipedia.org/wiki/Verfügbarkeit Verfügbarkeit] von 99,999 % und höher).
| |
| * Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen aber ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit.
| |
| | |
| Übrigens bestehen manche so genannte Hardware-Router tatsächlich aus PC-Komponenten.
| |
| * Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme.
| |
| * Zwar arbeiten auch diese Systeme meist sehr robust und zuverlässig, dennoch wird auch hier das Routing per Software durchgeführt.
| |
| | |
| ====== Routing-Cluster ======
| |
| Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, benötigt man nicht unbedingt einen hochpreisigen Hardware-Router.
| |
| * Wer geringe Einbußen bei der Übertragungs-Geschwindigkeit in Kauf nimmt, kann dafür auch einen Routing-Cluster einsetzen.
| |
| * Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei 10GbE-LAN-Karten [http://de.wikipedia.org/wiki/PCI-Express PCI-Express]) pro Ethernet-Strang aufgebaut sein.
| |
| | |
| Die Software-Router werden über einen professionellen [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switch] mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden.
| |
| * Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s).
| |
| | |
| Optional können die Cluster auch [http://de.wikipedia.org/wiki/Redundanz_%28Technik%29 redundant] (per High-Availability-Unix oder HA-Linux) ausgelegt sein.
| |
| * Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie aber höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig; daher findet man sie dort, wo Kosten höher als Performance bewertet werden, beispielsweise in Schulen oder Universitäten.
| |
| | |
| ==== Aussprache ====
| |
| Der Begriff Router leitet sich ab aus dem ins Englische übertragenen französischen Begriff route (Route, Marschroute) ([http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [ruːt]] (BE)/[http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [raʊ̯t]] oder [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [ruːt]] (AE)).
| |
| | |
| Im [http://de.wikipedia.org/wiki/Britisches_Englisch britischen Englisch (BE)] hört man in der Regel [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːtə(r)]], während im [http://de.wikipedia.org/wiki/Amerikanisches_Englisch amerikanischen Englisch (AE)] die Aussprache eher [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['raʊ̯tə(r)]] lautet.
| |
| * Im Deutschen spricht man das Wort Router [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːter]] lautgetreu aus.
| |
| Von „[http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190 http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190]“
| |
| | |
| === Firewall-Arten im Vergleich ===
| |
| Je nach ihrem Einsatzort unterscheidet man zwei Arten von Firewalls.
| |
| * Personal Firewalls sind Programme, die auf dem Computer laufen, den sie schützen sollen.
| |
| * Externe Firewalls sind dem zu schützenden Computer bzw.
| |
| * Computernetzwerk physisch vorgeschaltet.
| |
| | |
| ==== Personal Firewall (auch Desktop Firewall) ====
| |
| <div style="text-align:center;">[[Image:Grafik4.png]]</div>
| |
| | |
| Eine Personal Firewall beschränkt den Zugriff des PCs auf das Internet und das lokale Netz.
| |
| | |
| Als Personal Firewall oder Desktop Firewall wird eine lokal auf dem Computer installierte Firewall-Software bezeichnet.
| |
| * Zu ihrer Aufgabe gehört es, ungewollte Zugriffe von außen auf Netzwerkdienste des Computers zu unterbinden.
| |
| * Abhängig vom Produkt kann sie zudem versuchen, Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
| |
| | |
| Im Unterschied zu einer externen Firewall, die lediglich den Internetzugriff kontrolliert, filtert die Personal Firewall zusätzlich auch die Verbindungen des PCs von und zu dem privaten lokalen Netz ([http://de.wikipedia.org/wiki/Local_Area_Network LAN]).
| |
| | |
| ===== Vorteile =====
| |
| [http://de.wikipedia.org/wiki/Computerwurm Computerwürmer], die einen Sicherheitsfehler in einem Netzwerkdienst ausnutzen, um sich zu verbreiten, können den Computer nur dann infizieren, wenn der entsprechende Netzwerkdienst für den Wurm erreichbar ist.
| |
| * Hier kann eine Personal Firewall den Fernzugriff auf den Netzwerkdienst einschränken und somit eine Infektion erschweren oder sogar verhindern.
| |
| * Gleiches gilt für einen Netzwerkzugriff eines möglichen Eindringlings.
| |
| | |
| Benötigt wird eine solche Filterung jedoch nur, wenn ein erforderlicher Netzwerkdienst auf dem Computer betrieben wird und der Zugriff darauf beschränkt werden soll.
| |
| * Manchmal soll der Dienst auch lediglich von Prozessen auf [http://de.wikipedia.org/wiki/Localhost demselben System] genutzt werden können, ohne dass sich die Software dahingehend konfigurieren lässt.
| |
| * Ein Fernzugriff auf nicht benötigte Netzwerkdienste lässt sich dagegen ohne Firewall verhindern, indem diese [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Alternative_L.C3.B6sungen_zur_Unterbindung_eines_Fernzugriffs Dienste deaktiviert] werden.
| |
| | |
| Darüber hinaus können die Regeln der Personal Firewall im günstigsten Fall unterbinden, dass ein heimlich reaktivierter oder installierter Dienst ungehindert vom Netzwerk aus ansprechbar ist.
| |
| * Sobald die (mögliche) Meldung der Firewall-Software dazu genutzt wird, um reaktivierte Dienste nebst Schadsoftware gleich wieder zu entfernen, hat sich der Einsatz der Personal Firewall gelohnt.
| |
| | |
| ===== Grenzen =====
| |
| Personal Firewalls können vor einigen Computerwürmern schützen, die sich über das Netzwerk verbreiten, bieten darüber hinaus jedoch keinen Schutz vor der Installation einer andersartigen Schadsoftware.
| |
| | |
| Abhängig vom Produkt kann eine Personal Firewall neu hinzukommende Netzwerkdienste (und Anwendungen mit [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Funktionsweise_eines_Fernzugriffs_auf_ein_Computersystem entsprechender Funktionalität]) erkennen und den Anwender über ein Hinweisfenster fragen, ob ein Fernzugriff darauf erlaubt sein soll.
| |
| * Beispielsweise arbeitet die in [http://de.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] integrierte Firewall-Software auf diese Weise.
| |
| | |
| Zahlreiche Produkte versuchen darüber hinaus Anwendungsprogramme davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, in der Absicht dabei auch den Netzwerkzugriff einer entsprechenden Schadsoftware zu beschränken.
| |
| | |
| Ein solcher Erfolg der Firewall-Software ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (in Fachartikeln aus [http://de.wikipedia.org/wiki/Microsoft Microsofts] TechNet Magazine und der [http://de.wikipedia.org/wiki/C%27t c’t] wird davor gewarnt, dass die Personal Firewall unerwünschte Netzwerkzugriffe nur unterbinden kann, wenn sich die Schadsoftware keine große Mühe gibt, ihre Aktivitäten zu verbergen).
| |
| | |
| Vergleichen lässt sich die Schutzwirkung einer Personal Firewall mit einem Gartenzaun, der zwar ein durchaus vorhandenes, aber kein unüberwindbares Hindernis darstellt.
| |
| * Die Firewall-Software kann im Unterschied zum Gartenzaun jedoch plötzlich und unerwartet ausfallen.
| |
| * Wird eine Schadsoftware auf dem zu schützenden PC entdeckt, lässt sich der Netzwerkzugriff daher effizient durch deren Entfernung unterbinden, statt durch eine Firewall, weil das auch dann noch Wirkung zeigt, wenn die Firewall-Software ausfällt.
| |
| * Innerhalb ihrer Grenzen kann hier die Personal Firewall mitunter dabei helfen zu erkennen, wann eine solche Kommunikation stattfindet.
| |
| | |
| ===== Nachteile =====
| |
| <div style="text-align:center;">[[Image:Grafik5.png]]</div>
| |
| | |
| <div style="text-align:center;">Nutzen und Gefahren einer Personal Firewall.</div>
| |
| | |
| Programme, welche auf derselben Hardware wie die Firewall-Software laufen, haben wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall.
| |
| * Ein Absturz oder gar eine dauerhafte Deaktivierung der Firewall-Software durch einen Softwarefehler oder ein Schadprogramm führt dazu, dass ein uneingeschränkter Zugriff auf die zuvor gefilterten Netzwerkdienste möglich wird, ohne dass der Anwender dies bemerkt.
| |
| * Abhängig vom Produkt und Wissensstand des Anwenders kann auch eine Fehlbedienung diesen Zustand herbeiführen.
| |
| | |
| Es ist zudem ein Problem des Konzepts, dass sich die Firewall-Software zwischen die normale Netzwerkimplementierung des Betriebssystems und die Außenwelt stellt, wodurch zwar in großen Teilen nicht mehr die ursprüngliche Netzwerkimplementierung, dafür aber die wesentlich komplexere Firewall-Software direkt angreifbar wird.
| |
| | |
| Die Erfahrung zeigt, dass eine Software mehr Fehler und Angriffspunkte enthält, je komplexer sie ist.
| |
| * Da ihre Komponenten (zumindest teilweise) mit erweiterten Rechten laufen und in der Regel [http://de.wikipedia.org/wiki/Betriebssystemkern Kernelkomponenten] installiert werden, wirken sich Programmier- und Designfehler hier besonders verheerend auf die Sicherheit, Performance und Stabilität des Computersystems aus.
| |
| | |
| Auf diese Weise können Angriffs- und Spionagemöglichkeiten geschaffen werden, die es ohne die installierte Firewall-Software nicht gäbe.
| |
| * So können Personal Firewalls selbst Sicherheitslücken enthalten, die beispielsweise einem [http://de.wikipedia.org/wiki/Computerwurm Computerwurm] erst Ansätze für einen Fernzugriff bieten.
| |
| | |
| Sicherheitstechnisch bedenklich wird der Einsatz einer Personal Firewall auch, wenn aufgrund zu vieler und komplizierter Sicherheitsmaßnahmen die persönlich vertretbare Schwelle zwischen Sicherheit auf der einen Seite und Arbeitskomfort auf der anderen Seite überschritten wird.
| |
| | |
| Das ist spätestens der Fall, wenn – trotz schlechten Gewissens – die installierten Barrieren vom Benutzer selbst unterwandert werden, indem die Personal Firewall beispielsweise für den reibungslosen Betrieb eines Computerspiels abgeschaltet wird.
| |
| * Auf einem solchen System ergibt der Einsatz einer Personal Firewall keinen Sinn, da die Firewall-Software die verbleibenden Risiken lediglich kaschiert und so selbst zum Sicherheitsrisiko wird.
| |
| | |
| Auf Systemen, bei denen eine Personal Firewall bereits ein fester Bestandteil des Betriebssystems ist, kann es durchaus fragwürdig sein eine weitere Firewall-Software zu installieren.
| |
| * Der Parallelbetrieb kann zu Problemen führen und ist nicht zwingend mit Vorteilen verbunden.
| |
| | |
| ===== Alternative Lösungen zur Unterbindung eines Fernzugriffs =====
| |
| Die Deaktivierung aller nicht benötigten Netzwerkdienste bietet den besten Schutz gegen ungewollte Fernzugriffe.
| |
| * Denn eine Firewall-Software kann versagen, aber niemand kann auf Netzwerkdienste zugreifen, die nicht gestartet wurden.
| |
| | |
| Zudem verlangsamt der Start eines jeden Dienstes die Startgeschwindigkeit des Betriebssystems und sie benötigen danach weiterhin Computerressourcen für ihre Arbeit.
| |
| * Es gibt einfach zu bedienende Hilfsmittel, die es auch unerfahrenen Benutzern ermöglichen, nicht benötigte Netzwerkdienste auf eine unkomplizierte Art zu deaktivieren.
| |
| | |
| Um einen Zugriff auf verbleibende Netzwerkdienste aus dem Internet heraus zu verhindern, sollten sie nicht an den Netzwerkadapter gebunden sein, der an dem Internet angeschlossen ist.
| |
| * Diese Aufgabe ist für einen unerfahrenen Benutzer nicht ganz trivial, weshalb sich der Einsatz eines vermittelnden Gerätes, wie beispielsweise ein [http://de.wikipedia.org/wiki/Router DSL-Router], anbietet.
| |
| * Dieses Gerät sorgt automatisch dafür, dass ein Netzwerkdienst nur aus dem internen (privaten) Netz, nicht jedoch aus dem Internet heraus direkt zugreifbar ist (siehe auch „[http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Vorteile_2 Vorteile bei der Verwendung einer externen Firewall]“).
| |
| | |
| ==== Externe Firewall (auch Netzwerk- oder Hardware-Firewall) ====
| |
| [[Image:Grafik6.png|right]]Die Firewall liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet).
| |
| * Sie soll den Zugriff zwischen diesen Netzen beschränken.
| |
| | |
| Eine externe Firewall (auch Netzwerk- oder Hardware-Firewall genannt) beschränkt die Verbindung zwischen zwei Netzen.
| |
| * Das könnten beispielsweise ein Heimnetzwerk und das Internet sein.
| |
| | |
| In all den Punkten, in denen sich die Funktionalitäten einer externen Firewall mit denen einer Personal Firewall gleichen, ist die externe Firewall zuverlässiger.
| |
| * Denn ein derart spezialisiertes Gerät bietet vorwiegend ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physischen Trennung zu dem zu schützenden Computersystem nicht so einfach manipuliert werden kann.
| |
| | |
| Die externe Firewall ist dafür prädestiniert, unerlaubte Zugriffe von außen (in der Abbildung das [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]) auf das interne System zu unterbinden.
| |
| * Im Unterschied zur Personal Firewall besteht das interne System hier nicht zwangsläufig aus nur einem einzigen Computer, sondern kann sich auf einen Verbund mehrerer Computer beziehen, die das interne Netz bilden (in der Abbildung das [http://de.wikipedia.org/wiki/Local_Area_Network LAN]).
| |
| | |
| ===== Hardware-Firewall =====
| |
| Es gibt in der Praxis keine Firewalls, die ausschließlich auf [http://de.wikipedia.org/wiki/Hardware Hardware] basieren.
| |
| * Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware.
| |
| * Eine Firewall enthält immer als wesentlichen Bestandteil eine [http://de.wikipedia.org/wiki/Software Software].
| |
| | |
| Der Begriff Hardware-Firewall wird vielmehr als Synonym für externe Firewalls verwendet.
| |
| * Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der die Firewall-Software läuft.
| |
| * Dabei gibt es allerdings Hardware, die für die Verwendung der Firewall-Software optimiert wurde, zum Beispiel indem ein entsprechender Hardware-Entwurf dabei hilft, Teile der Ent- und Kryptografie bestimmter Protokolle zu beschleunigen.
| |
| | |
| ===== Vorteile =====
| |
| Ein direkter Anschluss eines Computers an das Internet (genauer an ein entsprechendes Modem) hat zur Folge, dass alle Computer aus dem Internet auf die an diesem Netzwerkanschluss gebundenen Dienste des Computers zugreifen können, was [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Funktionsweise_eines_Fernzugriffs_auf_ein_Computersystem einen Fernzugriff auf den Computer] ermöglicht.
| |
| | |
| Um Fernzugriffe aus dem Internet zu unterbinden, wäre es eine Lösung, zwischen dem internen (privaten) Netz und dem externen Netz (Internet) zu unterscheiden und benötigte Dienste nur an die Netzwerkschnittstelle des internen Netzes zu binden.
| |
| * Eine im [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Sichtbarkeit_f.C3.BCr_Anwender sichtbaren oder einseitig transparenten Modus] laufende externe Firewall kann diese Aufgabe übernehmen:
| |
| | |
| Statt des PCs wird die externe Firewall an das Internet angeschlossen, wobei die PCs aus dem internen Netz wiederum mit diesem Gerät vernetzt werden.
| |
| * Die PCs übermitteln ihre Anfragen an das Internet nun an die Firewall, welche stellvertretend für die PCs auf das Internet zugreift.
| |
| | |
| Das Zielsystem sieht daher als Absender nur die Firewall, die wiederum die Antwortpakete des Zielsystems an den entsprechenden PC im internen Netz weiterleitet.
| |
| * Je nach Firewall-Typ ist es ihr dadurch möglich, die Netzwerkpakete in beiden Richtungen zu analysieren und zu filtern, noch bevor sie die tatsächlichen Kommunikationspartner erreichen.
| |
| | |
| <div style="text-align:center;">[[Image:Grafik7.png]]</div>
| |
| | |
| Anschluss einer externen Firewall, die den Zugriff zwischen dem Internet und dem privaten (in sich geschlossenen) Netz beschränkt.
| |
| | |
| Beispielkonfiguration der Abbildung: Der Internetanschluss könnte ein [http://de.wikipedia.org/wiki/Digital_Subscriber_Line DSL]-Anschluss inklusive [http://de.wikipedia.org/wiki/DSL-Modem DSL-Modem] sein.
| |
| * Die Firewall könnte dann auf einem [http://de.wikipedia.org/wiki/Router DSL-Router] installiert sein, der von den PCs im privaten (in sich geschlossenen) Netz als [http://de.wikipedia.org/wiki/Default_Gateway default Gateway] angesprochen wird.
| |
| * Das Gerät verwaltet dadurch die Netzwerkanfragen der internen PCs und kann zwischen Anfragen an das interne (private) und externe Netz (Internet) unterschieden und sie entsprechend weiterleiten.
| |
| | |
| Der [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switch] verbindet die PCs des internen Netzes miteinander und ist meist in einer solchen Firewall integriert, wird hier aber bewusst als eigenständiges Gerät dargestellt, um zu verdeutlichen, dass eine derartige Firewall nur den Zugriff zwischen dem internen und externen Netz filtert, jedoch keinen Einfluss auf die Kommunikation im internen Netz hat.
| |
| | |
| Da das Zielsystem aus dem Internet nicht den internen PC, sondern nur die Firewall sieht, sind mögliche Angriffe aus dem Internet an die dafür prädestinierte Firewall gerichtet und treffen nicht direkt den internen PC.
| |
| * Jemand aus dem Internet, der auf der Netzwerkadresse der Firewall nach einem Netzwerkdienst (wie beispielsweise die Datei- und Druckerfreigabe) sucht, wird nicht fündig, da der Dienst auf dem PC und nicht auf der Firewall läuft.
| |
| * Auf diesem Level ist die Firewall also nicht angreifbar und die Netzwerkdienste der internen PCs aus dem Internet heraus nicht erreichbar.
| |
| | |
| Auch eine Schadsoftware, die womöglich auf dem PC heimlich einen Netzwerkdienst installiert, kann an diesem Zustand nichts ändern.
| |
| * Der Netzwerkdienst ist nur aus dem privaten Netz heraus ansprechbar, nicht jedoch aus dem Internet heraus (die Schadsoftware kann schließlich keinen Dienst auf der Firewall installieren, sondern nur auf dem PC).
| |
| | |
| Hinweis: Für die beschriebene Funktionalität ist es erforderlich, dass das Firewall-Gerät entsprechend konfiguriert wurde (das zu schützende Computersystem darf nicht als „Standardserver“ oder „exposed Host“ betrieben werden, bzw.
| |
| * sollte es in keiner „[http://de.wikipedia.org/wiki/Demilitarized_Zone DMZ]“ stehen, was je nach der Benutzeroberfläche des Firewall-Gerätes meist auch ohne fundierte Fachkenntnisse leicht überprüft und im Bedarfsfall angepasst werden kann).
| |
| | |
| ===== Grenzen =====
| |
| <div style="text-align:center;">[[Image:Grafik8.png]]</div>
| |
| | |
| Im Unterschied zur Personal Firewall nimmt die externe Firewall keinen Einfluss auf die Verbindungen innerhalb des privaten Netzes.
| |
| * Sie lässt Anfragen vom internen Netz hin zum externen Netz (Internet) zu.
| |
| * Anfragen vom externen Netz hin zu Teilnehmern des internen Netzes werden blockiert, solange sie nicht zu einer Antwort auf einer internen Netzwerkanfrage gehören.
| |
| | |
| Im privaten Bereich finden meist [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Paketfilterfirewall Paketfilter-Firewalls] Anwendung, die auf einem [http://de.wikipedia.org/wiki/Router DSL-Router] arbeiten.
| |
| * Sie können einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, denn sie wurden für eine solche Aufgabe nicht konzipiert:
| |
| | |
| Damit ein solches Gerät ohne permanenten manuellen Konfigurationsaufwand funktioniert, muss es in der Lage sein, dynamische Regeln zu erstellen.
| |
| * Abgesehen von Anfragen auf explizit gesperrten Adressen und gesperrten Zielports erlaubt er deshalb automatisch alle Kommunikationsverbindungen, die von dem internen Netz (also von den privaten PCs) angefordert wurden.
| |
| | |
| Wenn also eine Schadsoftware lediglich einen Netzwerkdienst installiert, der auf eine externe Verbindung wartet, so funktioniert der Schutzmechanismus recht gut.
| |
| * Baut sie jedoch selbst eine Verbindung zum Internet auf, so wird das Gerät die Verbindung zulassen, da sie vom internen Netz heraus angefordert wurde.
| |
| * Ein solches Gerät kann also lediglich externe Verbindungsanfragen effektiv unterbinden.
| |
| | |
| Hier bietet eine Personal Firewall mitunter mehr Möglichkeiten, ist dafür aber nicht notwendigerweise sicherer und beinhaltet die [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Nachteile oben genannten Risiken].
| |
| * Eine Personal Firewall ist zwar kein ebenbürtiger Ersatz für solche Geräte, sie kann aber unter [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Vorteile bestimmten Bedingungen] als eine entsprechende Ergänzung dienen.
| |
| | |
| <div style="text-align:center;">[[Image:Grafik9.png]]</div>
| |
| | |
| Eine Personal Firewall in Kombination mit einer externen Firewall, um auch ausgehende Netzwerkanfragen zu beschränken.
| |
| | |
| Dementsprechend erreichen einige DSL-Router, die im Widerspruch dazu augenscheinlich eine Netzwerkzugriffskontrolle für Anwendungen des PCs zu realisieren scheinen, dies mit einem simplen Trick: Laut Handbuch soll der Anwender zunächst die zu dem Gerät gehörende Administrationssoftware auf dem PC installieren.
| |
| | |
| Zusammen mit der Administrationssoftware gelangt so auch eine hauseigene Personal Firewall auf den heimischen PC.
| |
| * Auch wenn sich die lokal installierte Software mit dem Logo und dem Namen der externen Firewall meldet, hat sie nichts mit ihr zu tun.
| |
| * Eine solche Lösung unterscheidet sich sicherheitstechnisch gewöhnlich nicht von anderen Personal Firewalls, die zusätzlich zu einem DSL-Router installiert werden.
| |
| | |
| Eine andere Herangehensweise, um die Kommunikation einer Schadsoftware mit dem Internet zu unterbinden, basiert mitunter auf der Idee, dass die Firewall alle Zugriffe des internen Netzes auf das Internet sperren soll, die beispielsweise nicht für den Aufruf von Webseiten benötigt werden.
| |
| * Das wird dadurch erreicht, dass eine Filterregel sämtliche Anfragen auf das Internet blockiert.
| |
| | |
| Eine weitere Regel erlaubt nun explizit DNS-Anfragen an den DNS-Server seiner Wahl und Zugriffe auf den Port 80 (HTTP) beliebiger Internetserver, damit der dort laufende Netzwerkdienst für den Zugriff auf Webseiten erreicht werden kann.
| |
| * Die Annahme ist, dass eine auf dem zu schützenden PC installierte Schadsoftware, die selbständig eine Verbindung zu einem Netzwerkdienst aus dem Internet herstellt, nun blockiert wird, da die Netzwerkanfrage auf deren Port nicht mehr durchgelassen wird.
| |
| | |
| Diese „Schutzwirkung“ ist jedoch stark begrenzt, denn es ist nicht mit Sicherheit auszuschließen, dass die zu blockierende Schadsoftware nicht auch den freigegebenen Port für ihre Kommunikation verwendet.
| |
| * Je populärer der Port ist, desto wahrscheinlicher wird ein [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen:_Durchtunnelung solches Szenario].
| |
| | |
| Da auf fast jeder externen Firewall der Port 80 für die Kommunikation mit dem Internet freigeschaltet ist, nutzen zahlreiche Schadprogramme nun ebenfalls den Port 80 für ihre eigene Kommunikation mit dem Internet, da sie davon ausgehen können, dass der Port nicht blockiert wird.
| |
| | |
| Firmen verwenden solche Filter eher mit dem Ziel, den Zugriff ihrer Mitarbeiter auf das Internet einzuschränken (beispielsweise um zu erreichen, dass HTML-Seiten aufgerufen werden dürfen, eine Teilnahme am Chat jedoch unterbunden wird).
| |
| * Im privaten Heimnetzwerk ergibt solch ein Regelwerk meist keinen Sinn.
| |
| | |
| <div style="text-align:center;">[[Image:Grafik10.png]]</div>
| |
| | |
| Externe Firewall/ Ein Authentifizierungsproxy kann Internetanfragen auf Anwendungen beschränken, die sich der Firewall gegenüber authentifiziert haben.
| |
| * Der Netzwerkzugriff von anderen Anwendungen auf das Internet wird blockiert.
| |
| | |
| Jenseits der Portsperre gibt es auf einigen Geräten erweiterte Methoden, um interne Verbindungsanfragen mithilfe der externen Firewall zu kontrollieren.
| |
| * Sie setzen in der Regel [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Proxy_Firewall_.28auch_Application_Layer_Firewall.29 Proxys] ein und unterstützen so die Möglichkeit, dass sich jede Anwendung vor der Netzwerkkommunikation bei der externen Firewall authentifizieren muss, bevor die Kommunikation erlaubt wird.
| |
| * Ein Nachteil dieser Methode ist, dass die Anwendung das Authentifizierungsprotokoll (z. B. [http://de.wikipedia.org/wiki/SOCKS SOCKS]) kennen muss.
| |
| | |
| In einem solchen Umfeld lassen sich also nur Anwendungen nutzen, die entsprechend erweitert wurden, wenngleich die Unterstützung dieser Protokolle bereits breite Verwendung findet, sodass man diesbezüglich fast von einer Standardausstattung der Applikationen sprechen kann.
| |
| * Damit wird es für eine Schadsoftware schwerer, aber nicht unmöglich, unbemerkt mit dem externen Netz zu kommunizieren (siehe Abbildung rechts).
| |
| | |
| Ergänzend lassen sich auf professionellen Firewalls mitunter spezielle Filter installieren, welche nach einigen bekannten Malwaresignaturen in den Netzwerkpaketen eines Dienstes suchen und die Pakete bei Identifikation sperren.
| |
| | |
| Die genannten erweiterten Methoden erhöhen die schadensbegrenzende Wirkung der externen Firewall auch bei der Kommunikation von innen nach außen.
| |
| * Da sie jedoch bei Geräten für den privaten Gebrauch kaum anzutreffen sind, stellen sie zumindest in diesem Bereich eine Ausnahme dar.
| |
| | |
| Grundsätzlich sind externe Firewalls dafür ausgelegt, lediglich den Netzwerkzugriff zwischen dem internen und externen Netz zu beschränken.
| |
| * Sie bieten also keinen Schutz vor ungewollten Zugriffen aus dem internen Netz, die nach einer Studie des Computer Security Institutes im Jahr 2002 mindestens doppelt so häufig vor kamen, wie externe Hacking-Versuche.
| |
| | |
| Vor [http://de.wikipedia.org/wiki/Computerwurm Computerwürmern], die sich über das Netzwerk verbreiten, bietet sie ebenso wenig Schutz, wenn diese über [http://de.wikipedia.org/wiki/Compact_Disc CDs], [http://de.wikipedia.org/wiki/USB-Stick USB-Sticks] oder [http://de.wikipedia.org/wiki/Diskette Disketten] in das interne Netz gebracht werden.
| |
| * Die Computerwürmer [http://de.wikipedia.org/wiki/Sasser Sasser], [http://de.wikipedia.org/wiki/W32.Blaster W32.Blaster] und [http://de.wikipedia.org/wiki/Conficker Conficker] haben durch Ausbrüche in großen Firmen wie der deutschen [http://de.wikipedia.org/wiki/Postbank Postbank] und [http://de.wikipedia.org/wiki/Delta_Air_Lines Delta Air Lines] gezeigt, dass diese Infektionswege trotz externer Firewall real funktionieren.
| |
| | |
| ===== Nachteile =====
| |
| Betreibt der eigene Computer an der Internetschnittstelle keine Netzwerkdienste und wird auch sonst entsprechend fachmännisch betrieben, so ist der Einsatz einer externen Firewall fragwürdig, denn die Firewall muss für ihre Arbeit die Netzwerkpakete ggf.
| |
| * separat analysieren.
| |
| | |
| Sie kann die Netzwerkkommunikation also abhängig von ihrer eigenen Hardware-Geschwindigkeit, der Auslastung und dem jeweiligen [http://de.wikipedia.org/wiki/Algorithmus Algorithmus] mehr oder weniger stark verzögern, innerhalb normaler Parameter verursachen moderne Geräte üblicherweise Verzögerungen unterhalb der Wahrnehmungsschwelle.
| |
| | |
| Zusätzlich dazu kann der Einsatz einer Firewall dazu beitragen, dass der Anwender sich in Sicherheit wiegt und unvorsichtig wird, indem er beispielsweise nun leichtfertig Software aus unsicheren Quellen installiert, da ihn die Firewall vermeintlich vor einen Fernzugriff auf eine mögliche Schadsoftware schützt.
| |
| * Dadurch verliert er nicht nur die Sicherheit, sondern gefährdet sein System mehr als zuvor; das trifft auch auf die Verwendung einer Personal Firewall zu.
| |
| | |
| ===== Weitere Einsatzgebiete in Unternehmensnetzen =====
| |
| In Unternehmensnetzen rechtfertigt nicht nur der Übergang vom LAN zum Internet den Einsatz einer Firewall.
| |
| * Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Netzwerkzonen Rechnung zu tragen, beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.
| |