Kategorie:Firewall/Grundlagen

Aus Foxwiki
Version vom 1. Mai 2023, 11:26 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „Netzwerkkomponente“ durch „Netzwerk/Hardware“)

Allgemeine Grundlagen

Funktionsweise eines Fernzugriffs

Zugriff auf ein Netzwerkdienst

Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen wie Dateien und Drucker über ein Netzwerk ermöglicht.

  • Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt.
  • Erst ein dort laufender Netzwerkdienst (hier eine Webserver-Software) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen.

Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen Port der Netzwerkschnittstelle.

  • Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss bedeutet, dass ein offener Port immer zu einem Computerprogramm gehört.

Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die zulässigen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen.

Hinweis: Ein Dienst (unter Microsoft Windows englisch Service; unter Unix englisch Daemon) zeichnet sich dadurch aus, dass er bei jedem Systemstart ausgeführt wird, unabhängig davon, ob sich ein Anwender an dem Computer anmeldet.

  • Es gibt Programme mit einer dem Netzwerkdienst entsprechenden Funktionalität, die jedoch erst nach der Benutzeranmeldung gestartet werden.
  • Obgleich diese Programme genau genommen keine Dienste sind, werden sie der Einfachheit halber im Folgenden ebenfalls als Netzwerkdienst betitelt.

Rückweg vom entfernten Netzwerkdienst

Der Rückweg vom entfernten Netzwerkdienst hin zum anfragenden PC (genauer dem Client), der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen.

  • Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll.

Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen.

  • Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren.
  • Eine Schadsoftware kann wiederum als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen.

Netzwerkimplementierung des Betriebssystems

Für die Kommunikation im Netz benötigen die Kommunikationspartner Kenntnis über die grundlegenden Protokolle, die für die Adressierung und den Transport von Daten verwendet werden.

Ein Beispiel für die Ausnutzung eines ehemals weitverbreiteten Fehlers in der Implementierung des IP-Protokolls stellt Ping of Death dar, der das Zielsystem gezielt zum Absturz brachte. Ähnliche Lücken ermöglichen es mitunter auch, Programmcode auf dem Zielsystem einzuschleusen.

Schutzfunktion und Grenzen

Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden.

  • Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“).
  • In der Regel kann eine Firewall nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf.

Bei der Ausnutzung des Rückwegs kann eine Firewall nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen kann.

  • Daher sollten Programme, die für den Netzwerkzugriff bestimmt sind, auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken dort zu schließen.

Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten ActiveX-Objekten aus Webseiten vorgenommen wird.

  • Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann.
  • Alternativ dazu lässt sich dieses Verhalten auch über die Konfiguration des verwendeten Browsers erreichen.

Je nach Firewall-Typ kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden.

Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren.

Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag.

Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren.

Erst wenn bekannt ist, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreicht werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird.

Filtertechnologien

Paketfilter

Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint).

Stateful Inspection

Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung.

  • Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.

Proxyfilter

Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter.

Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen.

  • Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.

Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen.

  • Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.

Contentfilter

Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern oder allgemein bekannte Schadsoftware beim Herunterladen zu blockieren.

  • Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter.

Sichtbarkeit für Anwender

Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden.

  • Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Erscheinungsformen nur auf einer externen Firewall vorkommen können:

Sichtbar

Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem.

  • Hier bittet der Client die Proxy-Firewall stellvertretend für ihn, die Kommunikation mit dem Zielsystem zu übernehmen.

So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.

  • Der Proxy nimmt nun die Verbindung zum Zielsystem auf.
  • Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.

Einer Seite gegenüber transparent

Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall.

  • Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die (NAT- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann.

Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt.

  • Mögliche Angriffe von dort sind auch hier an die Firewall gerichtet und treffen nicht direkt den Client.
  • Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.
  • Diese Form ist die am häufigsten verbreitete Art bei Firewall-Geräten für den Heimbereich.

Beiden Seiten gegenüber transparent

Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können.

Der Datenstrom fließt einfach durch die Firewall hindurch.

  • Auf der Ebene der IP-Adressierung sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen (Router ohne NAT).
  • Dennoch kann die auf dem Gerät laufende Firewall-Software den Datenstrom unterbrechen (bestimmte Pakete herausfiltern).

Unsichtbar

Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch.

  • Das Gerät, auf dem die Firewall-Software läuft, arbeitet nun aber wie eine Bridge, wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.

Lokal

Eine lokal auf dem Computer installierte Firewall-Software überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt).

  • Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems.

Dadurch verändert sich weder die Netzwerkadresse des Quellsystems noch der Kommunikationsweg zum Zielsystem.

  • Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar.
  • Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt).

Regelwerk

Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.

  • Die Aktionen können je nach Produkt unterschiedlich betitelt sein.
  • Entweder ist die Anfrage nicht erlaubt und das Paket wird lokal verworfen (meist DENY oder DROP genannt) oder sie wird aktiv abgelehnt (REJECT), indem sie beispielsweise mit einem ICMP-Paket beantwortet wird.
  • Eine erlaubte Anfrage nennt man ACCEPT, ALLOW, PASS oder FORWARD, wobei FORWARD je nach Produkt und Konfiguration auch auf eine Umleitung der Anfrage hindeuten kann.

Überprüfbarkeit des Quelltextes

Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit.

  • Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll.

So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der Personal Firewalls, die selbst heimlich Daten zum Hersteller schicken, also genau das tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen.

  • Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können.

Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie freier Software umfassen auch kommerzielle Produkte (freie Software ist nicht dasselbe wie Freeware).

Router

Datei:Grafik51.png Datei:Grafik52.png Datei:Grafik53.png
(Cisco-)Symbol für einen Router SOHO-Router: Linksys WRT54G Hochleistungsrouter

Router (['ruːtə(r)] (anhören) oder ['raʊ̯tə(r)] (anhören)) sind Netzwerkgeräte, die Netzwerkpakete zwischen mehreren Rechnernetzen weiterleiten können.

Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der Netzwerk-Schicht 3 (in der Regel ist das die IP-Adresse) oder höher.

Arbeitsweise

Router arbeiten auf Schicht 3 (Vermittlungsschicht/Network Layer) des OSI-Referenzmodells. 7 7
6 6
5 5
Ein Router besitzt mehrere Schnittstellen (engl.
  • Interfaces), über die Netze erreichbar sind.
  • Diese Schnittstellen können auch virtuell sein.
4 4
3 3 3
2 2 2 2
1 1 1 1

Beim Eintreffen von Datenpaketen muss ein Router anhand der OSI-Schicht-3-Zieladresse (z.B.

  • IP-Adresse) den besten Weg zum Ziel und damit die passende Schnittstelle bestimmen, über welche die Daten weiterzuleiten sind.

Dazu bedient er sich einer lokal vorhandenen Routingtabelle, die angibt, über welchen Anschluss des Routers (bzw.

  • welche Zwischenstation) welches Netz erreichbar ist.
  • Router können Wege auf drei verschiedene Arten lernen und mit diesem Wissen dann die Routingtabelleneinträge erzeugen:* direkt verbundene Netze: Sie werden automatisch in eine Routingtabelle übernommen, wenn ein Interface mit einer IP-Adresse konfiguriert wird.
  • statische Routen: Diese Wege werden durch einen Administrator eingetragen.
  • Sie dienen zum einen der Sicherheit, sind andererseits aber nur verwaltbar, wenn ihre Zahl begrenzt ist, d.h.
  • die Skalierbarkeit ist für diese Methode ein limitierender Faktor.
  • dynamische Routen: In diesem Fall lernen Router erreichbare Netze durch ein Routingprotokoll, das Informationen über das Netzwerk und seine Teilnehmer sammelt und an die Mitglieder verteilt.

Die Routingtabelle ist in ihrer Funktion einem Adressbuch vergleichbar, in dem nachgeschlagen wird, ob eine Ziel-IP-Adresse bekannt ist, d. h.

  • ein Weg zu diesem Netz existiert.
  • Da ein Router nicht für alle IP-Adressen darauf eine Antwort weiß, muss es eine Standardvorgabe geben.

Da Routingtabellen bei den meisten Systemen nach der Genauigkeit sortiert werden, also zuerst spezifische Einträge und später weniger spezifische, kommt die Default-Route, als unspezifische, am Ende und wird für alle Ziele benutzt, die über keinen besser passenden, spezifischeren Eintrag in der Routingtabelle verfügen.

Einige Router beherrschen auch ein sogenanntes Policy Based Routing; dabei wird die Routingentscheidung nicht nur auf Basis der Zieladresse (Layer-3) getroffen, sondern es werden zusätzlich andere Angaben berücksichtigt, beispielsweise die Quelladresse, Qualitätsanforderungen oder Parameter aus höheren Schichten wie TCP oder UDP.

  • So können dann zum Beispiel Pakete, die HTTP (Web) transportieren, einen anderen Weg nehmen als Pakete mit SMTP-Inhalten (Mail).

Router können nur für Routing geeignete Datenpakete, also von routingfähigen Protokollen, wie IP (IPv4 oder IPv6) oder IPX/SPX, verarbeiten.

  • Andere Protokolle, wie das ursprünglich von MS-DOS und MS-Windows benutzte NetBIOS und NetBEUI, die nur für kleine Netze gedacht waren und von ihrem Design her nicht routingfähig sind, werden von einem Router nicht weitergeleitet.
  • Pakete aus diesen Protokollfamilien werden in aller Regel durch Systeme, die auf Schicht 2 arbeiten, also Bridges oder Switches, verarbeitet.

Viele professionelle Router können bei Bedarf auch diese Bridge-Funktionen wahrnehmen und werden dann Layer-3-Switch genannt.

  • Als Schicht-3-System enden am Router alle Schicht-2-Funktionen, darunter auch die Broadcastdomäne.
  • Das ist insbesondere in großen lokalen Netzen wichtig, um das Broadcast-Aufkommen für die einzelnen Stationen gering zu halten.
  • Sollen allerdings Broadcast-basierte Dienste über den Router hinweg funktionieren, dann werden spezielle Router benötigt, die diese Broadcasts empfangen, auswerten und gezielt einem anderen System zur Verarbeitung zuführen können.

Außerdem sind Ein- und Mehrprotokoll-Router (auch Multiprotokoll-Router) zu unterscheiden.

  • Einprotokoll-Router sind nur für ein Netzwerkprotokoll z. B.
  • IPv4 geeignet und können daher nur in homogenen Umgebungen eingesetzt werden.
  • Multiprotokoll-Router beherrschen den gleichzeitigen Umgang mit mehreren Protokollfamilien wie DECnet, IPX/SPX, SNA, IP und anderen.
  • Heute dominieren IP-Router das Feld, da praktisch alle anderen Netzwerkprotokolle nur noch eine untergeordnete Bedeutung haben, und, falls sie doch zum Einsatz kommen, oft auch gekapselt werden können (NetBIOS over TCP/IP, IP-encapsulated IPX).

Früher hatten Mehrprotokoll-Router in größeren Umgebungen eine wesentliche Bedeutung, damals verwendeten viele Hersteller unterschiedliche Protokollfamilien, daher kam es unbedingt darauf an, dass vom Router mehrere Protokoll-Stacks unterstützt wurden.

  • Multiprotokoll-Router findet man heute fast ausschließlich in Weitverkehrs- oder ATM-Netzen.

Wichtig ist auch die Unterscheidung zwischen den gerouteten Protokollen (z. B. IP oder IPX) und Routing-Protokollen.

  • Routing-Protokolle dienen der Verwaltung des Routing-Vorgangs und der Kommunikation zwischen den Routern, die z. B.
  • so ihre Routing-Tabellen austauschen (z. B. BGP, RIP oder OSPF).
  • Geroutete Protokolle hingegen sind die Protokolle, die den Datenpaketen, die der Router transportiert, zugrunde liegen (z. B.
  • IP oder IPX).

Typen (Bauformen)

Backbone-Router, Hardware-Router

Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Gigabit Datendurchsatz pro Sekunde in Hardware routen können.

Datei:Grafik54.png

Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet.

Die einzelnen Ports oder Interfaces können unabhängig voneinander Daten empfangen und senden.

  • Sie sind entweder über einen internen Hochgeschwindigkeitsbus (Backplane) oder kreuzweise miteinander verbunden (Matrix).

In der Regel sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile usw.), um Ausfälle zu vermeiden.

Auch ist es üblich, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug).

  • In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche Workstations als Router zu benutzen, bei denen das Routing per Software implementiert war.
Border-Router

Ein Border-Router oder Edge-Router kommt meistens bei Internetdienstanbietern (Internet Service Provider) zum Einsatz.

  • Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen Peers (Partner-Routern) verbinden.

Auf diesen Routern läuft überwiegend das Routing-Protokoll BGP.

  • Für den Datentransfer zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz, dieses ermöglicht dem Router den Datentransfer in ein benachbartes autonomes System.

Um den eigenen Netzwerkverkehr zu priorisieren, setzen die Betreiber oft Type of Service Routing und Methoden zur Überwachung des Quality of Service (QoS) ein.

High-End-Switches

Bei manchen Herstellern (z. B.

  • bei Hewlett-Packard) findet man die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router.
  • Router werden dort gemeinsam mit den High-End-Switches (Layer-3-Switch und höher, Enterprise Class) vermarktet.

Das ist insoweit logisch, als Switches aus dem High-End-Bereich heute praktisch auch immer die Routingfunktionalität beherrschen.

  • Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse z.B.
  • IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten.

Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich auch im Mischbetrieb arbeiten.

  • In diesem Bereich verschwimmen die Grenzen zwischen beiden Geräteklassen mehr und mehr – auch finanziell.
Software-Router

Anstatt spezieller Routing-Hardware kann man auch gewöhnliche PCs/Laptops/Nettops/Unix-Workstations und -Server als Router einsetzen.

  • Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der CPU ausgeführt.
  • Alle POSIX-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst MS-DOS konnte man z. B.
  • mit KA9Q mit Routing-Funktionalität erweitern. Microsoft Windows bietet in allen NT-basierten Workstation- und Server-Varianten (NT, 2000, XP, 2003, Vista, 7) ebenfalls Routing-Dienste.

Auch die Serverversion von Apples Mac OS X enthält Router-Funktionalität.

  • Das freie Betriebssystem OpenBSD (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen auch mehrere erweiterte Routingdienste, wie unter anderem OpenBGPD und OpenOSPFD, die auch in kommerziellen Produkten zu finden sind.
  • Der Linux-Kernel enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind i. d. R.
  • nichts anderes als Linux mit proprietären Eigenentwicklungen.

Es gibt auch ganze Linux-Distributionen, die sich speziell auf den Einsatz als Router eignen, z. B.

  • Smoothwall, IPCop oder Fli4l.
  • Einen Spezialfall stellt OpenWrt dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem embedded Gerät läuft und sich über SSH und HTTP konfigurieren lässt.
  • Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.
  • Gerade im SoHo-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein embedded Gerät.
DSL-Router

Ein Router, der einen PPPoE-Client zur Einwahl in das Internet via xDSL eines ISPs beinhaltet und gegenwärtig NAT in IPv4-Netzen zur Umsetzung einer öffentlichen IPv4-Adresse auf die verschiedenen privaten IPv4-Adressen des LANs beherrscht, wird als DSL-Router bezeichnet.

Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem Switch, einem WLAN Access Point, nicht selten mit einer kleinen TK-Anlage, einem VoIP-Gateway oder/und einem DSL-Modem (xDSL jeglicher Bauart) ausgestattet.

Firewall-Funktionalität in DSL-Routern

Fast alle DSL-Router sind heute NAT-fähig, d. h.

  • in der Lage, Netzadressen zu übersetzen.
  • Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen

Herstellern bereits als NAT-Firewall bezeichnet, obwohl nicht das Schutzniveau eines Paketfilters erreicht wird.

  • Die Sperre lässt sich durch die Konfiguration eines Port Forwarding umgehen, was z. B.
  • für manche VPN- oder Peer-to-Peer-Verbindungen notwendig ist.
  • Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären Paketfilter, teilweise auch stateful.

Diese Paketfilter kommen auch bei IPv6 zum Einsatz.

  • Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports.
  • Als Betriebssystem kommt auf vielen Routern dieser Klasse Linux und als Firewall meist iptables zum Einsatz.
  • Einen Content-Filter enthalten solche Produkte zumeist nicht.
WLAN-Router

Die Kombination aus Access Point, Switch und Router wird häufig als WLAN-Router bezeichnet.

  • Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen WAN-Port, gibt.
Datei:Grafik55.png

Das Routing findet dann zwischen den mindestens zwei Netzen, meist dem WLAN und WAN statt (und falls vorhanden auch zwischen LAN und WAN).

  • Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine Access Points auf OSI-Ebene 2 arbeiten und somit Bridges und keine Router sind.

Häufig sind auch WLAN-Router keine vollwertigen Router, sie haben oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT – siehe oben).

  • Bei IPv6 entfällt bei diesen Geräten in der Regel NAT.
  • Lediglich in der Übergangsphase muss der Router noch zusätzlich Tunnelprotokolle z.  B. 6to4 beherrschen.
Router in der Automatisierung

Mit der Durchdringung von Netzwerktechnik in der industriellen Automatisierung werden verstärkt Modem-Router mit externem Zugang über Telefon- und Mobilfunkverbindungen eingesetzt.

  • Industriegeräte sind in der Regel Software-Router auf Basis von embedded Linux, die nicht auf hohen Durchsatz, sondern auf mechanische Robustheit, Befestigung im Schaltschrank und Langlebigkeit optimiert sind.
Software- oder Hardware-Router

Generell leisten Software-Router heute wertvolle und umfangreiche Dienste – allerdings überwiegend im nicht professionellen Umfeld.

  • Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig auch noch als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing.

Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie aber meist unterlegen.

Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen PCI-Bus mit 32-Bit Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen Bus lassen sich theoretisch ca. 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus (HDX) leiten; da die Netzwerkpakete den PCI-Bus allerdings in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s.

Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus FDX betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000Base-TX anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen.

  • Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann.
  • Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier 1GbE-Schnittstellen im FDX-Modus.

Noch höherwertige klassische (legacy) Server-Systeme verfügen über noch schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse und können daher auch ohne Probleme höhere Durchsatzraten erzielen – wobei man sich hier auf Grund des typischerweise hohen Energieverbrauchs solcher Server, besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage stellen muss – Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen (anwendungsspezifische integrierte Schaltung kurz ASIC) schaffen das weitaus energieeffizienter.

Erst durch die Einführung von PCI-Express (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im FDX-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router auch aus preiswerter Standardhardware bauen lassen.

Da bislang aber alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern auch Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen.

  • Vorsichtigerweise sollte man in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgehen.
  • Wer mit solchen Datenraten leben kann, ist mit einem Software-Router, zumindest was die Kosten und die Leistung angeht, gut bedient.

Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich allerdings auch im Preis widerspiegelt.

  • Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % und höher).
  • Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen aber ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit.

Übrigens bestehen manche so genannte Hardware-Router tatsächlich aus PC-Komponenten.

  • Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme.
  • Zwar arbeiten auch diese Systeme meist sehr robust und zuverlässig, dennoch wird auch hier das Routing per Software durchgeführt.
Routing-Cluster

Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, benötigt man nicht unbedingt einen hochpreisigen Hardware-Router.

  • Wer geringe Einbußen bei der Übertragungs-Geschwindigkeit in Kauf nimmt, kann dafür auch einen Routing-Cluster einsetzen.
  • Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei 10GbE-LAN-Karten PCI-Express) pro Ethernet-Strang aufgebaut sein.

Die Software-Router werden über einen professionellen Switch mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden.

  • Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s).

Optional können die Cluster auch redundant (per High-Availability-Unix oder HA-Linux) ausgelegt sein.

  • Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie aber höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig; daher findet man sie dort, wo Kosten höher als Performance bewertet werden, beispielsweise in Schulen oder Universitäten.

Aussprache

Der Begriff Router leitet sich ab aus dem ins Englische übertragenen französischen Begriff route (Route, Marschroute) ([ruːt] (BE)/[raʊ̯t] oder [ruːt] (AE)).

Im britischen Englisch (BE) hört man in der Regel ['ruːtə(r)], während im amerikanischen Englisch (AE) die Aussprache eher ['raʊ̯tə(r)] lautet.

  • Im Deutschen spricht man das Wort Router ['ruːter] lautgetreu aus.

Von „http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190

Firewall-Arten im Vergleich

Je nach ihrem Einsatzort unterscheidet man zwei Arten von Firewalls.

  • Personal Firewalls sind Programme, die auf dem Computer laufen, den sie schützen sollen.
  • Externe Firewalls sind dem zu schützenden Computer bzw.
  • Computernetzwerk physisch vorgeschaltet.

Personal Firewall (auch Desktop Firewall)

Eine Personal Firewall beschränkt den Zugriff des PCs auf das Internet und das lokale Netz.

Als Personal Firewall oder Desktop Firewall wird eine lokal auf dem Computer installierte Firewall-Software bezeichnet.

  • Zu ihrer Aufgabe gehört es, ungewollte Zugriffe von außen auf Netzwerkdienste des Computers zu unterbinden.
  • Abhängig vom Produkt kann sie zudem versuchen, Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.

Im Unterschied zu einer externen Firewall, die lediglich den Internetzugriff kontrolliert, filtert die Personal Firewall zusätzlich auch die Verbindungen des PCs von und zu dem privaten lokalen Netz (LAN).

Vorteile

Computerwürmer, die einen Sicherheitsfehler in einem Netzwerkdienst ausnutzen, um sich zu verbreiten, können den Computer nur dann infizieren, wenn der entsprechende Netzwerkdienst für den Wurm erreichbar ist.

  • Hier kann eine Personal Firewall den Fernzugriff auf den Netzwerkdienst einschränken und somit eine Infektion erschweren oder sogar verhindern.
  • Gleiches gilt für einen Netzwerkzugriff eines möglichen Eindringlings.

Benötigt wird eine solche Filterung jedoch nur, wenn ein erforderlicher Netzwerkdienst auf dem Computer betrieben wird und der Zugriff darauf beschränkt werden soll.

  • Manchmal soll der Dienst auch lediglich von Prozessen auf demselben System genutzt werden können, ohne dass sich die Software dahingehend konfigurieren lässt.
  • Ein Fernzugriff auf nicht benötigte Netzwerkdienste lässt sich dagegen ohne Firewall verhindern, indem diese Dienste deaktiviert werden.

Darüber hinaus können die Regeln der Personal Firewall im günstigsten Fall unterbinden, dass ein heimlich reaktivierter oder installierter Dienst ungehindert vom Netzwerk aus ansprechbar ist.

  • Sobald die (mögliche) Meldung der Firewall-Software dazu genutzt wird, um reaktivierte Dienste nebst Schadsoftware gleich wieder zu entfernen, hat sich der Einsatz der Personal Firewall gelohnt.
Grenzen

Personal Firewalls können vor einigen Computerwürmern schützen, die sich über das Netzwerk verbreiten, bieten darüber hinaus jedoch keinen Schutz vor der Installation einer andersartigen Schadsoftware.

Abhängig vom Produkt kann eine Personal Firewall neu hinzukommende Netzwerkdienste (und Anwendungen mit entsprechender Funktionalität) erkennen und den Anwender über ein Hinweisfenster fragen, ob ein Fernzugriff darauf erlaubt sein soll.

  • Beispielsweise arbeitet die in Microsoft Windows integrierte Firewall-Software auf diese Weise.

Zahlreiche Produkte versuchen darüber hinaus Anwendungsprogramme davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, in der Absicht dabei auch den Netzwerkzugriff einer entsprechenden Schadsoftware zu beschränken.

Ein solcher Erfolg der Firewall-Software ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (in Fachartikeln aus Microsofts TechNet Magazine und der c’t wird davor gewarnt, dass die Personal Firewall unerwünschte Netzwerkzugriffe nur unterbinden kann, wenn sich die Schadsoftware keine große Mühe gibt, ihre Aktivitäten zu verbergen).

Vergleichen lässt sich die Schutzwirkung einer Personal Firewall mit einem Gartenzaun, der zwar ein durchaus vorhandenes, aber kein unüberwindbares Hindernis darstellt.

  • Die Firewall-Software kann im Unterschied zum Gartenzaun jedoch plötzlich und unerwartet ausfallen.
  • Wird eine Schadsoftware auf dem zu schützenden PC entdeckt, lässt sich der Netzwerkzugriff daher effizient durch deren Entfernung unterbinden, statt durch eine Firewall, weil das auch dann noch Wirkung zeigt, wenn die Firewall-Software ausfällt.
  • Innerhalb ihrer Grenzen kann hier die Personal Firewall mitunter dabei helfen zu erkennen, wann eine solche Kommunikation stattfindet.
Nachteile
Nutzen und Gefahren einer Personal Firewall.

Programme, welche auf derselben Hardware wie die Firewall-Software laufen, haben wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall.

  • Ein Absturz oder gar eine dauerhafte Deaktivierung der Firewall-Software durch einen Softwarefehler oder ein Schadprogramm führt dazu, dass ein uneingeschränkter Zugriff auf die zuvor gefilterten Netzwerkdienste möglich wird, ohne dass der Anwender dies bemerkt.
  • Abhängig vom Produkt und Wissensstand des Anwenders kann auch eine Fehlbedienung diesen Zustand herbeiführen.

Es ist zudem ein Problem des Konzepts, dass sich die Firewall-Software zwischen die normale Netzwerkimplementierung des Betriebssystems und die Außenwelt stellt, wodurch zwar in großen Teilen nicht mehr die ursprüngliche Netzwerkimplementierung, dafür aber die wesentlich komplexere Firewall-Software direkt angreifbar wird.

Die Erfahrung zeigt, dass eine Software mehr Fehler und Angriffspunkte enthält, je komplexer sie ist.

  • Da ihre Komponenten (zumindest teilweise) mit erweiterten Rechten laufen und in der Regel Kernelkomponenten installiert werden, wirken sich Programmier- und Designfehler hier besonders verheerend auf die Sicherheit, Performance und Stabilität des Computersystems aus.

Auf diese Weise können Angriffs- und Spionagemöglichkeiten geschaffen werden, die es ohne die installierte Firewall-Software nicht gäbe.

  • So können Personal Firewalls selbst Sicherheitslücken enthalten, die beispielsweise einem Computerwurm erst Ansätze für einen Fernzugriff bieten.

Sicherheitstechnisch bedenklich wird der Einsatz einer Personal Firewall auch, wenn aufgrund zu vieler und komplizierter Sicherheitsmaßnahmen die persönlich vertretbare Schwelle zwischen Sicherheit auf der einen Seite und Arbeitskomfort auf der anderen Seite überschritten wird.

Das ist spätestens der Fall, wenn – trotz schlechten Gewissens – die installierten Barrieren vom Benutzer selbst unterwandert werden, indem die Personal Firewall beispielsweise für den reibungslosen Betrieb eines Computerspiels abgeschaltet wird.

  • Auf einem solchen System ergibt der Einsatz einer Personal Firewall keinen Sinn, da die Firewall-Software die verbleibenden Risiken lediglich kaschiert und so selbst zum Sicherheitsrisiko wird.

Auf Systemen, bei denen eine Personal Firewall bereits ein fester Bestandteil des Betriebssystems ist, kann es durchaus fragwürdig sein eine weitere Firewall-Software zu installieren.

  • Der Parallelbetrieb kann zu Problemen führen und ist nicht zwingend mit Vorteilen verbunden.
Alternative Lösungen zur Unterbindung eines Fernzugriffs

Die Deaktivierung aller nicht benötigten Netzwerkdienste bietet den besten Schutz gegen ungewollte Fernzugriffe.

  • Denn eine Firewall-Software kann versagen, aber niemand kann auf Netzwerkdienste zugreifen, die nicht gestartet wurden.

Zudem verlangsamt der Start eines jeden Dienstes die Startgeschwindigkeit des Betriebssystems und sie benötigen danach weiterhin Computerressourcen für ihre Arbeit.

  • Es gibt einfach zu bedienende Hilfsmittel, die es auch unerfahrenen Benutzern ermöglichen, nicht benötigte Netzwerkdienste auf eine unkomplizierte Art zu deaktivieren.

Um einen Zugriff auf verbleibende Netzwerkdienste aus dem Internet heraus zu verhindern, sollten sie nicht an den Netzwerkadapter gebunden sein, der an dem Internet angeschlossen ist.

  • Diese Aufgabe ist für einen unerfahrenen Benutzer nicht ganz trivial, weshalb sich der Einsatz eines vermittelnden Gerätes, wie beispielsweise ein DSL-Router, anbietet.
  • Dieses Gerät sorgt automatisch dafür, dass ein Netzwerkdienst nur aus dem internen (privaten) Netz, nicht jedoch aus dem Internet heraus direkt zugreifbar ist (siehe auch „Vorteile bei der Verwendung einer externen Firewall“).

Externe Firewall (auch Netzwerk- oder Hardware-Firewall)

Datei:Grafik6.png

Die Firewall liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet).

  • Sie soll den Zugriff zwischen diesen Netzen beschränken.

Eine externe Firewall (auch Netzwerk- oder Hardware-Firewall genannt) beschränkt die Verbindung zwischen zwei Netzen.

  • Das könnten beispielsweise ein Heimnetzwerk und das Internet sein.

In all den Punkten, in denen sich die Funktionalitäten einer externen Firewall mit denen einer Personal Firewall gleichen, ist die externe Firewall zuverlässiger.

  • Denn ein derart spezialisiertes Gerät bietet vorwiegend ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physischen Trennung zu dem zu schützenden Computersystem nicht so einfach manipuliert werden kann.

Die externe Firewall ist dafür prädestiniert, unerlaubte Zugriffe von außen (in der Abbildung das WAN) auf das interne System zu unterbinden.

  • Im Unterschied zur Personal Firewall besteht das interne System hier nicht zwangsläufig aus nur einem einzigen Computer, sondern kann sich auf einen Verbund mehrerer Computer beziehen, die das interne Netz bilden (in der Abbildung das LAN).
Hardware-Firewall

Es gibt in der Praxis keine Firewalls, die ausschließlich auf Hardware basieren.

  • Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware.
  • Eine Firewall enthält immer als wesentlichen Bestandteil eine Software.

Der Begriff Hardware-Firewall wird vielmehr als Synonym für externe Firewalls verwendet.

  • Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der die Firewall-Software läuft.
  • Dabei gibt es allerdings Hardware, die für die Verwendung der Firewall-Software optimiert wurde, zum Beispiel indem ein entsprechender Hardware-Entwurf dabei hilft, Teile der Ent- und Kryptografie bestimmter Protokolle zu beschleunigen.
Vorteile

Ein direkter Anschluss eines Computers an das Internet (genauer an ein entsprechendes Modem) hat zur Folge, dass alle Computer aus dem Internet auf die an diesem Netzwerkanschluss gebundenen Dienste des Computers zugreifen können, was einen Fernzugriff auf den Computer ermöglicht.

Um Fernzugriffe aus dem Internet zu unterbinden, wäre es eine Lösung, zwischen dem internen (privaten) Netz und dem externen Netz (Internet) zu unterscheiden und benötigte Dienste nur an die Netzwerkschnittstelle des internen Netzes zu binden.

Statt des PCs wird die externe Firewall an das Internet angeschlossen, wobei die PCs aus dem internen Netz wiederum mit diesem Gerät vernetzt werden.

  • Die PCs übermitteln ihre Anfragen an das Internet nun an die Firewall, welche stellvertretend für die PCs auf das Internet zugreift.

Das Zielsystem sieht daher als Absender nur die Firewall, die wiederum die Antwortpakete des Zielsystems an den entsprechenden PC im internen Netz weiterleitet.

  • Je nach Firewall-Typ ist es ihr dadurch möglich, die Netzwerkpakete in beiden Richtungen zu analysieren und zu filtern, noch bevor sie die tatsächlichen Kommunikationspartner erreichen.

Anschluss einer externen Firewall, die den Zugriff zwischen dem Internet und dem privaten (in sich geschlossenen) Netz beschränkt.

Beispielkonfiguration der Abbildung: Der Internetanschluss könnte ein DSL-Anschluss inklusive DSL-Modem sein.

  • Die Firewall könnte dann auf einem DSL-Router installiert sein, der von den PCs im privaten (in sich geschlossenen) Netz als default Gateway angesprochen wird.
  • Das Gerät verwaltet dadurch die Netzwerkanfragen der internen PCs und kann zwischen Anfragen an das interne (private) und externe Netz (Internet) unterschieden und sie entsprechend weiterleiten.

Der Switch verbindet die PCs des internen Netzes miteinander und ist meist in einer solchen Firewall integriert, wird hier aber bewusst als eigenständiges Gerät dargestellt, um zu verdeutlichen, dass eine derartige Firewall nur den Zugriff zwischen dem internen und externen Netz filtert, jedoch keinen Einfluss auf die Kommunikation im internen Netz hat.

Da das Zielsystem aus dem Internet nicht den internen PC, sondern nur die Firewall sieht, sind mögliche Angriffe aus dem Internet an die dafür prädestinierte Firewall gerichtet und treffen nicht direkt den internen PC.

  • Jemand aus dem Internet, der auf der Netzwerkadresse der Firewall nach einem Netzwerkdienst (wie beispielsweise die Datei- und Druckerfreigabe) sucht, wird nicht fündig, da der Dienst auf dem PC und nicht auf der Firewall läuft.
  • Auf diesem Level ist die Firewall also nicht angreifbar und die Netzwerkdienste der internen PCs aus dem Internet heraus nicht erreichbar.

Auch eine Schadsoftware, die womöglich auf dem PC heimlich einen Netzwerkdienst installiert, kann an diesem Zustand nichts ändern.

  • Der Netzwerkdienst ist nur aus dem privaten Netz heraus ansprechbar, nicht jedoch aus dem Internet heraus (die Schadsoftware kann schließlich keinen Dienst auf der Firewall installieren, sondern nur auf dem PC).

Hinweis: Für die beschriebene Funktionalität ist es erforderlich, dass das Firewall-Gerät entsprechend konfiguriert wurde (das zu schützende Computersystem darf nicht als „Standardserver“ oder „exposed Host“ betrieben werden, bzw.

  • sollte es in keiner „DMZ“ stehen, was je nach der Benutzeroberfläche des Firewall-Gerätes meist auch ohne fundierte Fachkenntnisse leicht überprüft und im Bedarfsfall angepasst werden kann).
Grenzen

Im Unterschied zur Personal Firewall nimmt die externe Firewall keinen Einfluss auf die Verbindungen innerhalb des privaten Netzes.

  • Sie lässt Anfragen vom internen Netz hin zum externen Netz (Internet) zu.
  • Anfragen vom externen Netz hin zu Teilnehmern des internen Netzes werden blockiert, solange sie nicht zu einer Antwort auf einer internen Netzwerkanfrage gehören.

Im privaten Bereich finden meist Paketfilter-Firewalls Anwendung, die auf einem DSL-Router arbeiten.

  • Sie können einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, denn sie wurden für eine solche Aufgabe nicht konzipiert:

Damit ein solches Gerät ohne permanenten manuellen Konfigurationsaufwand funktioniert, muss es in der Lage sein, dynamische Regeln zu erstellen.

  • Abgesehen von Anfragen auf explizit gesperrten Adressen und gesperrten Zielports erlaubt er deshalb automatisch alle Kommunikationsverbindungen, die von dem internen Netz (also von den privaten PCs) angefordert wurden.

Wenn also eine Schadsoftware lediglich einen Netzwerkdienst installiert, der auf eine externe Verbindung wartet, so funktioniert der Schutzmechanismus recht gut.

  • Baut sie jedoch selbst eine Verbindung zum Internet auf, so wird das Gerät die Verbindung zulassen, da sie vom internen Netz heraus angefordert wurde.
  • Ein solches Gerät kann also lediglich externe Verbindungsanfragen effektiv unterbinden.

Hier bietet eine Personal Firewall mitunter mehr Möglichkeiten, ist dafür aber nicht notwendigerweise sicherer und beinhaltet die oben genannten Risiken.

  • Eine Personal Firewall ist zwar kein ebenbürtiger Ersatz für solche Geräte, sie kann aber unter bestimmten Bedingungen als eine entsprechende Ergänzung dienen.

Eine Personal Firewall in Kombination mit einer externen Firewall, um auch ausgehende Netzwerkanfragen zu beschränken.

Dementsprechend erreichen einige DSL-Router, die im Widerspruch dazu augenscheinlich eine Netzwerkzugriffskontrolle für Anwendungen des PCs zu realisieren scheinen, dies mit einem simplen Trick: Laut Handbuch soll der Anwender zunächst die zu dem Gerät gehörende Administrationssoftware auf dem PC installieren.

Zusammen mit der Administrationssoftware gelangt so auch eine hauseigene Personal Firewall auf den heimischen PC.

  • Auch wenn sich die lokal installierte Software mit dem Logo und dem Namen der externen Firewall meldet, hat sie nichts mit ihr zu tun.
  • Eine solche Lösung unterscheidet sich sicherheitstechnisch gewöhnlich nicht von anderen Personal Firewalls, die zusätzlich zu einem DSL-Router installiert werden.

Eine andere Herangehensweise, um die Kommunikation einer Schadsoftware mit dem Internet zu unterbinden, basiert mitunter auf der Idee, dass die Firewall alle Zugriffe des internen Netzes auf das Internet sperren soll, die beispielsweise nicht für den Aufruf von Webseiten benötigt werden.

  • Das wird dadurch erreicht, dass eine Filterregel sämtliche Anfragen auf das Internet blockiert.

Eine weitere Regel erlaubt nun explizit DNS-Anfragen an den DNS-Server seiner Wahl und Zugriffe auf den Port 80 (HTTP) beliebiger Internetserver, damit der dort laufende Netzwerkdienst für den Zugriff auf Webseiten erreicht werden kann.

  • Die Annahme ist, dass eine auf dem zu schützenden PC installierte Schadsoftware, die selbständig eine Verbindung zu einem Netzwerkdienst aus dem Internet herstellt, nun blockiert wird, da die Netzwerkanfrage auf deren Port nicht mehr durchgelassen wird.

Diese „Schutzwirkung“ ist jedoch stark begrenzt, denn es ist nicht mit Sicherheit auszuschließen, dass die zu blockierende Schadsoftware nicht auch den freigegebenen Port für ihre Kommunikation verwendet.

Da auf fast jeder externen Firewall der Port 80 für die Kommunikation mit dem Internet freigeschaltet ist, nutzen zahlreiche Schadprogramme nun ebenfalls den Port 80 für ihre eigene Kommunikation mit dem Internet, da sie davon ausgehen können, dass der Port nicht blockiert wird.

Firmen verwenden solche Filter eher mit dem Ziel, den Zugriff ihrer Mitarbeiter auf das Internet einzuschränken (beispielsweise um zu erreichen, dass HTML-Seiten aufgerufen werden dürfen, eine Teilnahme am Chat jedoch unterbunden wird).

  • Im privaten Heimnetzwerk ergibt solch ein Regelwerk meist keinen Sinn.

Externe Firewall/ Ein Authentifizierungsproxy kann Internetanfragen auf Anwendungen beschränken, die sich der Firewall gegenüber authentifiziert haben.

  • Der Netzwerkzugriff von anderen Anwendungen auf das Internet wird blockiert.

Jenseits der Portsperre gibt es auf einigen Geräten erweiterte Methoden, um interne Verbindungsanfragen mithilfe der externen Firewall zu kontrollieren.

  • Sie setzen in der Regel Proxys ein und unterstützen so die Möglichkeit, dass sich jede Anwendung vor der Netzwerkkommunikation bei der externen Firewall authentifizieren muss, bevor die Kommunikation erlaubt wird.
  • Ein Nachteil dieser Methode ist, dass die Anwendung das Authentifizierungsprotokoll (z. B. SOCKS) kennen muss.

In einem solchen Umfeld lassen sich also nur Anwendungen nutzen, die entsprechend erweitert wurden, wenngleich die Unterstützung dieser Protokolle bereits breite Verwendung findet, sodass man diesbezüglich fast von einer Standardausstattung der Applikationen sprechen kann.

  • Damit wird es für eine Schadsoftware schwerer, aber nicht unmöglich, unbemerkt mit dem externen Netz zu kommunizieren (siehe Abbildung rechts).

Ergänzend lassen sich auf professionellen Firewalls mitunter spezielle Filter installieren, welche nach einigen bekannten Malwaresignaturen in den Netzwerkpaketen eines Dienstes suchen und die Pakete bei Identifikation sperren.

Die genannten erweiterten Methoden erhöhen die schadensbegrenzende Wirkung der externen Firewall auch bei der Kommunikation von innen nach außen.

  • Da sie jedoch bei Geräten für den privaten Gebrauch kaum anzutreffen sind, stellen sie zumindest in diesem Bereich eine Ausnahme dar.

Grundsätzlich sind externe Firewalls dafür ausgelegt, lediglich den Netzwerkzugriff zwischen dem internen und externen Netz zu beschränken.

  • Sie bieten also keinen Schutz vor ungewollten Zugriffen aus dem internen Netz, die nach einer Studie des Computer Security Institutes im Jahr 2002 mindestens doppelt so häufig vor kamen, wie externe Hacking-Versuche.

Vor Computerwürmern, die sich über das Netzwerk verbreiten, bietet sie ebenso wenig Schutz, wenn diese über CDs, USB-Sticks oder Disketten in das interne Netz gebracht werden.

Nachteile

Betreibt der eigene Computer an der Internetschnittstelle keine Netzwerkdienste und wird auch sonst entsprechend fachmännisch betrieben, so ist der Einsatz einer externen Firewall fragwürdig, denn die Firewall muss für ihre Arbeit die Netzwerkpakete ggf.

  • separat analysieren.

Sie kann die Netzwerkkommunikation also abhängig von ihrer eigenen Hardware-Geschwindigkeit, der Auslastung und dem jeweiligen Algorithmus mehr oder weniger stark verzögern, innerhalb normaler Parameter verursachen moderne Geräte üblicherweise Verzögerungen unterhalb der Wahrnehmungsschwelle.

Zusätzlich dazu kann der Einsatz einer Firewall dazu beitragen, dass der Anwender sich in Sicherheit wiegt und unvorsichtig wird, indem er beispielsweise nun leichtfertig Software aus unsicheren Quellen installiert, da ihn die Firewall vermeintlich vor einen Fernzugriff auf eine mögliche Schadsoftware schützt.

  • Dadurch verliert er nicht nur die Sicherheit, sondern gefährdet sein System mehr als zuvor; das trifft auch auf die Verwendung einer Personal Firewall zu.
Weitere Einsatzgebiete in Unternehmensnetzen

In Unternehmensnetzen rechtfertigt nicht nur der Übergang vom LAN zum Internet den Einsatz einer Firewall.

  • Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Netzwerkzonen Rechnung zu tragen, beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.

Seiten in der Kategorie „Firewall/Grundlagen“

Diese Kategorie enthält nur die folgende Seite.