| |
| Sicherheit
mit Firewall |
| |
| Neben Hackern und Crackern treiben immer häufiger
auch professionelle Wirtschaftsspione ihr Unwesen im
Internet. Das Bedürfnis nach zusätzlicher Sicherheit
bei Always-on-Internet-verbindungen ist gross, denn mit
Standleitungen, ADSL oder Kabel sind die Benutzer
permanent mit dem Internet verbunden; Hacker können die
langen Online-Zeiten für Angriffe nutzen. |
| |
Schutzmauer
Eine Firewall
(«Brandschutzmauer») eignet sich, um private oder
geschäftliche Netzwerke ans Internet anzubinden, ohne
dass Unbefugte aus dem Internet auf das lokale Netz bzw.
die dort gespeicherten Informationen zugreifen können.
Mit unterschiedlichen Firewall-Technologien wird das
lokale Netzwerk gegen Angriffe abgesichert. |
| |
Router/Firewall
Der Einsatz von
Routern mit Packet-Filter und NAT schützt nur teilweise
vor unerwünschten Zugriffen. Eine Firewall mit
zusätzlichen Funktionen wie Stateful-Inspection, Abwehr
von DoS-Attacken und Content-Filter bietet einen weitaus
zuverlässigeren Schutz, auch gegen Vandalen und
ausgefeilte Hacker-Angriffe. |
| |
Unterschiedliche Firewall-Funktionen: * NAT
(Network-Address-Translation)
Bei NAT werden die Adressen
eines privaten Netzes über Tabellen öffentlich
registrierten IP-Adressen zugeordnet. Das hat den
Vorteil, dass die IP-Adresse des einzelnen PCs nicht im
Internet erscheint. Der Rechner kann nicht direkt aus dem
Internet angesprochen werden. |
| |
Packet-Filter
Klassische
Firewall-Systeme basieren auf Packet-Filter. Die
Datenpakete werden bezüglich Quell- und Zieladresse
sowie Protokolltyp analysiert und die
Zugriffsbeschränkungen entsprechend der Konfiguration
umgesetzt. Die Vorteile sind volle Transparenz und hohe
Geschwindigkeit. Der Nachteil: Es werden lediglich Ports
gesperrt oder freigeschaltet. Mit Hacker-Techniken wie
IP-Spoofing (vortäuschen berechtigter IP-Adressen) oder
Source-Routing (umleiten von Datenpaketen) können solche
Packet-Filter-Firewalls überlistet werden. |
| |
Proxy-Firewall
Es gibt eine weitere
Methode, um sich vor ungewollten Datenpaketen zu
schützen: mit Proxy-Firewalls. Diese ermöglichen, die
Datenpakete der Anwendungsschicht nach verschiedenen
Kriterien zu vergleichen. Es wird geprüft, ob ein Paket
sicher ist. Nachteile von Proxy-Firewalls: geringe
Performance und anspruchsvolle Konfiguration. |
| |
DMZ (De-Militarized-Zone)
Öffentliche Server werden am besten in einer speziellen
Zone des Netzwerks, der sogenannten DMZ, installiert. Die
DMZ wird von der Firewall kontrolliert und geschützt,
doch der öffentliche Zugriff auf die Server aus dem
Internet ist dennoch möglich. |
| |
Stateful-Inspection
Stateful-Inspection ist eine Firewall-Funktion, welche
die Vorteile aus Packet-Filter und Proxy-Firewall
verbindet. Sie bietet gute Performance und unterstützt
alle gängigen Netzwerkprotokolle. Stateful-Inspection
betrachtet die Pakete im Zusammenhang mit den Protokollen
der verschiedenen OSI-Schichten und muss nicht speziell
konfiguriert werden. Daten aus dem Internet werden nur
durch die Firewall gelassen, wenn sie Teil einer Session
sind, welche vom Benutzer aus dem sicheren Netz
initialisiert wurde. |
| |
Abwehr von DoS (Denial-of-Service)
DoS-Attacken versuchen, den Router oder Server zu
überlasten. Dieses Vorgehen kann die Dienste von ganzen
Netzwerken lahmlegen. |
