Funk­ti­ons­wei­sen von Fi­re­walls

PC-WELT - - Ratgeber / Sicherheit - VON DA­VID WOL­SKI

Ei­ne Fi­re­wall, die ih­ren Na­men ver­dient, ar­bei­tet auf ei­ner ei­ge­nen Hard­ware und be­fin­det sich zwi­schen dem In­ter­net­an­schluss (Rou­ter) und dem lo­ka­len Netz­werk. Im Heim­netz­werk kom­men sol­che Fi­re­walls so gut wie nie zum Ein­satz. In den meis­ten Fäl­len wird ein Fil­ter im Rou­ter ver­wen­det. Drei Ar­ten der Fi­re­wall-Fil­ter stel­len wir hier vor. Pa­ket­fil­ter: Die ein­fachs­te Form der Fi­re­wall trifft Ent­schei­dun­gen an­hand von Ab­sen­der- und Ziel­adres­sen so­wie von an­ge­ge­be­nen Ports. Die Ana­ly­se der Pa­ke­te er­folgt al­so in der Netz­werk­schicht. Die Kon­fi­gu­ra­ti­on be­steht aus ma­nu­ell er­stell­ten Zu­griffs­lis­ten mit ex­ak­ter An­ga­be von er­laub­ten Ports und Adres­sen. Die Fi­re­wall hat an­sons­ten kei­ne Ah­nung vom In­halt der Pa­ke­te, und die Zu­ord­nung zu ei­nem Di­enst er­folgt nur an­hand der an­ge­ge­be­nen Port­num­mer. Die meis­ten WLAN/DSL-Rou­ter las­sen sich zu die­sem Fi­re­wall-Typ kon­fi­gu­rie­ren. Ei­ni­ge Re­geln der Win­dows-Fi­re­wall ar­bei­ten eben­falls nach die­sem Prin­zip. Sta­te­ful Pa­cket In­spec­tion (SPI): An­statt nur den He­a­der von Netz­werk­pa­ke­ten an­zu­se­hen, macht die­ser Typ von Fi­re­wall die Fil­ter­re­geln ab­hän­gig vom Zu­stand ei­ner Ver­bin­dung. Schickt ein PC aus dem lo­ka­len Netz ei­ne HTTP-An­fra­ge an ei­nen Web­ser­ver im In­ter­net, dann merkt sich die Sta­te­ful Pa­cket In­spec­tion die­se An­fra­ge. Die Fi­re­wall er­laubt dann Ant­wort­pa­ke­te von au­ßen für ei­ne be­stimm­te Zeit, falls die­se an den an­fra­gen­den Rech­ner ge­hen sol­len. An­dern­falls wird nicht an­ge­for­der­ter Traf­fic ver­wor­fen. Hoch­wer­ti­ge Rou­ter, wie et­wa die Fritz­box, ver­wen­den SPI, eben­so die Win­dows-Fi­re­wall. Net­work Ad­dress Trans­la­ti­on: Lo­ka­le Netz­wer­ke nut­zen pri­va­te Sub­net­ze, bei­spiels­wei­se 192.168.0.x. Die­se Adres­sen exis­tie­ren nur in pri­va­ten Net­zen; im In­ter­net kom­men Sie nicht vor und wer­den dort auch nicht ge­rou­tet. An der Schnitt­stel­le zwi­schen Heim­netz und In­ter­net sitzt der (DSL-)Rou­ter. Ei­ner sei­ner Auf­ga­ben ist die Über­set­zung von in­ter­nen Adres­sen in ex­ter­ne Adres­sen. Das Sys­tem wird Net­work Ad­dress Trans­la­ti­on (NAT) ge­nannt. Bei NAT be­haup­tet der Rou­ter ge­gen­über al­len Hosts im In­ter­net, dass er der Ab­sen­der al­ler Pa­ke­te ist, die tat­säch­lich aber von meh­re­ren Ge­rä­ten im lo­ka­len Netz stam­men. Da­zu setzt er die vom In­ter­net­pro­vi­der zu­ge­teil­te, meist dy­na­mi­sche IP-Adres­se als Ab­sen­der­an­ga­be in je­des ab­ge­hen­de Pa­ket ein. Da­mit die von dort kom­men­den Ant­wor­ten das rich­ti­ge Ge­rät im LAN er­rei­chen, be­kom­men ein­tref­fen­de Pa­ke­te wie­der die pas­sen­de Emp­fän­ge­r­adres­se ein­ge­setzt, die NAT aus ei­ner zu­vor er­stel­len Ta­bel­le ent­nimmt. NAT ist nicht nur ei­ne Lö­sung für den IPv4-Adres­sen­man­gel, son­dern sorgt auch für Si­cher­heit: Von au­ßen sind die LAN-Teil­neh­mer nicht über ih­re tat­säch­li­che Adres­se er­reich­bar. Ob NAT ei­ne Si­cher­heits­funk­ti­on ist oder nicht, dar­über strei­ten sich Fi­re­wal­lEx­per­ten. Aus dem Blick­win­kel von Prak­ti­kern lässt sich sa­gen: Für Heim­netz­wer­ke, aus de­nen kei­ne Ser­ver­diens­te her­aus an­ge­bo­ten wer­den, reicht NAT als Ab­schir­mung ge­gen un­er­wünsch­ten Traf­fic aus. Wei­te­re In­fos zu den Fein­hei­ten der Fi­re­wall fin­den Sie un­ter www.pcwelt. de/1914381.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.