Funktionsweisen von Firewalls
Eine Firewall, die ihren Namen verdient, arbeitet auf einer eigenen Hardware und befindet sich zwischen dem Internetanschluss (Router) und dem lokalen Netzwerk. Im Heimnetzwerk kommen solche Firewalls so gut wie nie zum Einsatz. In den meisten Fällen wird ein Filter im Router verwendet. Drei Arten der Firewall-Filter stellen wir hier vor. Paketfilter: Die einfachste Form der Firewall trifft Entscheidungen anhand von Absender- und Zieladressen sowie von angegebenen Ports. Die Analyse der Pakete erfolgt also in der Netzwerkschicht. Die Konfiguration besteht aus manuell erstellten Zugriffslisten mit exakter Angabe von erlaubten Ports und Adressen. Die Firewall hat ansonsten keine Ahnung vom Inhalt der Pakete, und die Zuordnung zu einem Dienst erfolgt nur anhand der angegebenen Portnummer. Die meisten WLAN/DSL-Router lassen sich zu diesem Firewall-Typ konfigurieren. Einige Regeln der Windows-Firewall arbeiten ebenfalls nach diesem Prinzip. Stateful Packet Inspection (SPI): Anstatt nur den Header von Netzwerkpaketen anzusehen, macht dieser Typ von Firewall die Filterregeln abhängig vom Zustand einer Verbindung. Schickt ein PC aus dem lokalen Netz eine HTTP-Anfrage an einen Webserver im Internet, dann merkt sich die Stateful Packet Inspection diese Anfrage. Die Firewall erlaubt dann Antwortpakete von außen für eine bestimmte Zeit, falls diese an den anfragenden Rechner gehen sollen. Andernfalls wird nicht angeforderter Traffic verworfen. Hochwertige Router, wie etwa die Fritzbox, verwenden SPI, ebenso die Windows-Firewall. Network Address Translation: Lokale Netzwerke nutzen private Subnetze, beispielsweise 192.168.0.x. Diese Adressen existieren nur in privaten Netzen; im Internet kommen Sie nicht vor und werden dort auch nicht geroutet. An der Schnittstelle zwischen Heimnetz und Internet sitzt der (DSL-)Router. Einer seiner Aufgaben ist die Übersetzung von internen Adressen in externe Adressen. Das System wird Network Address Translation (NAT) genannt. Bei NAT behauptet der Router gegenüber allen Hosts im Internet, dass er der Absender aller Pakete ist, die tatsächlich aber von mehreren Geräten im lokalen Netz stammen. Dazu setzt er die vom Internetprovider zugeteilte, meist dynamische IP-Adresse als Absenderangabe in jedes abgehende Paket ein. Damit die von dort kommenden Antworten das richtige Gerät im LAN erreichen, bekommen eintreffende Pakete wieder die passende Empfängeradresse eingesetzt, die NAT aus einer zuvor erstellen Tabelle entnimmt. NAT ist nicht nur eine Lösung für den IPv4-Adressenmangel, sondern sorgt auch für Sicherheit: Von außen sind die LAN-Teilnehmer nicht über ihre tatsächliche Adresse erreichbar. Ob NAT eine Sicherheitsfunktion ist oder nicht, darüber streiten sich FirewallExperten. Aus dem Blickwinkel von Praktikern lässt sich sagen: Für Heimnetzwerke, aus denen keine Serverdienste heraus angeboten werden, reicht NAT als Abschirmung gegen unerwünschten Traffic aus. Weitere Infos zu den Feinheiten der Firewall finden Sie unter www.pcwelt. de/1914381.