• IT-Karriere:
  • Services:

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.

Artikel von Götz Güttich veröffentlicht am
Eine Firewall schützt vor Schaden.
Eine Firewall schützt vor Schaden. (Bild: Pixabay)

Kleinere IT-Firmen haben in der Regel ein begrenztes Budget. In der Praxis kommt es deshalb oft vor, dass der Internet-Zugang einfach über einen vom Provider bereitgestellten Router abläuft, der lediglich Network Address Translation (NAT) beherrscht und den Datenverkehr nicht filtert und untersucht. Wir erklären, warum so ein Router kein ausreichendes Sicherheitsniveau bereitstellen kann und wieso eine Firewall auch in kleineren Umgebungen zum Einsatz kommen sollte.

NAT übersetzt lokale in öffentliche IP-Adresse

NAT-Router kommen zwischen dem lokalen Netz und dem Internet, beziehungsweise dem Netzwerk des Providers, zum Einsatz. Die NAT-Funktion übersetzt dabei die lokalen IP-Adressen der Komponenten im LAN, die nicht nach außen geroutet werden, in die vom Provider bereitgestellte öffentliche IP-Adresse.

Das bedeutet: Ein Client-PC im LAN stellt eine Anfrage an einen Server im Internet. Der Router ersetzt dann die IP-Adresse des Clients, während er die dazugehörigen Datenpakete nach außen weiterleitet, durch die eben genannte öffentliche IP-Adresse. An diese schickt der Server im Internet dann auch seine Antwort.

Wenn diese beim Router eingeht, tauscht der die IP-Adresse wieder gegen die LAN-Adresse des betroffenen Clients aus und schickt sie an diesen weiter. Damit er in Umgebungen mit mehreren Rechnern weiß, welche Datenpakete an welche Computer gehen, speichert er die Port-Nummern der TCP-Verbindungen in einer NAT-Tabelle.

NAT-Router ist kein Filter

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Großraum Siegen

Dieses Vorgehen sorgt dafür, dass alle Ports und Adressen im LAN von außen nicht sichtbar sind, sondern lediglich die öffentliche IP-Adresse des Routers. Das gilt natürlich nicht, wenn die Administratoren auf dem Router eine Portweiterleitung eingerichtet haben, die zum Beispiel allen auf Port 22 eingehenden Verkehr automatisch an einen bestimmten Linux-Rechner im LAN weiterleitet, um Remote Administration über SSH zu ermöglichen. Existieren solche Portweiterleitungen, so sind die entsprechenden Ports auf den dazugehörigen Zielgeräten aus dem Internet erreichbar und müssen separat abgesichert werden.

Warum reicht es nun aber aus Security-Gesichtspunkten nicht aus, wenn die internen Adressen und Ports aus dem Internet nicht erreicht werden können? Der Grund dafür liegt darin, dass ein NAT-Router den übertragenen Verkehr nicht filtert und untersucht. Stellt beispielsweise ein Rechner im LAN eine Anfrage an irgendeinen Server im Internet, so erfolgt die Response über den zu der entsprechenden Session gehörenden Antwort-Port.

Um hier für Sicherheit zu sorgen, muss eine Sicherheitslösung zum Einsatz kommen, die prüft, dass dieser Port dann auch wirklich nur von dem betroffenen Server und nicht irgendeinem Angreifer verwendet wird, der sich als dieser Server ausgibt und zum Beispiel einen DoS-Angriff ausführen möchte. Das funktioniert über die so genannte Stateful-Packet-Inspection-Technologie (SPI).

SPI untersucht, ob Datenpakete, die im Netz ankommen, zu den zuvor gesendeten Datenpaketen in Beziehung stehen oder nicht - und verwirft nicht passende Übertragungen. Normale NAT-Router stellen keine derartigen Sicherheitsfunktionen zur Verfügung. Sie filtern lediglich alles aus, was nicht von ihnen angefordert wurde. Die Grenzen sind dabei aber teilweise fließend, da es einige Router mit gewissen SPI-Features gibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mit einer Firewall die Datenübertragung steuern 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Spiele-Angebote
  1. 1,99€
  2. 0,99€
  3. (-20%) 39,99€
  4. (-56%) 17,50€

Neuro-Chef 31. Okt 2019 / Themenstart

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019 / Themenstart

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019 / Themenstart

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019 / Themenstart

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019 / Themenstart

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...

Kommentieren


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

    •  /