IT-Sicherheit: Auch kleine Netze brauchen eine Firewall

Kleinere IT-Firmen haben in der Regel ein begrenztes Budget. In der Praxis kommt es deshalb oft vor, dass der Internet-Zugang einfach über einen vom Provider bereitgestellten Router abläuft, der lediglich Network Address Translation (NAT) beherrscht und den Datenverkehr nicht filtert und untersucht. Wir erklären, warum so ein Router kein ausreichendes Sicherheitsniveau bereitstellen kann und wieso eine Firewall auch in kleineren Umgebungen zum Einsatz kommen sollte.

NAT übersetzt lokale in öffentliche IP-Adresse

NAT-Router kommen zwischen dem lokalen Netz und dem Internet, beziehungsweise dem Netzwerk des Providers, zum Einsatz. Die NAT-Funktion übersetzt dabei die lokalen IP-Adressen der Komponenten im LAN, die nicht nach außen geroutet werden, in die vom Provider bereitgestellte öffentliche IP-Adresse.

Das bedeutet: Ein Client-PC im LAN stellt eine Anfrage an einen Server im Internet. Der Router ersetzt dann die IP-Adresse des Clients, während er die dazugehörigen Datenpakete nach außen weiterleitet, durch die eben genannte öffentliche IP-Adresse. An diese schickt der Server im Internet dann auch seine Antwort.

Wenn diese beim Router eingeht, tauscht der die IP-Adresse wieder gegen die LAN-Adresse des betroffenen Clients aus und schickt sie an diesen weiter. Damit er in Umgebungen mit mehreren Rechnern weiß, welche Datenpakete an welche Computer gehen, speichert er die Port-Nummern der TCP-Verbindungen in einer NAT-Tabelle.

NAT-Router ist kein Filter

Stellenmarkt

1. GK Software SE, Berlin, Jena, Schöneck/Vogtland, Sankt Ingbert
2. BRUNATA-METRONA GmbH & Co. KG, München

Dieses Vorgehen sorgt dafür, dass alle Ports und Adressen im LAN von außen nicht sichtbar sind, sondern lediglich die öffentliche IP-Adresse des Routers. Das gilt natürlich nicht, wenn die Administratoren auf dem Router eine Portweiterleitung eingerichtet haben, die zum Beispiel allen auf Port 22 eingehenden Verkehr automatisch an einen bestimmten Linux-Rechner im LAN weiterleitet, um Remote Administration über SSH zu ermöglichen. Existieren solche Portweiterleitungen, so sind die entsprechenden Ports auf den dazugehörigen Zielgeräten aus dem Internet erreichbar und müssen separat abgesichert werden.

Warum reicht es nun aber aus Security-Gesichtspunkten nicht aus, wenn die internen Adressen und Ports aus dem Internet nicht erreicht werden können? Der Grund dafür liegt darin, dass ein NAT-Router den übertragenen Verkehr nicht filtert und untersucht. Stellt beispielsweise ein Rechner im LAN eine Anfrage an irgendeinen Server im Internet, so erfolgt die Response über den zu der entsprechenden Session gehörenden Antwort-Port.

Um hier für Sicherheit zu sorgen, muss eine Sicherheitslösung zum Einsatz kommen, die prüft, dass dieser Port dann auch wirklich nur von dem betroffenen Server und nicht irgendeinem Angreifer verwendet wird, der sich als dieser Server ausgibt und zum Beispiel einen DoS-Angriff ausführen möchte. Das funktioniert über die so genannte Stateful-Packet-Inspection-Technologie (SPI).

SPI untersucht, ob Datenpakete, die im Netz ankommen, zu den zuvor gesendeten Datenpaketen in Beziehung stehen oder nicht - und verwirft nicht passende Übertragungen. Normale NAT-Router stellen keine derartigen Sicherheitsfunktionen zur Verfügung. Sie filtern lediglich alles aus, was nicht von ihnen angefordert wurde. Die Grenzen sind dabei aber teilweise fließend, da es einige Router mit gewissen SPI-Features gibt.