• IT-Karriere:
  • Services:

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.

Artikel von Götz Güttich veröffentlicht am
Eine Firewall schützt vor Schaden.
Eine Firewall schützt vor Schaden. (Bild: Pixabay)

Kleinere IT-Firmen haben in der Regel ein begrenztes Budget. In der Praxis kommt es deshalb oft vor, dass der Internet-Zugang einfach über einen vom Provider bereitgestellten Router abläuft, der lediglich Network Address Translation (NAT) beherrscht und den Datenverkehr nicht filtert und untersucht. Wir erklären, warum so ein Router kein ausreichendes Sicherheitsniveau bereitstellen kann und wieso eine Firewall auch in kleineren Umgebungen zum Einsatz kommen sollte.

NAT übersetzt lokale in öffentliche IP-Adresse

NAT-Router kommen zwischen dem lokalen Netz und dem Internet, beziehungsweise dem Netzwerk des Providers, zum Einsatz. Die NAT-Funktion übersetzt dabei die lokalen IP-Adressen der Komponenten im LAN, die nicht nach außen geroutet werden, in die vom Provider bereitgestellte öffentliche IP-Adresse.

Das bedeutet: Ein Client-PC im LAN stellt eine Anfrage an einen Server im Internet. Der Router ersetzt dann die IP-Adresse des Clients, während er die dazugehörigen Datenpakete nach außen weiterleitet, durch die eben genannte öffentliche IP-Adresse. An diese schickt der Server im Internet dann auch seine Antwort.

Wenn diese beim Router eingeht, tauscht der die IP-Adresse wieder gegen die LAN-Adresse des betroffenen Clients aus und schickt sie an diesen weiter. Damit er in Umgebungen mit mehreren Rechnern weiß, welche Datenpakete an welche Computer gehen, speichert er die Port-Nummern der TCP-Verbindungen in einer NAT-Tabelle.

NAT-Router ist kein Filter

Stellenmarkt
  1. Elektrobit Automotive GmbH, Erlangen
  2. Hays AG, Frankfurt am Main

Dieses Vorgehen sorgt dafür, dass alle Ports und Adressen im LAN von außen nicht sichtbar sind, sondern lediglich die öffentliche IP-Adresse des Routers. Das gilt natürlich nicht, wenn die Administratoren auf dem Router eine Portweiterleitung eingerichtet haben, die zum Beispiel allen auf Port 22 eingehenden Verkehr automatisch an einen bestimmten Linux-Rechner im LAN weiterleitet, um Remote Administration über SSH zu ermöglichen. Existieren solche Portweiterleitungen, so sind die entsprechenden Ports auf den dazugehörigen Zielgeräten aus dem Internet erreichbar und müssen separat abgesichert werden.

Warum reicht es nun aber aus Security-Gesichtspunkten nicht aus, wenn die internen Adressen und Ports aus dem Internet nicht erreicht werden können? Der Grund dafür liegt darin, dass ein NAT-Router den übertragenen Verkehr nicht filtert und untersucht. Stellt beispielsweise ein Rechner im LAN eine Anfrage an irgendeinen Server im Internet, so erfolgt die Response über den zu der entsprechenden Session gehörenden Antwort-Port.

Um hier für Sicherheit zu sorgen, muss eine Sicherheitslösung zum Einsatz kommen, die prüft, dass dieser Port dann auch wirklich nur von dem betroffenen Server und nicht irgendeinem Angreifer verwendet wird, der sich als dieser Server ausgibt und zum Beispiel einen DoS-Angriff ausführen möchte. Das funktioniert über die so genannte Stateful-Packet-Inspection-Technologie (SPI).

SPI untersucht, ob Datenpakete, die im Netz ankommen, zu den zuvor gesendeten Datenpaketen in Beziehung stehen oder nicht - und verwirft nicht passende Übertragungen. Normale NAT-Router stellen keine derartigen Sicherheitsfunktionen zur Verfügung. Sie filtern lediglich alles aus, was nicht von ihnen angefordert wurde. Die Grenzen sind dabei aber teilweise fließend, da es einige Router mit gewissen SPI-Features gibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mit einer Firewall die Datenübertragung steuern 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. (u. a. Dark Souls 3 Deluxe Edition für 12,50€, Moonlighter für 6,66€, Assassin's Creed...
  2. 38,99€
  3. (u. a. Forza Horizon 4 für 29,99€, Gears 5 für 29,99€, Halo 5: Guardians für 10,99€)
  4. (u. a. Gigaset C570HX Universal-Mobilteil für 29€, Gigaset AS690 Duo für 48,99€, Gigaset...

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
The Last of Us 2 angespielt: Allein auf der Interstate 5
The Last of Us 2 angespielt
Allein auf der Interstate 5

Der vorletzte Blockbuster für Playstation 4: Mitte Juni 2020 erscheint The Last of Us 2. Golem.de konnte einen langen Abschnitt anspielen.
Von Peter Steinlechner

  1. Sony The Last of Us 2 wird PS5-kompatibel
  2. Naughty Dog Spoiler und Sperren rund um The Last of Us 2
  3. Playstation 4 Neue Termine für The Last of Us 2 und Ghost of Tsushima

Wirtschaftsminister: Landesdatenschützer sollen Kontrolle über Firmen verlieren
Wirtschaftsminister
Landesdatenschützer sollen Kontrolle über Firmen verlieren

Die Wirtschaftsminister diskutieren darüber, ob sie den Datenschutzbehörden der Länder die Aufsicht über Unternehmen entziehen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Überwachung Berlin prüft Logistik-Software von Zalando
  2. Investitionsbank Berlin Antragsunterlagen für Corona-Hilfen falsch zugestellt
  3. Echo und Co. Armband stört Mikrofone von smarten Lautsprechern

Realme 6 und 6 Pro im Test: Starke Konkurrenz für Xiaomi
Realme 6 und 6 Pro im Test
Starke Konkurrenz für Xiaomi

Das Realme 6 und 6 Pro bieten eine starke Ausstattung für relativ wenig Geld - und gehören damit aktuell zu den interessantesten Mittelklasse-Smartphones.
Ein Test von Tobias Költzsch


      •  /