• IT-Karriere:
  • Services:

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.

Artikel von Götz Güttich veröffentlicht am
Eine Firewall schützt vor Schaden.
Eine Firewall schützt vor Schaden. (Bild: Pixabay)

Kleinere IT-Firmen haben in der Regel ein begrenztes Budget. In der Praxis kommt es deshalb oft vor, dass der Internet-Zugang einfach über einen vom Provider bereitgestellten Router abläuft, der lediglich Network Address Translation (NAT) beherrscht und den Datenverkehr nicht filtert und untersucht. Wir erklären, warum so ein Router kein ausreichendes Sicherheitsniveau bereitstellen kann und wieso eine Firewall auch in kleineren Umgebungen zum Einsatz kommen sollte.

NAT übersetzt lokale in öffentliche IP-Adresse

NAT-Router kommen zwischen dem lokalen Netz und dem Internet, beziehungsweise dem Netzwerk des Providers, zum Einsatz. Die NAT-Funktion übersetzt dabei die lokalen IP-Adressen der Komponenten im LAN, die nicht nach außen geroutet werden, in die vom Provider bereitgestellte öffentliche IP-Adresse.

Das bedeutet: Ein Client-PC im LAN stellt eine Anfrage an einen Server im Internet. Der Router ersetzt dann die IP-Adresse des Clients, während er die dazugehörigen Datenpakete nach außen weiterleitet, durch die eben genannte öffentliche IP-Adresse. An diese schickt der Server im Internet dann auch seine Antwort.

Wenn diese beim Router eingeht, tauscht der die IP-Adresse wieder gegen die LAN-Adresse des betroffenen Clients aus und schickt sie an diesen weiter. Damit er in Umgebungen mit mehreren Rechnern weiß, welche Datenpakete an welche Computer gehen, speichert er die Port-Nummern der TCP-Verbindungen in einer NAT-Tabelle.

NAT-Router ist kein Filter

Stellenmarkt
  1. GK Software SE, Berlin, Jena, Schöneck/Vogtland, Sankt Ingbert
  2. BRUNATA-METRONA GmbH & Co. KG, München

Dieses Vorgehen sorgt dafür, dass alle Ports und Adressen im LAN von außen nicht sichtbar sind, sondern lediglich die öffentliche IP-Adresse des Routers. Das gilt natürlich nicht, wenn die Administratoren auf dem Router eine Portweiterleitung eingerichtet haben, die zum Beispiel allen auf Port 22 eingehenden Verkehr automatisch an einen bestimmten Linux-Rechner im LAN weiterleitet, um Remote Administration über SSH zu ermöglichen. Existieren solche Portweiterleitungen, so sind die entsprechenden Ports auf den dazugehörigen Zielgeräten aus dem Internet erreichbar und müssen separat abgesichert werden.

Warum reicht es nun aber aus Security-Gesichtspunkten nicht aus, wenn die internen Adressen und Ports aus dem Internet nicht erreicht werden können? Der Grund dafür liegt darin, dass ein NAT-Router den übertragenen Verkehr nicht filtert und untersucht. Stellt beispielsweise ein Rechner im LAN eine Anfrage an irgendeinen Server im Internet, so erfolgt die Response über den zu der entsprechenden Session gehörenden Antwort-Port.

Um hier für Sicherheit zu sorgen, muss eine Sicherheitslösung zum Einsatz kommen, die prüft, dass dieser Port dann auch wirklich nur von dem betroffenen Server und nicht irgendeinem Angreifer verwendet wird, der sich als dieser Server ausgibt und zum Beispiel einen DoS-Angriff ausführen möchte. Das funktioniert über die so genannte Stateful-Packet-Inspection-Technologie (SPI).

SPI untersucht, ob Datenpakete, die im Netz ankommen, zu den zuvor gesendeten Datenpaketen in Beziehung stehen oder nicht - und verwirft nicht passende Übertragungen. Normale NAT-Router stellen keine derartigen Sicherheitsfunktionen zur Verfügung. Sie filtern lediglich alles aus, was nicht von ihnen angefordert wurde. Die Grenzen sind dabei aber teilweise fließend, da es einige Router mit gewissen SPI-Features gibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript
Mit einer Firewall die Datenübertragung steuern 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Hardware-Angebote
  1. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  2. 1.199,00€

Neuro-Chef 31. Okt 2019 / Themenstart

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019 / Themenstart

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019 / Themenstart

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019 / Themenstart

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019 / Themenstart

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...

Kommentieren


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Apple TV+ im Test: Apple-Kunden müssen auf jeden Streaming-Komfort verzichten
Apple TV+ im Test
Apple-Kunden müssen auf jeden Streaming-Komfort verzichten

Apple ist mit Apple TV+ gestartet. Wir haben das Streamingabo ausprobiert und waren entsetzt, wie rückständig alles umgesetzt ist. Der Kunde von Apple TV+ muss auf sehr viele Komfortfunktionen verzichten, die bei der Konkurrenz seit langem üblich sind.
Ein Test von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Videostreamingdienst ist nicht konkurrenzfähig
  3. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat

Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  2. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen
  3. Echo Studio Amazons teuerster smarter Lautsprecher

    •  /