• IT-Karriere:
  • Services:

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.

Artikel von Götz Güttich veröffentlicht am
Eine Firewall schützt vor Schaden.
Eine Firewall schützt vor Schaden. (Bild: Pixabay)

Kleinere IT-Firmen haben in der Regel ein begrenztes Budget. In der Praxis kommt es deshalb oft vor, dass der Internet-Zugang einfach über einen vom Provider bereitgestellten Router abläuft, der lediglich Network Address Translation (NAT) beherrscht und den Datenverkehr nicht filtert und untersucht. Wir erklären, warum so ein Router kein ausreichendes Sicherheitsniveau bereitstellen kann und wieso eine Firewall auch in kleineren Umgebungen zum Einsatz kommen sollte.

NAT übersetzt lokale in öffentliche IP-Adresse

NAT-Router kommen zwischen dem lokalen Netz und dem Internet, beziehungsweise dem Netzwerk des Providers, zum Einsatz. Die NAT-Funktion übersetzt dabei die lokalen IP-Adressen der Komponenten im LAN, die nicht nach außen geroutet werden, in die vom Provider bereitgestellte öffentliche IP-Adresse.

Das bedeutet: Ein Client-PC im LAN stellt eine Anfrage an einen Server im Internet. Der Router ersetzt dann die IP-Adresse des Clients, während er die dazugehörigen Datenpakete nach außen weiterleitet, durch die eben genannte öffentliche IP-Adresse. An diese schickt der Server im Internet dann auch seine Antwort.

Wenn diese beim Router eingeht, tauscht der die IP-Adresse wieder gegen die LAN-Adresse des betroffenen Clients aus und schickt sie an diesen weiter. Damit er in Umgebungen mit mehreren Rechnern weiß, welche Datenpakete an welche Computer gehen, speichert er die Port-Nummern der TCP-Verbindungen in einer NAT-Tabelle.

NAT-Router ist kein Filter

Stellenmarkt
  1. intan group, Berlin
  2. Deutsche Rentenversicherung Bund, Berlin

Dieses Vorgehen sorgt dafür, dass alle Ports und Adressen im LAN von außen nicht sichtbar sind, sondern lediglich die öffentliche IP-Adresse des Routers. Das gilt natürlich nicht, wenn die Administratoren auf dem Router eine Portweiterleitung eingerichtet haben, die zum Beispiel allen auf Port 22 eingehenden Verkehr automatisch an einen bestimmten Linux-Rechner im LAN weiterleitet, um Remote Administration über SSH zu ermöglichen. Existieren solche Portweiterleitungen, so sind die entsprechenden Ports auf den dazugehörigen Zielgeräten aus dem Internet erreichbar und müssen separat abgesichert werden.

Warum reicht es nun aber aus Security-Gesichtspunkten nicht aus, wenn die internen Adressen und Ports aus dem Internet nicht erreicht werden können? Der Grund dafür liegt darin, dass ein NAT-Router den übertragenen Verkehr nicht filtert und untersucht. Stellt beispielsweise ein Rechner im LAN eine Anfrage an irgendeinen Server im Internet, so erfolgt die Response über den zu der entsprechenden Session gehörenden Antwort-Port.

Um hier für Sicherheit zu sorgen, muss eine Sicherheitslösung zum Einsatz kommen, die prüft, dass dieser Port dann auch wirklich nur von dem betroffenen Server und nicht irgendeinem Angreifer verwendet wird, der sich als dieser Server ausgibt und zum Beispiel einen DoS-Angriff ausführen möchte. Das funktioniert über die so genannte Stateful-Packet-Inspection-Technologie (SPI).

SPI untersucht, ob Datenpakete, die im Netz ankommen, zu den zuvor gesendeten Datenpaketen in Beziehung stehen oder nicht - und verwirft nicht passende Übertragungen. Normale NAT-Router stellen keine derartigen Sicherheitsfunktionen zur Verfügung. Sie filtern lediglich alles aus, was nicht von ihnen angefordert wurde. Die Grenzen sind dabei aber teilweise fließend, da es einige Router mit gewissen SPI-Features gibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mit einer Firewall die Datenübertragung steuern 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Spiele-Angebote
  1. 9,49€
  2. 14,99€
  3. 39,99€
  4. (-15%) 16,99€

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Erneuerbare Energien: Windkraft in Luft speichern
Erneuerbare Energien
Windkraft in Luft speichern

In Zukunft wird es mehr Strom aus Windkraft geben. Weil die Anlagen aber nicht kontinuierlich liefern, werden Stromspeicher immer wichtiger. Batterien sind eine Möglichkeit, das britische Startup Highview Power hat jedoch eine andere gefunden: flüssige Luft.
Ein Bericht von Wolfgang Kempkens

  1. Energiewende Norddeutschland wird H
  2. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  3. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

    •  /