Gefährliches Netzwerk

Zu Beginn war das Internet eine Netzwerk voller Freunde: Forscher und Universitäten tauschten Daten aus, niemand versuchte, dem anderen Schaden zuzufügen. Mit dem Ausbau des Internets ließ sich später nicht mehr kontrollieren, wer an der Gegenstelle saß oder den Transfer überwachte. Mit kriminellen Absichten, genügend Fachwissen und selbst generierten IP-Paketen war es möglich geworden, anderen Computern Befehle zu erteilen.

Datenpakete finden ihren Zielrechner mit Hilfe einer Nummer, die diesem im Netzwerk ähnlich einer Hausnummer zugewiesen ist, das ist die IP-Adresse. In die Bearbeitungsroutine des Rechners gelangen die Pakete über so genannte Ports, die die Ein- und Ausgänge des darstellen. Davon gibt es über 65.000 Stück. Dementsprechend einfach ist es bei einem ungeschützten Rechner, ein fremdes IP-Paket durch einen offenen Port hindurchzuschleusen.

Am Anfang war der Filter

Eine simple Schutzmaßnahme gegen diese Angriffsmethode ist die Sperrung sämtlicher Ports und Absenderadressen. Nur solche Ports, die bestimmten Diensten zugewiesen sind, bleiben geöffnet. Alle anderen Anfragen landen im Papierkorb. So sind statt 65.000 offenen Ports nur noch die wenigen geöffnet, die tatsächlich gebraucht werden - der Angreifer muss sie erst einmal herausfinden. Doch selbst das ist möglich.

Die Lösung ist ein Filter, der nur erwartete IP-Pakete passieren lässt - sprich solche Pakete, die als Antwort auf eine vorausgegangene Anfrage des Nutzers kommen. Will beispielsweise Stefan eine Internetseite besuchen, fordert sein Rechner die Daten des entsprechenden Servers an. Allein dieser Server ist dann berechtigt, eine Antwort zu senden. Antwortet der Server in einer vorgegebenen Zeit nicht, schließt sich der Port.

Diese Funktion nennt sich "stateful inspection" oder "stateful packetfiltering" und stellt einen weiteren Sicherheitsaspekt dar. Doch auch der lässt sich umgehen: Der Angreifer kann kurzzeitig die Identität eines anderen Teilnehmers annehmen und Programme nutzen, die innerhalb der Antwortzeit IP-Pakete mit böswilligen Inhalten durch die Sicherheitslinien bringen können.

Weitere Informationen

Wie geht's weiter? Zu diesem Thema haben wir eine redaktionelle Übersicht erstellt. Sie finden das Special zu Firewall hier.