Funktionsweise und Fachsprache der Firewall erklärt

DMZ, NAT & Co - so arbeitet eine Firewall

Sascha Hottes

NAT: Der Übersetzer hilft

Wenn die Firewall in Form eines separaten Geräts oder Routers zwischen Computer und Internet steht, kann sie außerdem eine Adressänderung vornehmen. Dabei merkt sich die Firewall die Absenderadresse des anfragenden Computers im LAN und tauscht sie in der Paketbeschrifung, genannt Header, gegen die eigene Adresse aus. Trifft die Antwort bei der Firewall ein, tauscht sie den Adressaten aus, und das Paket findet seinen Weg zum ursprünglichen Absender.

Dank der Übersetzung der Netzwerkadresse, im Englischen Network-Address-Translation oder kurz NAT genannt, ist der einzelne Computer nach außen hin unsichtbar; die gesendete Anfrage scheint vom Router zu kommen. Schafft ein Eindringling es trotzdem, einen Computer im LAN zum Senden zu bringen, indem er etwa sämtliche offene Ports ausspäht, kann auch NAT nichts mehr tun. Die Kombination von NAT und stateful inspection kann das Ausspähen der Ports jedoch wesentlich erschweren.

Grenzen der Network-Address-Translation

Manche Programme sind wenig an Sicherheit interessiert und verbergen die Absender-IP irgendwo im Paketinhalt. Die NAT-Firewall kann das nicht erkennen, da sie nur den IP-Header liest. Die zweite Schwierigkeit: Um IP-Adressen von Paketen zu ändern, muss die NAT-Firwall die Pakete auch lesen können. Das ist nicht der Fall, wenn diese bereits durch IPSec, SSL oder VPN verschlüsselt sind. Nur wenn die NAT-Firewall die Pakete selbst verschlüsselt - wie etwa bei VPN der Fall - kann Sie die IP-Adressen zusätzlich verstecken.

Auspacken - Neuschreiben - Weiterschicken

Die bisher geschilderten Firewall-Funktionen sind ausschließlich in der Lage, den Paket-Header zu inspizieren. Hat ein Angreifer seine IP-Pakete aber ausreichend gut getarnt, gelangt der schadhafte Inhalt trotzdem auf den Computer des Opfers. Wäre es nicht schön, wenn die Firewall schadhaften Programmcode erkennen und gar nicht erst passieren ließe?

Firewalls, die über einen Proxy verfügen, können auch das. Die Anfragen des Computers im LAN gehen in diesem Fall nur an die Firewall, diese strickt das Paket komplett neu, als ob sie es selbst geschrieben hätte. Umgekehrt verhält sie sich genauso: Eingehende Pakete werden aufgelöst und neu verfasst, was die Firewall für nicht legitimen Programmcode hält, schmeißt sie raus.

Dazu ist der Firewall-Proxy fähig, weil er über Kenntnisse der gängigsten Netzwerk-Protokolle wie HTTP und FTP verfügt. Dementsprechend weiß er, mit welche Zeilen dem Computer schaden können. Manche Firewalls außerdem in der Lage, auch Javascript oder ActiveX abzuweisen. Darüber hinaus erkennen sie, welchen Dateityp ein Nutzer runterlädt - den kann die Firewall dann ebenfalls blocken, soll zum Beispiel keine .exe- oder .mp3-Datei auf den Rechner gelangen.

Druckversion | Kommentare

« zurück 1 | 2 | 3 | 4 | 5 weiter »

• 

  Desktop-Firewalls: Warum jeder eine haben sollte
  Trotz Lücken unheimlich nützlich

• 

  Conficker.A: Microsoft warnt vor Windows-Wurm
  Sicherheitslücke in Windows-Systemen bereitet große Sorgen

• 

  Sicherheitswarnung für Acrobat-Benutzer
  Neue Trojaner-Schwemme nutzt Schwachstellen aus

Diesen Artikel verlinken

Dieser Artikel steht unter einer Creative Commons-Lizenz.

Werbung

Top Software

• 29.11. Avira AntiVir Personal - Free Antivirus Handbuch
• 23.08. Kazaa Lite K++ 2.6.1 (Deutsch)
• 02.10. WinRAR 3.71
• 28.11. Azureus (Vuze) 2.5.0.4 (Linux AMD 64)
• 12.07. Google Earth 4.2.0205.5730 (Windows)
• 29.11. Ad-Aware 2008 Free 7.1.0.10
• 07.11. DirectX 9.0c August 2008
• 29.10. BearShare 6.2
• 01.11. Nero 9.0.9.4d
• 21.09. LimeWire 4.18.8 (Linux, DEB)

Freeware Toplisten

Gute Software muss nicht teuer sein. Netzwelt zeigt Ihnen die besten Freeware Programme Ihrer Zunft, alle kostenlos.

Top Vollversionen

• 01.11. Nero 9.0.9.4d
• 13.08. AudioJack 3
• 08.03. Nero Recode 2.2.6.17c
• 28.04. Nero InCD Clean Tool
• 26.06. Nero Vision Express 3.1.0.25
• 06.04. Kaspersky Anti-Virus Personal 7.0
• 06.03. GetRight 6.2 (Demo)
• 01.08. Alcohol 120% 4.0 Classic
• 28.11. TuneUp Utilities 2008
• 08.03. Kaspersky Internet Security 7.0

Software im Portrait

Es gibt Programme, da führt kein Weg dran vorbei, auch für die netzwelt nicht. Wir widmen diesen Evergreens und Essentials ganze Specials, die jede noch so kleine Funktion unter die Lupe nehmen.

• Internet Browser: Mozilla Firefox
• Internet Browser: Opera Browser
• Internet Browser: Internet Explorer
• Voice over IP: Skype
• MP3-Player: Winamp
• Weltbrowser: Google Earth und Co.
• Betriebssystem: Windows Vista
• Grafikbearbeitung: GIMPshop

Anleitungen

Sie haben ein Problem, wissen aber weder mit welchem Programm Sie es lösen können noch wie Sie es später anwenden. Netzwelt klärt Sie in mehr als 100 Anleitungen auf.

• Videos: Erstellen, bearbeiten und transkodieren
• Musik: Erstellen, verwalten und bearbeiten
• Mailer: Post für den Rechner
• Sicherheit: Sicher im Internet und am PC
• Filesharing: Sicher und schnell tauschen
• Optimierung: Windows beschleunigen
• Vista: Einrichten und optimieren

akuma.de - Unser Musikdienst

Service-Angebote der netzwelt

Stellenangebote

DSL-Tarifrechner

Strom-Tarifrechner

Gas-Tarifrechner

Energieausweis

Energiecheck

Stromspar-Magazin

Energiesparquiz

MP3-Downloads

Software Downloads

Online-Spiele

IPTV-Guide

Werbung