Weiterempfehlen Leserbrief
23.10.2005

Funktionsweise und Fachsprache der Firewall erklärt

DMZ, NAT & Co - so arbeitet eine Firewall

Sascha Hottes

Aber bitte geschützt: Der eigene Webserver

Wer einen eigenen FTP-Server oder Ähnliches ins Internet stellen will, kann das nicht einfach im lokalen Netzwerk tun - NAT verhindert schließlich, dass dieser Server nach außen hin sichtbar ist. Aber gleich alle Computer im LAN einem Risiko auszusetzen, ist auch nicht Sinn der Sache - eine Abstufung muss her. Diese Funktion übernimmt die demilitarisierte Zone, kurz DMZ.

Eine DMZ ist ein zusätzlicher Bereich hinter der Firewall, der nicht mit dem lokalen Netzwerk verbunden ist. LAN-Teilnehmer können auf die DMZ genauso zugreifen wie andere Rechner aus dem Internet - allerdings nicht, ohne vorher die Firewall passieren zu müssen. Auf diese Weise sind die Rechner des lokalen Netzwerks weiterhin hinter der Firewall verborgen, und der Server ist geschützt.

Eine demilitarisierte Zone aufzubauen ist mit der passenden Hardware nicht schwierig: Auch kleinere Heim-Router verfügen bereits über diese Technik. Wer es besonders sicher haben will, baut zwei Firewall-Systeme auf: eines vor dem FTP-Server und eines dahinter. So muss ein Angreifer beide Systeme knacken, um in das lokale Netzwerk zu gelangen.

Virtueller Tunnel

Wie bereits erwähnt, kann eine Firewall verschlüsselte Pakete nicht effektiv sortieren, es sei denn, sie nimmt die Verschlüsselung selbst vor. Das ist auch der Fall, wenn zwei Firewall-Router an unterschiedlichen Standorten ihren LANs vorgaukeln, sie wären ein gemeinsames Netzwerk - hier spricht man von einem virtual private Network, abgekürzt VPN. So ein System ist zum Beispiel für die Vernetzung unterschiedlicher Firmenstandorte nützlich - oder wenn der Reisende Daten auf seinem Laptop benötigt, die auf dem heimischen Computer gespeichert sind.

Vorsicht ist aber trotz Verschlüsselung auch damit geboten: Ist der einzelne mit dem VPN verbundene Rechner nicht geschützt, hat der Angreifer über diesen Zugang zum gesamten VPN. Es empfiehlt sich also, auch dieses Gerät zufriedenstellend zu schützen. Wenn jedoch ein Rechner im lokalen Netzwerk hinter der Firewall mit einem Server aus dem Internet einen VPN-Tunnel aufbaut, hat die Firewall wegen der Verschlüsselung erneut keine Möglichkeit, den Transfer zu überwachen.

Für die VPN-Konstellation LAN-Rechner hinter Firewall plus Internet-Server ist zudem nur eines der beiden gängigen VPN-Protokolle einsetzbar, das Point-to-Point Tunneling Protocol (PPTP). Da das zweite Protokoll, das Layer Two Tunneling Protocol, kurz L2TP, auch den Header verschlüsselt, kann die Firewall dessen Pakete überhaupt nicht zustellen.

Druckversion | Kommentare

« zurück 1 | 2 | 3 | 4 | 5 weiter »

Mehr über: Software, Sicherheit, Tutorial, Firewall, Windows-Optimierung, Sicher im Internet

Conficker.A: Microsoft warnt vor Windows-Wurm
Sicherheitslücke in Windows-Systemen bereitet große Sorgen
Desktop-Firewalls: Warum jeder eine haben sollte
Trotz Lücken unheimlich nützlich
Freeware unterm Weihnachtsbaum: Zone Alarm
Tor 5 baut eine feurige Schutzmauer auf

Diesen Artikel verlinken

Dieser Artikel steht unter einer Creative Commons-Lizenz.

Top Software

Freeware Toplisten

Best Of Freeware: Top Freeware für den Alltag

Gute Software muss nicht teuer sein. Netzwelt zeigt Ihnen die besten Freeware Programme Ihrer Zunft, alle kostenlos.

Best Of: Büro und Sicherheit

Best Of: Grafik und Multimedia

Best Of: Betriebssysteme

Top Vollversionen

Software im Portrait

Es gibt Programme, da führt kein Weg dran vorbei, auch für die netzwelt nicht. Wir widmen diesen Evergreens und Essentials ganze Specials, die jede noch so kleine Funktion unter die Lupe nehmen.

Anleitungen

Sie haben ein Problem, wissen aber weder mit welchem Programm Sie es lösen können noch wie Sie es später anwenden. Netzwelt klärt Sie in mehr als 100 Anleitungen auf.