|
Untersuchungen haben gezeigt, dass ein System, das permanent
mit dem Internet verbunden ist, im Durchschnitt alle 30 Minuten
angegriffen wird. Bei temporärer Verbindung (Wählleitungszugang)
erfolgt ein Angriff aus dem Internet immerhin alle zwei Stunden.
Da die Anwender meist von diesen Attacken nichts bemerken, wird
diese Gefahr vielfach unterschätzt.
|
 |
| Wir haben schon bei der Einleitung zur
Computersicherheit erwähnt, dass es im Internet viele frei
verfügbare Programme gibt, die automatisch die Schwachstellen
Ihrer Internetanbindung prüft und Einbruchsmöglichkeiten
aufzeigt. |
|
| Ein Firewallsystem soll das
eigene Netz oder den mit dem Internet verbundenen Computer
vor unbefugtem Eindringen schützen. Es überprüft den
gesamten eingehenden und ausgehenden Verkehr und unterbindet
bei entsprechender Konfiguration alle unerwünschten und
gefährlichen Aktivitäten. |
 |
|
|
| Insbesondere werden eingehende Daten nur dann
akzeptiert, wenn sie als Antwort auf entsprechende Anforderungen
aus Ihrem lokalen Netz eintreffen. Unaufgefordert einlangende
Daten werden von vornherein nicht akzeptiert, sofern Sie hinter
dem Firewallsystem nicht irgendwelche aus dem Internet
zugängliche Server betreiben wollen. |
|
| Für derartige Schutzsysteme werden verschiedene
Techniken eingesetzt, die wir hier kurz zusammenfassen. Allen
Netzwerktechnikern und Sicherheitsexperten möchten wir in
Erinnerung rufen, dass wir uns hier auf eine einfache und für
Laien möglichst verständliche Darstellung beschränken. |
|
| Allgemeines |
|
Der einzige wirklich sichere Schutz vor Angriffen besteht
darin, das Kabel zum Internet vom eigenen Computer zu trennen (und
nie wieder anzuschließen). Auch noch so teure Firewallsysteme -
wobei der Preis nicht immer in Relation zur Wirksamkeit steht -
können keinen absolut sicheren Schutz bieten. Das beweist
zumindest, wie gefährlich die Angriffe aus dem Internet sind und
wie leichtsinnig es ist, ohne jeden Schutz eine Verbindung zum
öffentlichen Netz einzugehen.
|
|
| Täglich werden neue Sicherheitsprobleme aufgedeckt
und Maßnahmen dagegen entwickelt. Die Wirkung eines
Firewallsystems hängt daher ganz entscheidend von der Person ab,
die es konfiguriert und betreut. Darüber hinaus muss das System
permanent auf den aktuellen Stand gebracht werden, um neue
Sicherheitsbedrohungen zu bekämpfen. |
|
| Auch ist eine permanente Überwachung des
Firewallsystem notwendig, denn das System hat wenig Sinn, wenn ein
Einbruchsversuch gelingt, ohne dass dies bemerkt wird.
Verschiedene Funktionen überwachen das System und melden auch
nicht erfolgreiche Einbruchsversuche. Damit hat man Gelegenheit,
dagegen vorzugehen (sich bei den Betreibern der entsprechenden
Rechner zu beschweren) und das Firewallsystem selbst gegen die
beobachteten Einbruchsversuche besser zu schützen. |
|
| Voraussetzungen |
|
Die wichtigste Voraussetzung für den Einsatz einer Firewall
ist ein zentraler Zugang zum Internet, an welchem das
Firewallsystem den gesamten Verkehr zwischen Ihrem Büronetz und
dem Internet kontrolliert. Damit werden Netzangriffe abgewehrt,
noch bevor sie in Ihr Unternehmensnetz gelangen.
|
|
| Jeder Computer in Ihrem lokalen Netz muss über das
Firewallsystem ins Internet und erhält umgekehrt alle Daten aus
dem Internet von der Firewall. Sie müssen unbedingt verhindern,
dass einzelne Arbeitsplätze mit eigenen ISDN-Karten oder Modems
ausgerüstet sind und auf diesem Weg unter Umgehung der Firewall
direkt ins Internet gelangen. Auch Anwendungen wie Telebanking
oder Krankenkassenmeldungen müssen über das Firewallsystem
abgewickelt werden, was in der Regel problemlos möglich ist. |
|
| Router
mit Paketfilterung |
|
Bei der Paketfilterung entscheidet der Computer aufgrund von
Regeln, die bei der Konfiguration festgelegt werden, welche
Netzpakete übertragen werden und welche nicht.
|
|
|
Dabei kümmert sich das System nicht um die Inhalte der Pakete,
sondern entscheidet auf Grund des Dienstes, zum dem die Pakete
gehören, sowie der Ursprungs- und der Zieladresse, ob ein Paket
akzeptiert oder verworfen wird.
|
|
| Die Schutzfunktion des Firewallsystems besteht bei
dieser Variante darin, dass gefährliche Netzpakete
beziehungsweise Netzwerkdienste unterdrückt werden oder nur in
einer Richtung (von lokalen Netz ins Internet) zugelassen werden.
Wenn man keinen Zugriff von außen - etwa durch Filialen oder
Außendienstmitarbeiter - benötigt, ist ein sehr wirkungsvoller
Schutz möglich, indem alle Zugriffe von außen unterbunden
werden. In diesem Fall ist aus dem Internet nicht einmal zu
erkennen, dass Ihr Firewallsystem und das dahinter liegende lokale
Netz überhaupt existiert. |
|
| Ein reiner Paketfilter besitzt einige
Schwachstellen, zum Beispiel gibt es keine Authentifizierung von
Benutzern: Entweder wird kein Mailpaket angenommen oder es werden
alle Mails (von jenen Hosts, denen das laut Konfiguration erlaubt
ist) durchgelassen. Auch wenn die Verbindung zwischen zwei Hosts
(etwa mit telnet) zugelassen wird, kann das Firewallsystem nicht
erkennen, welcher Benutzer diese Verbindung verwendet. |
|
| Trotz einiger Nachteile lässt sich mit
Paketfilterung mit relativ wenig Aufwand ein wirkungsvoller Schutz
einrichten, speziell wenn ein Zugang von außen auf das interne
Netz gar nicht benötigt wird. |
|
| Proxy-Server |
|
Bei Proxy-Servern handelt es sich um Programme, die einen
bestimmten Dienst anbieten, zum Beispiel den Zugriff auf Webseiten
im Internet.
|
|
|
Diese Programme sind zwischen dem lokalen Netz und dem Internet
positioniert und arbeiten in der Form, dass der
Arbeitsplatzrechner seine Anfrage an den Proxy richtet, dieser die
Anfrage an die Zieladresse im Internet weitergibt und von dort die
Antwort entgegennimmt und das Ergebnis schließlich dem
Arbeitsplatzrechner übermittelt.
|
|
| Alle Arbeitsplätze im lokalen Netz wenden sich an
den Proxy-Server und erhalten von diesem die Antworten (die sich
der Proxy aus dem Internet besorgt), sind also nicht direkt mit
dem Internet verbunden. Nur der Proxy-Server selbst kann mit dem
Internet kommunizieren, eine direkte Verbindung zwischen dem
lokalen Netz und dem Internet existiert nicht. |
|
| Diese Lösung bietet eine hohe Sicherheit, hat aber
den Nachteil, dass man für jeden benötigten Dienst ein
spezielles Proxy-Programm installieren und konfigurieren muss. |
|
| Proxy-Server lassen sich sehr gut mit
Paketfilterfunktionen verbinden, womit auch beide Formen von
Firewallsystemen gleichzeitig genutzt werden können. |
|
|
|
News
& Infos 
