|
Untersuchungen haben gezeigt, dass ein System, das permanent
mit dem Internet verbunden ist, im Durchschnitt alle 30 Minuten
angegriffen wird. Bei tempor�rer Verbindung (W�hlleitungszugang)
erfolgt ein Angriff aus dem Internet immerhin alle zwei Stunden.
Da die Anwender meist von diesen Attacken nichts bemerken, wird
diese Gefahr vielfach untersch�tzt.
|
 |
| Wir haben schon bei der Einleitung zur
Computersicherheit erw�hnt, dass es im Internet viele frei
verf�gbare Programme gibt, die automatisch die Schwachstellen
Ihrer Internetanbindung pr�ft und Einbruchsm�glichkeiten
aufzeigt. |
|
| Ein Firewallsystem soll das
eigene Netz oder den mit dem Internet verbundenen Computer
vor unbefugtem Eindringen sch�tzen. Es �berpr�ft den
gesamten eingehenden und ausgehenden Verkehr und unterbindet
bei entsprechender Konfiguration alle unerw�nschten und
gef�hrlichen Aktivit�ten. |
 |
|
|
| Insbesondere werden eingehende Daten nur dann
akzeptiert, wenn sie als Antwort auf entsprechende Anforderungen
aus Ihrem lokalen Netz eintreffen. Unaufgefordert einlangende
Daten werden von vornherein nicht akzeptiert, sofern Sie hinter
dem Firewallsystem nicht irgendwelche aus dem Internet
zug�ngliche Server betreiben wollen. |
|
| F�r derartige Schutzsysteme werden verschiedene
Techniken eingesetzt, die wir hier kurz zusammenfassen. Allen
Netzwerktechnikern und Sicherheitsexperten m�chten wir in
Erinnerung rufen, dass wir uns hier auf eine einfache und f�r
Laien m�glichst verst�ndliche Darstellung beschr�nken. |
|
| Allgemeines |
|
Der einzige wirklich sichere Schutz vor Angriffen besteht
darin, das Kabel zum Internet vom eigenen Computer zu trennen (und
nie wieder anzuschlie�en). Auch noch so teure Firewallsysteme -
wobei der Preis nicht immer in Relation zur Wirksamkeit steht -
k�nnen keinen absolut sicheren Schutz bieten. Das beweist
zumindest, wie gef�hrlich die Angriffe aus dem Internet sind und
wie leichtsinnig es ist, ohne jeden Schutz eine Verbindung zum
�ffentlichen Netz einzugehen.
|
|
| T�glich werden neue Sicherheitsprobleme aufgedeckt
und Ma�nahmen dagegen entwickelt. Die Wirkung eines
Firewallsystems h�ngt daher ganz entscheidend von der Person ab,
die es konfiguriert und betreut. Dar�ber hinaus muss das System
permanent auf den aktuellen Stand gebracht werden, um neue
Sicherheitsbedrohungen zu bek�mpfen. |
|
| Auch ist eine permanente �berwachung des
Firewallsystem notwendig, denn das System hat wenig Sinn, wenn ein
Einbruchsversuch gelingt, ohne dass dies bemerkt wird.
Verschiedene Funktionen �berwachen das System und melden auch
nicht erfolgreiche Einbruchsversuche. Damit hat man Gelegenheit,
dagegen vorzugehen (sich bei den Betreibern der entsprechenden
Rechner zu beschweren) und das Firewallsystem selbst gegen die
beobachteten Einbruchsversuche besser zu sch�tzen. |
|
| Voraussetzungen |
|
Die wichtigste Voraussetzung f�r den Einsatz einer Firewall
ist ein zentraler Zugang zum Internet, an welchem das
Firewallsystem den gesamten Verkehr zwischen Ihrem B�ronetz und
dem Internet kontrolliert. Damit werden Netzangriffe abgewehrt,
noch bevor sie in Ihr Unternehmensnetz gelangen.
|
|
| Jeder Computer in Ihrem lokalen Netz muss �ber das
Firewallsystem ins Internet und erh�lt umgekehrt alle Daten aus
dem Internet von der Firewall. Sie m�ssen unbedingt verhindern,
dass einzelne Arbeitspl�tze mit eigenen ISDN-Karten oder Modems
ausger�stet sind und auf diesem Weg unter Umgehung der Firewall
direkt ins Internet gelangen. Auch Anwendungen wie Telebanking
oder Krankenkassenmeldungen m�ssen �ber das Firewallsystem
abgewickelt werden, was in der Regel problemlos m�glich ist. |
|
| Router
mit Paketfilterung |
|
Bei der Paketfilterung entscheidet der Computer aufgrund von
Regeln, die bei der Konfiguration festgelegt werden, welche
Netzpakete �bertragen werden und welche nicht.
|
|
|
Dabei k�mmert sich das System nicht um die Inhalte der Pakete,
sondern entscheidet auf Grund des Dienstes, zum dem die Pakete
geh�ren, sowie der Ursprungs- und der Zieladresse, ob ein Paket
akzeptiert oder verworfen wird.
|
|
| Die Schutzfunktion des Firewallsystems besteht bei
dieser Variante darin, dass gef�hrliche Netzpakete
beziehungsweise Netzwerkdienste unterdr�ckt werden oder nur in
einer Richtung (von lokalen Netz ins Internet) zugelassen werden.
Wenn man keinen Zugriff von au�en - etwa durch Filialen oder
Au�endienstmitarbeiter - ben�tigt, ist ein sehr wirkungsvoller
Schutz m�glich, indem alle Zugriffe von au�en unterbunden
werden. In diesem Fall ist aus dem Internet nicht einmal zu
erkennen, dass Ihr Firewallsystem und das dahinter liegende lokale
Netz �berhaupt existiert. |
|
| Ein reiner Paketfilter besitzt einige
Schwachstellen, zum Beispiel gibt es keine Authentifizierung von
Benutzern: Entweder wird kein Mailpaket angenommen oder es werden
alle Mails (von jenen Hosts, denen das laut Konfiguration erlaubt
ist) durchgelassen. Auch wenn die Verbindung zwischen zwei Hosts
(etwa mit telnet) zugelassen wird, kann das Firewallsystem nicht
erkennen, welcher Benutzer diese Verbindung verwendet. |
|
| Trotz einiger Nachteile l�sst sich mit
Paketfilterung mit relativ wenig Aufwand ein wirkungsvoller Schutz
einrichten, speziell wenn ein Zugang von au�en auf das interne
Netz gar nicht ben�tigt wird. |
|
| Proxy-Server |
|
Bei Proxy-Servern handelt es sich um Programme, die einen
bestimmten Dienst anbieten, zum Beispiel den Zugriff auf Webseiten
im Internet.
|
|
|
Diese Programme sind zwischen dem lokalen Netz und dem Internet
positioniert und arbeiten in der Form, dass der
Arbeitsplatzrechner seine Anfrage an den Proxy richtet, dieser die
Anfrage an die Zieladresse im Internet weitergibt und von dort die
Antwort entgegennimmt und das Ergebnis schlie�lich dem
Arbeitsplatzrechner �bermittelt.
|
|
| Alle Arbeitspl�tze im lokalen Netz wenden sich an
den Proxy-Server und erhalten von diesem die Antworten (die sich
der Proxy aus dem Internet besorgt), sind also nicht direkt mit
dem Internet verbunden. Nur der Proxy-Server selbst kann mit dem
Internet kommunizieren, eine direkte Verbindung zwischen dem
lokalen Netz und dem Internet existiert nicht. |
|
| Diese L�sung bietet eine hohe Sicherheit, hat aber
den Nachteil, dass man f�r jeden ben�tigten Dienst ein
spezielles Proxy-Programm installieren und konfigurieren muss. |
|
| Proxy-Server lassen sich sehr gut mit
Paketfilterfunktionen verbinden, womit auch beide Formen von
Firewallsystemen gleichzeitig genutzt werden k�nnen. |
|
|
|
News
& Infos 
