Anwendungen Einführung Verzeichnisse Telnet, FTP... HTTP E-Mail Sicherheit Management Unix & Windows Hauptmenü Startseite Einführung Daten übertragen Datennetze Transport Info	Themen Einführung Firewalls - Grundkonzept Firewalls - Varianten Firewalls - Aufgaben Abbildungen NAT - Datenpakete von innen nach außen NAT - Datenpakete von außen nach innen	Firewalls - Varianten NAT (Network Address Translation): Eine sehr simple Möglichkeit, ein lokales Netz zu schützen, stellt die Adressumsetzung dar. Sie verbirgt die Adressen des lokalen Netzes vor den Hosts außerhalb. Daraus ergibt sich zudem der Vorteil, dass im internen Netz keine offiziellen IP-Adressen benötigt werden. Ausschließlich der Rechner, der die Adressumsetzung durchführt benötigt eine "echte" IP-Adresse. Die Umsetzung läuft so ab, dass bei einem von innen kommenden TCP- oder UDP-Paket Quelladresse und Quellport in einer Tabelle eingetragen werden. Außerdem bestimmt die Firewall einen freien eigenen Port und trägt auch diesen ein. Nun wird das Datenpaket verschickt, wobei Quelladresse und -port durch die des Firewalls ersetzt werden. Das Datenpaket wird vom Zielrechner beantwortet und kommt logischerweise an die Adresse des Firewalls zurück. Dieser kann anhand des Ports in seiner Tabelle den eigentlichen Empfänger des Pakets ermitteln und es ihm zustellen. Der Host im internen Netz merkt von der zweimaligen Umsetzung nichts. Der Zielrechner ist jedoch der irrigen Annahme, er hätte mit der Firewall kommuniziert. Diese schlichte Variante macht allerdings bei manchen Protokollen Probleme, die wie FTP z.B. eine zusätzliche Verbindung in Gegenrichtung aufbauen. Manche Implementierungen von NAT enthalten spezielle "Applikationsmodule", die solche Probleme lösen. Bei FTP wird beispielsweise der Datenaustausch auf der Kommandoverbindung überwacht und sobald eine Datenverbindung aufgebaut werden soll, ein geeigneter NAT-Tabelleneintrag auf der Firewall generiert. NAT verhindert zwar zuverlässig Zugriffe von außen auf das lokale Netz, gilt aber für sich gesehen maximal als Komponente einer Firewall, die durch weitere Vorkehrungen ergänzt werden muss. Paketfilter: Eine Möglichkeit, eine auf NAT basierende Firewall sicherer zu machen ist die Paketfilterung. Namhafte Hersteller von Firewalls vertrauen fast ausschließlich auf sorgfältig konfigurierte Paketfilter, so z.B. der Marktführer "Checkpoint". Bei Paketfiltern handelt es sich um ein komplexes Regelwerk für die Entscheidung, welche Datenpakete die Firewall passieren lässt und welche abgefangen werden. Die Entscheidung wird anhand der Paketheader auf TCP-/UDP- und IP-Ebene getroffen, insbesondere kommen hier die Adressen und Portnummern zum tragen. Zwei grundlegende Strategien können bei der Definition von Filterregeln angewandt werden: Die unbekümmertere erlaubt zunächst einmal alle Zugriffe und schließt dann alles aus, was keinen Zugriff bekommen sollte. Besser ist es jedoch, zunächst keine Zugriffe zuzulassen und anschließend nur das freizugeben, was für den Netzbetrieb unbedingt notwendig ist. Proxyserver: Sie haben in den vorigen Kapiteln den Proxyserver bereits als Cache kennengelernt, der Webseiten abspeichert und bei wiederholtem Aufruf direkt präsentieren kann. Der Proxyserver kann jedoch noch mehr. Da nur er Anfragen ins Netz schickt, muss auch nur er - genau wie bei NAT - über eine "echte" IP-Adresse verfügen. Im Gegensatz zu NAT arbeitet er jedoch auf Applikationsebene, die Tücken des FTP-Protokolls können ihn daher beispielsweise nicht schrecken. Er arbeitet einfach gegenüber dem anzusprechenden Server als vollwertiger FTP- oder HTTP-Client. Umgekehrt muss der Client auf dem PC im Intranet in der Lage sein, seine Anfragen nicht selbst durchzuführen sondern diese zur Bearbeitung an einen Proxyserver weiterzugeben. Dessen Adresse muss in den Clients (vor allem dem WWW-Browser) eingetragen werden. Application Based Firewall: Firewalls auf Applikationsebene verbinden die Vorteile aller bisher genannten Varianten: Sie arbeiten auf Clientseite transparent, da sie nicht wie ein Proxyserver darauf angewiesen sind, dass die zu verarbeitenden Pakete direkt angeliefert werden. Es werden anstelle dessen alle Datenpakete, die die Firewall passieren möchten, auf Applikationsebene untersucht. Dabei kann die Firewall natürlich auch NAT durchführen. Für Protokolle, für die die Firewall keine Prüfung auf Appikationsebene durchführen kann, besteht trotzdem die Möglichkeit der einfachen Paketfilterung. Der Nachteil ist die große Komplexität eines derartigen Systems - hier muss der Betreuer sehr viel von seinem Handwerk verstehen, denn nichts ist schlechter als eine komplexe Firewall, deren Betreuer bei all den Einstellmöglichkeiten den Überblick verloren hat.