Firewall: So funktioniert eine Firewall

, Stand: 26.10.2014  Tipp druckenDrucken Symbol Kommentare 3 Kommentare

Firewall ist der englische Ausdruck für eine "Brandschutzmauer". Solche Mauern verhindern, dass ein Feuer von einem auf das andere Haus übergreifen kann. In der Computersprache steht "Firewall" für ein oder mehrere Programme, das ein Firmen- oder ein privates Netzwerk vor Angriffen aus dem Internet schützen. Hinweis: Im weiteren Verlauf dieses Artikels werden das Firmennetzwerk oder das private Netzwerk als „lokales Netzwerk“ bezeichnet, um es vom Internet zu unterscheiden.

Dieser Beitrag ist Anfang 2003 in Computerbild erschienen.

Welche Arten von Firewalls gibt es?

Eine Firewall ist die Zusammenfassung mehrerer, verschiedener Sicherheitsprogramme. Unter dem Namen "Firewall" angebotene Produkte nutzen diese Programme für den Schutz vor Angriffen aus dem Internet. Welche Mechanismen die einzelnen Programme nutzen, können Sie im Abschnitt „Sicherungsmechanismen“ nachlesen.

Eine Firewall kann als Programm zum Installieren auf einem Computer angeboten werden. Oder sie wird in Internet-Zugangsgeräte, so genannte Router eingebaut.

Protokolle im Internet

Um die Arbeitsweise einer Firewall zu verstehen, müssen Sie zunächst wissen, wie Computer im Internet untereinander Daten austauschen.

Die Grundlage des Datenaustauschs im Internet bildet das Internet Protokoll, kurz IP. Dieses Protokoll teilt die zu versendenden Daten in Pakete ein, schreibt zu jede Paket unter anderem Absender- und Empfänger-Adresse sowie Information über die Größe des Pakets dazu und schickt die Datenpakete an den Empfänger.

TCP, das Transmission Control Protocol, ergänzt IP. TCP stellt die Verbindung zwischen zwei Computern her, über die mit IP Datenpakete ausgetauscht werden. Außerdem kontrolliert TCP, dass alle Daten unversehrt und in der richtigen Reihenfolge beim Empfänger ankommen. Häufig werden die beiden Protokolle zusammengefasst und als TCP/IP bezeichnet.

Zusätzlich gibt es noch zwei andere im Internet wichtige Protokolle:

  • ICMP, das Internet Control Message Protocol, sendet Kontrollmitteilungen zwischen Computern in einem Netzwerk. Wird zum Beispiel ein Ping an einen Computer gesendet, schickt der eine Antwort über das ICMP-Protokoll.
  • UDP, das User Datagram Protocol, dient ähnlich wie TCP dem Transport von Daten über IP. Mit Hilfe eines mathematischen Verfahrens, der Prüfsumme, stellt das Protokoll sicher, dass die Datenpakete unversehrt beim Empfänger ankommen.

Allerdings kümmert sich UDP nicht um die Reihenfolge der Datenpakete oder darum, ob Daten möglicherweise doppelt ankommen. Das beschleunigt die Übertragung enorm, ist aber unzuverlässig. Programme, die mit Hilfe von UDP Daten versenden benötigen eigene Vorkehrungen, um sicherzustellen, dass die Datenpakete in der richtigen Reihenfolge ankommen.

Dienste im Internet

Im Internet gibt es eine Vielzahl so genannter „Dienste“, meist auf der Grundlage von TCP, in einigen Fällen auf Grundlage von UDP. Hierbei handelt es sich um Programme, die mit einem fest gelegten Verfahren untereinander Daten austauschen. Der bekannteste Dienst ist das World Wide Web. Hier tauschen ein WWW-Server und das Internet-Anzeigeprogramm Daten aus. Das hierfür fest gelegte Verfahren ist „http“, das Hypertext Transfer Protocol. Dieses wiederum nutzt das dem Internet zu Grunde liegende Protokoll TCP/IP, um die Rohdaten auszutauschen.

Damit die Informationen nicht an der falschen Stelle landen, nutzen die Protokolle im Internet so genannte Ports. Das sind an einem Computer offen stehende Eingänge für Daten. Ein WWW-Server zum Beispiel erwartet alle Informationen am Port 80, ein SMTP-Server für den Mail-Versand verwendet den Port 25. Geht eine Anforderung an einen anderen Port, rührt sich der Server nicht (außer der Systemverwalter hat dies zuvor so festgelegt).

Im echten Leben sähe das Prinzip so aus: Zwei Mitarbeiter eines Unternehmens schicken einander Botschaften zu. Beide Mitarbeiter haben neben den Posteingangskörben noch spezielle Fächer, in denen sie die Mitteilungen des jeweils anderen erwarten. Diese Körbe entsprechen den Ports. Um Zeit zu sparen, vereinbaren sie bestimmte Stichwörter. „AKTE Müller“ steht zum Beispiel für „Schicken Sie mir bitte die Akte von Herrn Müller“. Das entspricht einem Protokoll wie http. Die zwischen den beiden Mitarbeitern vereinbarte Art, Informationen auzutauschen, entspricht dem Dienst.

Diese kurze Botschaft wird in einen Briefumschlag gesteckt und in die Hauspost gegeben. Die Rolle der Protokolle TCP und IP übernimmt die Hauspost: Der Bürobote erkennt anhand der Adresse den Mitarbeiter, an den die Sendung geht. Außerdem sorgt er dafür, dass der Brief unversehrt beim richtigen Mitarbeiter im richtigen Postfach landet. Legt der Bürobote die Meldung in den falschen Eingangskorb, also in den falschen Port, wird sie dort möglicherweise übersehen oder von einem anderen Kollegen bearbeitet und mit dem Vermerk „Nicht verstanden“ zurück geschickt.

Nach diesem Prinzip funktionieren Internet-Dienste wie zum Beispiel:

  • http zum Übertragen von Informationen im World Wide Web
  • das Mail-Übertragungsprotokoll SMTP
  • FTP zum Übertragen von Dateien
  • Telnet oder SSH für den Zugriff auf die Kommandozeile anderer Computer
  • DNS zum Übersetzen von lesbaren Internet-Adressen in die entsprechenden IP-Adressen.

Wie versuchen Hacker in das Netzwerk einzudringen?

Wichtigstes Handwerkzeug von Daten-Einbrechern sind Port-Scanner. Mit Hilfe dieser Programme lassen sich Computer auf die genannten Dienste und die von Ihnen geöffneten Ports untersuchen. Der Absender schickt dazu einfach eine entsprechende Anforderung an den Port und wartet auf eine Antwort.

Nach diesem Prinzip arbeiten auch die Port-Scanner. Nur sind die viel schneller. Port-Scanner können alle Computer eines Netzwerkes überprüfen, indem man eine Start- und eine Endadresse eingibt. Da Internet-Einwahlanbieter immer einen bestimmten Bereich von IP-Adressen für ihre Einwahlkunden verwenden, lässt sich ein Portscanner gezielt auf diesen Bereich ansetzen. Dann werden alle Kunden eines bestimmten Einwahlanbieters auf offene Ports ausgespäht.

Ist ein solcher Port gefunden, versuchen weitere Programme über diesen Port mit dem Computer zu kommunizieren. Häufig wird versucht, den angegriffenen Computer mit massenhaft gesandten, fehlerhaften Paketen so lange zu beschießen, bis das den Port verwendende Dienstprogramm die Arbeit einstellt. Dieses Verfahren heißt Denial of Service Attack (zu Deutsch: Angriff mit dem Ziel, dass ein Dienst seine Arbeit verweigert). Das Ziel ist, dass das Programm abstürzt und dabei der Port offen bleibt. Über diesen offenen Port dringt der Einbrecher dann weiter in das System ein.

Solche und andere Angriffe werden häufig begünstigt durch Sicherheitslücken im Betriebsprogramm oder in Internet-Dienstprogrammen. Deshalb gilt es, solche Angriffe schon abzublocken, bevor sie das lokale Netzwerk erreichen.

Die Aufgabe einer Firewall ist hier, die entsprechenden Ports abzuschotten und solche Denial-of-Service-Attacken zu erkennen und zu verhindern.

Zwei weitere Methoden, um in Computer-Netzwerke einzudringen sind das Packet Sniffing, zu Deutsch „Schnüffeln an Paketen“ und das IP-Spoofing, die Manipulation von Datenpaketen.

Beim Packet Sniffing schnüffelt ein Programm an vorbeikommenden Datenpaketen. Dabei versucht es, Informationen wie Benutzernamen und Kennwörter aufzuspüren. Oft werden diese Informationen unverschlüsselt übertragen, beispielsweise von Telnet oder beim Abruf von E-Mail. Um an die Pakete zu kommen, muss der Angreifer Zugang zu einem Computer haben, über Daten im lokalen Netz oder im Internet versendet werden. Eine Firewall an sich kann nicht viel gegen solche Schnüffelversuche unternehmen. Um ihnen vorzubeugen, schalten aber viele Systemverwalter den Durchgang für Telnet in der Firewall ab.

Beim Spoofing versendet der Angreifer Datenpakete mit gefälschten Absendeadressen an einen anderen Computer. Auf diese Weise kann er möglicherweise eine Verbindung aufbauen, über die er in das lokale Netzwerk eindringt. Oder der Angreifer versucht, mit Hilfe von Adress-Fälschungen für übermäßigen Datenverkehr zwischen zwei Netzwerk-Computern zu sorgen. Dabei kann er sogar versuchen, die Absende- und Empfängeradresse gleichzusetzen. Der angegriffene Computer erhält das Datenpaket mit seinem eigenen Absender und versendet dann unter Umständen ununterbrochen Nachrichten an sich selbst. Und das blockiert seinen Netzwerk-Zugang. Schließlich versuchen Angreifer noch, Informationen über die Datenpakete selbst zu fälschen, indem sie beispielsweise eine falsche Größe für das Paket angeben. Den Empfänger-Computer kann das durcheinander bringen. Für solche Angriffe werden häufig Programme wie Ping verwandt, die ICMP-Kontrollmitteilungen verschicken.

Eine Firewall muss solche Adress-und Paket-Manipulationen ausschließen können.

Wie arbeitet eine Firewall?

Eine Firewall sitzt genau an der Verbindungsstelle zwischen dem lokalen Netzwerk und dem Internet. Sie bildet eine Art Nadelöhr, durch das sich alle Daten von und ins Internet zwängen müssen.

Die Firewall legt fest, welche Dienste im Internet überhaupt genutzt werden dürfen. Und sie legt fest, auf welchen Wegen Dienste aus dem Internet Daten an Computer im lokalen Netzwerk schicken dürfen. Beispielsweise kann eine Firewall erlauben, dass nur Internet-Seiten aus dem WWW abgerufen werden dürfen. Gleichzeitig kann sie aber bestimmte Internet Seiten sperren oder beispielsweise verhindern, dass auf Internet Seiten gespeicherte Java-Programme ausgeführt werden.

Sicherungsmechanismen

Firewalls arbeiten mit unterschiedlichen Sicherungsmechanismen. Dazu gehören:

- Paketfilterung

Jedes Datenpaket, das über das Internet Protocol übertragen wird hat wichtige Erkennungsmerkmale. Dazu gehören die Absende-Adresse und die Ziel-Adresse jeweils mit Port-Nummern sowie Information über die Größe der enthaltenen Daten. Anhand dieser und anderer Information kann eine Firewall bestimmte Pakete filtern, also nicht in das Netzwerk hinein lassen. Beispielsweise kann die Firewall nur Internet-Pakete durchlassen, die an den Port 25 eines Computers im Netzwerk gerichtet sind. Alle anderen Pakete werden verworfen. Ebenso lassen sich mit der Paketfilterung bestimmte Absendeadressen ausschließen, so dass Daten von bestimmten Servern im Internet gar nicht erst angenommen werden. Ebenso kann die Firewall anhand der Adressen bestimmte Web-Seiten erkennen und diese für den Abruf sperren.

- NAT

Die Abkürzung NAT steht für Network Address Translation, zu Deutsch „Übersetzung der Netzwerk-Adresse“. Sobald ein Computer aus dem lokalen Netzwerk mit einem Computer im Internet eine Verbindung aufbaut, muss er dem Computer im Internet eine IP-Adresse mitteilen, unter der er zu erreichen ist. Die Firewall erkennt diesen Verbindungsaufbau und merkt sich die Adresse des Computers im lokalen Netzwerk. Dem anderen Computer im Internet gibt die Firewall jedoch eine ganz andere Adresse. Zusätzlich können noch die Port-Adressen verändert werden. Auf diese Weise lassen sich mehrere Verbindungen in das Internet über eine einzige IP-Adresse aufbauen. Dieses Verfahren nennt sich Port Adress Translation, also „Übersetzung der Port-Adresse“.

Mit NAT stellt die Firewall sicher, dass die Antwort des Computers aus dem Internet wieder an die Firewall geschickt wird und dort geprüft werden kann. Der Computer im Internet kann also keine direkte Verbindung zu dem Computer im lokalen Netzwerk aufbauen. Ein weiterer Vorteil: Die Firewall merkt sich die Verbindungsdaten und kann bei eintreffenden Paketen entscheiden, ob sie zu einer vorher gestellten Anforderung gehören. Auf diese Weise lassen sich alle Pakete filtern, die „unaufgefordert“ an das Netzwerk gesendet werden.

NAT ist in vielen Netzwerken auch deswegen notwendig, weil dort im lokalen Netzwerk Adressen verwendet werden, die im Internet nicht funktionieren würden, beispielsweise 192.168.0.1 und alle Adressen bis 192.168.255.255.

- VPN

So genannte Virtuelle Private Netzwerke verbinden lokale Netzwerke über das Internet. Auf diese Weise lassen sich beispielsweise die lokalen Netzwerke in Firmenniederlassungen in Hamburg und München so verbinden, als wären beide in einem einzigen lokalen Netzwerk zusammengeschlossen. Damit niemand mitlesen kann, muss der Datenverkehr zwischen beiden lokalen Netzwerken verschlüsselt werden. Oft übernehmen mit Firewalls ausgestattete Router auch diese Aufgabe.

- Proxy-Server

Hierbei handelt es sich um Computer, die zwischen das lokale Netzwerk und das Internet geschaltet werden. Ein Proxy nimmt die Anforderung eines Computers aus dem lokalen Netzwerk entgegen und führt diese Anforderung stellvertretend im Internet aus. Die zurückerhaltenen Daten schickt der Proxy dann an den Computer im lokalen Netzwerk weiter. Der Betreiber eines Proxy-Servers entscheidet dabei, welche Dienste im Internet benutzt werden dürfen. Auf diese Weise lassen sich - bequemer als mit einem Paketfilter – bestimmte Anwendungen im Internet verbieten und der Netzwerkverkehr kontrollieren.

Weitere Verfahren und Techniken

Neben den genannten Firewall-Techniken gibt es noch weitere Verfahren, die im Zusammenhang mit Firewalls genannt werden. Dazu gehören:

- Ipsec

Ipsec steht für IP Security, also IP-Sicherheit. Hierbei handelt es sich um ein Verfahren, das per Internet Protocol versendete Daten verschlüsselt. Darüber hinaus kümmert sich Ipsec

- Port Forwarding

Die Port-Weiterleitung erlaubt, in einer Firewall bestimmte IP-Adressen im lokalen Netzwerk einem bestimmten Port in der Firewall fest zuzuweisen. Erhält die Firewall eine Anfrage auf diesen Port, leitet sie diese weiter an den entsprechenden Computer im lokalen Netzwerk.

- DMZ

DMZ steht für Demilitarisierte Zone. Dabei handelt es sich um einen Computer oder ein Netzwerk, das noch vor der eigentlichen Firewall steht. Über die DMZ läuft der gesamte eingehende und ausgehende Datenverkehr. Wer eine Verbindung mit dem lokalen Netzwerk herstellen möchte, muss sich an der DMZ anmelden und kann sich nur mit einer speziellen Erlaubnis in das lokale Netzwerk einwählen. Auch die aus dem lokalen Netzwerk in das Internet gesendeten Daten müssen die DMZ passieren. Der Vorteil: In so einer Demilitarisierten Zone lassen sich Informationsdienste wie beispielsweise ein WWW-Server aufstellen. Aus dem Internet ist dieser Server dann gut zu erreichen, wer jedoch beispielsweise eine direkte Verbindung in das lokale Netzwerk aufbauen möchte, muss durch die Kontrolle.

Wovor schützt eine Firewall nicht?

Die Firewall kann beispielsweise nicht vor E-Mails schützen, die mit Viren verseucht sind. Auch gegen Programme, die aus dem Internet auf einen PC überspielt und dort gestartet werden, hilft die beste Firewall nicht.

Hier schützen nur andere Sicherheitsvorkehrungen wie die Vergabe von Zugriffsrechten für einzelne Benutzer oder Virenschutzprogramme.

Ein großes Risiko stellen zudem die Mitarbeiter einer Firma oder sogar Sie selbst dar. Oft sind es Einstellungsfehler oder versehentlich installierte und nicht gelöschte Programme, die das Netzwerk unsicher machen. In Firmennetzwerken sind von Mitarbeitern an das Telefonnetz der Firma angeschlossene Modems ein großes Risiko. Über ein solches Modem kann sich zwar der Mitarbeiter schnell auf seinen PC oder in das Firmennetz einwählen. Doch es öffnet auch Tür und Tor für Einbrecher. Denn ein Hacker kann mit einem Modem ganz einfach alle Durchwahlnummern einer Firma durchprobieren. Sobald ein Modem antwortet, versucht in das System einzudringen.

Welche Probleme kann es beim Einsatz einer Firewall geben

Wer eine Firewall zu Hause einsetzt und für Internet-Spiele nutzt wird bald feststellen: Nicht alle Spiele funktionieren. Denn diese Spiele nutzen zum Datenaustausch untereinander bestimmte Ports, die von der Firewall blockiert sein könnten. Viele im Internet angebotene Dienste brauchen ebenfalls bestimmte Ports auf einem PC um ihre Daten korrekt übertragen zu können. Für Benutzer in einem lokalen Netzwerk mit Firewall können solche Einschränkungen lästig werden.

Wer braucht eine Firewall?

Jeder, der dauerhaft mit dem Internet verbunden ist, sollte eine Firewall installieren. Das gilt insbesondere für alle Nutzer von DSL-Verbindungen. Denn die sind oft über Stunden mit dem Internet verbunden und somit für Portscans erreichbar.

Falls Sie sich nur einmal oder zweimal am Tag mit einem Modem in das Internet einwählen, Ihre Mail abholen und wieder auflegen, sind Sie in dieser Zeit zwar theoretisch auch für einen Angriff anfällig. Die Wahrscheinlichkeit ist jedoch gering. Vorsichtshalber sollten Sie aber zumindest die Internetverbindungs-Firewall von Windows XP anschalten

3 Kommentare

was hattest du denn für eine Note ?
[... | 16.09.2014] Antworten

In einfachen Worten verständlich auch für Laien erklärt
[Mic | 03.04.2014] Antworten

Sehr gut dargestellt und erklärt halft mir wirklich weiter bei meinem
informatik Projekt in der schule danke^^
[jonathan | 21.03.2007] Antworten


Ihr Kommentar:


Name:


Aktualisiert am: 26.10.2014