künftige Firewall FAQ für Laien

[Pirke]

Hallo!
Ich finde die FAQ auch schon sehr gelungen.
Ich würde aber glaube ich die Reihenfolge etwas ändern.
Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären, damit man, wenn man später diese nutzt davon ausgehen kann, das diese klar sind.
Die sehr detalierte Beschreibung die jetzt schon gegeben ist, kann ruhig hinten an stehen, da diese nicht zwingend direkt mit dem Thema Firewalls zu tun hat.
Nur denke ich ist es besser diese wichtigen begriffe in einer kurzen Fachwortliste zu erwähnen.
Quasi so:
IP-Adresse: Eindeutige Adresse in einem Netzwerk um einen Computer zu adressieren. Ähnlich einer hausnummer.
Port: "Tür" an einem Rechner über die Programme kommunizieren können.
...

Und dann später die ausfhrlichen beschreibungen wie eine IP aufgebaut ist usw...

Und nochwas:
Direkt zum Begriff Firewall: Engl. Feuerwand, Einrichtung um Computer in einem Netzwerk zu schützen.

Ansonsten: Respekt.

[Ronald]

Hallo Pirke,

Zitat:

Zitat von Pirke

Direkt zum Begriff Firewall: Engl. Feuerwand, Einrichtung um Computer in einem Netzwerk zu schützen.

Habe das gerade eingepflegt. Danke für den Tipp.

Zitat:

Zitat von Pirke

Ich würde aber glaube ich die Reihenfolge etwas ändern. Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären, damit man, wenn man später diese nutzt davon ausgehen kann, das diese klar sind.

Keine schlechte Idee. Allerdings dachte ich, daß es auch Sinn macht, erst einmal zu klären, was eine Firewall ist und wozu sie gut ist, bzw. wann man diese braucht. Sozusagen als Einführung in die Thematik. Dann erst wollte ich auf die Begriffe und Regeln, etc. eingehen. Ich finde, beides hat etwas für sich. Ich habe mir den Text noch einmal durchgelesen. Bevor die Begriffe erklärt werden, komme ich lediglich einmal auf die IP-Adresse und einmal auf einem Dienst zu sprechen. Ich habe die Begriffe einfach mit den entsprechenden Beiträgen verlinkt. Womöglich reicht das als Lösung?

Zitat:

Zitat von Pirke

Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären … Die sehr detalierte Beschreibung die jetzt schon gegeben ist, kann ruhig hinten an stehen, da diese nicht zwingend direkt mit dem Thema Firewalls zu tun hat. Nur denke ich ist es besser diese wichtigen begriffe in einer kurzen Fachwortliste zu erwähnen. Quasi so: IP-Adresse: Eindeutige Adresse in einem Netzwerk um einen Computer zu adressieren. Ähnlich einer hausnummer. Port: "Tür" an einem Rechner über die Programme kommunizieren können. ... Und dann später die ausfhrlichen beschreibungen wie eine IP aufgebaut ist usw

Eigentlich wollte ich eine Thematik möglichst in sich abgeschlossen behandeln. Indem die Kurzbeschreibungen farblich hervorgehoben wurden, habe ich gehofft, beides irgendwie unter einem Hut zu bringen: Kurzbeschreibung + Detailinformation in einem einzigen Beitrag. Lediglich dort, wo ich einen etwas größeren Sprung vollziehen kann, habe ich die Themen voneinander getrennt (z.B. das Problem mit dem Source- und Destination-Port weg von der Port-Beschreibung, etc.).

Wenn ich auf Deinen Vorschlag eingehe, müsste ich die Beiträge noch ein weiteres Mal auftrennen. Momentan befürchte ich, daß die Übersichtlichkeit mehr darunter leiden würde, als es nutzen bringt. Hm, das muß ich mir noch einmal durch den Kopf gehen lassen … @All: Meint noch jemand, daß die Aufteilung so besser wäre?

Auf jeden Fall erst einmal danke für deine Tipps.

Bye, Ronald

[Ronald]

Zusammenfassung aus dem Ursprungsthread: NAT; NAT-Router und PAT

Zunächst eine kurze, technische Beschreibung:

NAT

NAT (Network Adress Translation) ist ein technisches Verfahren, welches einen Proxy auf der OSI-Schicht 4 abbildet. Es wurde entwickelt, um eine IP-Adresse eines Netzwerkpakets durch eine andere zu ersetzen, während es das NAT-Gerät passiert. NAT, auch „basic NAT“ und „static NAT“ genannt, kann immer nur eine einzige interne (private) IP-Adresse auf eine externe (öffentliche) IP-Adresse abbilden. Man spricht deshalb von einer 1:1 Übersetzung. NAT selbst ist kein Sicherheitsfeature, da es sämtliche Anfragen weiterleitet, ohne die Pakete zu filtern.

PAT

PAT (Port and Address Translation) erweitert das NAT-Konzept um eine dynamische Portumsetzung, wodurch ein komplettes privates Netz über eine einzige offizielle IP-Adresse mit dem Internet verbunden werden kann. Man spricht von einer n:1 Übersetzung. Im Gegensatz zu dem ursprünglichen statischen NAT wird dieses Verfahren je nach Impelmentierung auch „NAPT“, „ dynamic NAT“, „IP-“ oder „NAT-Masquerading“ bzw. „hiding NAT“ genannt.

NAT-Router

NAT-Router sind Geräte, die das PAT-Konzept in Form eines transparent Proxys umsetzen. Den „Router“ im Namen erhielten sie aus rein marketingtechnischen Gründen, obgleich sie aus netzwerktechnischer Sicht nichts mit einem konventionellen Router gemein haben. Der Grund dafür wird im Router-Artikel genauer erklärt.

Der Weg zum PAT:

Die Herausforderung mit den inkompatiblen Netzwerkadressen

Wenn man seinen eignen Rechner aus dem privaten Netzwerk auch für das Internet zugänglich machen möchte, gilt es zunächst folgendes Problem zu lösen: Die IP-Adressen nebst Subnetzmaske sind auf die Bedürfnisse in dem privaten Netzwerk ausgelegt und deshalb nicht für eine direkte Verbindung mit dem Internet gedacht und geeignet. So ist der Betreiber des privaten Netzwerks der alleinige Gebieter über die Infrastruktur in seinem Netz. Er legt die Zuordnung der Adressen fest und muss selber dafür sorgen, dass es hier keine Konflikte gibt. Das Internet ist jedoch ein vollkommen anderes Netz, mit anderen Regeln und unter fremder Verwaltung. Eine direkte Integration des kompletten privaten Netzwerks in das Internet ist nicht möglich, solange die Infrastrukturen und Adressen nicht miteinander kompatible sind.

Der Multi-Homing-Host

Eine mögliche Lösung dafür bietet der Einbau einer zweiten Netzwerkkarte in den Rechner, der mit dem Internet verbunden werden soll. Diese verbindet man mit dem Internet (sie wird an das DSL-Modem angeschlossen). Über das Modem holt sich die Karte von dem Internetprovider eine freie Internet-IP-Adresse, damit IP-Pakete aus dem Internet korrekt an den Rechner adressiert werden können.

Der Rechner ist nun ein Multi-Homing-Host, welcher zwei IP-Adressen verwaltet und in zwei Netzwerken zuhause ist. Über die zweite Netzwerkkarte kann er direkt auf das Internet zugreifen und dort auch Dienste bereitstellen (er kann selbst als Internetserver fungieren). Über die andere Netzwerkkarte ist der Rechner wie gewohnt aus dem internen Netz erreichbar.

Bildlich vergleichen lässt sich das mit einem Haus, welches sich zwischen zwei Straßen befindet und auf beiden Straßenseiten eine Eingangstür hat. Sollen Pakete das Haus (den PC) verlassen, die an ein Haus aus der Straße1 adressiert sind (dem privaten Netz), so wird die Haustür (die Netzwerkkarte) zur Straße1 benutzt. Anfragen an Häuser aus der Straße2 (dem Internet) gehen über den anderen Hauseingang. Das Haus selbst hat somit zwei Adressen: Eine in Straße1 und eine weitere in Staße2, wodurch es von beiden Straßen aus direkt erreicht werden kann.

NAT

Ein Manko des Multi-Homing-Host ist es, dass sich der Internetanschluss in unmittelbarer Nähe des Rechners befinden muss, der mit dem Internet verbunden wird. Stellt der Rechner Internetdienste bereit, so ist es sehr aufwendig, bei einem Ausfall des Rechners ersatzweise einen anderen Rechner einzubinden, der sich an einem anderen Standort befindet.

Das NAT-Konzept sollte helfen, dieses Manko zu überwinden: Statt den Rechner über eine zweite Netzwerkkarte direkt an das Internet anzuschließen, wird stellvertretend für ihn ein spezielles Gerät mit dem Internet und dem privaten Netzwerk verbunden.

Auf das vorherige Beispiel bezogen, erhält das Haus (der PC) nur einen Eingang zur Straße1 (dem privaten Netz). Irgendwo in seiner Straße (in seinem Netz) befindet sich nun ein Durchgangsgebäude (das NAT-Gerät), welches auf beiden Straßenseiten eine Tür (eine Netzwerkkarte) hat. Dieses Durchgangsgebäude funktioniert wie ein automatisiertes Postfach, welches alle dort eingehenden Pakete aus dem Internet an den im Postfach festgelegten Empfänger des internen Netzes (den PC) weiterleitet. Dafür ändert er die Adresse der Netzwerkpakete dahingehend, dass nun als Adressat der interne Rechner zu erkennen ist, ehe er die Pakete in das interne Netz weiterreicht (man spricht von „Destionation NAT“ / DNAT).

Schickt hingegen der Rechner ein Paket durch das NAT-Gerät hindurch in das Internet, so versieht das NAT-Gerät das Paket automatisch mit seiner eigenen Absenderadresse, damit die Antwortpakete auch wieder an das Postfach (das NAT-Gerät) adressiert werden (hier spricht man von „Source NAT“ / SNAT). Auf diese Weise wird die Absenderadresse des Rechners auf dem Weg zum Internet in eine öffentliche (internetkompatible) Adresse übersetzt.

PAT

Das PAT-Konzept erweitert das NAT-Konzept um eine dynamische Portumsetzung, mit dem Ziel, über ein einziges PAT-Gerät mehreren Rechnern des internen (privaten) Netzwerks gleichzeitig den Zugang zum Internet zu ermöglichen.

Das funktioniert wie folgt: Auf dem internen Rechner startet eine Applikation, die eine Netzwerkanfrage an den Internetserver:PortX stellt und ihm gleichzeitig mitteilt, dass die Antwort bitte zurück zu dem PC:PortY (dem Rückgabeport der Applikation) zu schicken ist, damit die Applikation die Antwort auch erhält.

Bei der ausgehenden Verbindung übersetzt das PAT-Gerät genau wie bei NAT die Absenderadresse in seine eigene Adresse. Zusätzlich aber weist es der Verbindung einen anderen Port zu und trägt die ursprünglichen Daten in eine Tabelle ein. Die neue Absenderadresse für diese Verbindung lautet nun PAT-Gerät:PortA. Eine andere Verbindung erhält die Absenderadresse PAT-Gerät:PortB, etc., ehe die Netzwerkpakete in das Internet geleitet werden.

Da die Antwortpakete je nach Verbindung nun auf dem PAT-Gerät:PortA bzw. PortB, etc. eintreffen, kann das Gerät anhand seiner Tabelle schnell die ursprünglichen Adressdaten ermitteln und die Adresse in den Netzwerkpaketen entsprechend ändern, ehe sie in das interne Netz geleitet werden. So erreichen die Antwortpakete die richtigen Rechner auf deren korrekten Rückgabeports.

Durch die dynamische Portumsetzung ist es möglich, ein komplettes privates Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden. Aufgrund seiner Arbeitsweise macht PAT aber noch mehr als das: Da durch PAT lediglich einzelne Ports bei einer internen Verbindungsanforderung dynamisch mit einem internen Rechner verbunden werden, wird hier eine Filterung der Pakete realisiert. Eine Anfrage aus dem Internet an „PAT-Gerät:PortXYZ“ blockiert das PAT-Gerät (solange keine Port-Forwarding-Regel darauf existiert), denn je nach Implementierung sind selbst die dynamisch geöffneten Ports nur von der Adresse aus ansprechbar, an die die Verbindung gerichtet ist, wobei alle anderen Port gesperrt bleiben (wo sollten sie auch hinzeigen?).

Vermutlich aufgrund der richtigen Erkenntnis, das (static-) NAT kein Sicherheitsfeature darstellt, hält sich im Internet hartnäckig das Gerücht, dass auch dynamic NAT, also PAT, kein Sicherheitsfeature ist. Das ist bei PAT allerdings nicht richtig. PAT revolutionierte die Paketfilterung sogar entscheidend, da hierbei keine Trojanerports mehr von Hand gesperrt werden müssen (alle nicht explizit geöffnete Ports werden durch PAT automatisch blockiert).

Warum (staitc-) NAT kein Sicherheitsfeature darstellt

Bei einem Multi-Homing-Host ist eine mögliche Attacke aus dem Internet direkt und ungefiltert an den daran angeschlossenen Netzwerkadaptern des Rechners gerichtet. Wird der Rechner erfolgreich eingenommen, so ist nun ein ungehinderter Zugriff auf das interne (private) Netzwerk möglich. Bei dem (static-) NAT-Verfahren richtet sich die mögliche Attacke zwar an die Adresse des NAT-Gerätes, welches allerdings sämtliche Anfragen 1:1 ungefiltert an den internen Rechner weiterleitet. Daher ändert NAT an diesem Zustand nichts; der externe Zugriff auf sämtliche Netzwerkdienste des internen Rechners wird durch NAT nicht eingeschränkt, weshalb er auf deren Ports angreifbar bleibt.

Bye, Ronald

[Ronald]

Zusammenfassung aus dem Ursprungsthread zu folgenden Fragen: Was ist eine DMZ (Demilitarisierte Zone)?

Ursprünglich stammt der Begriff DMZ (demilitarisierte Zone) aus dem Militär und bezeichnet eine Pufferzone zwischen zwei feindlichen Linien. Im Netzwerkbereich bildet eine DMZ ein separates Netz, welches zwischen dem internen (privaten) und dem externen Netz (dem Internet) liegt. In einer DMZ befinden sich Rechner aus dem eigenen Netz, welche in der Regel Ressourcen bereitstellen, auf die auch aus dem externen Netz heraus zugegriffen werden soll (z.B. ein eigener Webserver, eMailserver, etc.).

Zwischen dem externen Netz und der DMZ befindet sich eine löchrige Firewall, die es erlaubt, aus dem externen Netz heraus auf die Rechner innerhalb der DMZ zugreifen zu können. Manchmal beschränkt die externe Firewall den Zugriff auf einige wenige Rechner des externen Netzes. Oftmals soll sie aber lediglich dafür sorgen, dass der Zugriff ausschließlich auf die freigegebenen Ressourcen (Ports) der Rechner erfolgt.

Die Rechner innerhalb der DMZ sind nur sehr rudimentär gegen Angriffe geschützt, da ein Angreifer praktisch direkt auf den Rechner zugreift (über Port-Forwarding oder einem Reverse Proxy bzw. static NAT) und dadurch Schwächen des freigegebenen Dienstes ausnutzen kann. Wird ein DMZ-Rechner eingenommen, so kann der Eindringling von dort aus auf alle Rechner innerhalb der DMZ direkt zugreifen. Und zwar auch auf die Ressourcen, welche eigentlich durch die externe Firewall geschützt sind.

Normalerweise wäre nun der Firewallschutz für die internen Rechner dahin. Nicht so bei der DMZ, denn das DMZ-Netz ist über ein weiteres Firewallmodul mit dem internen Netz verbunden. Die interne Firewall hat keine Löcher. Per Standardeinstellung ist es keinem Rechner aus der DMZ erlaubt, auf einen Rechner des internen Netzes zuzugreifen. Ein erfolgreicher Hack eines DMZ-Rechners ermöglicht es dem Angreifer also nicht, über die DMZ hinweg in das interne Netz einzudringen.

Deshalb gehören Rechner, die durch eine Port Forwarding-Regel direkt zugreifbar gemacht wurden, grundsätzlich in eine DMZ. Mit einer Ausnahme: Einige Hersteller von billigen Geräten (vornehmlich DSL-Router für den Home-Bereich) bieten aus Kostengründen nicht die technischen Voraussetzungen für eine DMZ. Die Marketing-Strategen nehmen nun ein vollkommen anderes Feature, was mit einer echten DMZ nicht das Geringste zu tun hat und verkaufen es unter dem Namen „DMZ“. Sie bewerben ihre „Firewall“ also bewusst mit einem falschen Fachbegriff und nehmen das erhöhte Sicherheitsrisiko des Kunden billigend in Kauf. Denn durch dieses in der Fachwelt als „exposed Host“ benannte Feature wird die Sicherheit nicht erhöht, sondern erheblich verringert. In eine solche „exposed DMZ“ sollte man seinen Rechner auf keinen Fall stellen. Welche Gefahren sie birgt und wie man erkennen kann, ob die Firewall eine echte DMZ anbietet, wird in der „Firewall FAQ für Fortgeschrittene“ erklärt.

Bye, Ronald

[Ronald]

Zusammenfassung aus dem Ursprungsthread zu folgenden Fragen: Was versteht man unter Port Forwarding bzw. Reverse Porxy?

Port Forwarding

In Bezug auf eine externe Firewall versteht man unter Port Forwarding das statische Durchschleifen eines Ports der Firewall zu einem Rechner aus dem internen Netz oder vorzugsweise zu einem Rechner aus der DMZ. Auf diese Weise kann ein interner Rechner trotz externer Firewall Internetdienste bereitstellen. Ein Rechner aus dem Internet erreicht den Dienst über die Adresse der Firewall, welche alle an den entsprechenden Port gerichteten Anfragen nun an den internen Rechner weitergereicht. Der interne Rechner kann so die Anfragen der Internetrechner genauso verarbeiten und beantworten, als wenn er direkt angesprochen wurde.

Reverse Proxy

Die Reverse Proxies einer Firewall bieten die gleiche Funktionalität wie Port Forwarding. Da sie das Netzwerkprotokoll verstehen, sind sie zudem in der Lage, die Daten der Netzwerkpakete zu analysieren und zu bearbeiten. So können sie z.B. einen Virenscan vornehmen oder Regeln realisieren, die sich auf die Paketinhalte beziehen.

Reverse Proxies werden auch dazu verwendet, um an der Firewall vorbei auf einen internen Rechner zugreifen zu können. Dazu baut der interne Rechner eine Verbindung zu einem externen Rechner auf, wodurch der externe Rechner nun über die Firewall hinweg mit dem internen Rechner kommunizieren kann (gemäß PAT). Läuft auf dem externen Rechner ein Reverse Proxy, so können nun beliebige andere Rechner auf den internen Rechner hinter der Firewall zugreifen, indem sie ihre Anfragen an den Reverse Proxy des externen Rechners schicken (der Reverse Proxy leitet die Anfragen an den internen Rechner weiter). Der interne Rechner ist somit über die Adresse des externen Rechners auf dem Port des Reverse Proxys erreichbar.

Port Forwarding sollte mit bedacht eingesetzt werden, da hierdurch bildlich gesehen eine Tür in der Firewall geöffnet wird, welche direkt auf den Dienst des internen Rechners zeigt. Ein Angriff auf diesen Port geht zwar noch immer an die Adresse der Firewall, jedoch werden die Netzwerkpakete nun geradewegs an den dazugehörigen Rechner weitergereicht, was einer direkten Attacke auf dem Rechner gleichkommt. Damit ist dieser Rechner für DoS-Attacken prädestiniert. Zudem lässt sich dadurch die Übernahme des Rechners durchführen, wenn dies über eine mögliche Schwachstelle im Dienst realisierbar ist.

Für weitere Infos siehe "Firewall FAQ für Fortgeschrittene".

Bye, Ronald

[Ronald]

Zusammenfassung aus dem Ursprungsthread zur folgenden Frage: Was versteht man unter VPN (Virtual Privat Network)?

Der Begriff VPN steht für ein “virtuelles privates Netzwerk”. Wie ist das zu verstehen? Dafür gibt es eine technisch korrekte und eine einfache Erklärung, wobei man für erstere Grundkenntnisse der Netzwerkarchitektur benötigt und letztere den Nachteil hat, dass sie das Wesen von VPN nicht vollständig erfasst.

Technisch korrekt ist die Erklärung, dass ein Netzwerk eine bestimmte Infrastruktur hat, mit der alle dort angeschlossenen Netzwerkkomponenten (also auch die Computer) kompatible sein müssen, um gegenseitig direkt ansprechbar (adressierbar) zu sein. Mit Hilfe von VPN wird die Infrastruktur eines bestimmten „privaten“ Netzwerks auf dem Rechner virtuell nachgebildet, damit man ihn aus einem beliebigen anderen Netzwerk heraus über ein VPN-Einwahlknoten praktisch direkt in dieses „private“ Netzwerk hängen kann (der Rechner ist dann von dort aus direkt ansprechbar – praktisch so, als befände er sich mittendrin).

Einfacher wird die Erklärung, indem man das Augenmerk von VPN auf die Verschlüsselung legt (eine wichtige Eigenschaft, welche eine VPN-Verbindung in der Regel hat – allerdings, und darin besteht der Haken, nicht haben muss):

Ein privates Netz besteht in der Regel aus Rechnern, welche direkt miteinander verbunden sind und deren Kommunikation aus einem externen Netz (z.B. dem Internet) nicht eingesehen werden kann. Mit Hilfe von VPN ist es nun möglich, private Netzwerke über unsichere Netze hinweg so miteinander zu verbinden, dass die Verbindung nicht ausspioniert werden kann (sie bleibt bildlich gesehen also „privat“). Das Internet ist ein solches unsicheres Netz, da es über öffentlich zugängliche Kanäle aufgebaut wurde (sämtliche unverschlüsselte Netzwerkpakete lassen sich im Internet durch dritte einsehen und natürlich auch missbrauchen).

VPN nutzt dafür Verschlüsselungsmechanismen, welche die Netzwerkverbindung zwischen den VPN-Einwahlknoten codieren. VPNs machen aber noch mehr, als bloße Verschlüsselung: Der eigentliche Clou an VPN ist die komplette Verkapselung eines Netzwerkpaketes incl. dessen Header (aus dem ja auch Informationen gezogen werden können) und der Ersatz des Headers durch einen so genannten "Encryption Protocol Header". Das Paket wird so durch ein unsicheres Netz (z.B. Internet) übertragen und erst an der "Gegenstelle" wieder in seine ursprüngliche Form decodiert.

Beispielanwendungen von VPN

• Über VPN können z.B. lokale Netze mehrerer Geschäftsstellen über das Internet auf eine sichere Art miteinander verbunden werden (eine so genannte „Site-to-Site“-Verbindung).
• Ein Mitarbeiter eines Unternehmens kann über VPN von zuhause aus einen gesicherten Zugriff auf das Firmennetz erlangen. Dazu wählt sich der Mitarbeiter zunächst bei einem beliebigen Internetprovider ein, startet dann eine VPN-Software (den VPN-Client) und baut eine Internetverbindung zum VPN-Einwahlknoten seiner Firma auf. Nach der Authentifizierung hat er Zugriff auf das Firmennetz - gerade so, als säße er mittendrin. Diese Verbindungsart wird auch „Site-to-End“ genannt.
• Es besteht auch die Möglichkeit, dass sich innerhalb eines privaten Netzes zwei Clients über VPN miteinander unterhalten können, ohne dass die Kommunikation im privaten Netz durch dritte eingesehen werden kann.
• Ähnlich wie bei der Einwahl eines Home-PCs in ein Firmennetz, können sich natürlich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen. Ein privates (datentechnisch abgekapseltes) Netz innerhalb des privaten Netzes also, bei dem die Client bis zum VPN-Einwahlknoten dieselbe physikalische Leitung verwenden, wie alle anderen Clients des Netzes auch. Mit dem Unterschied, dass sämtliche VPN-Netzwerkpakete verschlüsselt übertragen werden können.

Für mehr Infos zum Thema siehe in der „Firewall FAQ für Fortgeschrittene“.

Bye, Ronald

[Golem (Berlin)]

Zitat:

Zitat von Ronald

... Textfarben... Wenn jemanden etwas an dieser Thematik liegt, dann sollte er sich dazu äußern, finde ich.

Nach mehreren Stunden Lektüre (Firewall FAQ, fortgeschritten und für Laien), hab ich mich mal für ein kurzes Feedback registriert. Ich bin kein IT-Profi, sondern sehe die PC-Welt als mein Hobby (Basteln, Konfigurieren, Spielen, Surfen etc.). Mit diesem Blickwinkel habe ich folgende Meinung zu den angesprochenen Threads.

1) Ich finde die gebotenen Informationen größtenteils informativ und i.d.R. verständlich. Manches ging mir jedoch zu sehr in die Tiefe, so dass ich dies nur überflogen habe.
2) Das Engagement der Diskussionsteilnehmer finde ich beeindruckend und bewerte schon aus diesem Grund die Beiträge positiv. Gelernt habe ich natürlich auch einiges.
3) Das Frage-/ Antwortspiel ist ok - mal was anderes (Schule ist ja schon lange her).
4) Hervorhebungen im Text finde ich gut, sollten nur nicht übertrieben werden.
5) Im Laien-Bereich wünsche ich mir noch mehr Praxisbezug. D.h. Beispiele mit empfehlenswerten Programmen/ Hardware (für SOHO). Evtl. noch mehr weiterführende Links.
6) Fazit: Sehr informative Threads mit netten humoristischen Einlagen.
7) ach ja: ... das "mer" für "man" hat mich mit der Zeit doch ziemlich genervt.

Zitat:

Zitat von Ronald

Zudem benötige ich von euch Vorschläge, welche Themen ihr hier noch behandelt haben wollt. Danke.
Bye, Ronald

Vorschlag, was mich interessieren würde:
Seit kurzen sind die NForce4-Boards mit "Active Armor" im Handel erhältlich und ich habe mir ein GA-K8NXP-9 zugelegt. Jetzt stehe ich vor der Entscheidung, welche Firewall(s) ich installieren bzw. noch kaufen sollte.

Wenn ich das alles richtig verstanden habe, ist die im NForce4 integrierte Firewall (inkl. Software) keine "externe Firewall", sondern eine "interne Firewall", die gemeinhin auch als Desktop- oder Software-Firewall bezeichnet wird. Der Vorteil ist schlicht und einfach, dass durch die Hardwareunterstützung ein Performance-Gewinn erzielt wird (vgl. http://www.de.tomshardware.com/motherboard/20041026/nforce4-04.html) Liege ich da richtig oder gibt es einen zusätzlichen Sicherheitsgewinn? Auf tweakpc habe ich zu diesem Thema bisher nur hier etwas gefunden: http://forum.tweakpc.de/showthread.php?t=19467&highlight=nforce4+firewall

Während ich bei meinem alten PC noch auf die Sygate-Firewall, bei abgeschalteter Windows-Firewall, vertraut habe, denke ich nun, dass ich den gleichen Schutz mit dem "NVidia Network Access Manager" und ausgeschalteter Windows-Firewall erreiche - bei geringerer CPU-Last. Zur Info: In meinem Heimnetz geht i.d.R. 1 weiterer Rechner über die Windows-Internet-Freigabe mit ins Netz (der hätte dann noch die Sygate-Firewall). Die DSL-Verbindung wird manuell direkt über ein externes USB-Modem hergestellt (kein Router).

Es ist mir bewusst, dass eine zusätzliche externe Firewall, z.B. in einem noch anzuschaffenden Router eine zusätzliche Sicherheit bringt - ohne einen Performanceverlust hinnehmen zu müssen. Da ich jedoch nicht zu den "Always-On" Personen gehöre, frage ich mich, ob ich das wirklich brauche.

Gruß, Golem

[Ronald]

Wow! Die umfassendste Kritik bisher.

Zitat:

Das Engagement der Diskussionsteilnehmer finde ich beeindruckend ...

Ohne Frage! Einer der Gründe, warum ich den Thread trotz aller Widrigkeiten auf jeden Fall zu Ende führen werde. Ausserdem hasse ich es, etwas nicht zu Ende zu führen, was ich einmal angefangen habe. Nur Sinnentleert darf es nicht werden. Deshalb ist Deine Kritik sehr wichtig. thx.

Zitat:

Im Laien-Bereich wünsche ich mir noch mehr Praxisbezug. D.h. Beispiele mit empfehlenswerten Programmen/ Hardware (für SOHO). Evtl. noch mehr weiterführende Links.

• Wenn ich Dich jetzt richtig verstanden habe, willst Du hier Anwendungsbeispiele sehen? Genau den Part habe ich in den Bereich „für fortgeschrittene“ gezogen, weil das etwas mehr Detailtiefe erfordert. Also auch mehr Text, was den Thread wieder unübersichtlich macht. Das war ja einer der größten Kritiken aus dem anderen Thread, daß ich zu tief ins Detail gehe („weniger ist manchmal mehr …“). Deshalb lässt sich der Praxisbezug hier nur sehr schwer realisieren.
• Das mit den Softwaretipps ist eine gute Idee. Auch wenn ich diese eher im fortgeschrittenen Bereich sehe (zu Leak-Tests, Tunneling, etc.). Firewallempfehlungen sind wiederum extrem kurzlebig, weshalb das meiner Meinung nach nicht in die FAQ gehört.
• Weiterführende Links zu den Themen gehören auch eher in den fortgeschrittenen Bereich auf den ja hier wiederum verlinkt wird, oder? Das werde ich auf jeden Fall bei den neuen Zusammenfassungen berücksichtigen. Die alten werde ich dann später anpassen. Danke für den Tipp.

Zu Deiner Firewall-Frage:

Zitat aus tom's hardware guide: "Active Armor - so lautet der Name der ersten hardwareseitig integrierten Firewall."

Eine „hardwareseitige“ Firewall in der NIC? Wow! Damit hättest Du praktisch eine externe Firewall vor jedem PC, welcher diesen Chipsatz verwendet. Eine wirklich gute Idee – allerdings nur, wenn das Firwall-System vollkommen losgelöst vom Rest des Systems läuft. So sollte ein Crash der Firewall nur die NIC, nicht jedoch das System blockieren oder gar zum Absturz bringen, etc. Vor allem darf sich die Firewall nicht direkt vom Betriebssystem aus konfigurieren lassen oder gar von dem Betriebssystem abhängig sein (in diesem Fall läuft die Firewall nicht wirklich autark!). Dann – und nur dann – kann man tatsächlich von einer Firewall im PC sprechen, welche man sicherheitstechnisch eher mit einer externen Firewall vergleichen kann. Was für ein Traum …

Laut K-Hardware (siehe Post von LeoHart) klingen folgende Aussagen jedoch sehr bedenklich:

Zitat:

"... Firewall wurde sie um die Secure Networking Engine erweitert: eine Art Coprozessor, der einen Großteil der Paketauswertung übernimmt. Dieses Actove Armor genannte Feature entlastet den Hauptprozessor, der seine Rechenleistung anderen Anwendungen zur Verfügung stellen kann."

Der Coprozessor stellt seine Rechenleistung >>anderen Anwendungen<< zur Verfügung? An diesem System läut also nichts autark, was mit der Firewall zu tun hat! Sehr bedenklich …

EDIT: Ubs. Wer lesen kann ist klar im Vorteil ... Da steht nicht, daß der Coprozessor den Anwendungen Rechenleistung zur Verfügung stellt. Vielmehr ist es wohl so gemeint, daß er dafür sorgt, daß die Firewall weniger CPU-Power benötigt, was wiederum den Anwendungen zugute kommt. Sorry. Habe mich verlesen.

Zitat:

"Auch die Struktur der Firewall wurde überarbeitet. Statt festen Portfreigaben können diese nun an bestimmte Anwendungen gebunden werden. Der Port wird nur dann geöffnet, wenn auch die zugehörige Anwendung läuft."

Autsch! Diese Firewall ist also eine Software, welche unter Deinem Betriebssystem läuft (sonst hätte sie keinen Zugriff auf die Applikationskontrolle). Sie scheint lediglich auf einen separaten Coprozessor für ihre Arbeitsaufgaben zugreifen zu können. Damit wäre die Firewall ganz klar eine Desktop Firewall mit einem zusätzlichen "Turbo"-Antrieb. Ich denke, Du liegst mit Deiner Vermutung richtig. Einen zusätzlichen Sicherheitsgewinn kann ich erst einmal nicht erkennen. Wie gut diese Firewall ist, kann ohnehin noch niemand sagen. Sie >>könnte<< durchaus schlechter sein, als gängige Freeware Firewalls oder als die Windows interne Firewall (oder auch besser ). Es ist auch möglich, daß sie gerade durch dieses etwas eigenartige Konzept zusätzliche Angriffspunkte liefert. Ich würde an Deiner Stelle noch etwas abwarten und Berichte im Internet lesen, ehe ich dem Teil „vertrauen“ schenke.

Wichtiger Hinweis: Alle hier gemachten Aussagen sind sehr gewagt, da ich weder die Firewall kenne, noch habe ich irgendwelche sicherheitsrelevanten Beiträge darüber gelesen (dazu ist sie noch zu neu).

Zitat:

Zitat von Golem

Jetzt stehe ich vor der Entscheidung, welche Firewall(s) ich installieren bzw. noch kaufen sollte … Die DSL-Verbindung wird manuell direkt über ein externes USB-Modem hergestellt … eine zusätzliche externe Firewall, z.B. in einem noch anzuschaffenden Router … frage ich mich, ob ich das wirklich brauche.

Sicherlich kann man sich auch ohne Firewall schützen. Allerdings: Wenn Du KEIN PC-Freak bist, welcher sich mit Sicherheitsthematiken genauso hervorragend auskennt, wie mit der Betriebssystemkonfiguration, dann ist ein externer DSL-Firewall-Router für Dich sehr zu empfehlen. Zumal die Dinger mittlerweile recht preiswert geworden sind.

Siehe Externe Firewall vs. Desktop Firewall. Ergo: Verwende beides.

Bye, Ronald

[Golem (Berlin)]

Zitat:

Zitat von Ronald

Ergo: Verwende beides.
Bye, nz

Alles klar und danke für die schnelle Antwort. Dann guck ich mich mal nach einem vernünftigen Router um. Das wird wieder dauern. Schließlich muss ich jetzt die Entscheidung treffen, ob ich auf ein Kabel verzichte und mich mit einer sicheren WLAN-Verbindung rumschlage oder weiter Kabelverleger spiele. Aber dieses Thema gehört dann wohl in anderen anderen Thread.
Gruß, Golem

[Ronald]

Zusammenfassung aus dem Ursprungsthread zur folgenden Frage: Was versteht man unter Tunnel? Und wie lässt sich damit eine Firewall umgehen?

Tunnel bzw. Tunneling bezeichnet den Gebrauch eines Netzwerkprotokolls derart, dass es weiterhin dem Standard (RFC) entspricht, dabei jedoch artfremde Daten transportiert. Entweder werden in einem Tunnel die Daten eines Dienstes im Protokoll eines anderen Dienstes eingebettet (SSH-, VPN-, http-Tunnel, etc.) oder zumindest das Protokoll eines Dienstes mit dienstfremden Daten versehen und somit funktionell erweitert (DNS-Tunnel). Dafür benötigt man auf beiden Kommunikationsseiten zwingend einen Konverter, welcher z.B. die Daten des ursprünglichen Dienstes abfängt, konvertiert und über den anderen Netzwerkdienst an das Zielsystem weiterreicht. Auf dem Zielsystem werden die empfangenen Daten in das ursprüngliche Format zurückverwandelt und ggf. an den Dienst weiterreicht, für den die Daten tatsächlich bestimmt sind.

Tunnel werden verwendet, um unsichere Netzwerkprotokolle mithilfe eins gesicherten und verschlüsselten Netzwerkprotokolls zu transportieren (z.B. SSH), um ganze Netzwerke abhörsicher über unsichere Netzwerke (Internet) hindurch miteinander zu verbinden (z.B. VPN) oder um das Regelwerk einer Firewall und andere Sicherheitsmaßnahmen zu umgehen.

Prinzipiell lassen sich alle Protokolle für einen Tunnel gebrauchen. Sie müssen sich nur durch das Internet routen lassen und die Möglichkeit bieten, die zu transportierenden Daten einbetten zu können. So lassen sich z.B. auch ping-Pakete (ICMP) für den Datentransport verwenden. Es sind auch asymmetrische Tunnel möglich, in dem zwei unterschiedliche Protokolle für den Hin- und Rückweg eingesetzt werden.

Wie arbeitet ein Tunnel und wie lässt sich damit eine Firewall umgehen?

Ein Netzwerkdienst arbeitet in der Regel auf einem festgelegten Standardport. Werden Ports mit Hilfe einer Firewall gesperrt, will man damit erreichen, dass bestimmte Dienste nicht genutzt werden können. Ist z.B. Port 80 (http) erlaubt und Port 21 (ftp) gesperrt, so kann der Anwender problemlos Internetseiten aufrufen (http), aber keine Dateien per ftp mit einem Internetserver austauschen (Daten die über Port 21 gehen, werden von der Firewall blockiert).

Jemand könnte nun das ftp-Client-Programm und den Serverdienst seines eigenen Internetservers so verändern, dass diese ebenfalls über Port 80 kommunizieren und so die Filterregel der Firewall umgehen. Eine Firewall, welche in der Lage ist, die Pakete zu analysieren, kann das verhindern. Um sicherzugehen, dass kein anderer Dienst den Port des freigegebenen Dienstes für seine Kommunikation missbraucht, untersucht die Firewall also zusätzlich den Aufbau der Daten und blockiert alle Pakete, welche nicht dem Protokoll des freigegebenen Dienstes entsprechen.

In der Praxis ist eine solche Kontrolle jedoch nicht trivial. Schließlich soll jedes Protokoll irgendwelche Daten transportieren. So ist es möglich, z.B. die Daten eines ftp-Dienstes in dem Protokoll eines http-Dienstes einzubetten, ohne dabei den Protokollstandard zu verletzen. Die Daten müssen dazu lediglich entsprechend konvertiert werden. Genau das macht man beim Tunneln, wodurch der Anwender des Tunnels in der Lage ist, die Regeln der Firewall zu umgehen: Er schickt die Daten eines eigentlich gesperrten Dienstes eingebettet in den Daten eines freigegebenen Dienstes durch die Firewall zu seinem Zielsystem. Dafür muss auf dem PC und dem Zielsystem jedoch eine Tunnelsoftware installiert sein, welche die Daten auf dem PC zuvor konvertiert und auf dem Zielsystem wieder in das ursprüngliche Format zurückverwandelt.

Das Tunnelprinzip für eine verschlüsselte Verbindung verwenden

Tunnel werden vornehmlich dazu verwendet, um abhörsichere Verbindungen über ungesicherte Computernetzwerke hinweg aufzubauen. Dabei sorgt die Tunnelsoftware dafür, dass die Netzwerkpakete zuvor verschlüsselt und in einem für die Übertragung verschlüsselter Daten vorgesehenen Protokoll eingebettet werden, um sie auf der Gegenseite wieder zu entschlüsseln und auszupacken. Dadurch wird eine verschlüsselte Datenübertragung auch für Dienste realisiert, die normalerweise über keine eigene Verschlüsselung verfügen. Auch ganze Netzwerke können so abhörsicher miteinander verbunden werden.

Mehr dazu könnt ihr in der „Firewall FAQ für Fortgeschrittene“ nachlesen.

Bye, Ronald

[Ronald]

Zusammenfassung aus dem Ursprungsthread zur folgenden Frage: Was ist ein Proxy?

Ein Proxy beschreibt eine bestimmte Art der Kommunikation im Netz.

Das läßt sich am Besten anhand der folgenden Analogie erklären:

Freunde kommen zu Besuch. Ihr wollt etwas essen und Du verfasst zunächst eine Liste der Bestellungen. Dann rufst Du den Pizzaservice an, gibst die Bestellung durch, nimmst das Packet an der Tür entgegen und reichst die Pizzen danach an Deine Freunde weiter. Auf unser Beispiel bezogen, hast Du Dich wie ein Proxy verhalten: Du hast stellvertretend für Deine Freunde den Kontakt mit dem Pizzaservice aufgenommen. Und Du hast das Paket stellvertretend für Deine Freunde an der Tür entgegengenommen, um die Pizzen später anhand der Liste an Deine Freunde zu verteilen. Der Pizzabote mag sich zwar denken, daß Du all die Pizzen nicht alleine verdrücken wirst, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren. Für Ihn bist einzig und alleine Du der Ansprechpartner (der Proxy - zu deutsch: ein Stellvertreter).

So arbeitet eine Netzwerkkomponente, welche im Proxymodus läuft:

Dein System richtet seine Netzwerkanforderung nicht direkt an das Zielsystem, sondern geht über den Proxy, welcher stellvertretend für Dein System die Verbindung zum Zielsystem aufnimmt:

[Client]--internes Netz-->[Proxy]--externes Netz-->[Server]

Wie oben die Pizzen leitet der Proxy die empfangenen Pakete des Zielsystems dann automatisch an Dein System weiter:

[Client]<--internes Netz--[Proxy]<--externes Netz--[Server]

Worin liegt der Vorteil der Proxy-Methode?:

Die Pakete können vom Proxy analysiert und gefiltert werden, noch bevor sie Dein System erreichen. Zudem sieht das Zielsystem nicht den Client, sondern nur den Proxy, was dazu führt, dass mögliche Angriffe aus dem externen Netz auf den Proxy gerichtet sind und nicht direkt den Client treffen.

Für mehr Informationen dazu siehe in der “Firewall FAQ für Fortgeschrittene“. Dort wird auch erklärt, warum ein „DSL-Router“ kein Router ist, sondern ein Porxy und wie es zu dem irreführenden Begriff „DSL-Router“ kam...

Bye, Ronald

[Ronald]

Zusammenfassung zum Thema: Der „VPN Pass-Through“-Modus einer Firewall kurz erklärt.

Sobald man von seinem PC aus eine VPN-Sitzung über eine externe Firewall hinweg aufbaut, so hat die Firewall ein Problem: Der VPN-Server muß in der Lage sein, von sich aus eine eigene (Rück-) Verbindung zu diesem PC aufzubauen. Das passiert abhängig vom VPN-Protokoll über einen bestimmten Port und gehört zum Sicherheitskonzept von VPN. Das Besondere: Der VPN-Rückkanal-Port unterscheidet sich von dem Port, auf dem der PC die Verbindung aufgebaut hat. Somit ist das aus Sicht der Firewall keine Verbindung mehr, welche vom PC angefordert wurde. Da die Firewall sämtliche Verbindungsversuche blockiert, welche von aussen angefordert werden, kommt die Verbindung also nicht zustande.

Das Problem mit Port-Forwarding lösen - und damit ein neues Problem schaffen

Nun könnte man per Port-Forwarding-Regel der Firewall beibringen, dass der vermeintliche Rückkanal-Port mit einem PC aus dem gesicherten Netz verbunden wird. Somit wird der Verbindungsversuch nicht mehr blockiert, sondern direkt zum PC weitergereicht. Das würde auch funktionieren, jedoch hat das den Nachteil, dass immer nur dieser eine PC in der Lage ist, eine VPN-Verbindung zu einem Server aus dem Internet herzustellen. Einen Fehler in der VPN-Software oder eine entsprechende Malware vorausgesetzt, ist der PC auch dann aus dem externen Netz heraus über den Port erreichbar (und ggf. angreifbar), wenn er gar keine VPN-Verbindung angefordert hat.

Die Lösung: „VPN Pass-Through“

Die Lösung für beide Probleme heißt „VPN Pass-Through“ und bewirkt, dass ein beliebiger PC, welcher den VPN-Tunnel anfordert, automatisch die Port-Zuweisung auf der Firewall erhält. Nachdem die VPN-Sitzung beendet wurde, verliert der PC die Portzuweisung wieder. So kann der nächste PC aus demselben internen Netz einen VPN-Tunnel aufbauen, sobald die andere VPN-Sitzung geschlossen wurde.

An dieser Stelle sei noch einmal deutlich unterstrichen, dass auch mit „VPN Pass-Through“ pro VPN-Typ immer nur ein einziger PC eine VPN-Sitzung aufbauen kann. Der VPN-Typ bezieht sich auf das verwendete Protokoll (einige Firewalls bieten „VPN Pass-Through“ z.B. für IPSec und PPTP an).

Bye, Ronald

[Ronald]

Zusammenfassung zum Thema: Die Trennung zwischen dem Firewall-Modul und den erweiterten Features einer Desktop-Firewall schafft Klarheit …

Eine Desktop Firewall besteht aus einem Firewallmodul und in der Regel aus erweiterten Funktionalitäten. Die Funktion einer Firewall (genauer des Firewallmoduls) besteht nicht darin, Angriffe zu erkennen und zu verhindern. Vielmehr dient das Firewallmoduls dazu, ausschließlich auf der Ebene des Netzwerkprotokolls bestimmte Kommunikationsbeziehungen basierend auf dem Port, dem verwendeten Protokoll, sowie der Absender- und Zieladresse zu erlauben oder zu unterbinden. Für weitere Aufgaben sind die erweiterten Funktionalitäten einer Desktop Firewall zuständig, welche beispielsweise den Zugriff einzelner Programme auf das Netzwerk verwalten, Autostarteinträge überwachen, per Sandbox die Datei- und Systemzugriffe der Prozesse einschränken oder Netzwerkangriffe erkennen und nach Malware suchen. Sie sind zwar Bestandteil vieler Produkte und erweitern auf ihre Weise das eigene Sicherheitskonzept der jeweiligen Desktop Firewall, jedoch gehören sie nicht zum Konzept einer konventionellen Firewall.

Gelegentlich wird unter Netzwerkfachleuten Argumentiert, dass selbst das Firewallmodul einer Desktop Firewall streng genommen keine Firewall ist, da eine Firewall ihrem Ursprung nach als eigenständige Netzwerkeinheit zwischen zwei Netzwerken operiert, die sie miteinander verbindet und filtert. Eine Desktop Firewall läuft dagegen direkt auf dem Gerät, deren Kommunikation sie filtern soll, und verbindet keine Netzwerke miteinander. Demgegenüber schreibt z.B. Elisabeth D. Zwicky (ISBN 3-89721-169-6, 2001, S. 34): „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“

Die erweiterten Funktionalitäten einer Desktop Firewall laufen zum Teil fernab des Netzwerkprotokolls und gehören zu einem ergänzenden Sicherheitskonzept des PCs. Es ist hilfreich, die erweiterten Funktionalitäten losgelöst vom Firewallmodul zu betrachten, denn ohne diese Trennung lässt sich die Funktionsweise einer Desktop Firewall nicht vernünftig aufschlüsseln. Infolgedessen würde ein Versuch, Desktop Firewalls miteinander zu vergleichen, nicht unerheblich erschwert.

Bye, Ronald

[Ronald]

Zusammenfassung zum Thema: Die erweiterten Features einer Desktop-Firewall -> das (Network- / Host-Based-) IDS (Intrusion Detection System)

Das IDS (Intrusion Detection System) soll die Lücke der Angriffserkennung einer Firewall ausfüllen.

Network-Based-IDS

Hier wird der Netzwerkverkehr auf Indizien für Angriffe überprüft. So werden u.a. die Datenpakete auf verdächtige Inhalte untersucht und so Portscans, DoS-Versuche (wie SYN-Floodings) und Kontaktversuche zu eventuell installierten Backdoors erkannt.

Host-Based-IDS

Ein Host-Based-IDS läuft auf dem PC oder Server und überprüft die Integrität eines Computersystems. Leider ist nicht festgeschrieben, welche Sicherheitsmaßnahmen ein solches System vereinen muss, um als IDS betitelt zu werden.

Vernünftiger Weise sollte ein Host-Based-IDS wichtige Systemeinstellungen überprüfen, Dateien nach Hackersignaturen scannen und bestimmte Angriffsmuster überwachen. Mit anderen Worten vereint ein gutes IDS einen Malwarescanner, ein Systemanalysetool für Autostarteinträge nebst wichtigen Systemeinstellungen, sowie Protokollierungsmechanismen, einen Scriptscanner der sämtliche Systemskripte und Office-Makros vor dem Ausführen auf schädliche Aktivitäten hin untersucht, und ein Überwachungsmodul für Programmzugriffe.

Zudem sollten die Vorgänge zentral ausgewertet und im günstigsten Fall bei einem erkannten Angriff Gegenmaßnahmen ergriffen werden. Dank der Protokollierungsmechanismen wird es einem Eindringling schwerer fallen, auf einem System mit Host-Based-IDS seine Spuren zu verwischen.

Das Network-Based-IDS ist das einzige erweiterte Feature, welches auch auf einer externen Firewall vorkommen kann. Im Unterschied dazu arbeitet jedoch ein Network-Based-IDS einer Desktop-Firewall Hand in Hand mit dem Host-Based-IDS zusammen, was dazu führt, dass sich Angriffsversuche besser erkennen lassen. Der Nachteil dieser Methode ist, dass sie nicht selten viel zu oft falschen Alarm schlagen und damit den Anwender unnötig verschrecken.

Technischer Hinweis: Bei einem IDS einer Desktopfirewall unterscheidet man nicht zwischen einem IDS und einem IRS (Intrusion Respone System), wie es bei externen Firewalls der Fall ist. Das IDS-Konzept einer Desktopfirewall entspricht also vielmehr einem IPS (Intrusion Prevention System).

Bye, Ronald

[Ronald]

Zusammenfassung zum Thema: Die erweiterten Features einer Desktop-Firewall -> die Netzwerkzugriffe einzelner Programme kontrollieren

Auch die Kontrolle, ob ein Programm auf das Netzwerk zugreifen darf oder nicht, gehört nicht zum Firewallmodul. Vielmehr handelt es sich hierbei um ein erweitertes Feature der Desktopfirewall, welches auf einer Prozesskontrolle basiert.

Die meisten Desktopfirewalls unterstützen dieses Feature. Einige Desktopfirewalls ermöglichen es sogar, dass sich zudem bestimmen lässt, unter welchen Umständen die Applikation auf das Netz zugreifen darf (z.B. nur wenn Prozess XYZ (nicht) gestartet ist, etc.) und welche Art des Zugriffs erlaubt ist (Applikation darf als Serverprozess fungieren - also selbst auf Anfragen aus dem Netz reagieren - oder lediglich eigene Verbindungen aufbauen).

Tatsächlich könnte man dieses Feature als Teil eines IDS verstehen. Da es aber nur einen sehr kleinen Teil eines vollwertigen IDS ausmacht, kann sich eine Desktopfirewall, welche lediglich dieses eine Feature anbietet, kaum eines IDS rühmen. Aus diesem Grund wurde die Prozesskontrolle separat betrachtet.

Hinweis: Der auch bei einigen externen Firewalls verwendete Begriff "Application Level Firewall" (kurz ALF) hat nichts mit dem Feature der Applikationszugriffskontrolle zu tun. Vielmehr basiert der Name "Application Level" auf dem gleichnamigen OSI-Layer. Von einer grundsätzlichen Möglichkeit der Prozesszugriffskontrolle kann man also auch bei einer so betitelten, externen Firewall nicht sprechen. Diese ist tatsächlich den lokal installierten Dektopfirewalls vorbehalten.

Bye, Ronald