Diskussionsthread der künftigen „Firewall FAQ für Laien“
Vorwort:
Das ist ein Versuch, eine FAQ in einer bilateralen Form zu erstellen. Du bist jetzt in einem einen Diskussionsthread für die künftige „Firewall FAQ für Laien“ gelandet. Das funktioniert wie folgt: Im Ursprungsthread "Firewall FAQ für Fortgeschrittene" werden zunächst Themen vorgegeben, die im Forum diskutiert werden. Daraus entstehen Zusammenfassungen. Sämtliche Zusammenfassungen, welche "Laienkompatibel" erscheinen, findest Du hier. Du kannst Kommentare dazu schreiben, Änderungsvorschläge unterbreiten, sowie eine Nützlichkeitsbewertung abgeben. All das wird die endgültige Fassung der FAQ beeinflussen.
Ziel des Threads:
Ziel ist es, einzelne Themen im Ursprungsthread mit euch nacheinander zu diskutieren. Nach jedem Thema werden die Erkenntnisse in kurze, blau markierte Beiträge zusammengefasst. Ich hoffe, daß dadurch eine nützliche FAQ entsteht.
Die endgültige Version wird wie ein Buch aufgebaut sein (Inhaltsverzeichnis + untereinander liegende Beiträge). Also keine Debatten und Zusammenfassungen zu den einzelnen Themen mehr. Dieser Thread hier bleibt als reiner Diskussionsthread bestehen, auf die ich dann in den Beiträgen verlinken werde.
Bewertung:
Die Forumssoftware liefert eine Möglichkeit herauszufinden, ob der Thread für Dich hilfreich ist, oder nicht. Leider funktioniert das nicht unter einem Gast-Account. Du musst dich also mit Deiner registrierten Kennung anmelden, dann den Thread öffnen und oben auf der Optionsleiste den Menüpunkt „Bewertung“ auswählen. Damit kannst Du mir ein Feetback gaben, ob der Thread für Dich hilfreich ist, oder nicht. Davon habe ich persönlich nichts – es gibt also KEINE Bonuspunkte für den Account oder dergleichen, die ich mir damit erschleichen könnte oder mit denen Du meinem Account schaden kannst.
Neben dem Sterne-"Barometer" (Nützlichkeitsbewertung) benötige ich dringend Deine direkte Kritik, denn ich kann nicht Hellsehen. Konstruktive Verbesserungsvorschläge sind natürlich ebenso gerne gesehen. Die FAQ ist für Dich gedacht, nicht für mich.
Wenn Dir die FAQ gefällt, dann hält Dich natürlich niemand davon ab, auch die helfenden Forumanwender wie z.B. catweazle, sys3, kommune23, tele, io.sys, pirke und Invicta positiv zu bewerten. Dieser Art der Bewertung funktioniert etwas anders und verschafft dem Anwenderaccount motivierende Bonuspunkte.
Und so geht’s: Mit der registrierten Kennung anmelden, auf die oben aufgeführten Kennungen klicken, dann links unten auf die Waage gehen: „[x] Diesen Beitrag positiv bewerten“ ankreuzen, eine kurze Bemerkung und ggf. Deinen Namen angeben, fertig.
Wichtiger Hinweis zur Bewertung:
Wenn Du diesen Thread bewertest, dann beziehe dich bitte auf die Verständlichkeit der blau markierten „Zusammenfassungen“ und nicht auf den chaotischen Aufbau des Threads. Der Grund für das Chaos wird hier erklärt (klick). Wie unter „Ziel des Threads“ bereits erwähnt, wird die endgültige Version der FAQ natürlich einen anderen Aufbau erhalten.
Historie + Aufbau der Zusammenfassungen:
Die Beiträge stammen aus dem Thread "Firewall FAQ für Fortgeschrittene". Ursprünglich wurden sie dort hinterlegt, um zu zeigen, wie sich komplexe Themen mit einfachen, kurzen Sätzen erklären lassen. Dieser Aufbau hat sich allerdings im anderen Thread nicht als praktikabel erwiesen, weshalb die Themen in den neuen Thread gezogen wurden. Das ist allerdings etwas misslich, da sämtliche Debatten, welche vor fast jeder Zusammenfassung geschrieben wurden, nun in dem anderen Thread liegen. Ist eine Zusammenfassung für Dich unklar oder gar strittig, so sollten die zusätzlichen Beiträge eigentlich helfen, Missverständnisse zu klären. Um das Problem zu lösen, wurde in jeden Beitrag hinter dem Wort „Zusammenfassung“ ein Link hinterlegt, welcher Dich direkt zu den Debatten führt.
Hinweis zu den Aktualisierungen:
Dieser Thread hier wird der anderen FAQ immer um eine gewisse Zeitspanne hinterherhinken. Habt also etwas Geduld.
Als Desktop- oder Personal-Firewall wird eine lokal auf dem Computer installierte Firewallsoftware bezeichnet. Sie versucht Programme auf dem Computer davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren und verhindert im günstigsten Fall bösartige oder ungewollte Zugriffe auf den Computer von außen.
externe Firewall
Eine externe Firewall, auch Hardwarefirewall genannt, verhindert ebenfalls bösartige oder ungewollte Zugriffe auf das System von außen, kann aber einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
Zusammenfassung aus dem Ursprungsthread zur Frage: Ist der Einsatz eines Firewallsystems auch dann sinnvoll, wenn man nichts zu verbergen hat?
Ein Firewallsystem dient nicht dazu, die Privatsphäre zu schützen, weshalb die Frage, ob man etwas zu verbergen hat, für deren Einsatz nicht entscheidend ist. Vielmehr besteht die Aufgabe des Firewallmoduls darin, auf der Ebene des Netzwerkprotokolls bestimmte Netzwerkverbindungen zu erlauben oder zu unterbinden. Die erweiterten Funktionalitäten einer Desktop Firewall sind für weitere Aufgaben zuständig, welche beispielsweise den Zugriff einzelner Programme auf das Netzwerk verwalten, Autostarteinträge überwachen, per Sandbox die Datei- und Systemzugriffe der Prozesse einschränken oder „Angriffe“ erkennen und nach Malware suchen. Ein Firewallsystem ist also ein Werkzeug, welches einem innerhalb gewisser Grenzen dabei helfen kann, das eigene System zu verstehen und zu kontrollieren.
Es gibt Computerwürmer, welche sich ohne Zutun des Anwenders von Rechner zu Rechner „hangeln“ und sich dort verewigen. Greifen sie das System über eine Schwachstelle in einem Dienst an (auch Service genannt), welcher auf dem Rechner läuft, dann arbeiten sie auf dem System mit den erweiterten Rechten des Dienstes. Ein Virenscanner kann den Wurm erst dann erkennen, wenn er bereits das System infiziert hat. Selbst wenn es ihm gelingen sollte, den Wurm zu eliminieren, so ist er kurz danach wieder da, da der Rechner auf demselben Weg wieder infiziert wird. Eine Deaktivierung des Dienstes kann die Verbreitung des Wurms verhindern (weshalb man grundsätzlich alle Netzwerkdienste deaktivieren sollte, die man nicht benötigt). Aktuelle Sicherheitsupdates können den Infektionsweg ebenfalls schließen. Verbreitet sich der Wurm jedoch noch vor der Veröffentlichung eines Sicherheitsupdates oder ist eine Echtzeit-Aktualisierung des Systems auf dem betroffenen Rechnern nicht möglich ist, so kann ein Firewallsystem dazu dienen, den Zugriff auf den Dienst zu beschränken. Kommt der Angriff von außen (also aus dem Internet), so ist eine externe Firewall die beste Lösung für das Problem. Zugriffe aus dem eigenen Netz kann eine Desktop Firewall einschränken.
Zusammenfassung aus dem Ursprungsthread zur Frage: Was ist ein Service oder Dienst? Und wie gelingt es eigentlich einem Wurm, ohne Zutun des Anwenders ein System zu befallen?
Was ist ein Dienst?
Ein Dienst (auch Service genannt) ist ein Programm, welches im Unterschied zu anderen Programmen auch dann gestartet wird, wenn sich an dem System kein Benutzers angemeldet hat. In den meisten Fällen läuft ein Dienst mit erweiterten Rechten (in einem so genannten Systemkontext). Wie jedes andere Programm auch kann ein Dienst an einem festgelegten Netzwerkport lauschen, um auf Anfragen aus dem Netz zu reagieren. Typische Vertreter davon sind der Serverdienst (lanman), Telnet, rsh und http, etc.
Wie kann ein Wurm ohne Zutun des Anwenders einen PC befallen?
Um das zu realisieren, schickt der Wurm ein speziell manipuliertes Paket an einen Port eines fehlerhaft programmierten Dienstes, welches Teile des Stacks überschreibt (Pufferüberlauf). Dadurch wird beliebiger Code von außen auf den Rechner eingeschleust und ausgeführt. Der Code läuft mit den Rechten des Dienstes (also in der Regel im Systemkontext) und hat somit oftmals sogar mehr Rechte, als ein Administrator. Ein Wurm kann sich auf diese Weise von selbst auf den Rechner kopieren und installieren. Von dort aus sucht er weitere Rechner im Netz, um diese zu infizieren. Im Unterschied zu anderen Würmern verbreitet sich dieser Wurm ohne Zutun des Anwenders. Der Anwender muss also kein eMail-Attachment öffnen oder eine präparierte Website aufrufen, damit sein Rechner infiziert wird.
Zusammenfassung aus dem Ursprungsthread: Adressierung in Netzwerken
MAC-Adresse
Jede Netzwerkkarte (kurz NIC genannt) hat eine eindeutige, abrufbare Seriennummer, welche man MAC-Adresse, LAN-ID, NIC-Nummer oder physikalische Adresse nennt. Sie setzt sich zusammen aus einer Hersteller-ID und einer angrenzenden, laufenden Nummer. Dadurch lässt sich jede Netzwerkkarte weltweit eindeutig identifizieren.
Geht eine Netzwerkkommunikation über das eigene Subnetz hinaus, so erhalten die Netzwerkpakete die MAC-Adresse des Routers, über den sie geleitet werden. Niemand aus dem Internet kann somit die wahre MAC-Adresse des Kommunikationspartners sehen, da ihm während der Verbindung lediglich die MAC-Adresse des letzten Routers übermittelt wird.
Da die MAC-Adresse nicht über Subnetzgrenzen hinweg übertragen wird, ist sie für eine globale Adressierung in komplexen Netzwerken ungeeignet.
Node
Die so genannte Node- oder Knoten-Nummer ist ebenfalls eine Seriennummer für Netzwerkkarten, welche abhängig vom System meistens der MAC-Adresse entspricht, manchmal aber auch eine vom System erstellte, verfahrensinterne Nummer darstellt.
MAC-Filter
Ein MAC-Filter beschränkt den jeweiligen Zugriff auf Netzwerkkarten mit einer bestimmten MAC-Adresse. Allerdings ist es sehr leicht, die MAC-Adresse seiner eigenen Netzwerkkarte zu ändern (MAC-Spoofing). Aus diesem Grund ist ein Filter für MAC-Adressen eines Accesspoints zwar durchaus sinnvoll, da er eine zusätzliche Barriere für einen Skriptkiddie darstellt. Jedoch ist ein MAC-Filter noch lange kein Garant für ein geschlossenes Netz.
Adressierung in TCP/IP-Netzen
In komplexen Netzwerken bedarf es einer erweiterten Form der Identifikation, um Netzwerkpakete verwaltungstechnisch effizient adressieren zu können. Unter Verwendung des TCP/IP-Protokolls bedient man sich einer IP-Adresse und eines Ports, um eine eindeutige Adresse zu bilden. Damit eine praktikable Zuordnung von IP-Adressen zu einem bestimmten Subnetz möglich wird, unterteilt die Subnetzmaske jede IP-Adresse in zwei Bereiche (Netzwerk-ID und Rechner-ID), was die Konfiguration von Netzwerkkomponenten stark vereinfacht.
IP-Adresse
Die IP-Adresse ist vergleichbar mit einer Hausadresse, die eine Straßennummer und eine Hausnummer enthält. Nur über die Adresse weiß die Post, zu welchem Haus (zu welcher Netzwerkkarte) die Pakete geliefert werden sollen.
Code:
Beispiel einer 32-Bit IP-Adresse: 192.168.1.23
Jeder Ziffernblock einer IP-Adresse (Block1 . Block2 . Block3 . Block4) kann theoretisch einen Wert von 0 bis 255 annehmen. Einer IP-Adresse sollte man aber nur Werte zwischen 1 bis 254 zuweisen, da die Werte 0 und 255 eine besondere Bedeutung haben. Wenn man das eigene Netzwerk irgendwann einmal mit dem Internet verbinden möchte (z.B. per DSL-Router) sollte man in seinem eigenen Netzwerk einen IP-Adressbereich verwenden, der für private (also nicht öffentliche) Netzwerke vorgesehen ist (z.B. 192.168.x.x; die für diesen Adressbereich empfohlene Subnetzmaske lautet 255.255.255.0 und sollte keinesfalls kleiner als 255.248.0.0 sein).
Port
Der Port, auch Anschlussnummer genannt, funktioniert sinnbildlich gesehen wie ein Namensschild an einem Hauseingang. Das Haus (die Netzwerkkarte) hat eine Adresse (die IP-Adresse). Über die zusätzlich angegebene Port-Nummer weiß das Betriebssystem, für welches Programm im Haus das Netzwerkpaket bestimmt ist.
Code:
Beispieladresse mit Portangabe (hier http-Port 80): 192.168.1.23:80
Subnetzmaske
Damit Netzwerkkomponenten, die mehrere Subnetze miteinander verbinden, ihre Arbeit verrichten können, müssen sie wissen, welche Netzwerkpakete zu welchem Netz gehören. Um dies zu realisieren, hat man nach einem Weg gesucht, wie man die Netzwerkzugehörigkeit anhand der IP-Adresse erkennen kann. So wurde festgelegt, dass die ersten Ziffern der IP-Adresse den Namen des Netzwerkes bilden, während der zweite Teil der Zahl die eindeutige ID eines Rechners (genauer einer Netzwerkkarte) in diesem Netzwerk umfasst.
Die Subnetzmaske, auch Netzmaske genannt, legt fest, welcher Bereich der IP-Adresse zum Netzwerkbereich gehört. Der Rest der IP-Adresse bildet den Rechnerbereich, welchen man auch Hostbereich nennt.
Somit ist sichergestellt, dass keine IP-Adresse aus dem einen Subnetz einen Adresskonflikt mit einer IP-Adresse eines anderen Subnetzes auslöst. Zudem müssen die Netzwerkkomponenten nun lediglich die Netzwerknamen aus der IP-Adresse ermitteln, um die Netzwerkpakete dem jeweiligen Subnetz zuordnen zu können. Auf diese Weise lassen sich Regeln für Netzwerkkomponenten ganz einfach formulieren.
Ein kleines Beispiel anhand einer typische IP-Adresse: 192.168.1.23:80
Eine Subnetzmaske von „255.255.255.0“ bestimmt nun, dass die ersten drei Byte (also die ersten drei Ziffernblöcke) komplett den Netzwerkbereich bilden. Bildlich gesehen handelt es sich hierbei also um die 192.168.1'te Straße (Netzwerk-ID), Hausnummer 23 (Rechner-ID), Raum 80 (Portnummer). Hätte man in dem Netz eine Subnetzmaske von „255.255.0.0“ festgelegt, so würde die Straßennummer 192.168 lauten und die Hausnummer wäre nun 1.23
Je größer die Subnetzmaske ist, umso weniger Rechner lassen sich pro Subnetz erfassen (bei 255.255.255.0 sind es „nur“ 254 Rechner pro Subnetz, was in der Regel aber ausreichen sollte; bei 255.255.0.0 sind es immerhin schon 64.516 mögliche Rechner pro Subnetz). Und je kleiner die Subnetzmaske ist, desto weniger Subnetze lassen sich definieren.
Der Unterschied zwischen dem Anfrage- und Rückgabe-Port
Ein Internetdienst, welcher z.B. Webseiten bereitstellt, wird durch ein Programm realisiert, welches auf dem jeweiligen Internetserver läuft. Bei dem Programm handelt es sich um einen Netzwerkdienst (auch Service oder D*aemon genannt), welcher an einem bestimmten Port lauscht. So bindet sich z.B. ein http-Dienst an den Port 80, über den er Anfragen eines beliebigen Clients entgegennimmt.
Wenn es um Portregeln geht, gibt es ein weit verbreitetes Missverständnis: Auf das Beispiel bezogen, läuft auf dem Client ein beliebiger Internetbrowser, welcher seine Anfrage an den Server:Port80 stellt. Entgegen dem, was oftmals vermutet wird, bindet sich der Internetbrowser jedoch nicht ebenfalls an den Port 80 des PCs, um die Antwortpakete entgegenzunehmen. Sobald mehrere Internetbrowser auf dem PC gestartet werden, würde das auch nicht mehr funktionieren, da sich so mehrere Prozesse ein und denselben Rückgabeport teilen müssten. Welchem Prozess aber sollte das Betriebssystem die dort eingehenden Netzwerkpakete übergeben? Eine eindeutige Zuordnung wäre so nicht möglich.
Deshalb bindet sich jeder gestartete Browserprozess an einen anderen, dynamisch erzeugten Rückgabeport, welcher in einem Bereich zwischen 1024 und 65535 liegt. So startet der Browser seine Anfrage an den Server:Port80 und teilt ihm gleichzeitig mit, dass die Antwort zurück an die IP-Adresse des PCs auf Port xyz zu schicken ist (xyz=Rückgabeport des jeweiligen Browserprozesses). Genau genommen erhält sogar jedes autonome Browserfenster seinen eigenen Rückgabeport, selbst wenn die Fenster zu ein und demselben Prozess gehören. Auf diese Weise bleibt die Zuordnung der Antwortpakete jederzeit eindeutig.
Bezogen auf eine Firewall bedeutet dies, dass man die Übermittlung der Antwortpakete nicht unterbinden kann, indem man eingehende Pakete auf Port 80 blockiert. Werden hingegen ausgehende Pakete unterbunden, die sich an den Port 80 richten, so ist keine http-Anfrage mehr möglich, was den Zugriff der internen Rechner auf Webseiten verhindert.
Na toll. Im Eröffnungsbeitrag stand ein goßer, roter Hinweis, daß der Thread gerade erstellt wird. Ich habe extra darum gebeten, daß noch niemand den Thread bewertet und niemand dort Beiträge hineinschreibt, solange er sich im Aufbau befindet (logisch, denn so ergab er noch keinen Sinn). Und was ist?: Die erste schlechte Bewertung folgte prompt dafauf, noch ehe der Thread fertiggestellt war. Echt toll. Danke.
So, nun bin ich fertig. Jetzt kann eure Kritik folgen.
@Cool Master
Zitat:
Zitat von Cool Master
Bevor ich was schreibe mach ich das z.B. in Word und poste das dann nicht 10000 mal
Viele Wege führen nach Rom. Was ist los? Warum stört Dich das? Bekommst Du jedes mal eine Nachricht, wenn ich einen Beitrag aktualisiere? Tät mich mal interessiern.
Das Problem für einige ist einfach, dass du dir anmaßt sinnlos zu spammen.
Übersetzt, damit man derartiges versteht heißt das einfach, dass auch in Foren ein gewisses Herdendenken herrscht, sprich manches einfach cool ist und anderes nicht. Dazu zählt zum Beispiel mehr als andere schreiben (der Gehalt ist daabei irrelevant, ab einer bestimmten Anzahl ist man einfach ein Spammer) und dazu zählt das benutzen von widerlichen Blaufarben, genauso wie das mehrmalige untereinanderposten eigener Sachen.
Außerdem ist es für einige einfach bequemer mal eben "spammer" o.ä. zu tippen als einen gehaltvollen Beitrag zu verfassen, und so dem Herdentrieb gerecht zu werden.
Ich würde dir gern eine weitere positive Bewertung für deine Mühe geben, aber ich muss erstmal andere Bewerten, tut mir leid.
Ich find es auch unfair von allen, die diese Arbeit nicht würdigen und sie im gleichen Atemzug sogar ncoh negativ bewerten.
Und um nicht selber noch ins totale Offtopic abzurutschen, werde ich mich jetzt wieder ganz dem Thema widmen.
------------------------------------------------------------------------
Wenn eine Firewall effektiven Schutz gegen Würmer bietet, wieso installier ich dann nicht einfach eine, und geb einfach Sachen wie der "Datei- und Druckerfreigabe" (eigentlich als NetBios bekannt) Zugriff - sowohl von außen als auch von innen?
Eine Firewall kann nur das schützen, was sie blockiert. Ist der Dienst freigegeben, können Packete ungehindert durch. Dazu zählen auch Würmer und ähnliches. Daher sollte mit offenen Ports steht restriktiv umgegangen werden, und nur das freigeschaltet werden, was man wirklich benötigt. Und die "Datei und Druckerfreigabe" hat z.b. über das Internet keinen Sinn.
"Ich bin der Meinung Spyware auf meinem Rechner zu haben, was kann ich dagegen tun bzw. wie erkenne ich das?"
Es gibt viele Möglichkeiten einem derartigen Problem zu begegnen. Die beste hierbei ist Wissen. Wer weiß welcher Prozess wofür zuständig ist und welche software was mitbringt und wie man das entdeckt, der hat schon die halbe Miete. Dann brauch man nur noch die "löschen" taste und alles ist okay.
"Wissen ist ja schön und gut - aber wie bekomme ich das."
Das einfachste ist, vor dem Installieren von Software erst einmal in einschlägigen Foren & Newsseiten zu suchen, ob es vielleicht ein bekanntes Problem mit dieser Software gibt. Wird man nicht fündig, so ist der nächste Schritt die Installation der Software selbst, eine Dektop Firewall mit eingeschalteter PRogrammmkontrolle vorrausgesetzt.
meldet nun die Firewall, dass ein bestimmter Prozess Zugriff auf das Internet haben möchte, so kann man erstmal bequem nach dem Namen des Prozesses googlen, wobei man bei den meisten wirklich fündig wird.
Der nächste Schritt wäre dann noch zur Siocherheit eine Such Software wie Ad.Aware über die eigenen Platten laufen zu lassen, und man sollte vor Spyware sicher sein.
Genau Tele du sagt es es ist einfach nur Spam. Wie ich schon geschrieben habe erst z.B. in Word verfassen und dan Posten nicht 6 mal oder wie oft es ist. Ich habe keine Negative Bewertung gegeben habe ich bis jetzt noch gar nicht!! Und wenn das Niveau so bleibt wird es auch keine Negativen Bewertungen geben.
Edit:
Ich bin nicht so ich gebe die auch ne Positive Bewertung für deine Mühe
Edit 2:
Kanns nicht alle Beiträge nehmen und in einen packen?
Geändert von Cool Master (21.01.2005 um 22:43 Uhr)
Damit warst Du doch nicht gemeint. Ich habe Dich doch erst am Schluß meines Beitrages angesprochen.
Zitat:
Zitat von Cool Master
Genau Tele du sagt es es ist einfach nur Spam. Wie ich schon geschrieben habe erst z.B. in Word verfassen und dan Posten nicht 6 mal oder wie oft es ist.
Das kann ich jetzt nicht so richtig nachvollziehen. Ich habe mit meinen Beiträgen schließlich keine Fragen gestellt, die ich hier beantwortet haben wollte. Es geht darum, eine FAQ zu schreiben. Und zwar eines mit einer sehr umfangreiche Thematik. Es ist einfach übersichtlicher, wenn jedes abgeschlossene Thema für sich steht. Das war nicht böse gemeint und schon gar nicht als spam gedacht. Ich dachte der Leser wird schon zwischen einer FAQ und einem normalen Thread unterscheiden können ... Offensichtlich habe ich da falsch gedacht.
Wenn das jetzt viele Leser als störend und nicht als nützlich empfinden, dann kann ich das Format natürlich ändern.
@tele
Jub. Das mit der blauen Farbe ist schon ein wenig aufdringlich. Allerdings wollte ich in beiden Threads dasselbe Format beibehalten. Und um die Zusammenfassungen von den anderen Threads farblich abzuheben, war blau noch die beste Frabe. Hast Du eine bessere Idee?
@Cool Master:
Meinst Du das ernsthaft? Zum "Erfahrungsbericht von User für User" paßt der Thread doch überhaupt nicht. Ehrer zu Tutorials. Allerdings steht im Eröffnungsbeitrag, warum der Thread hier und nicht unter Tutorials angelegt wurde.
PS: Das ist nett, daß Du mich persönlich bewertet hast. Danke. Allerdings meinte ich die Bewertung des Threads hier. Der andere Ursprungsthread ist nämlich mächtig in die Hose gegangen. Und das möchte ich hier verhindern. Also brauche ich in erster Linie das Sterne-"Barometer", um zu vermeiden, daß ich wieder an den Lesern vorbeiposte. Ausserdem ist das Sterne-Bewertungssystem seriöser, da ich mir mit der Bitte um die Sterne-Bewertung keine Punkte für meinen Account erschleichen kann. Vermutlich hat das auch tele falsch verstanden (?). Trotzdem danke.
ich habe gerade über die PM einen weiteren Hinweis mit den Copy&Past + Word erhalten. Hier liegt wohl ein größeres Missverständnis vor. Das hier ist keine FAQ die von einer Person aufgebaut wird, sondern von mehreren. Normalerweise wird hier wie in dem Ursprungsthread erst eine Frage gestellt, die dann von den Lesern beantwortet und diskutiert wird. Nach jedem Thema werden die Erkenntnisse in kurze, blau markierte Beiträge zusammengefasst. Schlussendlich soll ein Leser später den Thread nur noch überfliegen müssen. Bei den blau markierten Stellen bleibt er stehen und liest die kurzen Zusammenfassungen. Alternativ dazu kann er auch die Links in dem ersten Beitrag anklicken. Ist eine Zusammenfassung für ihn unklar oder gar strittig, so kann er die davor stehenden Ausführungen lesen.
Aus diesem Grund heißen die Beiträge „Zusammenfassungen“. Allerdings fehlen hier die Fragen und Debatten zu den alten Themen. Der Grund liegt darin, dass alle bisherigen Zusammenfassungen aus dem anderen Thread “Firewall FAQ für Fortgeschrittene“ herübergezogen wurden (sie passen von der Thematik her besser in den neuen Thread „Firewall FAQ für Laien“). Die Lösung: Gibt es eine Debatte zu einem Thema, so ist hinter dem Wort „Zusammenfassung“ in dem Beitrag ein Link dorthin hinterlegt.
Ich verstehe schon, dass der Aufbau für jemanden, der den alten Thread nicht kennt, auf den ersten Blick unlogisch erscheint. Allerdings wird das alles im ersten Beitrag kurz erklärt.
Bei dieser Art der FAQ stellt der erste Beitrag (Eröffnungsbeitrag) die Zentrale für den Leser dar. Dort befindet sich das Inhaltsverzeichnis. Hier klickt man die Themen an, die einen interessieren. So gelangt man schnell zu den Zusammenfassungen und überspringt quasi die Debatten dazwischen. Nur wer sich aktiv an dem Thread beteiligen möchte, muß sich in die Tiefen des Sumpfs begeben. Wenn alle alten Themen vollständig umgezogen sind (was ca. bis Ende der nächsten Woche der Fall sein wird, da ich noch einiges umschreiben muß), wird der Sinn klarer werden. Dann kommen neue Fragen hinzu, die hier diskutiert werden können – gefolgt von neuen Zusammenfassungen.
Wenn Du eine bessere Idee zum Aufbau einer Gemeinschafts-FAQ hast, dann wäre ich Dir für einen Tipp dankbar.
Genau Tele du sagt es es ist einfach nur Spam. Wie ich schon geschrieben habe erst z.B. in Word verfassen und dan Posten nicht 6 mal oder wie oft es ist. Ich habe keine Negative Bewertung gegeben habe ich bis jetzt noch gar nicht!! Und wenn das Niveau so bleibt wird es auch keine Negativen Bewertungen geben.
Du scheinst die Ironie nicht gemerkt zu haben ich würde einem derartigen Artikel, egal ob er über mehrere postings geht oder nicht, nie derart herabwürdigen.
Danke tele. Wüßte gar nicht, womit ich diese Ehre verdient habe. Aber ich befürchte, dass viele Leser das eventuell so sehen könnten, wie Du es ironischer Weise geschrieben hast. Zumindest ist Cool Master einer von ihnen (an dieser Stelle noch einmal danke @Cool Master für die Kritik, denn das ist weit besser, als nichts dazu zu sagen ). Da es offensichtlich nicht an Lesern mangelt, aber dennoch keine weiteren Sterne-Bewertungen zum Thread gibt, denke ich, dass die meisten Leser mit dem Aufbau des Threads ebenfalls unzufrieden sein könnten. Mein Vorschlag: So lange beide Threads noch nicht beendet wurden, belassen wir es, wie es ist (ich wüsste auch nicht, wie ich die bilaterale Form einer Multi-User-FAQ anders realisieren sollte). Nach der Fertigstellung könnte ich dann jeden Zusammenfassungsbeitrag dort herausziehen und in je eine endgültige FAQ untereinander stellen. Damit würden die aktuellen Threads zu diskussionsthreads umgewandelt, auf die ich dann in den Beiträgen verlinken kann. Mit anderen Worten gibt es dann eine FAQ für Laien und eine für Fortgeschrittene, welche wie ein Buch aufgebaut sind (Inhaltsverzeichnis + untereinander liegende Beiträge). Also keine Debatten und Zusammenfassungen zu den einzelnen Themen mehr. Dieses Problem lässt sich jedoch wirklich erst dann beseitigen, wenn die Threads zuvor endgültig beendet sind.
Das mit der Farbe blau ist ein Thema für sich. Wenn ich die Themen, wie gerade beschrieben, in der endgültigen Version zusammenziehe, dann brauche ich keine farbliche Abgrenzung mehr zu den Debatten. Also könnte ich das dann weglassen. Allerdings habe ich die Beiträge mehreren Leuten gezeigt und mich mit ihnen beraten. Von allen wurde es positiv aufgefasst, dass die wichtigsten Aussagen dadurch hervorgehoben wurden. Damit lassen sich die Texte besser überfliegen, was bei dieser Masse von Informationen sehr hilfreich ist. Also bin ich mir nicht sicher, ob ich das wirklich weglassen soll, oder nicht. Wenn jemanden etwas an dieser Thematik liegt, dann sollte er sich dazu äußern, finde ich.
Dann wurde von Cool Master bemängelt, dass mehrere Posts von mir erstellt wurden, um die einzelnen Themen in sich abzugrenzen. Und Du hast in deinem ironischen Beitrag geschrieben, dass „man“ das nicht so macht, weil das als spam gewertet wird. In andern Foren ist das bei TUTs aber durchaus üblich, um bestimmte Sachverhalte voneinander zu trennen. Und bei den Lesern, mit denen ich mich beraten habe, wurde das auch als angenehm empfunden. Es kann natürlich sein, dass ihr das in eurem Forum nicht so haben wollt. Also, wenn das als störend empfunden wird, dann meine ich, sollten sich mehr Leser dazu äußern.
@all
Das schwerwiegendste Problem für mich ist, dass ich nicht weiß, ob die Beiträge hier in einer ausreichenden Form vorliegen und verständlich genug formuliert wurden. Wenn ihr also mit dem oben beschriebenen Aufbau in den endgültigen FAQ’s einverstanden seid, dann bewertet doch bitte mit dem Sterne-System wenigstens die Verständlichkeit der Beiträge. Wenn sie unverständlich sind und ich keinerlei Änderungshinweise dazu bekomme, macht es wirklich keinen Sinn, die FAQ weiterzuführen.
Zudem benötige ich von euch Vorschläge, welche Themen ihr hier noch behandelt haben wollt. Danke.
Hallo!
Ich finde die FAQ auch schon sehr gelungen.
Ich würde aber glaube ich die Reihenfolge etwas ändern.
Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären, damit man, wenn man später diese nutzt davon ausgehen kann, das diese klar sind.
Die sehr detalierte Beschreibung die jetzt schon gegeben ist, kann ruhig hinten an stehen, da diese nicht zwingend direkt mit dem Thema Firewalls zu tun hat.
Nur denke ich ist es besser diese wichtigen begriffe in einer kurzen Fachwortliste zu erwähnen.
Quasi so:
IP-Adresse: Eindeutige Adresse in einem Netzwerk um einen Computer zu adressieren. Ähnlich einer hausnummer.
Port: "Tür" an einem Rechner über die Programme kommunizieren können.
...
Und dann später die ausfhrlichen beschreibungen wie eine IP aufgebaut ist usw...
Und nochwas:
Direkt zum Begriff Firewall: Engl. Feuerwand, Einrichtung um Computer in einem Netzwerk zu schützen.
Direkt zum Begriff Firewall: Engl. Feuerwand, Einrichtung um Computer in einem Netzwerk zu schützen.
Habe das gerade eingepflegt. Danke für den Tipp.
Zitat:
Zitat von Pirke
Ich würde aber glaube ich die Reihenfolge etwas ändern. Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären, damit man, wenn man später diese nutzt davon ausgehen kann, das diese klar sind.
Keine schlechte Idee. Allerdings dachte ich, daß es auch Sinn macht, erst einmal zu klären, was eine Firewall ist und wozu sie gut ist, bzw. wann man diese braucht. Sozusagen als Einführung in die Thematik. Dann erst wollte ich auf die Begriffe und Regeln, etc. eingehen. Ich finde, beides hat etwas für sich. Ich habe mir den Text noch einmal durchgelesen. Bevor die Begriffe erklärt werden, komme ich lediglich einmal auf die IP-Adresse und einmal auf einem Dienst zu sprechen. Ich habe die Begriffe einfach mit den entsprechenden Beiträgen verlinkt. Womöglich reicht das als Lösung?
Zitat:
Zitat von Pirke
Und zwar würde ich die Begriffe IP, Dienst und Port zu anfang kurz erklären … Die sehr detalierte Beschreibung die jetzt schon gegeben ist, kann ruhig hinten an stehen, da diese nicht zwingend direkt mit dem Thema Firewalls zu tun hat. Nur denke ich ist es besser diese wichtigen begriffe in einer kurzen Fachwortliste zu erwähnen. Quasi so: IP-Adresse: Eindeutige Adresse in einem Netzwerk um einen Computer zu adressieren. Ähnlich einer hausnummer. Port: "Tür" an einem Rechner über die Programme kommunizieren können. ... Und dann später die ausfhrlichen beschreibungen wie eine IP aufgebaut ist usw
Eigentlich wollte ich eine Thematik möglichst in sich abgeschlossen behandeln. Indem die Kurzbeschreibungen farblich hervorgehoben wurden, habe ich gehofft, beides irgendwie unter einem Hut zu bringen: Kurzbeschreibung + Detailinformation in einem einzigen Beitrag. Lediglich dort, wo ich einen etwas größeren Sprung vollziehen kann, habe ich die Themen voneinander getrennt (z.B. das Problem mit dem Source- und Destination-Port weg von der Port-Beschreibung, etc.).
Wenn ich auf Deinen Vorschlag eingehe, müsste ich die Beiträge noch ein weiteres Mal auftrennen. Momentan befürchte ich, daß die Übersichtlichkeit mehr darunter leiden würde, als es nutzen bringt. Hm, das muß ich mir noch einmal durch den Kopf gehen lassen … @All: Meint noch jemand, daß die Aufteilung so besser wäre?
NAT (Network Adress Translation) ist ein technisches Verfahren, welches einen Proxy auf der OSI-Schicht 4 abbildet. Es wurde entwickelt, um eine IP-Adresse eines Netzwerkpakets durch eine andere zu ersetzen, während es das NAT-Gerät passiert. NAT, auch „basic NAT“ und „static NAT“ genannt, kann immer nur eine einzige interne (private) IP-Adresse auf eine externe (öffentliche) IP-Adresse abbilden. Man spricht deshalb von einer 1:1 Übersetzung. NAT selbst ist kein Sicherheitsfeature, da es sämtliche Anfragen weiterleitet, ohne die Pakete zu filtern.
PAT
PAT (Port and Address Translation) erweitert das NAT-Konzept um eine dynamische Portumsetzung, wodurch ein komplettes privates Netz über eine einzige offizielle IP-Adresse mit dem Internet verbunden werden kann. Man spricht von einer n:1 Übersetzung. Im Gegensatz zu dem ursprünglichen statischen NAT wird dieses Verfahren je nach Impelmentierung auch „NAPT“, „dynamic NAT“, „IP-“ oder „NAT-Masquerading“ bzw. „hiding NAT“ genannt.
NAT-Router
NAT-Router sind Geräte, die das PAT-Konzept in Form eines transparent Proxys umsetzen. Den „Router“ im Namen erhielten sie aus rein marketingtechnischen Gründen, obgleich sie aus netzwerktechnischer Sicht nichts mit einem konventionellen Router gemein haben. Der Grund dafür wird im Router-Artikel genauer erklärt.
Der Weg zum PAT:
Die Herausforderung mit den inkompatiblen Netzwerkadressen
Wenn man seinen eignen Rechner aus dem privaten Netzwerk auch für das Internet zugänglich machen möchte, gilt es zunächst folgendes Problem zu lösen: Die IP-Adressen nebst Subnetzmaske sind auf die Bedürfnisse in dem privaten Netzwerk ausgelegt und deshalb nicht für eine direkte Verbindung mit dem Internet gedacht und geeignet. So ist der Betreiber des privaten Netzwerks der alleinige Gebieter über die Infrastruktur in seinem Netz. Er legt die Zuordnung der Adressen fest und muss selber dafür sorgen, dass es hier keine Konflikte gibt. Das Internet ist jedoch ein vollkommen anderes Netz, mit anderen Regeln und unter fremder Verwaltung. Eine direkte Integration des kompletten privaten Netzwerks in das Internet ist nicht möglich, solange die Infrastrukturen und Adressen nicht miteinander kompatible sind.
Der Multi-Homing-Host
Eine mögliche Lösung dafür bietet der Einbau einer zweiten Netzwerkkarte in den Rechner, der mit dem Internet verbunden werden soll. Diese verbindet man mit dem Internet (sie wird an das DSL-Modem angeschlossen). Über das Modem holt sich die Karte von dem Internetprovider eine freie Internet-IP-Adresse, damit IP-Pakete aus dem Internet korrekt an den Rechner adressiert werden können.
Der Rechner ist nun ein Multi-Homing-Host, welcher zwei IP-Adressen verwaltet und in zwei Netzwerken zuhause ist. Über die zweite Netzwerkkarte kann er direkt auf das Internet zugreifen und dort auch Dienste bereitstellen (er kann selbst als Internetserver fungieren). Über die andere Netzwerkkarte ist der Rechner wie gewohnt aus dem internen Netz erreichbar.
Bildlich vergleichen lässt sich das mit einem Haus, welches sich zwischen zwei Straßen befindet und auf beiden Straßenseiten eine Eingangstür hat. Sollen Pakete das Haus (den PC) verlassen, die an ein Haus aus der Straße1 adressiert sind (dem privaten Netz), so wird die Haustür (die Netzwerkkarte) zur Straße1 benutzt. Anfragen an Häuser aus der Straße2 (dem Internet) gehen über den anderen Hauseingang. Das Haus selbst hat somit zwei Adressen: Eine in Straße1 und eine weitere in Staße2, wodurch es von beiden Straßen aus direkt erreicht werden kann.
NAT
Ein Manko des Multi-Homing-Host ist es, dass sich der Internetanschluss in unmittelbarer Nähe des Rechners befinden muss, der mit dem Internet verbunden wird. Stellt der Rechner Internetdienste bereit, so ist es sehr aufwendig, bei einem Ausfall des Rechners ersatzweise einen anderen Rechner einzubinden, der sich an einem anderen Standort befindet.
Das NAT-Konzept sollte helfen, dieses Manko zu überwinden: Statt den Rechner über eine zweite Netzwerkkarte direkt an das Internet anzuschließen, wird stellvertretend für ihn ein spezielles Gerät mit dem Internet und dem privaten Netzwerk verbunden.
Auf das vorherige Beispiel bezogen, erhält das Haus (der PC) nur einen Eingang zur Straße1 (dem privaten Netz). Irgendwo in seiner Straße (in seinem Netz) befindet sich nun ein Durchgangsgebäude (das NAT-Gerät), welches auf beiden Straßenseiten eine Tür (eine Netzwerkkarte) hat. Dieses Durchgangsgebäude funktioniert wie ein automatisiertes Postfach, welches alle dort eingehenden Pakete aus dem Internet an den im Postfach festgelegten Empfänger des internen Netzes (den PC) weiterleitet. Dafür ändert er die Adresse der Netzwerkpakete dahingehend, dass nun als Adressat der interne Rechner zu erkennen ist, ehe er die Pakete in das interne Netz weiterreicht (man spricht von „Destionation NAT“ / DNAT).
Schickt hingegen der Rechner ein Paket durch das NAT-Gerät hindurch in das Internet, so versieht das NAT-Gerät das Paket automatisch mit seiner eigenen Absenderadresse, damit die Antwortpakete auch wieder an das Postfach (das NAT-Gerät) adressiert werden (hier spricht man von „Source NAT“ / SNAT). Auf diese Weise wird die Absenderadresse des Rechners auf dem Weg zum Internet in eine öffentliche (internetkompatible) Adresse übersetzt.
PAT
Das PAT-Konzept erweitert das NAT-Konzept um eine dynamische Portumsetzung, mit dem Ziel, über ein einziges PAT-Gerät mehreren Rechnern des internen (privaten) Netzwerks gleichzeitig den Zugang zum Internet zu ermöglichen.
Das funktioniert wie folgt: Auf dem internen Rechner startet eine Applikation, die eine Netzwerkanfrage an den Internetserver:PortX stellt und ihm gleichzeitig mitteilt, dass die Antwort bitte zurück zu dem PC:PortY (dem Rückgabeport der Applikation) zu schicken ist, damit die Applikation die Antwort auch erhält.
Bei der ausgehenden Verbindung übersetzt das PAT-Gerät genau wie bei NAT die Absenderadresse in seine eigene Adresse. Zusätzlich aber weist es der Verbindung einen anderen Port zu und trägt die ursprünglichen Daten in eine Tabelle ein. Die neue Absenderadresse für diese Verbindung lautet nun PAT-Gerät:PortA. Eine andere Verbindung erhält die Absenderadresse PAT-Gerät:PortB, etc., ehe die Netzwerkpakete in das Internet geleitet werden.
Da die Antwortpakete je nach Verbindung nun auf dem PAT-Gerät:PortA bzw. PortB, etc. eintreffen, kann das Gerät anhand seiner Tabelle schnell die ursprünglichen Adressdaten ermitteln und die Adresse in den Netzwerkpaketen entsprechend ändern, ehe sie in das interne Netz geleitet werden. So erreichen die Antwortpakete die richtigen Rechner auf deren korrekten Rückgabeports.
Durch die dynamische Portumsetzung ist es möglich, ein komplettes privates Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden. Aufgrund seiner Arbeitsweise macht PAT aber noch mehr als das: Da durch PAT lediglich einzelne Ports bei einer internen Verbindungsanforderung dynamisch mit einem internen Rechner verbunden werden, wird hier eine Filterung der Pakete realisiert. Eine Anfrage aus dem Internet an „PAT-Gerät:PortXYZ“ blockiert das PAT-Gerät (solange keine Port-Forwarding-Regel darauf existiert), denn je nach Implementierung sind selbst die dynamisch geöffneten Ports nur von der Adresse aus ansprechbar, an die die Verbindung gerichtet ist, wobei alle anderen Port gesperrt bleiben (wo sollten sie auch hinzeigen?).
Vermutlich aufgrund der richtigen Erkenntnis, das (static-) NAT kein Sicherheitsfeature darstellt, hält sich im Internet hartnäckig das Gerücht, dass auch dynamic NAT, also PAT, kein Sicherheitsfeature ist. Das ist bei PAT allerdings nicht richtig. PAT revolutionierte die Paketfilterung sogar entscheidend, da hierbei keine Trojanerports mehr von Hand gesperrt werden müssen (alle nicht explizit geöffnete Ports werden durch PAT automatisch blockiert).
Warum (staitc-) NAT kein Sicherheitsfeature darstellt
Bei einem Multi-Homing-Host ist eine mögliche Attacke aus dem Internet direkt und ungefiltert an den daran angeschlossenen Netzwerkadaptern des Rechners gerichtet. Wird der Rechner erfolgreich eingenommen, so ist nun ein ungehinderter Zugriff auf das interne (private) Netzwerk möglich. Bei dem (static-) NAT-Verfahren richtet sich die mögliche Attacke zwar an die Adresse des NAT-Gerätes, welches allerdings sämtliche Anfragen 1:1 ungefiltert an den internen Rechner weiterleitet. Daher ändert NAT an diesem Zustand nichts; der externe Zugriff auf sämtliche Netzwerkdienste des internen Rechners wird durch NAT nicht eingeschränkt, weshalb er auf deren Ports angreifbar bleibt.
Ursprünglich stammt der Begriff DMZ (demilitarisierte Zone) aus dem Militär und bezeichnet eine Pufferzone zwischen zwei feindlichen Linien. Im Netzwerkbereich bildet eine DMZ ein separates Netz, welches zwischen dem internen (privaten) und dem externen Netz (dem Internet) liegt. In einer DMZ befinden sich Rechner aus dem eigenen Netz, welche in der Regel Ressourcen bereitstellen, auf die auch aus dem externen Netz heraus zugegriffen werden soll (z.B. ein eigener Webserver, eMailserver, etc.).
Zwischen dem externen Netz und der DMZ befindet sich eine löchrige Firewall, die es erlaubt, aus dem externen Netz heraus auf die Rechner innerhalb der DMZ zugreifen zu können. Manchmal beschränkt die externe Firewall den Zugriff auf einige wenige Rechner des externen Netzes. Oftmals soll sie aber lediglich dafür sorgen, dass der Zugriff ausschließlich auf die freigegebenen Ressourcen (Ports) der Rechner erfolgt.
Die Rechner innerhalb der DMZ sind nur sehr rudimentär gegen Angriffe geschützt, da ein Angreifer praktisch direkt auf den Rechner zugreift (über Port-Forwarding oder einem Reverse Proxy bzw. static NAT) und dadurch Schwächen des freigegebenen Dienstes ausnutzen kann. Wird ein DMZ-Rechner eingenommen, so kann der Eindringling von dort aus auf alle Rechner innerhalb der DMZ direkt zugreifen. Und zwar auch auf die Ressourcen, welche eigentlich durch die externe Firewall geschützt sind.
Normalerweise wäre nun der Firewallschutz für die internen Rechner dahin. Nicht so bei der DMZ, denn das DMZ-Netz ist über ein weiteres Firewallmodul mit dem internen Netz verbunden. Die interne Firewall hat keine Löcher. Per Standardeinstellung ist es keinem Rechner aus der DMZ erlaubt, auf einen Rechner des internen Netzes zuzugreifen. Ein erfolgreicher Hack eines DMZ-Rechners ermöglicht es dem Angreifer also nicht, über die DMZ hinweg in das interne Netz einzudringen.
Deshalb gehören Rechner, die durch eine Port Forwarding-Regel direkt zugreifbar gemacht wurden, grundsätzlich in eine DMZ. Mit einer Ausnahme: Einige Hersteller von billigen Geräten (vornehmlich DSL-Router für den Home-Bereich) bieten aus Kostengründen nicht die technischen Voraussetzungen für eine DMZ. Die Marketing-Strategen nehmen nun ein vollkommen anderes Feature, was mit einer echten DMZ nicht das Geringste zu tun hat und verkaufen es unter dem Namen „DMZ“. Sie bewerben ihre „Firewall“ also bewusst mit einem falschen Fachbegriff und nehmen das erhöhte Sicherheitsrisiko des Kunden billigend in Kauf. Denn durch dieses in der Fachwelt als „exposed Host“ benannte Feature wird die Sicherheit nicht erhöht, sondern erheblich verringert. In eine solche „exposed DMZ“ sollte man seinen Rechner auf keinen Fall stellen. Welche Gefahren sie birgt und wie man erkennen kann, ob die Firewall eine echte DMZ anbietet, wird in der „Firewall FAQ für Fortgeschrittene“ erklärt.
In Bezug auf eine externe Firewall versteht man unter Port Forwarding das statische Durchschleifen eines Ports der Firewall zu einem Rechner aus dem internen Netz oder vorzugsweise zu einem Rechner aus der DMZ. Auf diese Weise kann ein interner Rechner trotz externer Firewall Internetdienste bereitstellen. Ein Rechner aus dem Internet erreicht den Dienst über die Adresse der Firewall, welche alle an den entsprechenden Port gerichteten Anfragen nun an den internen Rechner weitergereicht. Der interne Rechner kann so die Anfragen der Internetrechner genauso verarbeiten und beantworten, als wenn er direkt angesprochen wurde.
Reverse Proxy
Die Reverse Proxies einer Firewall bieten die gleiche Funktionalität wie Port Forwarding. Da sie das Netzwerkprotokoll verstehen, sind sie zudem in der Lage, die Daten der Netzwerkpakete zu analysieren und zu bearbeiten. So können sie z.B. einen Virenscan vornehmen oder Regeln realisieren, die sich auf die Paketinhalte beziehen.
Reverse Proxies werden auch dazu verwendet, um an der Firewall vorbei auf einen internen Rechner zugreifen zu können. Dazu baut der interne Rechner eine Verbindung zu einem externen Rechner auf, wodurch der externe Rechner nun über die Firewall hinweg mit dem internen Rechner kommunizieren kann (gemäß PAT). Läuft auf dem externen Rechner ein Reverse Proxy, so können nun beliebige andere Rechner auf den internen Rechner hinter der Firewall zugreifen, indem sie ihre Anfragen an den Reverse Proxy des externen Rechners schicken (der Reverse Proxy leitet die Anfragen an den internen Rechner weiter). Der interne Rechner ist somit über die Adresse des externen Rechners auf dem Port des Reverse Proxys erreichbar.
Port Forwarding sollte mit bedacht eingesetzt werden, da hierdurch bildlich gesehen eine Tür in der Firewall geöffnet wird, welche direkt auf den Dienst des internen Rechners zeigt. Ein Angriff auf diesen Port geht zwar noch immer an die Adresse der Firewall, jedoch werden die Netzwerkpakete nun geradewegs an den dazugehörigen Rechner weitergereicht, was einer direkten Attacke auf dem Rechner gleichkommt. Damit ist dieser Rechner für DoS-Attacken prädestiniert. Zudem lässt sich dadurch die Übernahme des Rechners durchführen, wenn dies über eine mögliche Schwachstelle im Dienst realisierbar ist.
Der Begriff VPN steht für ein “virtuelles privates Netzwerk”. Wie ist das zu verstehen? Dafür gibt es eine technisch korrekte und eine einfache Erklärung, wobei man für erstere Grundkenntnisse der Netzwerkarchitektur benötigt und letztere den Nachteil hat, dass sie das Wesen von VPN nicht vollständig erfasst.
Technisch korrekt ist die Erklärung, dass ein Netzwerk eine bestimmte Infrastruktur hat, mit der alle dort angeschlossenen Netzwerkkomponenten (also auch die Computer) kompatible sein müssen, um gegenseitig direkt ansprechbar (adressierbar) zu sein. Mit Hilfe von VPN wird die Infrastruktur eines bestimmten „privaten“ Netzwerks auf dem Rechner virtuell nachgebildet, damit man ihn aus einem beliebigen anderen Netzwerk heraus über ein VPN-Einwahlknoten praktisch direkt in dieses „private“ Netzwerk hängen kann (der Rechner ist dann von dort aus direkt ansprechbar – praktisch so, als befände er sich mittendrin).
Einfacher wird die Erklärung, indem man das Augenmerk von VPN auf die Verschlüsselung legt (eine wichtige Eigenschaft, welche eine VPN-Verbindung in der Regel hat – allerdings, und darin besteht der Haken, nicht haben muss):
Ein privates Netz besteht in der Regel aus Rechnern, welche direkt miteinander verbunden sind und deren Kommunikation aus einem externen Netz (z.B. dem Internet) nicht eingesehen werden kann. Mit Hilfe von VPN ist es nun möglich, private Netzwerke über unsichere Netze hinweg so miteinander zu verbinden, dass die Verbindung nicht ausspioniert werden kann (sie bleibt bildlich gesehen also „privat“). Das Internet ist ein solches unsicheres Netz, da es über öffentlich zugängliche Kanäle aufgebaut wurde (sämtliche unverschlüsselte Netzwerkpakete lassen sich im Internet durch dritte einsehen und natürlich auch missbrauchen).
VPN nutzt dafür Verschlüsselungsmechanismen, welche die Netzwerkverbindung zwischen den VPN-Einwahlknoten codieren. VPNs machen aber noch mehr, als bloße Verschlüsselung: Der eigentliche Clou an VPN ist die komplette Verkapselung eines Netzwerkpaketes incl. dessen Header (aus dem ja auch Informationen gezogen werden können) und der Ersatz des Headers durch einen so genannten "Encryption Protocol Header". Das Paket wird so durch ein unsicheres Netz (z.B. Internet) übertragen und erst an der "Gegenstelle" wieder in seine ursprüngliche Form decodiert.
Beispielanwendungen von VPN
Über VPN können z.B. lokale Netze mehrerer Geschäftsstellen über das Internet auf eine sichere Art miteinander verbunden werden (eine so genannte „Site-to-Site“-Verbindung).
Ein Mitarbeiter eines Unternehmens kann über VPN von zuhause aus einen gesicherten Zugriff auf das Firmennetz erlangen. Dazu wählt sich der Mitarbeiter zunächst bei einem beliebigen Internetprovider ein, startet dann eine VPN-Software (den VPN-Client) und baut eine Internetverbindung zum VPN-Einwahlknoten seiner Firma auf. Nach der Authentifizierung hat er Zugriff auf das Firmennetz - gerade so, als säße er mittendrin. Diese Verbindungsart wird auch „Site-to-End“ genannt.
Es besteht auch die Möglichkeit, dass sich innerhalb eines privaten Netzes zwei Clients über VPN miteinander unterhalten können, ohne dass die Kommunikation im privaten Netz durch dritte eingesehen werden kann.
Ähnlich wie bei der Einwahl eines Home-PCs in ein Firmennetz, können sich natürlich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen. Ein privates (datentechnisch abgekapseltes) Netz innerhalb des privaten Netzes also, bei dem die Client bis zum VPN-Einwahlknoten dieselbe physikalische Leitung verwenden, wie alle anderen Clients des Netzes auch. Mit dem Unterschied, dass sämtliche VPN-Netzwerkpakete verschlüsselt übertragen werden können.
... Textfarben... Wenn jemanden etwas an dieser Thematik liegt, dann sollte er sich dazu äußern, finde ich.
Nach mehreren Stunden Lektüre (Firewall FAQ, fortgeschritten und für Laien), hab ich mich mal für ein kurzes Feedback registriert. Ich bin kein IT-Profi, sondern sehe die PC-Welt als mein Hobby (Basteln, Konfigurieren, Spielen, Surfen etc.). Mit diesem Blickwinkel habe ich folgende Meinung zu den angesprochenen Threads.
1) Ich finde die gebotenen Informationen größtenteils informativ und i.d.R. verständlich. Manches ging mir jedoch zu sehr in die Tiefe, so dass ich dies nur überflogen habe.
2) Das Engagement der Diskussionsteilnehmer finde ich beeindruckend und bewerte schon aus diesem Grund die Beiträge positiv. Gelernt habe ich natürlich auch einiges.
3) Das Frage-/ Antwortspiel ist ok - mal was anderes (Schule ist ja schon lange her).
4) Hervorhebungen im Text finde ich gut, sollten nur nicht übertrieben werden.
5) Im Laien-Bereich wünsche ich mir noch mehr Praxisbezug. D.h. Beispiele mit empfehlenswerten Programmen/ Hardware (für SOHO). Evtl. noch mehr weiterführende Links.
6) Fazit: Sehr informative Threads mit netten humoristischen Einlagen.
7) ach ja: ... das "mer" für "man" hat mich mit der Zeit doch ziemlich genervt.
Zitat:
Zitat von Ronald
Zudem benötige ich von euch Vorschläge, welche Themen ihr hier noch behandelt haben wollt. Danke.
Bye, Ronald
Vorschlag, was mich interessieren würde:
Seit kurzen sind die NForce4-Boards mit "Active Armor" im Handel erhältlich und ich habe mir ein GA-K8NXP-9 zugelegt. Jetzt stehe ich vor der Entscheidung, welche Firewall(s) ich installieren bzw. noch kaufen sollte.
Wenn ich das alles richtig verstanden habe, ist die im NForce4 integrierte Firewall (inkl. Software) keine "externe Firewall", sondern eine "interne Firewall", die gemeinhin auch als Desktop- oder Software-Firewall bezeichnet wird. Der Vorteil ist schlicht und einfach, dass durch die Hardwareunterstützung ein Performance-Gewinn erzielt wird (vgl. http://www.de.tomshardware.com/motherboard/20041026/nforce4-04.html) Liege ich da richtig oder gibt es einen zusätzlichen Sicherheitsgewinn? Auf tweakpc habe ich zu diesem Thema bisher nur hier etwas gefunden: http://forum.tweakpc.de/showthread.php?t=19467&highlight=nforce4+firewall
Während ich bei meinem alten PC noch auf die Sygate-Firewall, bei abgeschalteter Windows-Firewall, vertraut habe, denke ich nun, dass ich den gleichen Schutz mit dem "NVidia Network Access Manager" und ausgeschalteter Windows-Firewall erreiche - bei geringerer CPU-Last. Zur Info: In meinem Heimnetz geht i.d.R. 1 weiterer Rechner über die Windows-Internet-Freigabe mit ins Netz (der hätte dann noch die Sygate-Firewall). Die DSL-Verbindung wird manuell direkt über ein externes USB-Modem hergestellt (kein Router).
Es ist mir bewusst, dass eine zusätzliche externe Firewall, z.B. in einem noch anzuschaffenden Router eine zusätzliche Sicherheit bringt - ohne einen Performanceverlust hinnehmen zu müssen. Da ich jedoch nicht zu den "Always-On" Personen gehöre, frage ich mich, ob ich das wirklich brauche.
Das Engagement der Diskussionsteilnehmer finde ich beeindruckend ...
Ohne Frage! Einer der Gründe, warum ich den Thread trotz aller Widrigkeiten auf jeden Fall zu Ende führen werde. Ausserdem hasse ich es, etwas nicht zu Ende zu führen, was ich einmal angefangen habe. Nur Sinnentleert darf es nicht werden. Deshalb ist Deine Kritik sehr wichtig. thx.
Zitat:
Im Laien-Bereich wünsche ich mir noch mehr Praxisbezug. D.h. Beispiele mit empfehlenswerten Programmen/ Hardware (für SOHO). Evtl. noch mehr weiterführende Links.
Wenn ich Dich jetzt richtig verstanden habe, willst Du hier Anwendungsbeispiele sehen? Genau den Part habe ich in den Bereich „für fortgeschrittene“ gezogen, weil das etwas mehr Detailtiefe erfordert. Also auch mehr Text, was den Thread wieder unübersichtlich macht. Das war ja einer der größten Kritiken aus dem anderen Thread, daß ich zu tief ins Detail gehe („weniger ist manchmal mehr …“). Deshalb lässt sich der Praxisbezug hier nur sehr schwer realisieren.
Das mit den Softwaretipps ist eine gute Idee. Auch wenn ich diese eher im fortgeschrittenen Bereich sehe (zu Leak-Tests, Tunneling, etc.). Firewallempfehlungen sind wiederum extrem kurzlebig, weshalb das meiner Meinung nach nicht in die FAQ gehört.
Weiterführende Links zu den Themen gehören auch eher in den fortgeschrittenen Bereich auf den ja hier wiederum verlinkt wird, oder? Das werde ich auf jeden Fall bei den neuen Zusammenfassungen berücksichtigen. Die alten werde ich dann später anpassen. Danke für den Tipp.
Zu Deiner Firewall-Frage:
Zitat aus tom's hardware guide: "Active Armor - so lautet der Name der ersten hardwareseitig integrierten Firewall."
Eine „hardwareseitige“ Firewall in der NIC? Wow! Damit hättest Du praktisch eine externe Firewall vor jedem PC, welcher diesen Chipsatz verwendet. Eine wirklich gute Idee – allerdings nur, wenn das Firwall-System vollkommen losgelöst vom Rest des Systems läuft. So sollte ein Crash der Firewall nur die NIC, nicht jedoch das System blockieren oder gar zum Absturz bringen, etc. Vor allem darf sich die Firewall nicht direkt vom Betriebssystem aus konfigurieren lassen oder gar von dem Betriebssystem abhängig sein (in diesem Fall läuft die Firewall nicht wirklich autark!). Dann – und nur dann – kann man tatsächlich von einer Firewall im PC sprechen, welche man sicherheitstechnisch eher mit einer externen Firewall vergleichen kann. Was für ein Traum …
Laut K-Hardware (siehe Post von LeoHart) klingen folgende Aussagen jedoch sehr bedenklich:
Zitat:
"... Firewall wurde sie um die Secure Networking Engine erweitert: eine Art Coprozessor, der einen Großteil der Paketauswertung übernimmt. Dieses Actove Armor genannte Feature entlastet den Hauptprozessor, der seine Rechenleistung anderen Anwendungen zur Verfügung stellen kann."
Der Coprozessor stellt seine Rechenleistung >>anderen Anwendungen<< zur Verfügung? An diesem System läut also nichts autark, was mit der Firewall zu tun hat! Sehr bedenklich …
EDIT: Ubs. Wer lesen kann ist klar im Vorteil ... Da steht nicht, daß der Coprozessor den Anwendungen Rechenleistung zur Verfügung stellt. Vielmehr ist es wohl so gemeint, daß er dafür sorgt, daß die Firewall weniger CPU-Power benötigt, was wiederum den Anwendungen zugute kommt. Sorry. Habe mich verlesen.
Zitat:
"Auch die Struktur der Firewall wurde überarbeitet. Statt festen Portfreigaben können diese nun an bestimmte Anwendungen gebunden werden. Der Port wird nur dann geöffnet, wenn auch die zugehörige Anwendung läuft."
Autsch! Diese Firewall ist also eine Software, welche unter Deinem Betriebssystem läuft (sonst hätte sie keinen Zugriff auf die Applikationskontrolle). Sie scheint lediglich auf einen separaten Coprozessor für ihre Arbeitsaufgaben zugreifen zu können. Damit wäre die Firewall ganz klar eine Desktop Firewall mit einem zusätzlichen "Turbo"-Antrieb. Ich denke, Du liegst mit Deiner Vermutung richtig. Einen zusätzlichen Sicherheitsgewinn kann ich erst einmal nicht erkennen. Wie gut diese Firewall ist, kann ohnehin noch niemand sagen. Sie >>könnte<< durchaus schlechter sein, als gängige Freeware Firewalls oder als die Windows interne Firewall (oder auch besser ). Es ist auch möglich, daß sie gerade durch dieses etwas eigenartige Konzept zusätzliche Angriffspunkte liefert. Ich würde an Deiner Stelle noch etwas abwarten und Berichte im Internet lesen, ehe ich dem Teil „vertrauen“ schenke.
Wichtiger Hinweis: Alle hier gemachten Aussagen sind sehr gewagt, da ich weder die Firewall kenne, noch habe ich irgendwelche sicherheitsrelevanten Beiträge darüber gelesen (dazu ist sie noch zu neu).
Zitat:
Zitat von Golem
Jetzt stehe ich vor der Entscheidung, welche Firewall(s) ich installieren bzw. noch kaufen sollte … Die DSL-Verbindung wird manuell direkt über ein externes USB-Modem hergestellt … eine zusätzliche externe Firewall, z.B. in einem noch anzuschaffenden Router … frage ich mich, ob ich das wirklich brauche.
Sicherlich kann man sich auch ohne Firewall schützen. Allerdings: Wenn Du KEIN PC-Freak bist, welcher sich mit Sicherheitsthematiken genauso hervorragend auskennt, wie mit der Betriebssystemkonfiguration, dann ist ein externer DSL-Firewall-Router für Dich sehr zu empfehlen. Zumal die Dinger mittlerweile recht preiswert geworden sind.
Alles klar und danke für die schnelle Antwort. Dann guck ich mich mal nach einem vernünftigen Router um. Das wird wieder dauern. Schließlich muss ich jetzt die Entscheidung treffen, ob ich auf ein Kabel verzichte und mich mit einer sicheren WLAN-Verbindung rumschlage oder weiter Kabelverleger spiele. Aber dieses Thema gehört dann wohl in anderen anderen Thread.
Gruß, Golem
Zusammenfassung aus dem Ursprungsthread zur folgenden Frage: Was versteht man unter Tunnel? Und wie lässt sich damit eine Firewall umgehen?
Tunnel bzw. Tunneling bezeichnet den Gebrauch eines Netzwerkprotokolls derart, dass es weiterhin dem Standard (RFC) entspricht, dabei jedoch artfremde Daten transportiert. Entweder werden in einem Tunnel die Daten eines Dienstes im Protokoll eines anderen Dienstes eingebettet (SSH-, VPN-, http-Tunnel, etc.) oder zumindest das Protokoll eines Dienstes mit dienstfremden Daten versehen und somit funktionell erweitert (DNS-Tunnel). Dafür benötigt man auf beiden Kommunikationsseiten zwingend einen Konverter, welcher z.B. die Daten des ursprünglichen Dienstes abfängt, konvertiert und über den anderen Netzwerkdienst an das Zielsystem weiterreicht. Auf dem Zielsystem werden die empfangenen Daten in das ursprüngliche Format zurückverwandelt und ggf. an den Dienst weiterreicht, für den die Daten tatsächlich bestimmt sind.
Tunnel werden verwendet, um unsichere Netzwerkprotokolle mithilfe eins gesicherten und verschlüsselten Netzwerkprotokolls zu transportieren (z.B. SSH), um ganze Netzwerke abhörsicher über unsichere Netzwerke (Internet) hindurch miteinander zu verbinden (z.B. VPN) oder um das Regelwerk einer Firewall und andere Sicherheitsmaßnahmen zu umgehen.
Prinzipiell lassen sich alle Protokolle für einen Tunnel gebrauchen. Sie müssen sich nur durch das Internet routen lassen und die Möglichkeit bieten, die zu transportierenden Daten einbetten zu können. So lassen sich z.B. auch ping-Pakete (ICMP) für den Datentransport verwenden. Es sind auch asymmetrische Tunnel möglich, in dem zwei unterschiedliche Protokolle für den Hin- und Rückweg eingesetzt werden.
Wie arbeitet ein Tunnel und wie lässt sich damit eine Firewall umgehen?
Ein Netzwerkdienst arbeitet in der Regel auf einem festgelegten Standardport. Werden Ports mit Hilfe einer Firewall gesperrt, will man damit erreichen, dass bestimmte Dienste nicht genutzt werden können. Ist z.B. Port 80 (http) erlaubt und Port 21 (ftp) gesperrt, so kann der Anwender problemlos Internetseiten aufrufen (http), aber keine Dateien per ftp mit einem Internetserver austauschen (Daten die über Port 21 gehen, werden von der Firewall blockiert).
Jemand könnte nun das ftp-Client-Programm und den Serverdienst seines eigenen Internetservers so verändern, dass diese ebenfalls über Port 80 kommunizieren und so die Filterregel der Firewall umgehen. Eine Firewall, welche in der Lage ist, die Pakete zu analysieren, kann das verhindern. Um sicherzugehen, dass kein anderer Dienst den Port des freigegebenen Dienstes für seine Kommunikation missbraucht, untersucht die Firewall also zusätzlich den Aufbau der Daten und blockiert alle Pakete, welche nicht dem Protokoll des freigegebenen Dienstes entsprechen.
In der Praxis ist eine solche Kontrolle jedoch nicht trivial. Schließlich soll jedes Protokoll irgendwelche Daten transportieren. So ist es möglich, z.B. die Daten eines ftp-Dienstes in dem Protokoll eines http-Dienstes einzubetten, ohne dabei den Protokollstandard zu verletzen. Die Daten müssen dazu lediglich entsprechend konvertiert werden. Genau das macht man beim Tunneln, wodurch der Anwender des Tunnels in der Lage ist, die Regeln der Firewall zu umgehen: Er schickt die Daten eines eigentlich gesperrten Dienstes eingebettet in den Daten eines freigegebenen Dienstes durch die Firewall zu seinem Zielsystem. Dafür muss auf dem PC und dem Zielsystem jedoch eine Tunnelsoftware installiert sein, welche die Daten auf dem PC zuvor konvertiert und auf dem Zielsystem wieder in das ursprüngliche Format zurückverwandelt.
Das Tunnelprinzip für eine verschlüsselte Verbindung verwenden
Tunnel werden vornehmlich dazu verwendet, um abhörsichere Verbindungen über ungesicherte Computernetzwerke hinweg aufzubauen. Dabei sorgt die Tunnelsoftware dafür, dass die Netzwerkpakete zuvor verschlüsselt und in einem für die Übertragung verschlüsselter Daten vorgesehenen Protokoll eingebettet werden, um sie auf der Gegenseite wieder zu entschlüsseln und auszupacken. Dadurch wird eine verschlüsselte Datenübertragung auch für Dienste realisiert, die normalerweise über keine eigene Verschlüsselung verfügen. Auch ganze Netzwerke können so abhörsicher miteinander verbunden werden.
künftige Firewall FAQ für Laien 
Hast Du eine bessere Idee?
). Da es offensichtlich nicht an Lesern mangelt, aber dennoch keine weiteren Sterne-Bewertungen zum Thread gibt, denke ich, dass die meisten Leser mit dem Aufbau des Threads ebenfalls unzufrieden sein könnten. Mein Vorschlag: So lange beide Threads noch nicht beendet wurden, belassen wir es, wie es ist (ich wüsste auch nicht, wie ich die bilaterale Form einer Multi-User-FAQ anders realisieren sollte). Nach der Fertigstellung könnte ich dann jeden Zusammenfassungsbeitrag dort herausziehen und in je eine endgültige FAQ untereinander stellen. Damit würden die aktuellen Threads zu diskussionsthreads umgewandelt, auf die ich dann in den Beiträgen verlinken kann. Mit anderen Worten gibt es dann eine FAQ für Laien und eine für Fortgeschrittene, welche wie ein Buch aufgebaut sind (Inhaltsverzeichnis + untereinander liegende Beiträge). Also keine Debatten und Zusammenfassungen zu den einzelnen Themen mehr. Dieses Problem lässt sich jedoch wirklich erst dann beseitigen, wenn die Threads zuvor endgültig beendet sind.
Aber dieses Thema gehört dann wohl in anderen anderen Thread. 
Linear-Darstellung
