Seite 5: Firewall

Inhaltsverzeichnis

Brandmauer

Nun sollte der Netzverwalter sich noch ein paar Gedanken zur Sicherheit seines LAN machen. Gegen direkte Angriffe aus dem Internet ist es schon durch die Network Address Translation (NAT) gesichert. Denn wenn ein Hacker versucht, eine Verbindung aufzubauen, so gibt es zu den eintreffenden Paketen keinen Eintrag in der NAT-Tabelle, der ja nur existiert, wenn ein Client im LAN die Verbindung initiiert hat. Der Router verwirft solche Pakete einfach.

Doch manche Router bieten keine Option zum Abschalten der Fernkonfiguration oder stehen trotz dieser Option auf einzelnen Ports offen. Zum Stopfen dieser Lücke dient der Paketfilter. Er prüft jedes einzelne Datenpaket auf Eigenschaften wie Quell- und Ziel-Adressen und -Ports. Erfüllt das Paket die vom Administrator vorgegebenen Bedingungen, so kann der Filter dreierlei damit anfangen: Das Paket weiterleiten (forward), es verwerfen (drop) oder die nächste Regel prüfen. So entsteht eine Kette aus Bedingungen, mit deren Hilfe der Router-Verwalter recht genau entscheiden kann, welche Pakete der Router annimmt und welche nicht.

Um den Router gegen Hacker abzusichern, gilt es, alle Pakete zu verwerfen, die an mögliche Konfigurations-Ports gehen. Die betroffenen Portnummern liegen normalerweise unterhalb von 1024. Diese so genannten privilegierten Ports benutzt der Router nicht als Quell-Port, wenn er Pakete an einen externen Rechner schickt. Somit trägt auch kein erlaubtes Antwort-Paket eine Ziel-Portnummer aus diesem Bereich. Der Netzbetreuer kann den Router also getrost anweisen, alle eingehenden Pakete mit Ziel-Ports unterhalb von 1024 zu verwerfen.

Je nach Paketfilter-Fähigkeiten des Routers gibt es dazu zwei Systeme: Einfachere Filter wenden einen Satz von Regeln auf alle Pakete an, unabhängig davon, ob sie vom LAN ins Internet gehen oder umgekehrt. Komplexere Filter prüfen für jedes Netzwerk-Interface ein- und ausgehende Pakete mit getrennten Regelsätzen. In diesem Fall lassen sich die offenen Ports des Routers leicht schließen: In den Regelsatz für eingehende Pakete des externen Interfaces gehört eine Regel, die alle Pakete an Ports unterhalb von 1024 verwirft. Alle komplexen Paketfilter brauchen drei Schritte: Regelsatz anlegen, Regeln definieren, Regelsatz ans Interface knüpfen.

Bei den einfacheren Geräten mit nur einem Regelsatz für alle Pakete ist meist die Einrichtung einfacher, dafür sind hier vier Regeln nötig: Je eine für TCP und UDP, die den lokalen Rechnern den Zugriff auf externe Server erlaubt   sonst könnte ja niemand surfen   und zwei, die alle anderen Pakete verwerfen. Dabei müssen die Ausnahmen (Source IP 192.168.0.0, Netmask 255.255.255.0, Keine Port-Prüfung, Forward) vor der allgemeinen Regel stehen (Keine Adressprüfung, Port <1024, Drop).

Ob nach außen alle wichtigen Ports Ihres Routers dicht sind, können Sie leicht mit unserem Online-Port-Scanner feststellen.

Manche Router können zusätzlich zu den herkömmlichen Paketfiltern eingehende Ping-Pakete (ICMP Echo Requests) verwerfen. Dieser "Ping-Block" erschwert zwaar Hacker-Novizen das Leben, die per Ping-Befehl größere Adressbereiche nach Angriffszielen absuchen. Wenn der Router darauf nicht antwortet, bleibt er zumindest Anfängern verborgen. Doch erfahrenere Böslinge halten sich nicht mit dem Ping-Scan auf. Allein deshalb lohnt es sich nicht, auf Routern ohne Ping-Block per Paketfilter das Ping-Protokoll ICMP gänzlich abzuschalten. Außerdem würde das auch Pings aus dem lokalen Netz unterbinden   sehr zum Ärger von Online-Spielern   und allerhand nützliche Informationen über die Erreichbarkeit von Servern und Fehler bei der Übertragung verwerfen.

Trojaner

Nicht alle Angriffe kommen von außen. Wenn es einem Hacker gelingt, auf einen der Rechner im LAN einen Trojaner zu schmuggeln, kann dieser aus dem Netz eine Verbindung zum externen Rechner seines Herrn aufbauen. Gegen solche Verbindungen, die ja ein Client im lokalen Netz initiiert, hilft NAT nichts. Netzverwalter an der Grenze zur Paranoia setzen daher auf die Deny-All-Strategie: Sie schließen den Internetzugriff vollständig mit einer Paketfilterregel, die alle Pakete unabhängig von Ports und Adressen verwirft. Durch Ausnahmeregeln etwa für den Web-Port 80 bohren sie dann gezielt möglichst wenige Löcher in diese massive Schutzwand.

Gegen dieses Vorgehen spricht dreierlei. Zunächst der hohe Arbeitsaufwand, denn ständig beschweren sich Nutzer, dass diese oder jene Anwendung wegen der restriktiven Firewall nicht funktioniert. Zweitens steht dieser Mühe tatsächlich nur ein geringer Sicherheitsgewinn gegenüber, denn natürlich kennen auch die Programmierer von Trojanern die Deny-All-Strategie und nutzen die eigentlich immer freigeschalteten Ports wie 80 (WWW) und 25 (abgehende E-Mail), um ihr böses Werk zu tun. Wenn der Netzverwalter also irgend einen Zugriff aufs Internet erlaubt, gibt es auch einen Weg, auf dem Trojaner Informationen hinaus schmuggeln können. Der dritte Grund heißt FTP. Dieses verbreitete Protokoll baut zuerst eine Verbindung zum Server mit bekannten Portnummern auf. Zum Download öffnet es eine zweite, deren Quell- und Ziel-Port sich nicht vorhersagen lassen. Mit den einfachen Paketfiltern der preiswerten Router, die diesen Fall nicht besonders behandeln, verhindert die Deny-All-Strategie jeden FTP-Transfer. Ähnliches gilt für andere wichtige Protokolle wie das für Voice-over-IP gebräuchliche SIP.

Das soll nicht heißen, dass die Deny-All-Strategie grundsätzlich nicht sinnvoll ist. Nur braucht man statt des einfachen Paketfilters, den preiswerte Router mitbringen, eine wesentlich intelligentere Firewall, die oft viel mehr kostet. Ein Linux-Router bringt zwar die nötigen Funktionen mit, erfordert aber mehr Einarbeitung seitens des Verwalters als die hier beschriebenen Router. Diese Investition an Geld oder Zeit lohnt sich nur für Netzwerke, bei denen ein Trojaner-Angriff besonders wahrscheinlich ist oder verheerende Folgen hätte. Daheim bringt es mehr, den Virenscanner auf allen PCs immer aktuell zu halten, eine Personal Firewall zu aktivieren und beim Ansehen der E-Mail auf die üblichen Sicherheitsgrundregeln zu achten.

Doch nicht nur von Hackern eingeschleuste Trojaner schmuggeln Informationen aus dem lokalen Netzwerk heraus. Auch manche nützliche Software nimmt Kontakt zu ihrem Hersteller auf, beispielsweise der Real-Player und viele Programme, die mit Peer-to-Peer-Clients kommen und vorgeben, Daten für die Netzwerkoptimierung zu sammeln. Wer das unterbinden will, kann dem Paketfilter natürlich passende Regeln beibringen. Dabei sollten jedoch statt der benutzten Ports eher die Zieladressen das Kriterium bilden.

Auch wenn der Router mit den oben dargestellten Einstellungen abgesichert ist und das gemeinsame Surfen funktioniert, ohne dass der Netzbetreuer fürchten muss, irgendetwas wichtiges ausgelassen zu haben, bleibt also reichlich Freiraum für individuelle Anpassungen. (je) ()