IP-Adressen und Firewall: Übersicht

Mission & Partner | Einstieg für Unternehmen | Alle Dokumente

IP-Adressen, Ports und DNS

Jeder Computer im Internet braucht eine IP-Adresse. Diese besteht aus 4 mit Punkten aufgeteilten Zahlen. Unter dieser Adresse ist der Computer im Internet erreichbar, und an diese Adresse werden auch die Antworten der Server geschickt.

Jede IP-Adresse verfügt über rund 65000 Anschlüsse, sogenannte "Ports". Einige dieser Ports sind bestimmten Diensten zugeordnet, z.B. der Port 80 dem WWW, die Ports 25, 110, 143, 567, 993 und 995 den Email-Protokollen SMTP, POP3 und IMAP. Alle restlichen Ports sind frei verfügbar. Wenn man im Browser einen Domainnamen eingibt, wird über den DNS die IP-Adresse des gewünschten Servers ermittelt, und diese wird dann bei http:// auf Port 80, bei https:// auf Port 443 kontaktiert. Daher kann ein Computer gleichzeitig mehrere Dienst anbieten.
DNS bedeutet "Domain Name Service", dieser Dienst ordnet IP-Adressen und Namen einander zu. Man muß sich nicht die Nummernfolgen der IP-Adressen merken, sondern kann Domainnamen in allen Programmen benutzen. Bei einer Domänenregistrierung wird ein Name in die Listen eingetragen und einer IP-Adresse zugeordnet.

Private IP-Adressen

Die privaten IP-Adressen sind explizit für private lokale Netzwerke reserviert.
Daten von und zu privaten Netzen werden nicht im Internet weitergeleitet, sondern sofort weggeworfen. Die Adressbereiche sind:

• 192.168.x.x
• 172.16.x.x bis 172.31.x.x
• 10.x.x.x

wobei das x für beliebige Zahlen zwischen 0 und 255 steht.

Dadurch wird es möglich, eine lokales Netzwerk mit dem Internetprotokoll zu betreiben, ohne vorher IP-Adressen reservieren zu müssen. Es lassen sich zwar auch andere Adressen verwenden, allerdings verletzt diese Vorgehensweise die Rechte anderer und führt dazu, das Datenpakete aus dem lokalen Netzwerk ins Internet gelangen können. Daher ist von der Nutzung öffentlicher IP-Adressen innerhalb eines lokalen Netzwerks dringend abzuraten.

Zuweisung einer öffentlichen IP-Adresse

Diese erfolgt meist per Einwahl - über Modem, ISDN oder DSL - durch das Protokoll DHCP. Die Adresse wird vom Provider (z.B. AOL, T-Online) für die Dauer der Einwahl aus einem Pool zugewiesen. Die IP-Adresse wechselt daher bei jedem Einwahlvorgang. Gegen einen Aufpreis kann man sich bei jeder Einwahl eine immer gleiche Adresse zuweisen lassen. Wundern Sie sich nicht, wenn direkt nach Verbindungsaufbau schon Daten von außen kommen - diese sind meist noch an den vorherigen Benutzer der IP-Adresse gerichtet!
Nur der Provider selbst kann Ihre Kundendaten den IP-Adressen zuordnen, die benutzt wurden, da die Provider neben den Zeiten und IP-Adressen auch die Telefonnummern und Kundendaten speichern, die zur Einwahl benutzt wurden.

Server und Client

Ein Server ist ein Programm das auf einem oder mehreren Ports ständig auf Verbindungen wartet. Computer, die als Server bezeichnet werden, lassen vor allem solche Programme laufen und werden speziell für diesen Zweck abgestellt ("dediziert"). Der Client ist ein Programm, das Daten von einem Server abruft (z.B. ein Browser oder ein Emailprogramm). Die Arbeitsplatzrechner werden daher auch oft als Client bezeichnet, weil sie immer nur Daten abrufen. Im Prinzip kann aber jeder Computer sowohl die Rolle eines Servers als auch die eines Clients übernehmen, und dies auch gleichzeitig.

Firewall und Router

Eine Firewall - zu deutsch mit Brandschutzmauer oder Feuerwall zu übersetzen - ist ein durch Software umgesetztes Konzept, das die Zugriffe auf ein Netzwerk umlenkt, verändert oder auch verhindert. Diese Software kann auf nur einem Gerät - meistens ein Router, der zwei Netzwerke verbindet, oder auch auf mehreren Computern ausgeführt werden. Die übliche Technik einer Firewall ist das Filtern und Bearbeiten der Datenpakete an der Netzwerkschnittstelle, Entscheidungen über Zugriff und Blockade werden nach IP-Adresse und Port sowie speziellen "Flags" (Markierungen) getroffen. Hoch entwickelte Firewalls überprüfen zusätzlich auch noch den Inhalt aller Datenpakete ("Paketfilter"). Geräte, auf denen die Firewallsoftware läuft und die das Firewallkonzept realisieren, werden meist auch kurz als Fireall bezeichnet.

Ein besonders oft genutzte Funktion der Paketfilterung und -bearbeitung ist das NAT (Network Address Translation), oder die Sonderform des NAT, das Masquerading. In beiden Formen wird eine IP-Adresse von der Firewall durch eine andere IP-Adresse ersetzt. Damit kann ein komplettes Netzwerk hinter einem einzelnen Gerät "versteckt" werden. NAT ermöglicht erst die Verbindung eines lokalen Netzwerkes mit privaten IP-Adressen und dem Internet. Die privaten Adressen des lokalen Netzwerkes werden jeweils auf die öffentliche IP-Adresse umgeschrieben und dann versandt, die Antworten werden wieder zurück übersetzt. Eine Verbindung kann dabei nur von innen nach außen aufgebaut werden, weil der Router bei einem Verbindungsversuch aus dem Internet nicht weiß, welcher der Computer im lokalen Netzwerk gemeint ist - es sei denn der Router versucht durch Ausprobieren den Zielrechner im internen Netzwerk zu finden. Eigentlich ist NAT keine Sicherheitsfunktion, aber es schützt doch schon vor sehr vielen Attacken.

Viele Router für Heimanwender und kleine Firmen beherrschen heutzutage NAT oder Masquerading. Alternativ kann als Router auch ein Computer genutzt werden, für dessen Betriebssystem es eine Firewallsoftware gibt. Es gibt auch spezielle Paketfilter, die ausschließlich Datenpakete analysieren und keine Routingfuktion haben, sowie reine Router ohne Firewallfunktionalität - diese Bauformen eignen sich wegen der hohen Leistung und der hohen Preise vor allem für große Netze.

Unter Windows werden auch "Personal Firewalls" angeboten, die auch nach Anwendungen filtern, und so den Zugriff nach aufrufendem Programm regeln. Dieses Verfahren ist aber fehlerträchtig und kann von Viren leicht unterlaufen werden, wenn der Virus eine in der Firewall erlaubte Anwendung infiziert. Die Verwendung einer persönlichen Firewall ist nicht zu empfehlen, mehr dazu hier.

Was Firewalls schützen

Zwei Hauptaufgaben: den eigenen PC / das eigene Netzwerk vor unerwünschten Zugriffen von außen schützen und ausgehende Kommunikation kontrolliert zulassen.

Im Firewallkonzept kann nach einer unterschiedlichen Politik betrieben werden: "Alles ist verboten, was nicht explizit erlaubt ist" oder "Alles ist erlaubt, was nicht explizit verboten ist". Wenn auf einem Port keine Anwendung auf Verbindungen wartet, muß man diesen Port nur dann blockieren, wenn man befürchtet das ein Angreifer auf diesem Port eine ("böse") Anwendung starten könnte. Wenn alles einzeln erlaubt werden muß, ist der Konfigurationsaufwand deutlich höher, da sonst viele Anwendungen nicht wie erwartet funktionieren. Wenn man nur bestimmte Ports (und damit Anwendungen), die im lokalen Netzwerk genutzt werden, für Zugriffe aus dem Internet sperren will, ist der Aufwand relativ gering. Allerdings bleibt in diesem Fall das Risiko, das ein "Trojaner" auf einem Computer im lokalen Netzwerk eine Verbindung in das Internet aufbauen kann.

Da einige Anwendungen in jedem Fall das Internet nutzen sollen, gibt es praktisch immer ein Schlupfloch.

Firewalls sind kritische Systeme

Eine Firewall muß besonders gesichert sein. Wird eine Firewall selbst erfolgreich angegriffen und "übernommen", steht dem Angreifer das gesamte Netzwerk offen. Wenn ein Computer mit Windows oder Linux die Aufgabe einer Firewall übernehmen soll, bedarf er daher strengster Überwachung. Integrierte Geräte müssen ebenfalls auf einem aktuellen Stand gehalten werden ("Firmware-Updates"), auch diese Geräte nutzen Software die Fehler haben kann (fest gespeichert, engl. "Firmware").