DSL-Router im Sicherheitstest

Firewall-Typen

Grundsätzlich lassen sich drei Firewall-Typen unterscheiden:

• Einfache Port-Filter: Hier entscheidet der vom Internet aus adressierte Port, ob ein Datenpaket ins Innere des LAN weitergeleitet wird oder nicht.
• Eine Weiterentwicklung stellen die SPI-Firewalls dar. Bei der Stateful Packet Inspection (SPI) bezieht die Firewall weitere Parameter in die Entscheidung ein. Neben Quell- und Zieladresse sind auch das Protokoll, die Paketgröße und die Frequenz der ankommenden Pakete von Bedeutung. So kann die Firewall beispielsweise Portscans oder DoS-Attacken erkennen. Einige der Router im Test verfügen über SPI, schweigen sich aber leider darüber aus, mit welchen Parametern sie denn nun genau arbeiten.
• Application-Proxy: Als einziges der hier vorgestellten Geräte beherrscht der Netgear-Router diese Firewall-Disziplin. Ein Application-Proxy filtert auf der Anwendungsebene, so lassen sich beispielsweise Anwendungen wie Instant Messenger oder NetMeeting komplett blockieren.

Keine Firewall, aber trotzdem sicherheitsrelevant ist NAT, die Network Address Translation. Diese Funktion beherrschen alle Router. Beim NAT – auch als IP Masquerading bezeichnet, – werden alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche (dynamische) IP-Adresse abgebildet. Vorteil dieser Lösung: Es handelt sich zwar nicht um eine Firewall, aber da die Rechner im privaten Netzwerk nicht aus dem Internet erreicht werden können, wirkt NAT quasi als Firewall. Diese Methode eignet sich daher hervorragend dazu, ein privates Netzwerk an das Internet zu koppeln.

Ports

Ein zentraler Bestandteil der Sicherheitsanalyse ist ein Portscan. Dabei werden sämtliche 65.535 Ports eines Routers abgeklopft. Ein Port kann entweder offen, geschlossen oder im Stealth-Modus sein.

Was bedeutet das?

• Offen: Der Port ist offen und bereit zur Kommunikation. Ein Hacker kann diesen Port nutzen, um in ihr Netzwerk einzudringen.
• Geschlossen: Der Port reagiert auf den Scan mit der Meldung geschlossen. Ein Hacker weiß also um die Existenz dieses Ports. Ein direkter Angriff wird wenig Aussicht auf Erfolg haben, für einen Angreifer kann diese Information aber ein wichtiges Puzzleteil sein, um z.B. die Konfiguration einer Firewall auszuspionieren.
• Stealth: Der Port reagiert nicht auf einen Scan, Für einen Hacker ist er deshalb nicht sichtbar. Dies ist die optimale Sicherheitsstufe.