DSL-Router im Sicherheitstest

Application Proxy: Ein Application Proxy ist eine Firewall-Technologie. Ein Benutzer, der mit einem Server im Internet kommunizieren möchte, baut eine Verbindung zum Application Proxy auf, der wiederum die Verbindung zum eigentlichen Webserver unterhält. Für jeden Dienst, wie Http, Ftp oder Mail muß ein eigener Proxy aufgesetzt werden. Der Proxy fungiert dabei als Dienst-Erbringer und filtert die eingehenden und ausgehenden Daten nach vorgegebenen Regeln. Siehe auch Packet Filter und Stateful Packet Inspection.

DDNS (Dynamic DNS): Normalerweise funktioniert das DNS nur mit statischen IP-Adressen, d.h. www.zdnet.de und 195.27.221.3 sind fest miteinander verbunden. Wer Internet-Angebote über eine DSL-Leitung verfügbar macht hat das Problem der dynamischen IP-Adressen. Bei jeder Einwahl ins Internet weist der Provider eine neue Adresse zu, nach 24 Stunden trennen die meisten Provider automatisch die Verbindung. Mit DDNS ist es dennoch möglich, im Internet immer unter www.mein_Angebot.de präsent zu sein, obwohl sich die zugehörige IP-Adresse dauernd ändert. Eine Liste von DDNS-Anbietern finden Sie unter netzadmin.org/ddns-services.htm.

DHCP (Dynamic Host Configuration Protocol): Bei diesem Protokoll weist der Router den Rechnern im LAN ihre IP-Adresse automatisch zu. Außerdem verwaltet der Router auch die DNS- und Gateway-Informationen. Vorteil: Da der Router alle Informationen zentral verwaltet, kommt es nicht zu IP-Adressüberschneidungen. Neue Rechner lassen sich sehr einfach ins Netz integrieren.

DMZ (Demilitarisierte Zone): Ein vom internen LAN angetrennter Bereich für Angebote (z. B. Mail- oder Web-Server), die im Internet zur Verfügung stehen sollen. Schematische Konfiguration einer DMZ:

Internet (unsicheres Netz) — Firewall 1 —- DMZ —- Firewall 2 — internes LAN (sicheres Netz)

Die Firewall 1 schützt die in der DMZ stehenden Rechner, Firewall 2 schottet das LAN gegen DMZ und Internet ab. Ein direkter Zugriff vom LAN auf die DMZ ist nicht gegeben. Sinn des Ganzen: Wird ein Rechner in der DMZ von einem Angreifer übernommen, so ist nicht gleich das ganze LAN verloren. Unterschied zum virtuellen Host: Virtuelle Hosts ermöglichen den selektiven Zugang, während bei der DMZ der komplette Rechner im Internet verfügbar ist. Siehe auch virtueller Host.

DNS (Domain Name System): Mit Hilfe des DNS werden Rechnernamen die entsprechenden IP-Adressen zugeordnet. Jeder Rechner im Internet hat eine eindeutige IP-Adresse – 195.27.221.3 steht beispielsweise für www.zdnet.de. Damit Sie statt der schwer zu merkenden Zahl einfach www.zdnet.de eingeben können, gibt es das DNS. Wenn Sie in Ihren Browser www.zdnet.de eingeben, verbindet sich ihr Browser zuerst mit einem DNS-Server, lässt sich die zugehörige IP-Adresse geben und ruft dann die Startseite des ZDNet-Angebots auf.

IPSec (Internet Protocol Security): Dieses Protokoll sichert den Datenstrom auf der Paketebene ab. Haupteinsatzgebiet von IPSec ist der Aufbau von VPNs und der Schutz von Dial-in-Verbindungen.

NAT: Was die Router-Hersteller als NAT bezeichnen, müsste korrekterweise als PAT (Port and Adress Translation) bezeichnet werden. Beim PAT – auch als IP Masquerading bezeichnet, – werden alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche (dynamische) IP-Adresse abgebildet. Vorteil dieser Lösung: Es handelt sich zwar nicht um eine Firewall, aber da die Rechner im privaten Netzwerk nicht aus dem Internet erreicht werden können, wirkt PAT quasi als Firewall. Diese Methode eignet sich daher hervorragend dazu, ein privates Netzwerk an das Internet zu koppeln.

PPPoE: PPP heißt Point-to-Point Protocol, Protokoll zur Verbindung von LAN und WAN; PPPoE PPP over Ethernet. T-DSL nutzt dieses Protokoll. Jeder Router sollte es können.

PPTP (Point-to-Point Tunneling Protocol): Mit Hilfe dieses Protokolls lassen sich zwei lokale Netzwerke sicher über das Internet verbinden. Dabei werden die Daten durch verschlüsselt durch sogenannte „Tunnels“ zwischen den beiden Netzwerken ausgetauscht. Siehe auch VPN und IPSec. Schema eines PPTP-Tunnels:

LAN 1 — Router 1 — PPTP-Tunnel —- Router 2 — LAN2

Packet Inspection: Ein Packet Filter ist ein Router, der IP-Pakete zur Unterscheidung zwischen der erlaubten und unerlaubten Nutzung von Kommunikationsdiensten filtert. Packet Filter können nach Quell- und Zieladresse sowie nach Quell- und Zielport filtern. Damit ist sowohl einschränkbar, welche Rechner im zu schützenden und welche im unsicheren Netz an der Kommunikation beteiligt sein dürfen, als auch, welche Kommunikationsdienste erlaubt sind.

SPI: Stateful Packet Inspection. Bei der SPI handelt es sich um einen erweiterten Packet Filter bei dem zusätzlich zu den statischen Informationen im Header der IP-Pakete auch der Kontext, in dem sich die Pakete bewegen maßgeblich für die Entscheidung „weiterleiten oder verwerfen“ ist. Ein Parameter ist beispielsweise die Häufigkeit der mit der Anfragen eines Typs ankommen. Zu viele gleichartige Pakete deuten auf einen DoS-Angiff hin. SPI-Firewalls bieten ein hohes Maß an Sicherheit, sind aber wegen ihrer Komplexität auch anfällig für Konfigurationsfehler.

Virtueller Host: Auch Local Server genannt. Server, der auf einem Rechner im LAN läuft und über das Internet erreichbar ist. Der Router leitet von außen kommende Anfragen, direkt an passenden Port des betreffen Rechners im Internet weiter. Angenommen, Sie betreiben auf dem Rechner mit der internen IP 192.168.1.10 einen virtuellen Web-Server an Port 8080. Ihre WAN-IP ist 217.89.4.67, dann leitet der Router alle ankommenden IP-Pakete auf Port 80 (Standard-Port für Web-Server) an den Port 8080 des Rechners 192.168.1.10. Die Antwort des Servers wird vom Router ebenfalls übersetzt und dann ins Internet weitergereicht. Unterschied zur DMZ: Während in der DMZ ein kompletter Rechner im Internet verfügbar ist, handelt es sich hier um einen selektiven Zugang. Siehe auch DMZ und DDNS.

VPN: Virtual Private Network. Ein VPN ist ein privates Datennetz, in dem die Daten durch spezielle Tunneling Protokolle (siehe PPTP und IPSec) sicher (verschlüsselt) über das Internet übertragen werden. VPNs werden eingesetzt, um die Kosten für eine dedizierte Datenleitung zu sparen. Statt zwei Filialen mit einer gemieteten Leitung miteinander zu verbinden, wird einfach das Internet genutzt.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

Infineon und Quantinuum schließen Entwicklungspartnerschaft

Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.

2 Wochen ago

Forschende beheben SIEM-Defizite mit ML-Lösung

Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.

2 Wochen ago

Google stopft vier Sicherheitslöcher in Chrome 131

Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…

2 Wochen ago

Bitcoin-Trading für Einsteiger und Profis mit Kraken

Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…

2 Wochen ago

Dezember-Patchday: Google stopft schwerwiegende Löcher in Android

Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.

2 Wochen ago

Warum ein überlasteter IT-Service Unternehmen schadet

Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…

2 Wochen ago