Keine Angst vor Schnüfflern

Abschirmende Firewalls

Die meisten Firewalls der führenden Hersteller verhüllen durch "Network Address Translation" (NAT) die Struktur des LAN vor der übrigen Welt. Die Geräte repräsentieren das Netz der Firma nach außen hin durch eine einzige registrierte IP-Adresse und verbergen damit die privaten Internet-Adressen des Firmennetzes. Kommuniziert ein Rechner des LAN über das Internet, erhält er für den Zeitraum der Verbindung eine dynamische IP-Adresse aus einem Pool registrierter Nummern. Eingehende Pakete leitet die Firewall an den Empfänger weiter. Auch wenn das eigene Netz gegen-über möglichen Angriffen von außen geschützt ist, besteht immer noch ein Risiko: Über das Internet ausgetauschte Daten können abgehört werden. Es wäre nämlich nicht praktikabel, dem Datenstrom einen bestimmten Weg vorzugeben. Dafür ist das weltweite Internet viel zu komplex. Vielmehr müssen die einzelnen Datenpakete jeweils einen eigenen Weg von einem Router zum nächsten suchen. Und an jeder dieser Zwischenstationen kann die Leitung belauscht werden.

Ein virtuelles privates Netzwerk (VPN) sichert die Kommunikation über das Internet vor unberechtigten Lauschangriffen. Dabei handelt es sich um eine IP-Verbindung, die Datenpakete kodiert und sich nur autorisierten Benutzern als Klartext offenbart. Das Prinzip ist einfach: Ein VPN chiffriert alle Daten, die das sichere Firmennetz verlassen, und der Empfänger dechiffriert sie, wenn sie das Gateway zu seinem LAN passieren. Einige Firewalls ermöglichen den Aufbau von VPNs und bieten neben der Datenverschlüsselung auch Mechanismen zum Authentifizieren von Benutzern an. Mit ihrer Hilfe kann der Systemadministrator bestimmen, welche Anwender Pakete in das Firmennetz senden dürfen. Kommuniziert ein Unternehmen häufig mit einer Niederlassung über das Internet, sollte eine VPN-Firewall mit Verschlüsselung und User-Authentifizierung an beiden Punkten installiert sein.

Verschiedene Firewall-Anbieter setzen für die Kommunikation über VPNs ihre eigenen, proprietären Sicherheitsmechanismen ein. Unternehmen müssen daher an den Endpunkten ihrer LANs Geräte eines Herstellers aufstellen. Um einen Datenaustausch zwischen Firewalls unterschiedlicher Hersteller zu gewährleisten, arbeitet die Working Group IP Security der Internet Engineering Task Force (IETF) an einer Reihe von Dokumenten, die eine sichere IP-Kommunikation beschreiben. Die grundlegenden Internet-Drafts hat das Komitee im vergangenen Sommer zum letzten Mal überarbeitet (siehe Kasten "Internet-Drafts zu IPSec"), denn die Steering Group der IETF hat die Entwürfe als "Proposed Standards" anerkannt.