Basiswissen für Schutz vor Angriffen - Studerus AG, ZyXEL Generalvertretung

Security/UTM/VPN

Grafik Ratgeber Security

NAT (Network-Address-Translation)

Die NAT-Funktion übersetzt die vom Provider erhaltene öffentliche IP-Adresse in interne (private) Adressen. Die IP-Adresse des einzelnen PCs ist somit vom Internet her aus nicht erkennbar, somit auch nicht ansprechbar. Deshalb bietet NAT schon einen gewissen Grund-Schutz. NAT ist bereits in allen Routern von ZyXEL enthalten.

Packet-Filter

Beim Packet-Filter werden die Datenpakete bezüglich Quell- und Zieladresse sowie Protokolltyp analysiert und die Zugriffsbeschränkungen entsprechend der Konfiguration umgesetzt. Die Vorteile sind volle Transparenz und hohe Geschwindigkeit. Der Nachteil: Es werden lediglich Ports gesperrt oder freigeschaltet. Mit Hacker-Techniken wie IP-Spoofing (Vortäuschen berechtigter IP-Adressen) oder Source-Routing (Umleiten von Datenpaketen) können solche Packet-Filter-Firewalls überlistet werden. Packet-Filter ist in allen Routern von ZyXEL vorhanden.

Stateful-Packet-Inspection

Stateful-Packet-Inspection bietet einem Netzwerk-Schutz vor unerlaubtem Zugriff aus dem Internet. Gleichzeitig wird der Zustand einer Verbindung kontrolliert, d. h. ob die Antwort auf eine Anfrage aus dem internen Netzwerk zurückzuführen ist. In einer internen Tabelle werden diese Verbindungskontrollen verwaltet und überwacht. Dies ist die Basis für die Entscheidung, ob die Firewall ein Datenpaket passieren lässt, oder ob es blockiert wird. Die Einschränkung der Kontrolle auf IP-Adressen und Protokolle unterscheidet die Firewall von Intrusion-Detection-Prevention-Systemen.

Abwehr von DoS-Attacken (DoS = Denial-of-Service)

DoS-Attacken versuchen, den Router oder Server zu überlasten. Dieses Vorgehen kann die Dienste von ganzen Netzwerken lahmlegen. DoS ist in allen ZyXEL-Firewalls sowie in den meisten ADSL-Routern integriert.

DMZ (De-Militarized-Zone)

Öffentliche Server wie z. B. ein Webserver müssen vom Internet her erreichbar sein - lokale dagegen nicht. Um diese unterschiedlichen Anforderungen zu erfüllen, platziert man öffentliche Server in einem separaten Netzwerksegment. Diese sogenannte demilitarisierte Zone ist durch Firewall-Regeln vom Internet und vom lokalen Netzwerk getrennt. Damit erhöht sich die Sicherheit, weil selbst ein infizierter Server in der DMZ noch keinen Zugriff auf das lokale Netzwerk ermöglicht.