TKR: DrayTek Router und Sicherheit

Router · WLAN · Voice-over-IP · DSL-Modems · Kombigeräte · ISDN-Adapter · Zubehör

Firewall.

DrayTek Vigor-Router
Über Firewalls und die Sicherheit Ihres Netzwerks:
Die Brandschutzmauer
Im Internet besteht immer die Gefahr, dass man Ziel unfreundlicher Angriffe wird. Die Firewall der Vigor-Router erlaubt es, komplexe, ineinander verzahnte Filterregeln aufzustellen. So läßt sich das interne Netz vor unbefugtem Zugriff aus dem Internet schützen.

Man kann die Funktionen der Firewall aber auch anwenden, um das interne Netzwerke vor bestimmten Inhalten aus dem Internet abzuriegeln: Wenn mit Hilfe der Firewall nur bestimmte Server für den Verbindungsaufbau zum Internet erlaubt sind, können auch nur Inhalte von diesen Servern heruntergeladen werden. Eine grobere Begrenzung ist das Verbieten von Web-Seiten, die bestimmte Schlüsselworte enthalten mit Hilfe des URL-Filters*.

Mit Hilfe der Firewall können auch die Zugriffsmöglichkeiten zwischen Internet und lokalem Netzwerk eingeschränkt werden. Die Firewall stoppt alle unberechtigten Zugriffe von einem Netz in das andere. So ist es etwa möglich, Anfragen aus dem Internet auf bestimmten Ports abblocken zu lassen oder aus dem lokalen Netzwerk Anfragen nur zu bestimmten Internetseiten zuzulassen. Gestoppte Anfragen können dabei optional protokolliert werden.

Denial of Service-Angriffe
Bei Denial of Service-Angriffen versucht ein Angreifer aus dem Internet, »aus Spaß« einen oft wahllos ausgewählten Router durch Überlastung mit Paketen lahmzulegen. Der Router kann mit seiner DoS-Funktion vor der Annahme zuvieler Pakete geschützt werden, dadurch wird die Attacke abgemildert. Wurde ein Angriff erkannt, wird dieser protokolliert.

NAT „Network Adress Translation“ ermöglicht es mehreren Clients in einem Netzwerk die gleiche externe IP-Adresse zu benutzen. Diese erscheint gegenüber anderen Servern als Ursprungsadresse. Die Clients sind so gegen direkte Angriffe aus dem Internet geschützt. Die Zuordnung interne - externe IP wird in einer NAT-Tabelle aufgezeichnet. Dadurch ist es möglich, dass die Antwort des Servers auch an den richtigen Client im internen Netzwerk gesendet wird.

DMZ ist eine Firewall-Technik zum Schutz eigener Netzwerke gegenüber öffentlich zugänglichen Netzen. Die im DMZ befindlichen Server gehören strategisch nicht zum internen Unternehmensnetz und können daher auch keine Informationen aus diesem weiterreichen. In der DMZ sind üblicherweise Web-, und Mail-Server untergebracht.

NAT, Portumleitung, Portöffnung, DMZ
Durch NAT bzw. die Firewall wird verhindert, dass man vom Internet aus auf interne Rechner zugreifen kann. In manchen Fällen ist aber genau diese Funktion erwünscht. Für solche Anwendungen bietet der Vigor verschiedene Möglichkeiten

Für den Betrieb von internen Diensten, wie einem Web- oder Fileserver, können mit der Portumleitungsfunktion einzelne öffentliche Ports auf bestimmte interne Rechner umgeleitet werden.

Mittels der Funktion „Portbereiche öffnen“ werden alle Anfragen, die innerhalb eines Portbereichs liegen, an einen bestimmten Rechner im Netzwerk weitergeleitet. Damit kann man Programme wie Quake, Streaming Video oder QuickTime, die mehr als einen Port benötigen, über den Vigor nutzen.

DMZ (DMZ = entmilitarisierte Zone, engl. demilitarized zone) ist die konsequente Weiterführung der Funktionen Portumleitung und Portbereich öffnen. Sie ermöglicht das Freischalten aller Ports für einen bestimmten hausinternen Rechner. Das bedeutet, dass alle Anfragen an Ports, welche nicht in der momentan aktuellen Routingtabelle hinterlegt sind, 1:1 an den DMZ-Rechner weitergeleitet werden.

Gruppenbildung *
Um in der Firewall Regeln für bestimmte Anwender zu definieren, ist es sinnvoll, Anwender oder Dienste zusammenfassen zu können. DrayTek ermöglicht das bei einigen Modellen durch Bildung von IP- und Servicetyp-Objekten und Gruppen.

* Nicht in allen Modellen verfügbar.

Die Seiten zu DrayTek
Vigor-Routern