Internetanbindung für LANs

Am Mittwoch, den 25. Oktober 2000 um 19:30 Uhr trafen sich im Bürgerhaus-Süd in Herten 15 Interessierte zu einem Erfahrungsaustausch über die verschiedenen Möglichkeiten ein LAN an das Internet anzubinden und so gleich mehreren Rechner den Zugang zu ermöglichen.

Diese gemeinsame Veranstaltung von HITFORUM und NGG-Ruhr war ein Novum. Zum ersten Mal war kein Referent zum Thema des Abends eingeladen worden, sondern die Teilnehmer selber waren aufgerufen, den Abend zu bestreiten. Erfreulicherweise hat sich dieses Konzept prima bewährt.

Das lag unter anderem auch sicher daran, dass das Spektrum der Teilnehmer breit gestreut war. Es reichte von Gelegenheitssurfern, die gerne mehrere PC vernetzen und gemeinsam in's Internet bringen möchten, über Freiberufler, die einen ganzen Rechnerpark verschiedenster Systeme (z.B. Solaris-Workstation, Windows-PC, Linux-PC) betreiben müssen, bis zu Betreuern professioneller Internetpräsenzen und Mitarbeitern von Internetprovidern.

Entsprechend unterschiedlich waren daher auch die angesprochenen Erfahrungen, so dass sich ein lebhafter, für alle Beteiligten interessanter Austausch ergab.

Dabei stand gar nicht so sehr der Aspekt der technischen Anbindung im Vordergrund. Modem, ISDN, ADSL oder Standleitung, das war gar nicht von großem Interesse. Auch ob man sich nun über einen Proxy-Server oder aber einen Router mit Network-Address-Translation bzw. IP-Masquerading mit dem Internet verbindet war relativ schnell abgehandelt.

Eindeutig im Vordergrund stand das Thema "Sicherheit". Dies ist leicht verständlich, wurde doch von vielen berichtet, dass selbst bei kürzeren Aufenthalten im Internet schon mit hoher Gewissheit "Besucher" vorbeikommen, die die Ports des verbindenden Rechners abklappern und nach offenen Türen suchen (sogenanntes Portscanning). Dass professionelle Auftritte damit zu rechnen haben, war ja jedem klar, aber auch der mehr oder minder private Surfer ist davor nicht gefeit.

Auf reges Interesse stiessen daher Werkzeuge, mit denen man das eigene System absichern kann, aber auch solche, mit denen dann die Sicherheit überprüft werden kann.

Da "professionelle" Firewall-Lösungen aufgrund der damit verbundenen Kosten (ca. DM 30.000 bis DM 100.000) für die Mehrzahl der Teilnehmer nur von theoretischer Bedeutung waren, konzentrierte sich die Diskussion auf sogenannte Personal Firewalls. Diese sind zwar eigentlich nicht für den Schutz von Netzwerken im Internet gedacht, können trotzdem aber verwendet werden, um den Zugangsrechner, bzw. die einzelnen Rechner zu schützen. Unter Windows stellt sich dann aber meist das Problem, dass die Firewall Software nicht als Dienst gestartet werden kann, sondern nur als einfaches Anwender Programm läuft, also nur zur Verfügung steht, wenn auch jemand am System angemeldet ist. Für Desktop Systeme ist das ja durchaus in Ordnung, wird aber ein Problem, wenn auf diese Weise der Proxy-Server oder der Router geschützt werden soll.

Für alle, die nicht wissen, wozu nun eine Personal Firewall gut sein soll, empfiehlt sich ein Besuch auf www.grc.com. Unter "Shields UP" kann man mit einem Online-Portscanner testen, wie es um die Sicherheit des eigenen Systems bestellt ist. Es ist schon ein frappierendes Erlebnis, wenn man als vermeintlich anonymer Internetsurfer mit seinem Namen begrüßt wird oder schwarz auf weiss nachlesen kann, welche Drucker und Verzeichnisse im eigenen Netzwerk freigegeben sind. Dann wird es höchste Zeit, sich näher mit diesem Thema zu beschäftigen. Ebenfalls unter www.grc.com finden sich auch Kommentare zu gängigen Firewall Systemen. Sehr empfehlenswert!

Neben den hier überprüften TCP-Ports gibt es natürlich auch noch Angriffe über das Protokoll UDP oder auf IP-Ebene mittels ICMP, durch provozierte Pufferüberläufe oder durch Ausnutzung anderer Schwachstellen der jeweiligen Implementierung des IP-Stacks. Ein weites Feld!

Die Gefahr droht übrigens nicht nur von aussen. Hier sind insbesondere die sogenannten "Trojaner" zu erwähnen. Hierbei handelt es sich um Programme, die uns auf einfallsreiche Weise untergeschoben werden und dann einen Brückenkopf für Angriffe auf unser System bilden. Der Ausdruck "Trojaner" ist natürlich mal wieder typisch IT-Slang. Genaugenommen müsste es in Erinnerung an den guten alten Odysseus und seine Geschichten "Trojanische Pferde" heissen. Zum Ärger aller Bewohner und Freunde von Troja spricht man aber fälschlicherweise schlicht von "Trojaner".

Hat sich der Feind erstmal eingeschlichen, kann die Kontaktaufnahme von aussen durch Portscanning erfolgen oder auch von innen ausgehen. Was wäre zum Beispiel, wenn ein verstecktes Programm eine Verbindung ins Internet aufbaut und unsere wichtigsten Daten und Informationen per E-Mail, ftp oder wie auch immer in die Hände von lieben Zeitgenossen übermittelt?

Daher überwachen manche Personal Firewall Systeme auch, welche Programme eine Verbindung ins Internet aufzubauen versuchen und fragen zum Beispiel den Anwender, ob er damit einverstanden ist. Das mag zwar lästig sein, aber hat seinen Sinn.

Auch die Zeitschrift "ct" hat sich des Themas angenommen:
Gut gerüstet Die Gefahren des Internet meistern (ct 20/2000).

Im selben Heft werden auch elf Personal Firewall Systeme verglichen und bewertet.

• Conseal OC Firewall (www.netz-sicherheits.de)
• Lockdown2000 (www.lockdown2000.com)
• eSafeDesktop (www.ealaddin.com/esafe)
• Norton Internet Security 2000 (www.symantec.de)
• Secure Desktop (www.sygate.com)
• Tiny Personal Firewall (www.tinysoftware.com)
• BlackICE Defender (www.networkice.de)
• Internet Firewall 2000 (www.digitalrobotics.com)
• ZoneAlarm (www.zonelabs.com)
• McAfee Personal Firewall (www.mcafee.com/myapps/firewall)

Einen eindeutigen Testsieger kann "ct" im Fazit des Artikels aber nicht präsentieren. Dafür ist das Thema zu komplex und die Produkte zu unterschiedlich. Wer sich also näher mit diesem Thema befassen will, bleibt nicht davon verschont, sich selber ein Urteil zu bilden.

Einer alten Tradition folgend traf man sich anschliessend noch zu einen Stammtisch im nahegelegenen China-Restaurant. Hier wurde dann wie immer in lockerer Atmosphäre über alles Mögliche und Unmögliche der IT-Branche geplaudert.