Software-Router (Firewall, Schutz)
Software-Router basieren meist auf einem PC mit 2 Netzwerkkarten und geeigneter Routing-Software. Windows unterstützt dies z.B. mit seiner Internetverbindungsfreigabe (ICS - Internet Connection Sharing).
Software Router setzen meist auf NAT (Network Adress Translation) / PAT ( IP-Masquerading ) bzw. Port-Forwarding
Per NAT/IP-Masquerading lassen sich Netze mit privaten Adressen (bzw nicht offiziellen-Internet-Adressen) dennoch mit dem Internet vebinden. Dabei bleibt das interne Netz weiterhin von außen "unsichtbar", also nicht erreichbar (erhöhte Sicherheit).
Umgekehrt, der Zugriff von Innen nach Außen ist jedoch möglich: Dafür merkt sich die vermittelnde Station per NAT zu jeder Verbindung die IP der internen Station und das Ziel im Internet. (Wird auch der Port mitgespeichert, wird von PAT oder IP-Masquerading gesprochen). Aufgrund der Werte, die er intern in einer Tabelle für die einzelnen Stationen vewaltet, weiß er, welche Stationen welche Anfragen ins Internet schicken. Die eigentliche Anfrage schickt aber dann der "Roter"-Rechner selbst ins Internet. Aufgrund der zurückkommenden Antwort aus dem Internet, leitet er diese wiederum mit Hilfe der angelegten Tabelle an den internen Rechner weiter, der vorhin die Anfrage ins Internetz schickte. Alle Pakete, die über diesen Rechner(bzw Hardwarerouter) laufen, werden also anhand dieser Tabelle manipuliert: Bei der Anfrage aus dem internen Netzt ins Internet ersetzt er folglich die private Quelladresse (zB. 192.168.0.30) mit seiner öffentlichen (z.B. 193.170.98.150), unter der er die Anfrage dann ins Netz schickt. Die Antwort auf die Anfrage erhält so wieder der Vermittlungsrechner und rückübersetzt sie mit der internen IP laut Tabelle.
Einschränkung:
- Kommunikation muss verbindungsorientiert sein.
- Interne Stationen sind von außen nicht erreichbar.
Vorteil:
- Es wird nur eine ofizielle Internet IP-Adresse benötigt.
Port-Forwarding
Mittels Port-Forwarding können interne Rechner durch einen Verbindungsaufbau von außen dennoch erreicht werden. Der vermittelnde Rechner wartet dabei auf einem bestimmten Port auf eintreffende Datenpakete. Treffen auf diesem Pakete ein, leitet er sie an einen internen Computer (z.B. 192.168.0.30) weiter. Für Rechner im Internet sieht es wiederum so aus, als würde der Serverdienst auf dem vermittelnden Rechner selbst laufen.
Zusätzlichen Schutz bieten Firewalls.
Firewalls
Meist eine Kombination aus Software- u. Hardware (Ausnahme: Application-Firwall - eine Softwarelösung). Sie dienen zum Schutz von Netzwerken (z.B. jeglichen Zugriff von außen (Internet) unterbinden).
Paketfilter
Der Paketfilter regelt den über ihn laufenden Paketfluss abhängig von Firewall-Regeln (rulesets). Paketfilter können sich z.B. in einem Router oder Switch befinden bzw in speziell auf Paketfiltering ausgelegten Netzwerkskomponenten. In letzter Zeit häufig auch in onboard-Netzwerk-Chipsätzen, die mit der zugehörigen Netzwerktreibersoftware paketfiltering durchführen.
Rulesets können Umfassen :
- bestimmte IP-Adressen (z.B. keine eingehenden internen privaten IP-Adressen aus dem Internet, da diese nur gefälscht sein können)
- bestimmte Ports (z.B. Telnet-Verbindungen auf Port 23 nur von der Adresse 193.170.98.20 zulassen)
- bestimmte Pakete (z.B. keine ICMP-Messages eingehend und ausgehend)
Applikation Firewall
Spezielle Softwareprogramme (Applications), die zusätzlich zum Paket-Filtering auch die verwendete Applikation spezifiziert. (Z.B. Mozilla darf nur über Port 80 ins Internet verbinden, bzw. Internet Explorer darf gar nicht ins Internet verbinden). Ein Vorteil liegt darin, dass auch ausgehende Verbindungen programmabhängig analysiert werden, so scheitern Spyware oder Backdoors meist an der Application-Firewall. Natürlich gibt es auch Programme, die direkt die Firewall attackieren und sich so einen Weg unter Umgehung der Application-Firewall suchen. Deswegen ist es ratsam, einen Virenscanner ständig aktualisiert mitlaufen zu lassen und alle System- und Programmupdates einzuspielen.