Firewall Szenarien Firewall Szenario 2

Szenario 1:

Autor: Johannes Schmidt, MCSEboard.de

Dieses Szenario kommt in vielen kleinen Unternehmen zum Einsatz. Ein solches Netzwerk besteht typischerweise aus einer kleinen Arbeitsgruppe oder Domäne. Die Internetanbindung wird zum Surfen und zum Empfangen von Mails benutzt. Als "Firewall" kommen häufig SoHo Router mit NAT zum Einsatz.

Visio Diagramm des Netzwerksegmentes

Vorteile dieses Aufbaus:

  • geringe Hardwarekosten
  • unkomplizierte Einrichtung i. d. R. durch eine Weboberfläche
  • geringer administrativer (Wartungs-) Aufwand


Nachteile dieses Aufbaus:

  • Ausgehende Verbindungen sind i. d. R. nicht beschränkt - Viren, Schadsoftware, Spyware etc. kann ungehindert Verbindungen über alle Ports und Protokolle zum Internet hin aufbauen.
  • Nur eingeschränktes (Security-) Logging möglich
  • Keine Bandbreiteneinsparung möglich
  • Keine effektive Nutzungseinschränkung der Internetdienste auf Ebene von Benutzer bzw. Gruppen möglich
  • Keine Ausfallsicherheit


Möglichkeiten zur Steigerung der Sicherheit unter Verwendung der gegebenen Hardware.

Viel Router im SoHo Bereich bieten diverse Einstellungsmöglichkeiten die abhängig vom Hersteller mit mehr oder minder sicheren Voreinstellungen belegt sind. Um ein Höchstmaß an Sicherheit aus der vorhandenen Hardware heraus zu holen sollten folgende Einstellungen überprüft und ggf. angepasst werden:

  • UPnP (Universal Plug and Play) Diese Einstellung ermöglicht es jedem Client dynamisch Ports des Routers zu öffnen und auf sich umzuleiten. Diese Funktion sollte daher auf jeden Fall deaktiviert werden!
  • Statische NAT Routen oder auch Portweiterleitung genannt. Da mit der vorhandenen Hardware aus sicherheitstechnischen Gründen keine Dienste nach außen hin angeboten werden sollten können alle vorhandenen Routen bzw. Portweiterleitungen gelöscht werden. Prüfen Sie auch ob der Router hier verschiedene Profile wie "Filesharing" oder "Game" aktiviert hat. Diese Einstellungen öffnen in aktiviertem Zustand ebenfalls unnötige Ports.
  • Die Möglichkeit den Router über das Internet zu konfigurieren sollte deaktiviert werden.
  • Das Konfigurationspasswort des Routers sollte aus min. (!) 12 Zeichen bestehen und aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Das Passwort sollte in keinem Wörterbuch stehen und keinen Bezug zu der Firma oder der eigenen Person besitzen.
  • Sollte ihr Router die Möglichkeit bieten Firewall Regeln einzurichten so sollten Sie diese Nutzen und alle Ports schließen die Sie nicht benötigen. Die benötigten Ports sollten sich i. d. R. auf die folgenden (bzw. eine Auswahl der folgenden) Ports beschränken:
    • Port 25 SMTP (Versand von eMails)
    • Port 110 POP3 (Empfang von eMails)
    • Port 995 POP3 via SSL (wie POP3 nur verschlüsselt)
    • Port 80 http (Abruf von Internetseiten)
    • Port 443 http via SSL (wie http nur verschlüsselt)
Firewall Szenarien Firewall Szenario 2