Inhaltsverzeichnis
Werbung
bintec elmeg GmbH
6.3 Hintergrundinformationen II
6.3.1 Network Address Translation (NAT) in IPv4-Netzen
Um eine beliebige Gestaltung lokaler (privater) Netzwerke zu ermöglichen, sind für IPv4-Netzwerke be-
stimmte Bereiche von Netzwerkadressen (IP-Adressen) als sogenannte "private Adressberei-
che" definiert. Da diese Adressen nur in ihrem jeweiligen lokalen Netzwerk gelten, können sie in ver-
schiedenen privaten Netzen beliebig verwendet werden, da sie nur dort eindeutig sein müssen, so z. B.
die Standardadresse der Digitalisierungsbox
Sobald aber eine Verbindung von Netzwerken oder auch einzelner Computer über das Internet erforder-
lich ist, können diese privaten Adressen nicht verwendet werden, da über sie keine eindeutige Adressie-
rung von Daten an ein bestimmtes Netzwerk möglich ist. Zu diesem Zweck dienen sogenannte "öffentli-
che IP-Adressen", also Netzwerkadressen, die innerhalb des Internets immer nur einem Gerät zugewie-
sen werden und daher eine eindeutige Adressierung erlauben.
Wegen der großen Anzahl einzelner internetfähiger Geräte kann aber nicht jedem Gerät eine eigene öf-
fentliche IPv4-Adresse zugewiesen werden, weshalb nur dem Internetzugangsrouter (Ihrer Digitalisie-
rungsbox) eine solche zugewiesen wird. Da sich in Ihrem lokalen Netz aber u. U. mehrere Netzwerkge-
räte befinden (PCs, IP-Telefone, Smart TVs), die jeweils alle mit einer privaten Adresse auf das Internet
zugreifen, müssen die verschiedenen privaten Adressen so mit der einen öffentlichen Adresse Ihres
Routers verknüpft werden, dass alle Geräte Zugriff auf das Internet bekommen.
Zu diesem Zweck "merkt" sich der Router, welches Gerät mit welcher lokalen Adresse auf welche Inter-
netadresse zugreift und versieht diesen Zugriff dann mit der eigenen, öffentlichen Adresse - er "über-
setzt" die private Adresse des anfragenden Geräts in seine öffentliche. Erreichen die aus dem Internet
angeforderten Daten den Router, überprüft dieser, an welche private Adresse in Ihrem Netz diese über-
tragen werden müssen, und sendet sie an das entsprechende Gerät.
Auf diese Art und Weise können beliebig viele Geräte aus dem lokalen Netzwerk über eine einzige öf-
fentliche Adresse das Internet nutzen. Abgesehen von dieser Vereinfachung der Netzwerkzugriffe bietet
NAT darüber hinaus einen einfachen, aber effizienten Schutz gegen ungewollten Zugriff auf Ihr Netz-
werk: Wenn der Router für eingehende Daten keine Information darüber gespeichert hat, wohin diese
Daten im lokalen Netz zu senden sind, die Daten also nicht zuvor aus dem lokalen Netz auch angefor-
dert worden sind, so wird die Verbindung grundsätzlich abgewiesen.
6.3.2 Stateful Inspection Firewall (SIF)
Während Network Address Translation von außen eintreffende Daten lediglich daraufhin untersucht, ob
sie vom sicheren, lokalen Netzwerk angefordert worden sind, ermöglicht eine Stateful Inspection Fire-
wall eine komplexere Analyse einzelner Datenpakte aufgrund konfigurierbarer Kriterien. Diese Kriterien
können in Regeln definiert werden, die dann zu Regelketten verknüpft werden, so dass eine komplexe
Abfolge von Überprüfungen stattfindet, aus der sich ableitet, ob ein Datenpaket verworfen oder zugelas-
sen werden muss.
Die Firewall-Regel unseres Webcam-Beispiels würde daher Folgendes prüfen:
Wenn ein Paket
• über die Internetschnittstelle
Hilfe bei der Einrichtung
Wichtig
Sichern Sie den Zugriff auf die Webcam in der Konfiguration der Webcam unbedingt mit
einem sicheren Passwort!
In einigen Fällen müssen Sie bei der Konfiguration Einstellungen vornehmen, deren Hinter-
grund erklärungsbedürftig ist. In diesem Abschnitt erklären wir einige technische Hintergrün-
de.
6 Anwendungen für Fortgeschrittene
.
87
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
