Grundlegende Netzwerkschutzmechanismen

Der Router, mit dem die Verbindung zum Internet erstellt wird, bietet nur eine sehr geringe IT-Sicherheitsstufe. Der Router spannt ein internes IP-Netzwerk mit privaten IP-Adressen auf. Diese sind von aussen nicht sichtbar, da der Router über Network Address Translation (NAT) die internen IP-Adressen auf eine einzige, öffentliche IP-Adresse abbildet.

Der NAT-Mechanismus allein schützt die Geräte insofern, als der Zugang von aussen immer zuerst über den DSL-Router erfolgen muss. Standardmässig erlaubt ein solcher Router nur Datenverkehr von innen nach aussen. Für den Datenverkehr von aussen nach innen ist eine sogenannte "Port-Forwarding-Regel" erforderlich. Trotz der Bequemlichkeit dieses Mechanismus wird das Gerät direkt Angriffen aus dem Internet ausgesetzt. Da Internet-Angriffe häufig und ausgeklügelt sind, sind nur Geräte wie Router, Firewalls oder Weberver im Internet sichtbar.

GA-Geräte dürfen nicht vom Internet her zugreifbar sein.

Zusätzlich zum manuell konfigurierten Port-Forwarding stellen viele Router das Protokoll Universal Plug and Play (UPnP) bereit, das von Geräten am lokalen Netzwerk zur autonomen Erstellung von Port-Forwarding-Regeln verwendet wird. Obschon dieses Feature für manche Applikationen von Vorteil ist, wird es auch zu einer zusätzlichen Schwachstelle. Dieses ist zu deaktivieren, wenn nicht zwingend erforderlich.

Beachten Sie, dass NAT in heutigen IPv4-Netzwerken wegen des Mangels an öffentlichen IPv4-Adressen normalerweise verwendet wird, zukünftige IPv6-Netzwerke jedoch keine IP-Adressbeschränkungen mehr aufweisen werden. Auch wenn die oben erläuterte Funktion nur ein „Nebenprodukt“ von NAT ist, werden zukünftige IPv6-Netzwerke ohne NAT schwere IT-Sicherheitsprobleme, wenn nicht korrekt durch die IT-Administration gehandhabt, aufweisen.