Hallo zusammen, hallo Uwe,
Ich auch, aber aus anderen Gründen. 
Das wäre schön, wenn es so wäre. Ich zitiere aus Lutz Donnerhacke, Firewall-FAQ:
"Adressumsetzung (NAT) wurde entwickelt, um Kommunikation zwischen Anwendungen auch dann zu ermöglichen, wenn die Adressen der Gegenstellen nicht direkt gegenseitig erreichbar sind.
Die meisten Anwendungen verwenden nicht allein eine Verbindung, die von dem Surfersystem zum jeweiligen Server aufgebaut wird, sondern eine Vielzahl von unterstützenden Diensten und damit auch unterschiedlichen Protokollen. Die Richtung dieser unterstützenden Verbindungen ist dabei oft auch vom Server zum Client(Surfer).
Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse, so wird er versuchen, irgendwie den eigentlichen Empfänger zu erraten und das Paket zuzustellen. Das gilt insbesondere dann, wenn der NAT-Router keine intime Protokollkenntnis der Anwendung hat. Oft besteht keine Chance für den NAT-Router, selbst bei Kenntnis des Protokolls, den Empfänger sicher zu ermitteln. Dann wird mittels einer Heuristik der Empfänger erraten. Dies gilt insbesondere bei verschlüsselten Verbindungen und verbindungslosen Protokollen.
Ein NAT-Router ist deswegen keine Sicherheitskomponente. "
Siehe: Lutz Donnerhacke: de.comp.security.firewall FAQ
Überhaupt empfehle ich das Dokument als Einstieg in das Thema “Firewalling”. Lutz Donnerhacke räumt da mit einigen hartnäckigen Gerüchten auf, was denn Firewalls angeblich so alles leisten, und erklärt sehr schön und knackig, was sie wirklich sind.
Wer hat schon keine Dienste auf dem Rechner aktiviert. Sobald Du mehr als einen im Netz hast, hast Du mindestens ein NFS-Server oder der Rechner tanzt Samba. Dann kommt noch CUPS in der Regel hinzu. Vielleicht noch Mysql und einen Indianer …
Deshalb braucht es auch eine Firewall. Allerdings nicht auf dem zu schützenden Rechner. Dazu auch wieder ein Zitat von Donnerhacke, das ich einfach liebe:
"Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!
Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.
Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.
Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"
Die Antwort, die Du hören willst lautet: 'Es gibt da extrem coole Folien mit dem Aufdruck `Das ist kein Haus.`, die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm.'"
Das gilt imho für alle Firewalls, die auf dem zu schützenden Rechner laufen ob unter Windows oder auch unter Linux. Deshalb gehört die Firwall zwischen den Router und den Rechner. Meist ist sie heute Teil des Geräts, das wir fälschlich als Router bezeichnen. Der Router ist eigentlich nur die Software, die die Pakete von einem Netz ins andere weiterleiten. Heute sind in den Geräten aber noch eine Reihe weiterer Server wie DHCP und DNS integriert und fast immer auch eine Firewall. Empfohlene Einstellung für den Anfang:
Port 0 - 1023 außen nach innen access reject
Dann sind erstmal alle Well known ports geschlossen. Dann kann man sich noch die Mühe machen, alle für Exploits bekannte andere Ports zu schließen. Aber das halte ich für ein Netz, in dem nur Linux läuft, für übertrieben.
Wogegen übrigens alle Firewalls machtlos sind, sind getunnelte Angriffe. Folgendes Szenario: Es gibt in einem Browser, nennen wir ihn mal Zwischennetzforscher ;), eine Lücke, mit Hilfe derer ich mit einer präparierten Webseite den Browser dazu veranlassen kann, Kontakt mit einer anderen Seite aufzunehmen, ohne dass der User das merkt und von dort ein Plugin herunterzuladen, das alle meine Formulardaten, die ich so eintrage, an einen Server schickt. Warum kann das keine Firewall verhindern?
- Schritt: Aufruf der präparierten Webseite
Dein Zwischennetzforscher nimmt Kontakt über Port 80 mit einem Server im Netz auf. Dazu öffnet er einen seiner Ports für die Rückantwort. Das wird jede Firewall der Welt durchlassen, es sei denn, der Chef will nicht, dass Du während der Arbeit surfst.
- Schritt: Kontaktaufnahme mit dem Download-Server
Über welchen Port wird das wohl geschehen? Wieder über den Zielport 80. Auch das wird die Firewall wieder zulassen. Für die sieht das nicht anders aus als der Aufruf einer harmlosen Webseite. Also wird der Verkehr zugelassen und der Download klappt. Das Plugin ist auf dem Rechner und installiert.
- Schritt: Versand der Formulardaten
Nun liest das Plugin fröhlich alles mit, was ich so in Formulare eintippere und schickt das wieder über Zielport 80 an den Datenbankserver, der das auswertet. Auch das lässt die Firewall durch, denn auch das sieht aus wie normaler Verkehr im Web. Allenfalls könnte sich die Firewall wundern, dass das plötzlich so viel ist, was da an Zielport 80 geht immer auf denselben Server. Aber die Firewall ist ein Computerprogramm und Computerprogramme wundern sich über gar nichts. Deshalb machen sie ja auch nie, was wir wollen, sondern nur das, was wir sagen. Und die Regel für die Firewall lautet: Zielport 80? Durchlassen!
Das Problem ist, dass Firewalls als Portfilter eben nicht die Pakete nach Inhalt untersuchen, sondern nur Ports filtern. Zwar muss eigentlich hinter Port 80 ein Webserver laufen. Aber das ist eine Konvention und kein technisches Muss. Ich kann jeden Dienst an jeden der 65.516 Ports binden, die zur Verfügung stehen. (Die ersten zwanzig sind Steuerports, mit denen das imho nicht geht.) Eine reine Portfirewall wird keinen Unterschied bemerken, weil sie nicht in die Pakete reinguckt, sondern nur sieht, welche Adresse auf dem Paket steht, so wie der Postbote auch den Inhalt des Postpakets (hoffentlich) nicht kennt.
Gegen solche Angriffe hilft nur ein Proxy-Server. Proxy-Server packen die Pakete komplett aus. Damit ist auch eine Inhaltsprüfung möglich. Ich kann hier also definieren, welche Pakete an den Zielport 80 gehen dürfen und welche von dort kommen können. So kann ich sehr fein einstellen, was ich erlaube und was nicht. Viel Spaß dabei. Das geht dann so weit, dass ich den Download bestimmter Dateitypen verhindern kann, während ich andere zulasse. Neben der vielen Arbeit, die das macht, hat das noch einen Nachteil: Das Netz wird langsamer, denn das Prüfen kostet Zeit. So lange die Prüfung nicht abgeschlossen ist, kann der Inhalt nicht ausgeliefert werden. Und ein dritter Nachteil ist, dass nicht alle Dienste über den Proxy geleitet werden können. Brauche ich einen dieser Dienste, dann kann ich mir den Proxy fast schon wieder sparen, denn dann kann er auch mit http oder anderen in der Firewall erlaubten Protokollen umgangen werden.
Für den Privatgebrauch halte ich Proxies für den Overkill. Da empfehle ich eine wie oben gesagt konfigurierte Firewall und die Nutzung von brain 1.0 (siehe: was ist brain 1.0 ?) als Proxy. In Firmenumgebungen kann das ganz anders aussehen, muss es aber nicht. Da kommt es immer darauf an, was denn so gemacht wird.
Eine Bemerkung kann ich mir nicht verkneifen: Das “konvetionelle Internet” ist dann doch eher Email und ftp und nicht http und www. Ich z. B. hatte meine erste Email-Adresse damals noch über das Fido-Gateway in dem Jahr als Tim Berners-Lee die Urversion von html veröffentlichte. Oh Mann, bin ich alt.
Liebe Grüße
Erik