Firewall, NAT, Routing

System Management 1

Was ist die Hauptaufgabe einer Firewall?

Sie trennt ein internes (vertrauenswürdiges) Netz von einem externen (nicht vertrauenswürdigen) Netz und filtert den Datenverkehr basierend auf Regeln (IP-Adressen, Ports, Protokolle). Die Hauptaufgabe einer Firewall besteht darin, unerlaubte Zugriffe zu verhindern und die Netzwerksicherheit zu gewährleisten.

Was sind die drei typischen Zonen einer Firewall?

LAN (trusted – intern)

DMZ (demilitarized zone – für öffentliche Server)

WAN (untrusted – Internet)

Was ist eine DMZ?

Eine Pufferzone zwischen dem Internet und dem internen Netz. Hier werden Server platziert, die von außen erreichbar sein müssen (z.B. Webserver, Mailserver). Eine weitere Firewall schützt das LAN vor der DMZ. Sie ermöglicht einen kontrollierten Zugang zu öffentlich zugänglichen Diensten, während sie gleichzeitig das interne Netzwerk vor Bedrohungen schützt.

Warum sollte aus der DMZ nicht direkt ins LAN kommuniziert werden?

Um zu verhindern, dass ein kompromittierter DMZ-Server das gesamte interne Netz angreifen kann. Verbindungen sollten nur vom LAN in die DMZ initiiert werden (oder über Reverse-Proxy). Dadurch wird die Sicherheit des internen Netzwerks gewährleistet, indem potenzielle Angreifer daran gehindert werden, direkt auf sensible Daten zuzugreifen.

Was bedeutet NAT?

Network Address Translation – Übersetzung von IP-Adressen, meist zwischen privaten und öffentlichen Adressen. NAT ermöglicht es, mehrere Geräte im internen Netzwerk unter einer einzigen öffentlichen IP-Adresse zu betreiben, wodurch der Adressraum effizienter genutzt wird.

Was ist Source-NAT (SNAT) / Masquerading?

SNAT ändert die Quell-IP eines Pakets, z.B. von einer privaten Client-IP in die öffentliche IP des Routers. Dadurch können mehrere Geräte mit einer öffentlichen IP ins Internet gehen. Masquerading ist eine dynamische Form, wenn die WAN-IP per DHCP bezogen wird.

Was ist Destination-NAT (DNAT) / Port Forwarding?

DNAT ändert die Ziel-IP eines Pakets, z.B. eine öffentliche IP:443 wird auf die private IP eines Webservers:443 umgeschrieben. So können Dienste aus dem Internet auf interne Server zugreifen. Durch die Änderung der Zieladresse können externe Anfragen zu einem bestimmten Dienst auf einen internen Server geleitet werden, wodurch der Zugriff auf diesen Dienst ermöglicht wird, während die interne Struktur verborgen bleibt.

Was versteht man unter Routing?

Der Prozess, bei dem ein Router den Weg eines IP-Pakets zum Zielnetz bestimmt, basierend auf seiner Routing-Tabelle.

Was ist ein Standard-Gateway?

Die IP-Adresse eines Routers, an die ein Gerät alle Pakete sendet, deren Ziel nicht im eigenen Subnetz liegt. Ohne Standard-Gateway gibt es keine Kommunikation mit anderen Netzen. Das Standard-Gateway ist entscheidend für die Kommunikation zwischen verschiedenen Netzwerken, da es als Eingangspunkt fungiert, wenn Datenpakete das lokale Subnetz verlassen müssen.

Was ist ein VLAN?

Virtual Local Area Network – die logische Unterteilung eines physischen Switches in mehrere getrennte Broadcast-Domänen. Erhöht Sicherheit und reduziert unnötigen Broadcast-Verkehr.

Was ist der Unterschied zwischen einem Access Port und einem Trunk Port bei VLANs?

Ein Access Port verbindet Endgeräte mit einem VLAN und überträgt nur untagged Frames, während ein Trunk Port mehrere VLANs unterstützt und tagged Frames überträgt, um den Datenverkehr zwischen Switches zu ermöglichen.

Was ist eine ACL (Access Control List) im Kontext von Firewalls/Routern?

Eine Liste von Regeln, die festlegt, welcher Datenverkehr erlaubt oder blockiert wird (basierend auf IP, Port, Protokoll). ACLs werden verwendet, um den Zugriff auf Netzwerkressourcen zu steuern und Sicherheitsrichtlinien durchzusetzen.