Firewalls sind
ein starkes Werkzeug zum Schutz von Datennetzen. Dennoch bieten sie nur
Schutz mit beschränkten Möglichkeiten. Es ist also auch wichtig zu wissen, was Firewalls nicht
leisten resp. wo ihre Grenzen liegen.
Wenn Sie von den üblichen Netzwerkschichten (Schichten 2-4) ausgehen, dann stellt der
Firewall einen guten Schutz dar. Adressfälschung oder verbotene Dienste können relativ
problemlos erkannt werden. Falls eine Attacke jedoch auf höherer Ebene ansetzt, muss der
Firewall deren Paketinhalt durchsuchen. Es lohnt sich zu überlegen, ob z.B. der kritische X11-
Dienst nicht besser von Anfang an zu sperren ist.
Ein bekanntes Beispiel ist auch sendmail. Beim Interpretieren des Inhalts von bestimmten Mail-
Headern liess es sich manchmal zu übelgesinnten Aktionen verleiteten. Es verdeutlicht also gut,
dass in Fällen, wo der Programmcode einer Anwendung schon fehlerhaft und unsicher ist, auch
der beste Firewall als nutzlos erscheint.
Selbst wenn alle bekannten Schlupflöcher gestopft sind, können durch neue Anwendungen
oder Dienste bereits wieder neue Schlupflöcher entstanden sein, die man noch gar nicht kennt
1. Sicherheit (Kurzfassung)
