Eine Firewall ist ein Gerät oder eine Software, dass zwischen Ihrem Computer und dem Internet dafür sorgt, dass kein unautorisierter Zugriff auf Ihr Netzwerk stattfindet (ein- und ausgehender Datenverkehr). Normalerweise verhindert eine Firewall, dass Internet-Benutzer auf private oder Firmennetzwerke zugreifen.
Eine Firewall überwacht alle Datenpakete in Ihrem Netzwerk und analysiert diese. Jedes Paket wird mit einem Satz von Regeln, die der Administrator festgelegt hat, verglichen. Wird eine Regel verletzt, wird das entsprechende Paket blockiert. Wird keine Regel verletzt, wird das Paket weitergeleitet. Diese Methode wird Paketfilter genannt.
Darüber hinaus kann eine Firewall Sicherheitsfunktionen für bestimmte Anwendungen oder Ports erfüllen. Zum Beispiel kann eine Firewall für einen FTP- oder Telnet-Server konfiguriert werden. Oder für bestimmte UDP- oder TCP-Ports, die von Internet-Spielen benötigt werden.
Bei DoS-Attacken versucht der Angreifer legitimen Nutzern den Zugriff auf einen Dienst zu verwehren. Im einfachsten Fall sorgt der Angreifer durch Überflutung des Server mit sinnlosen Paketen für eine Überlastung der Leitung.
Ein typisches Beispiel hierfür ist ICMP-Flooding, was aber eine große Bandbreite erfordert. Außerdem lassen sich solche sinnlosen Pakete relativ leicht auf vorgelagerten Systemen ausfiltern.
Ein anderer Weg ist SYN-Flooding. Hier wird nicht versucht die Bandbreite auszulasten, sondern die Systemressourcen des Servers selbst zu blockieren. Dabei werden die sogenannten SYN-Pakete an den TCP-Port des Dienstes geschickt, z.B. auf Port 80 des Web-Servers. Der Server registriert den Synchronisierungswunsch des Clients, legt einen Eintrag in seinen Tabellen dafür an und bestätigt die Anfrage mit einem eigenen Synchronisierungspaket (SYN/ACK). Bei einem normalen Verbindungsaufbau bestätigt der Client das SYN/ACK-Paket ebenfalls mit einem ACK-Paket. Dadurch wird der sogenannte Drei-Weg-Handshake einer TCP-Verbindung komplett.
Bei SYN-Flooding läßt der Angreifer die Verbidnugn halboffen, da er das SYN/ACK-Paket nicht beantwortet. Der Server wartet jetzt ein wenig und schickt dann in der Annahme, dass das SYN/ACK-Paket verloren gegangen ist, dass SYN/ACK-Paket noch einmal (Retransmission). Der Angreifer antwortet darauf mit weiteren Verbindungsanfragen, die der Server wie oben beschrieben behandelt.
Alle SYN-Anfragen werden in einem Puffer zwischengespeichert. Läuft dieser Puffer voll, kann der Server keine Anfragen mehr annehmen; der Dienst ist also nicht mehr erreichbar.
Bei ICMP Redirection wird eine Nachricht von einem Router an einen Host geschickt, dass Pakete für ein bestimmtes Ziel besser über einen anderen Router verschickt werden sollen. Daraufhin ändert der Host seine Routing-Tabelle und schickt alle weiteren Pakete über den anderen Router.
Port-Scans sind eine beliebte Methode, um mögliche Angriffspunkte in Ihrem Netzwerk aufzuspüren.
Ein Port-Scanner arbeitet prinzipiell so, dass er entweder versucht, eine Verbindung zu einem Dienst aufzubauen (Connect Scan) oder über die Antwort auf ungültige Pakete (Stealth Scan), Informationen über die aktiven Dienste auf einem Rechner zu erhalten.
Durch das Filtern von Diensten erreicht man, dass bei Angriffen von Außen, die Antworten von bestimmten Diensten unterdrückt werden.