Immer wieder verunsichern Schreckensmeldungen über Sicherheitslücken die Internet-Gemeinde. Dabei ist die Datenübertragung über das globale Netz sicherer, als allgemein angenommen wird. Die wirkliche Gefahr lauert anderswo: So mancher Surfer holt sich mit scheinbar harmloser Software oder beim Besuch von Web-Seiten mit aktiven Inhalten ungebetene Besucher auf seinen PC. Sie lassen sich insbesondere unter Windows nur schwer am Ausspionieren und Verändern von Daten hindern.
Nahezu alle Maßnahmen, die der Sicherheit vernetzter Computer dienen, gehen mit einem Verzicht auf Bequemlichkeit einher. Sicherheit beginnt daher in den Köpfen der Anwender. Solange sie Paßwörter abspeichern, um sie nicht jedesmal neu eingeben zu müssen, veraltete Software mit bekannten Sicherheitsmängeln einsetzen und ihre Browser so konfigurieren, daß lästige Sicherheitshinweise unterbleiben, sind sie leichte Beute für Datenspione und -saboteure.
In Firmen, wo ausgebildete Systemverwalter die Verantwortung für die Sicherheit des Netzwerks tragen, gelten daher üblicherweise strenge Verhaltensmaßregeln. Wer dagegen verstößt, dem drohen harte Strafen bis hin zur Kündigung. Außerdem können Firmen ihre Netze mit teurer Software gegen Angriffe von außen schützen (siehe c't 3/99, Seite 186 und 190). Ganz anders sieht es aber im privaten Bereich und bei kleinen Büros aus: Hier sind sich die Anwender oftmals gar nicht bewußt, welche Gefahren mit einem Internet-Zugang verbunden sind. Dabei lagern auch auf dem privaten PC schützenswerte Daten: Paßwörter für kostenpflichtige Online-Zugänge, Lizenznummern gekaufter Software und womöglich auch die Datenbasis einer Homebanking-Software.
Am mangelnden Sicherheitsbewußtsein der Anwender sind die Online-Dienste nicht unschuldig: AOL beispielsweise behauptet in der Werbung, der Internet-Zugang sei einfacher als das Programmieren eines Videorecorders. Doch das Online-Glück per Mausklick ist trügerisch. Der Einsteiger erfährt nicht, daß die AOL-Software seine Zugangskennung und sein Paßwort beim Abspeichern unverschlüsselt in einer Datei ablegt. Für einen Hacker ist es kein Problem, etwa in einer nützlichen Shareware eine kleine Routine zu verstecken, die diese Datei ausliest und die Benutzerdaten über das Internet an ihn übermittelt. Und schon kann er im Namen und auf Kosten des Ausspionierten online gehen.
T-Online konnte noch bis vor ungefähr einem Jahr die Richter stets von der absoluten Sicherheit seines Systems überzeugen, wenn Kunden wegen zu hoher Abrechnungen klagten. Dann haben jedoch zwei 16jährige Realschüler nachgewiesen, daß sich auch bei der T-Online-Software abgespeicherte Benutzerdaten leicht ausspähen ließen - trotz Verschlüsselung [1]. Seither warnt T-Online seine Kunden eindringlich davor, Paßwörter abzuspeichern.
Keine leere Warnung: Immer wieder geben sich Dunkelmänner als Systemverwalter bei Online-Diensten aus und fordern Benutzer zur Herausgabe von Paßwörtern auf.
Doch man muß kein Hacker sein, um Paßwörter auszuspionieren. Immer wieder fallen Neulinge auf den alten Trick mit Massen-EMails herein, in denen ein vorgeblicher Systemverwalter von Problemen mit der Benutzerdatenbank des Online-Dienstes oder Providers berichtet und um die Übersendung der Zugangsdaten samt Paßwort bittet. Alleine CompuServe registrierte im letzten Quartal 1998 rund zehn solcher Versuche.
Neben der Naivität der Anwender (Social Engeneering) gibt es bei einer Internet-Verbindung drei weitere Ziele für Attacken: Den Übertragungsweg, den Server, an den die Daten übermittelt werden, und den Rechner des Anwenders (Client). Die Sicherheitsprobleme bei der eigentlichen Übertragung im Internet werden dabei häufig überschätzt. Die Daten durchlaufen auf dem Weg vom Client zum Server eine ganze Reihe von Stationen (Router), die von den unterschiedlichsten Betreibern unterhalten werden. Denn das Internet gehört nicht einer Institution, sondern setzt sich aus vielen Teilnetzen zusammen, die untereinander verbunden sind. Wer den Weg der Daten nachvollziehen möchte, kann dies mit dem Befehl traceroute (unter Windows tracert) tun.
Diese Router sind jedoch nicht frei zugänglich, sondern befinden sich in den Rechenzentren der Betreiber und sind in der Regel gegen Angriffe von außen gut geschützt. Doch auch wenn es jemandem gelingen sollte, den Datenverkehr auf einem Router abzuhören, müßte er in einer riesigen Datenmenge die wenigen verwertbaren Informationen aufspüren. Er könnte dazu automatisch nach bestimmten Mustern wie Kreditkartennummern suchen. Falls diese Daten jedoch auch nur einfachst verschlüsselt sind, wird dieses Unterfangen fast aussichtslos.
Problematisch sind in diesem Zusammenhang allerdings bestimmte Internet-Protokolle wie POP3 zum Abholen von EMail. Das überträgt die Paßwörter nämlich als solche gekennzeichnet im Klartext, so daß sie sich relativ einfach im Datenstrom, der über einen Router fließt, aufspüren lassen. Leider ist bei vielen Providern das POP3-Paßwort mit dem für den Internet-Zugang identisch. In solchen Fällen sollte man seine EMail nur über den Internet-Zugang beim selben Provider abholt, da sich die Datenübertragung dann nur in dessen internem Netz abspielt.
Noch gefährlicher als das Abhören von Daten ist sogenanntes Spoofing. Dabei fälscht ein Angreifer seine IP-Adresse beziehungsweise seinen Server- und Domain-Namen oder leitet alle Web-Anfragen über einen zwischengeschalteten Rechner um. Er gibt sich damit für den Server aus, an den der Client die Daten übertragen möchte. So läßt sich beispielsweise das beim Homebanking gebräuchliche Sicherheitssystem aushebeln, bei dem etwa Überweisungen durch eine nur einmal gültige TAN (Transaktionsnummer) geschützt werden. Der Angreifer kann das Datenpaket mit gültiger TAN abfangen, um bei einer Überweisung das Empfängerkonto zu ändern und es dann als gültigen Auftrag an die Bank weiterzuleiten.
In der Praxis sind glücklicherweise noch keine Fälle von Spoofing bekannt geworden, bei denen Endanwender geschädigt wurden. Das Verfahren setzt den Zugriff auf Teile der Internet-Infrastruktur voraus, die von den Providern betrieben werden. Außerdem gibt es Verfahren, um die Authentizität eines Internet-Servers sicherzustellen und die Datenverbindung gegen Manipulationen zu sichern, etwa das SSL-Protokoll (Secure Socket Layer), das auf der Verwendung eines von dritter Stelle zertifizierten öffentlichen Schlüssels zum chiffrieren der Daten beruht. Dessen geheimes Gegenstück zum Dechiffrieren besitzt nur der echte Server.
Da die Ver- und Entschlüsselung online während der Verbindung erfolgen muß, also innerhalb kurzer Zeit, genügen auf absehbare Zeit die recht schwachen 40-Bit-Schlüssel, die die internationalen Browser-Versionen unterstützen, um die Verbindung zu sichern. Lediglich das nachträgliche Knacken der verschlüsselt übertragenen Daten ist denkbar. Einige Banken haben ähnliche Verfahren mit stärkerer Verschlüsselung in Java-Applets implemetiert, um das Internet-Banking besser abzusichern.
Andere Kreditinstitute schätzen das Sicherheitsrisiko beim Internet-Banking jedoch eher gering ein: Die Stadtsparkasse Dortmund beispielsweise betreibt mit `s-direkt´ seit über zwei Jahren ein System, bei dem sich die Kunden nur durch ihre Kontonummer und eine jeweils nur für eine Transaktion gültige TAN legitimieren. Der Datenaustausch kann dabei unverschlüsselt erfolgen, die Verwendung von SSL ist optional. Der Kunde wird lediglich zur Geheimhaltung seiner TANs verpflichtet, darüber hinaus trage die Sparkasse alle Risiken, so der zuständige Zentralbereichsleiter Jürgen Gutsch. Die aktuelle Sicherheitsdiskussion hält Gutsch im wesentlichen für handelshemmend. Nicht ganz zu Unrecht, schließlich hat sich s-direkt in der Praxis bewährt.
Allerdings hält die Stadtsparkasse Dortmund an einer strengen Trennung zwischen Systemen mit Internet-Zugang und den Großrechnern ihrer EDV-Abteilung fest. Sie vermeidet damit einen Angriffspunkt, der für bösartige Hacker weitaus attraktiver ist als das Abhören des Datenverkehrs im Internet. Gelingt es ihnen nämlich, in einen Banken- oder sonstigen Firmen-Server einzudringen, dann finden sie dort die Daten der Kunden gesammelt vor. Solche Angriffe müssen aber gar nicht über das Internet stattfinden: Vor rund vier Jahren fielen bei einem Einbruch in eine Niederlassung des Kreditkartenunternehmens Eurocard den Dieben etliche PCs mit Kundendaten in die Hände.
Das Risiko, daß seine Daten durch die Nachlässigkeit einer Firma, mit der er Geschäfte macht, in die Hände Dritter gelangen, ist für den Anwender kaum kalkulierbar. Schlimmer noch: Er wird höchstwahrscheinlich gar nichts davon erfahren, wenn das Kind einmal in den Brunnen gefallen ist. Solche Fälle schaden dem Image der Firma und werden daher, sofern eine Schadensbegrenzung möglich ist, häufig unter den Teppich gekehrt. Utimaco, ein Anbieter von Sicherheitssoftware für Unternehmen, weiß jedenfalls zu berichten, daß Firmen manchmal ganz plötzlich von einem großen Sicherheitsbedürfnis überkommen werden und auf die schnelle Lösung all ihrer Probleme in diesem Bereich drängen ...
Der Kunde kann nur hoffen, daß die Server-Betreiber über ausreichendes Know-how verfügen, um sich gegen unerwünschte Zugriffe aus dem Internet zu schützen. Doch gelegentlich kommt es sogar bei den Providern, die mit der Internet-Technik eigentlich bestens vertraut sein sollten, zu Sicherheitspannen. Jüngstes, wenngleich harmloses Beispiel ist die MobilCom AG, wo bis zum 10. Januar 1999 der Zugriff auf einen Server möglich war, auf dem die Telefonnummern der aktuell eingewählten Benutzer samt Benutzerkennung und Paßwort ersichtlich waren. Harmlos ist dieses Beispiel nur, weil die Abrechnung bei MobilCom über die Telefonnummer erfolgt und das Paßwort keine Funktion besitzt.
Mit Abstand das größte Risiko für einen Angriff besteht jedoch beim Rechner des Anwenders. Letzterer verfügt nur in Ausnahmefällen über die Kenntnisse eines Systemverwalters, und auf seinem PC werden die Daten eingegeben und meist auch unverschlüsselt abgespeichert. Außerdem läuft auf den meisten PCs ein Betriebssystem, das keinerlei Mechanismen zum Schutz vor unerlaubten Zugriffen besitzt - Windows 95/98.
Es gibt dabei drei typische Angriffsszenarien: Zugriffe aus dem Internet auf Dienste, die über die Modem- oder ISDN-Verbindung erreichbar sind, aktive Komponenten auf Web-Seiten oder in EMails, die Aktionen auf dem lokalen PC auslösen oder Daten ins Internet übermitteln, sowie heimlich eingeschleuste Programme (Trojaner).
Kardinalfehler: Wer wie hier den Datei- und Druckfreigabedienst für Microsoft-Netzwerke an das TCP/IP-Protokoll bindet, das auf dem DFÜ-Adapter läuft, stellt im lokalen Netz freigegebene Festplatteninhalte ins Internet.
Direkte Zugriffe aus dem Internet richten sich gegen ungenügend abgesicherte Server-Dienste. Wer einen solchen Dienst installiert, muß sich entsprechend vorsehen: Ein schlecht konfigurierter FTP-Server beispielsweise kann einem anonymen Benutzer die gesamte Festplatte darbieten.
Auch wer seinen Internet-PC über eine Ethernet-Karte mit anderen Windows-Rechnern vernetzt hat, muß sich vorsehen. Er sollte in seinen Netzwerkeinstellung dafür sorgen, daß nur das TCP/IP-Protokoll eine Bindung zum DFÜ-Adapter besitzt. Und dieses TCP/IP-Protokoll darf keinesfalls eine Bindung zum Datei- und Druckfreigabedienst besitzen. Sonst stehen die womöglich ohne Paßwortschutz freigegebenen Festplatteninhalte allen Internet-Teilnehmern zur Verfügung.
Ein großes Sicherheitsproblem stellen aktive Komponenten auf Web-Seiten dar, die auch per EMail verbreitet werden können. Am schlimmsten sind ActiveX-Controls: Gelangen sie auf den Rechner, können sie dort alles tun, was auch dem Benutzer erlaubt ist, also Dateien lesen, verändern, löschen oder Programme ausführen.
Als einzigen Schutzmechanismus hat Microsoft den `Authenticode´ eingeführt: Eine digitale Signatur stellt die Identität des Urhebers und die Unversehrtheit des Codes sicher. Der öffentliche Schlüssel, mit dem sich die Signatur prüfen läßt, wird wiederum von einer der `Certification Authorities´ (CAs) signiert, deren öffentliche Schlüssel im Browser enthalten ist. Allerdings führen die CAs keinen Test der ActiveX-Controls durch; ihnen genügt die Versicherung des Urhebers, daß die Programme keinen vorsätzlichen Schaden anrichten.
Zum schlechten Ruf von ActiveX trug auch Microsoft selbst bei, auf deren Server immer wieder Controls ohne gültiges Zertifikat auftauchten. Mittlerweile nutzt außer Microsoft, seinen engen Partnern und diversen Web-Sites, die auf die Sicherheitsprobleme dieser Technik aufmerksam machen, kaum jemand ActiveX. Man kann den Download und das Ausführen von ActiveX-Controls daher in den Sicherheitseinstellungen des Internet Explorer getrost deaktivieren. Dazu muß man allerdings die Einstellung `Angepaßt´ wählen und von Hand ändern, denn selbst bei der vordefinierten Sicherheitsstufe `Hoch´ läßt der Browser noch ein Schlupfloch (erster Punkt in der Auswahlliste) offen. Netscape unterstützt kein ActiveX.
Anders als ActiveX-Controls, die einmal aktiviert vollen Zugriff auf den lokalen Rechner haben, setzte Java ursprünglich voll auf das Sandbox-Konzept. Dabei wird ein Java-Applet, das von einem fremden Rechner stammt, in einen `Sandkasten´ geladen, in dem es beliebig spielen, aber keinen Schaden anrichten kann. Zugriffe auf Bereiche außerhalb des Sandkastens (insbesondere das Dateisystem) sind nicht möglich. Da Applets ohne Netzwerk- und Dateizugriff aber auch viele nützliche Anwendungsmöglichkeiten versperrt bleiben, hat zunächst Netscape für den Navigator und dann auch Sun in seiner Java-Referenzimplementierung diese strengen Einschränkungen gelockert. In Java 2 kann der Benutzer, nachdem die Herkunft eines Applets via Authentifizierung (ähnlich wie Authenticode) geklärt ist, diesem ganz spezifische Rechte einräumen: `Dieses Applet darf die Datei XYZ lesen, erhält aber keinen weiteren Zugriff auf andere Ressourcen´. Der Benutzer behält also die Kontrolle darüber, welche Rechte ein Applet bekommt.
Dennoch tauchten in der Vergangenheit immer wieder Sicherheitsprobleme auf, die in der Regel auf Implementierungsfehler zurückgingen. Man sollte daher Java in den Browser-Einstellungen deaktivieren und nur bei Bedarf einschalten. Allerdings nutzen zahlreiche Web-Sites diese Technik (teilweise jedoch nur für verzichtbare Verschönerungen).
Gleiches gilt für JavaScript: Generell sind darüber keine Dateizugriffe möglich, doch in der Praxis gab es auch bei dieser Technik schon Sicherheitsprobleme [2]. Um sicherzugehen, sollte man JavaScript daher nur im Bedarfsfall aktivieren, etwa um bei `www.myworld.de´ zu shoppen.
Wem das ständige Ein- und Ausschalten zu lästig ist, der kann sich mit speziellen Programmen behelfen, die den Browser beim Laden aktiver Komponenten überwachen. Damit kann man festlegen, welche Inhalte von welchem Web-Server geladen werden dürfen. Einige dieser Programme besitzen eine Datenbank, anhand deren sie als bösartig bekannte Java Applets oder ActiveX-Controls erkennen können. Teilweise analysieren sie deren Systemzugriffe und unterbinden diese nach vorgegebenen Regeln (z. B. `Keine Schreibzugriffe im Windows-Verzeichnis´). Teilweise bauen sie um Internet-Software herum eine Sandbox auf, so daß diese (und alle Prozesse, die sie starten) nur kontrolliert auf das Dateisystem zugreifen können. Einen Test solcher Programme finden Sie in c't 3/99 auf Seite 146.
Die gefährlichsten Angriffe auf den PC des Internet-Benutzers erfolgen durch `Trojanische Pferde´, kurz Trojaner. Dabei handelt es sich um Programme, die vorgeben, etwas Nützliches zu leisten, oder an fremde Software angehängt wurden. Sie nisten sich unbemerkt im System ein und spionieren es aus, um die so gewonnenen Informationen bei Gelegenheit über das Internet weiterzuleiten. Sie können aus allen Richtungen auf den Rechner gelangen: Aus dem Internet über Downloads oder als EMail-Anhang, aber auch über CD-ROMs oder Disketten.
Die Angriffsmöglichkeiten, die Trojaner eröffnen, sind unbegrenzt. Sie können beispielsweise Tastatureingaben an Programme mitprotokollieren, um sie später, wenn eine Internet-Verbindung besteht, an einen Angreifer zu übermitteln. Auf diese Weise lassen sich Paßwörter selbst dann stehlen, wenn sie nicht abgespeichert sind. Trojaner können theoretisch sogar die Signatur und Verschlüsselung von Daten per Chipkarte aushebeln, wie sie das vom Zentralen Kreditausschuß (ZKA) als Standard für Internet-Banking festgelegte HBCI 2.0 (Home Banking Computer Interface) vorsieht. Zwar ist der in der Karte gekapselte Schlüssel für den Trojaner nicht zugänglich, er kann die Daten eventuell jedoch kurz vor oder während der Übertragung zur Chipkarte verändern.
Ein populäres Beispiel für einen Trojaner ist BackOrifice. Damit können Dateien auf Windows-PCs (95/98, NT) über das Internet ferngesteuert gelesen, verändert oder gestartet und Benutzereingaben über Tastatur oder Maus abgehört werden. Der Funktionsumfang läßt sich durch hinzugefügte Programme nahezu beliebig erweitern. Wir haben mehrfach den IP-Adreßraum, der für T-Online-Kunden reserviert ist, auf BackOrifice-Installationen mit dem Standard-Port (31337) durchsucht und sind jedesmal fündig geworden. Der Name der Programmdatei und die Port-Adresse, über das BackOrifice aus dem Internet angesprochen wird, lassen sich ändern, so daß es auf dem eigenen System nur schwer aufzuspüren ist.
Um sich vor Trojanern zu schützen, empfiehlt es sich, bei der Installation von Software zu kontrollieren, welche Änderungen in der Registry vorgenommen werden. Software, die beim Hochfahren des Systems automatisch gestartet werden soll, trägt sich hier für gewöhnlich unter den Schlüsseln HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run... ein. Außerdem sollte man im Auge behalten, welche Programme auf dem Rechner laufen und an welche Internet-Adressen Daten gesendet werden. Wie man dies mit Bordmitteln und kostenloser Software bewerkstelligt, finden Sie in c't 3/99 ab Seite 160 beschrieben.
Eine wirkungsvolle Schutzmaßnahme gegen Datenspionage und Angriffe aus dem Internet sind Firewalls. Sie filtern den Datenverkehr von und ins Internet anhand von vorgegebenen Regeln. Damit lassen sich Verbindungen zu bestimmten Adressen ebenso wie die Nutzung bestimmter Dienste verbieten (oder erlauben). Eine Auswahl sogenannter Personal Firewalls, die auf dem PC des Anwenders direkt laufen, finden Sie in c't 3/99 ab Seite 146. Personal Firewalls sind jedoch der Manipulation durch Trojanern ausgesetzt, die möglicherweise auf demselben System laufen. Mehr Sicherheit bieten daher echte Firewalls auf einem eigens dafür abgestellten System. In c't 3/99 ab S. 154 ist beschrieben, wie sich so etwas mit Linux realisieren läßt.
Außerdem sollte man sich über aktuelle Sicherheitsprobleme auf dem laufenden halten. Die BUGTraq-Maillingliste [3] gibt dabei einen umfassenden Überblick. Wer sich hauptsächlich für Lösungen interessiert, findet bei den Herstellern der betroffenen Software Patches und Konfigurationstips [4, 5].
(ad)
[1] Norbert Luckhardt, Nicht ganz dicht, Jugendliche Hacker knacken T-Online, c't 7/98, S. 62
[2] Jo Bager, IE4 als Trickdieb, Microsofts Sicherheitspatch ist ein Muß, c't 12/97, S. 22
[3] BUGTraq-Mailingliste: http://www.netspace.org/lsv-archive/bugtraq.html
[4] Microsoft Security Bulletins: http://www.microsoft.com/security/bulletins/
[5] Netscape-Sicherheitshinweise: http://home.netscape.com/products/security/
[6] X-Force-Datenbank: http://www.iss.net/cgi-bin/xforce/xforce_index.pl
[7] Allgemeine Informationen zum Thema Online-Sicherheit: http://www.uni-siegen.de/security/
ActiveX
Technik von Microsoft, Anwendungen automatisch um bestimmte Fähigkeiten zu erweitern und Interaktion zwischen Anwendungen zu ermöglichen.
Digitale Signatur
Durch ein kryptographisches Verfahren wird die Urheberschaft und Integrität eines elektronischen Dokuments bekundet, zum Beispiel eines ActiveX-Controls.
DNS
Domain Name Service, dient zur Umsetzung der Klartextnamen von Internet-Hosts (Host.Domain) in numerische IP-Adressen und umgekehrt.
Firewall
Software, die ein Netz gegen ein anderes (etwa das Internet) abschottet. Der Firewall prüft jedes Paket, das auf einer der Netzwerkschnittstellen des Rechners, auf dem er aktiv ist, ankommt. Nach bestimmten Weiterleitungsregeln entscheidet er, ob er das Paket weitergibt oder zurückweist.
FTP
File Transfer Protocol, Standardprotokoll zur Übertragung von Dateien über TCP/IP.
Java
Programmiersprache, die von Sun mit Blick auf die Unterstützung von Netzwerken entwickelt wurde. Durch Plattformunabhängigkeit gewährleistet sie die Ausführung der in ihr entwickelten Anwendungen auf den unterschiedlichsten Systemen. Sie hat vor allem bei der Entwicklung von Anwendungen für das Internet und Applets (Software-Module für Web-Browser) Bedeutung erlangt.
JavaScript
Von Netscape entwickelte, nicht mit Java verwandte Script-Sprache zur Erweiterung des hauseigenen Browsers.
Masquerading
Der Begriff IP-Masquerading, wie er sich unter Linux herausgebildet hat, setzte sich als allgemeine Bezeichnung für Network Address Translation (NAT) durch. Grundsätzlich beschreibt er eine Sonderform von NAT, und zwar die Umsetzung vieler privater auf eine einzige öffentliche Adresse.
Network Address Translation
Die Umsetzung privater (nur im lokalen Netz gültiger) IP-Adressen in öffentliche (im Internet gültige) und umgekehrt. Ein Gateway nimmt Datenpakete von Rechnern im lokalen Netz entgegen, ersetzt die Absender-IP-Adresse durch eine öffentliche und sendet die Pakete ins Internet. Dabei ändert es die Portadresse, an die der Zielrechner sein Antwortpaket zurückschickt. Anhand dieser Port-Nummer kann das Gateway dann die Antwort an den Ausgangsrechner weiterleiten. Im Unterschied zu einem Firewall oder Proxy reicht ein NAT-Gateway die Pakete unbesehen durch.
Packet Filtering
Technik, um einen Firewall zu implementieren. Jedes Paket wird daraufhin überprüft, ob es bestimmten, vom Administrator festgelegten Regeln genügt. Erst dann wird es vom Firewall weitergeleitet. Prinzipiell kann ein Firewall beim Packet Filtering auch die Inhalte eines Pakets berücksichtigen (etwa, ob Java-Applets enthalten sind) und daran entscheiden, ob es weitergegeben wird.
POP3
Post Office Protocol 3, EMail-Protokoll, mit der Clients EMail von einem Server abholen können.
Ports
s. TCP/IP
Proxy
Wörtlich `Stellvertreter´. Ein Proxy übernimmt die Kommunikation mit Servern in einem anderen Netz (auch dem Internet) für Client-Anwendungen. Im Unterschied zum Packet Filtering ändert er aber die Datenpakete - er schickt sie unter der eigenen Adresse und dem passenden Port ins Internet und leitet die Antwort dann an die entsprechenden Clients zurück.
Registry
Datenbank in Win9x und NT, in der das System und Anwendungen Informationen sowohl über ihre Konfiguration als auch über den aktuellen Status festhalten können.
Router
Verbindet zwei Teilnetze und leitet Daten aus einem in das andere weiter. Liegen zwischen Absender- und Zieladresse mehrere Teilnetze, wird die Weiterleitung von Router zu Router so lange fortgesetzt, bis irgendwann ein Router erreicht ist, der mit einem Netzwerkinterface am Zielnetz angeschlossen ist.
Sandbox
Wörtlich `Sandkasten´, ein Konzept, das Programmen einen abgeschlossenen Bereich zur Verfügung stellt, in dem sie beliebig agieren können, ohne den Rest des Systems zu beeinflussen.
SMTP
Simple Message Transfer Protocol, Protokoll zum Austausch und zur Weiterleitung von Nachrichten zwischen Mail-Servern. EMail-Clients benutzen SMTP, um ausgehende Nachrichten bei einem Server abzuliefern.
Spoofing
Vortäuschen eines falschen Absenders von IP-Paketen (IP-Spoofing), eines anderen Internet-Namens (DNS-Spoofing) oder des gesamten WWW durch Umleitung von Anfragen über einen Zwischenrechner (Web-Spoofing).
TCP/IP
Transmission Control Protocol/Internet Protocol, Standardprotokoll des Internet, das mit sogenannten IP-Adressen für Netzwerkschnittstellen und Ports zur Unterscheidung einzelner Dienste wie ftp oder WWW, die unter einer IP-Adresse erreichbar sind, arbeitet (s. Kasten `IP-Adressen, Ports, Protokolle´ in c't 3/99 auf S. 156).
Trojaner
Ein Programm mit versteckter Schadroutine.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-286830
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
