Rechnernetze
Home Nach oben Stichworte

Gateway und Bastion-Host

Ein Gateway (zu deutsch Eingangstor, Zugang) ist ein Rechner, der IP-Pakete zwischen den zu trennenden Netzen vermittelt. Dabei gibt es zwei Varianten:

Single-Homed Gateway
Verfügt über nur eine Netzwerkschnittstelle, die ein- und ausgehende Daten überprüft. Aus diesem Grund günstigere aber auch unsichere Variante, da das Gateway umgangen werden kann.
Dual-Homed Gateway
Verfügt über (mindestens) zwei Netzschnittstellen, jeweils eine für die in das Intranet eingehenden und eine für die ausgehenden Daten. Ein solches Gateway kann nicht umgangen werden, da es die einzige Vermittlungsstelle zwischen den Netzen darstellt. Wichtig ist hierbei, dass das IP-Forwarding (direkte Weiterleitung von Paketen) deaktiviert ist.

Single- und Dual-Homed-Gateway

Die Vermittlung zwischen den Netzen findet auf der Anwendungsschicht statt und wird von speziellen Programmen, den Proxy-Servern, übernommen. Gateways verfügen über wesentlich differenziertere Kriterien zur Paketanalyse, müssen aber für jeden Dienst, wie z.B. HTTP und FTP, explizit konfiguriert und gewartet werden. Falls die Netzlast an einem Gateway zu hoch für die erforderliche Leistung ist, können die Proxy-Server auf mehrere Gateways verteilt (kaskadiert) werden. Router sorgen für die entsprechende Zuordnung der Pakete. Ein weiterer Grund für die Kaskadierung ist der Einsatz verschiedener Betriebssysteme, was implementierungsabhängige Angriffe weiter erschwert.

Statt Proxys können aber auch Benutzer-Logins zur Kommunikation über das Gateway eingerichtet sein. Dies wird allerdings wegen der entstehenden Sicherheitsprobleme (z.B. Aktivierung unsicherer Dienste) und der unkomfortablen Anmeldeprozedur vermieden.

Der entscheidende Vorteil eines Gateways ist die Möglichkeit, den gesamten ein- und ausgehenden IP-Verkehr zu kontrollieren und zu protokollieren. Gateways verbergen die interne Netzstruktur vor dem Internet, sind selbst aber sichtbar (auch wenn sie durch Paketfilter überwacht werden), was sie zum ersten Ziel von Angreifern prädestiniert. Daher sind das installierte Betriebssystem und die installierten Server besonders sorgfältig nach Stabilität und Sicherheit auszuwählen. Ebenso müssen die Verarbeitungsprotokolle (Logs) regelmäßig auf Schwächen und Angriffsmuster geprüft werden. Des besonderen Schutzes wegen, der einem solchen Gateway zukommt, nennt man es auch Bastion-Host (eine Bastion ist ein besonders befestigter Vorsprung auf den Außenmauern mittelalterlicher Burgen).

Bewertung der Architektur mit Dual-Homed Bastion Host

Eine Firewall mit einem Dual-Homed Bastion Host, auch Dual-Homed Gateway, verbessert die Protokollierungsmöglichkeiten erheblich. Ein solcher Bastion-Host wird wie die Paketfilter-Firewall einfach zwischen die beiden Netzwerke positioniert. Allerdings findet die Vermittlung zwischen den Netzen auf der Anwendungsebene statt. Die beiden Netzschnittstellen (mit unterschiedlichen IP-Adressen) des Bastion-Hosts und eine entsprechende Deaktivierung des IP-Forwarding verhindern eine direkte Verbindung zum gewünschten Host des Intranets.

Wird ein Verbindung angefordert, überprüfen die Proxy-Server des Bastion Hosts die Rechte der Teilnehmer und vermitteln danach die Pakete, in der oben angegebenen Weise. Da externe Teilnehmer nur mit den Proxy-Servern des Bastion Host kommunizieren, sehen sie nur dessen IP-Adresse, wodurch die Struktur des Intranets verdeckt wird.

Firewall mit einem Bastion Host

Vorteile dieser Architektur sind:

Umfangreiches Protokollieren aller Verbindungen und damit die Möglichkeit Angriffe aufzuspüren.
Keine direkten Verbindungsmöglichkeiten in und aus dem Intranet. Die interne Netzstruktur wird versteckt.

Nachteile dieser Architektur sind:

Jeder Dienst benötigt einen explizit dafür konfigurierten Proxy-Server, wobei nicht für jeden Dienst eine solche Implementierung verfügbar ist.
Wieder ist nur eine einzelne Komponente für den gesamten Schutz des Netzwerks zuständig. Im Fall eines erfolgreichen Angriffs auf den Proxy-Server könnte das gesamte Netzwerk angegriffen werden.
Das IP-Forwarding muss unter allen Umständen (z.B. neuer Kernel oder interner Angriff) abgeschaltet bleiben, sonst kann mittels IP-Spoofing mit der Identität des Bastion-Hosts auf das ganze Netzwerk zugegriffen werden.