Gateway und Bastion-HostEin Gateway (zu deutsch Eingangstor, Zugang) ist ein Rechner, der IP-Pakete zwischen den zu trennenden Netzen vermittelt. Dabei gibt es zwei Varianten:
Die Vermittlung zwischen den Netzen findet auf der Anwendungsschicht statt und wird von speziellen Programmen, den Proxy-Servern, übernommen. Gateways verfügen über wesentlich differenziertere Kriterien zur Paketanalyse, müssen aber für jeden Dienst, wie z.B. HTTP und FTP, explizit konfiguriert und gewartet werden. Falls die Netzlast an einem Gateway zu hoch für die erforderliche Leistung ist, können die Proxy-Server auf mehrere Gateways verteilt (kaskadiert) werden. Router sorgen für die entsprechende Zuordnung der Pakete. Ein weiterer Grund für die Kaskadierung ist der Einsatz verschiedener Betriebssysteme, was implementierungsabhängige Angriffe weiter erschwert. Statt Proxys können aber auch Benutzer-Logins zur Kommunikation über das Gateway eingerichtet sein. Dies wird allerdings wegen der entstehenden Sicherheitsprobleme (z.B. Aktivierung unsicherer Dienste) und der unkomfortablen Anmeldeprozedur vermieden. Der entscheidende Vorteil eines Gateways ist die Möglichkeit, den gesamten ein- und ausgehenden IP-Verkehr zu kontrollieren und zu protokollieren. Gateways verbergen die interne Netzstruktur vor dem Internet, sind selbst aber sichtbar (auch wenn sie durch Paketfilter überwacht werden), was sie zum ersten Ziel von Angreifern prädestiniert. Daher sind das installierte Betriebssystem und die installierten Server besonders sorgfältig nach Stabilität und Sicherheit auszuwählen. Ebenso müssen die Verarbeitungsprotokolle (Logs) regelmäßig auf Schwächen und Angriffsmuster geprüft werden. Des besonderen Schutzes wegen, der einem solchen Gateway zukommt, nennt man es auch Bastion-Host (eine Bastion ist ein besonders befestigter Vorsprung auf den Außenmauern mittelalterlicher Burgen). Bewertung der Architektur mit Dual-Homed Bastion HostEine Firewall mit einem Dual-Homed Bastion Host, auch Dual-Homed Gateway, verbessert die Protokollierungsmöglichkeiten erheblich. Ein solcher Bastion-Host wird wie die Paketfilter-Firewall einfach zwischen die beiden Netzwerke positioniert. Allerdings findet die Vermittlung zwischen den Netzen auf der Anwendungsebene statt. Die beiden Netzschnittstellen (mit unterschiedlichen IP-Adressen) des Bastion-Hosts und eine entsprechende Deaktivierung des IP-Forwarding verhindern eine direkte Verbindung zum gewünschten Host des Intranets.Wird ein Verbindung angefordert, überprüfen die Proxy-Server des Bastion Hosts die Rechte der Teilnehmer und vermitteln danach die Pakete, in der oben angegebenen Weise. Da externe Teilnehmer nur mit den Proxy-Servern des Bastion Host kommunizieren, sehen sie nur dessen IP-Adresse, wodurch die Struktur des Intranets verdeckt wird.
Vorteile dieser Architektur sind:
Nachteile dieser Architektur sind:
|