Architektur mit einem überwachtem Host
Architektur des überwachten (screened) Hosts
| kombiniert
Ansätze Paketfilter und Bastion Host |
| Paketfilter
| lehnt eingehenden Pakete auf Grund der
Filterregeln ab |
| schickt die anderen zum überwachten Gateway |
|
verweigert alle vom Intranet kommenden Pakete, außer vom Gateway |
|
Auf Gateway sind allen Ports
| Proxy-Server installiert sein, oder |
| vom Paketfilter geschützt |
|
|
Variante
| interne Hosts können bestimmte
Dienste direkt über Paketfilter ansprechen
| Dual-Homed Gateways
stellt kein Problem |
| teurer als Single-Homed Version |
|
Firewall mit überwachtem Host
Vorteile:
| Nur der Paketfilter und das Gateway sind vom Internet aus sichtbar. |
| Der Paketfilter verhindert die Reaktivierung des ip-forwarding von außen,
indem Dienste, wie z.B. Telnet oder SecureShell (SSH) nur noch vom inneren
Netzwerk auf das Gateway zugreifen dürfen. |
| Zwei Hürden lassen im Fall einer Fehlentscheidung oder Überwindung einer
Komponente noch ein wenig Schutz bestehen. |
| Die Kombination der beiden Firewall-Komponenten erlaubt flexiblere
Anpassungen. Es kann sogar für bestimmte Dienste und Hosts, wie einen
Web-Server, eine direkte Verbindung zugelassen werden. |
Nachteile:
| Angriffe auf den Paketfilter können nicht protokolliert werden. |
| Die praktischen Abkürzungen um das Gateway können von internen Benutzern
missbraucht werden, falls die direkt angebundenen Server nicht ihrerseits
perfekt gesichert sind. |
| Der Konfigurationsaufwand der beiden Komponenten ist wesentlich höher als
die der vorigen Architekturen. |
| Single-Homed Gateways können vom inneren Netzwerk umgangen werden. Falls
der Überwachungsrouter nur Verbindungen vom Gateway akzeptiert, kann der
Router immer noch per IP-Spoofing direkt angesprochen werden. |
| Ist einmal der Angriff auf das Gateway gelungen, so steht kein Hindernis
mehr dem Zugriff auf das Intranet im Wege. |
|