Architektur mit einem überwachtem Grenznetz
Überwachtes Grenznetz
| sicherste der hier vorgestellten Architekturen |
| zwei Paketfilter spannen Grenznetz auf |
| enthält einen oder mehrere Bastion Hosts mit getrennten Aufgaben
| z.B.
Web-Server, |
| FTP-Server, |
| SMTP oder |
| DNS |
|
Firewall mit überwachtem Grenznetz
äußerer Paketfilter
| leitet allen eingehenden Datenverkehr auf die
Bastion |
| lehnt alle eingehenden Pakete ab, die Herkunft aus Grenznetz
vortäuschen |
| innerer Paketfilter
| verfährt genauso mit aus
Intranet ausgehenden Paketen |
| fängt unerwünschte eingehende Pakete ab |
| erst an dieser Stelle, damit
| Bastion Host Angriffe auf Paketfilterregelsatz protokollieren kann, |
|
für Fortentwicklung des Sicherheitskonzept wertvoll |
|
|
| Bastion Host arbeitet als Single-Homed Host. |
| Dual-Homed Host in diesem Zusammenstellung nicht nötig,
| Paketfilter unterbinden das IP-Spoofing von
beiden Seiten |
| 'offener' äußerer Paketfilter
| Pakete an den Bastion noch mit gefährlichen Diensten versehen
| erlauben Angriff |
| Abwehrmaßnahmen, wie
| ,Sucker
Traps",
| beispielsweise im Login, FTP und TFTP installiert |
| identifizieren Angreifer per ,finger" |
|
|
gefälschte Passwortdateien
| Einloggen unter gefälschten Benutzern |
|
führt erneut zur Auslegung von Fallen |
| Rückverfolgung der
Angriffe |
|
|
|
|
|
Vorteile der Architektur mit einem überwachtem Grenznetz:
| Einzug einer weiteren Schutzschicht,
| Anzahl
der Angriffsmöglichkeiten weiter reduziert |
| nach Eroberung der
Bastion beschränkt innerer Paketfilter Zugriff |
| auch
gegen Angriffe von innen bietet diese Firewall guten Schutz |
|
| Angriffe auf den eigentlichen, inneren Paketfilter können
| protokolliert, |
|
Fortschritte analysiert und |
| Sicherheitsmechanismen verbessert werden |
|
| Datenströme des Intranets bei Einnahme des Bastion Hosts
nicht mehr abhörbar |
Nachteile dieser Firewall sind:
| Kosten sind die höchsten für
| Hardware, |
| Einrichtung und |
| Pflege |
|
| Konfiguration kompliziert wegen
| zwei Filtertabellen und |
| verschiedenen Proxy-Servern |
| komplexes Zusammenwirken |
|
| ,Offenheit" des äußeren Paketfilters zur besseren
Angriffsbeobachtung erforderlich |
| noch stärkere Absicherung des Bastion
Hosts |
|