Rechnernetze
Home Nach oben Stichworte

Architektur mit einem überwachtem Grenznetz

Die sicherste unter den hier vorgestellten Architekturen enthält ein überwachtes Grenznetz. Das Grenznetz wird durch zwei Paketfilter aufgespannt und kann einen oder mehrere Bastion Hosts mit getrennten Aufgaben (z.B. Web-Server, FTP-Server, SMTP oder DNS) enthalten.

Firewall mit überwachtem Grenznetz

Der äußere Paketfilter leitet allen eingehenden Datenverkehr auf die Bastion und lehnt alle eingehenden Pakete, die eine Herkunft aus dem Grenznetz vortäuschen ab. Der innere Paketfilter verfährt genauso mit den aus dem Intranet ausgehenden Paketen und hat zusätzlich die Aufgabe, die unerwünschten eingehenden Pakete abzufangen. Letzteres geschieht erst an dieser Stelle, damit der Bastion Host Angriffe auf den Paketfilterregelsatz protokollieren kann, was für die Fortentwicklung des Sicherheitskonzept sehr wertvoll ist.

Der Bastion Host arbeitet als Single-Homed Host. Ein Dual-Homed Host ist in dieser Zusammenstellung nicht nötig, da die Paketfilter das IP-Spoofing von beiden Seiten unterbinden. Wegen des 'offenen' äußeren Paketfilters sind die Pakete, die an den Bastion gehen, noch mit gefährlichen Diensten versehen, die einen Angriff erlauben. Dagegen arbeiten Abwehrmaßnahmen, wie die sogenannten ,Sucker Traps", die beispielsweise im Login, FTP und TFTP installiert sind, um den Angreifer per ,finger" zu identifizieren. Eine weitere Falle sind gefälschte Passwortdateien. Das Einloggen unter diesen gefälschten Benutzern, führt erneut zur Auslegung von Fallen, die letztendlich der Rückverfolgung der Angriffe dienen.

Vorteile der Architektur mit einem überwachtem Grenznetz:

Hauptvorteil ist der Einzug einer weiteren Schutzschicht, die die Anzahl der Angriffsmöglichkeiten weiter reduziert. Selbst bei einer Eroberung der Bastion beschränkt der innere Paketfilter noch den weiteren Zugriff. Auch gegen Angriffe von Innen bietet diese Firewall einen guten Schutz.
Angriffe auf den eigentlichen, inneren Paketfilter können protokolliert, Fortschritte analysiert und Sicherheitsmechanismen verbessert werden.
Datenströme des Intranets sind nun im Fall der Einnahme des Bastion Hosts nicht mehr abhörbar.

Nachteile dieser Firewall sind:

Die Kosten für Hardware, Einrichtung und Pflege sind die höchsten der hier vorgestellten Architekturen.
Die Konfiguration der zwei Filtertabellen und verschiedenen Proxy-Servern kann auf Grund des komplexen Zusammenwirkens kompliziert werden.
Die ,Offenheit" des äußeren Paketfilters zur besseren Angriffsbeobachtung erfordert eine noch stärkere Absicherung des Bastion Hosts als es bei der vorigen Architektur der Fall war.