Rechnernetze
Home Nach oben Stichworte

Architektur mit einem überwachtem Host

Die Architektur des überwachten (screened) Hosts kombiniert die beiden Ansätze Paketfilter und Bastion Host. Der Paketfilter wird in diesem Fall so konfiguriert, dass er alle eingehenden Pakete, die nicht auf Grund der Filterregeln abgelehnt werden, zum überwachten Gateway schickt. Weiter verweigert er alle vom Intranet kommenden Pakete, die nicht vom Gateway kommen. Auf dem Gateway müssen auf allen Ports, die nicht vom Paketfilter geschützt werden, Proxy-Server installiert sein.

In einer Variante zu diesem Verfahren, können interne Hosts bestimmte Dienste direkt über den Paketfilter ansprechen. Im Fall Dual-Homed Gateways stellt dies kein Problem dar, allerdings ist diese Variante teurer als die in diesem Zusammenhang häufiger verwendete Single-Homed Version.

Firewall mit überwachtem Host

Vorteile:

Nur der Paketfilter und das Gateway sind vom Internet aus sichtbar.
Der Paketfilter verhindert die Reaktivierung des ip-forwarding von außen, indem Dienste, wie z.B. Telnet oder SecureShell (SSH) nur noch vom inneren Netzwerk auf das Gateway zugreifen dürfen.
Zwei Hürden lassen im Fall einer Fehlentscheidung oder Überwindung einer Komponente noch ein wenig Schutz bestehen.
Die Kombination der beiden Firewall-Komponenten erlaubt flexiblere Anpassungen. Es kann sogar für bestimmte Dienste und Hosts, wie einen Web-Server, eine direkte Verbindung zugelassen werden.

Nachteile:

Angriffe auf den Paketfilter können nicht protokolliert werden.
Die praktischen Abkürzungen um das Gateway können von internen Benutzern missbraucht werden, falls die direkt angebundenen Server nicht ihrerseits perfekt gesichert sind.
Der Konfigurationsaufwand der beiden Komponenten ist wesentlich höher als die der vorigen Architekturen.
Single-Homed Gateways können vom inneren Netzwerk umgangen werden. Falls der Überwachungsrouter nur Verbindungen vom Gateway akzeptiert, kann der Router immer noch per IP-Spoofing direkt angesprochen werden.
Ist einmal der Angriff auf das Gateway gelungen, so steht kein Hindernis mehr dem Zugriff auf das Intranet im Wege.