Architektur mit einem überwachtem Host
Die Architektur des überwachten (screened) Hosts kombiniert die beiden
Ansätze Paketfilter und Bastion Host. Der Paketfilter wird in diesem Fall so
konfiguriert, dass er alle eingehenden Pakete, die nicht auf Grund der
Filterregeln abgelehnt werden, zum überwachten Gateway schickt. Weiter
verweigert er alle vom Intranet kommenden Pakete, die nicht vom Gateway kommen.
Auf dem Gateway müssen auf allen Ports, die nicht vom Paketfilter geschützt
werden, Proxy-Server installiert sein.
In einer Variante zu diesem Verfahren, können interne Hosts bestimmte
Dienste direkt über den Paketfilter ansprechen. Im Fall Dual-Homed Gateways
stellt dies kein Problem dar, allerdings ist diese Variante teurer als die in
diesem Zusammenhang häufiger verwendete Single-Homed Version.
Firewall mit überwachtem Host
Vorteile:
| Nur der Paketfilter und das Gateway sind vom Internet aus sichtbar. |
| Der Paketfilter verhindert die Reaktivierung des ip-forwarding von außen,
indem Dienste, wie z.B. Telnet oder SecureShell (SSH) nur noch vom inneren
Netzwerk auf das Gateway zugreifen dürfen. |
| Zwei Hürden lassen im Fall einer Fehlentscheidung oder Überwindung einer
Komponente noch ein wenig Schutz bestehen. |
| Die Kombination der beiden Firewall-Komponenten erlaubt flexiblere
Anpassungen. Es kann sogar für bestimmte Dienste und Hosts, wie einen
Web-Server, eine direkte Verbindung zugelassen werden. |
Nachteile:
| Angriffe auf den Paketfilter können nicht protokolliert werden. |
| Die praktischen Abkürzungen um das Gateway können von internen Benutzern
missbraucht werden, falls die direkt angebundenen Server nicht ihrerseits
perfekt gesichert sind. |
| Der Konfigurationsaufwand der beiden Komponenten ist wesentlich höher als
die der vorigen Architekturen. |
| Single-Homed Gateways können vom inneren Netzwerk umgangen werden. Falls
der Überwachungsrouter nur Verbindungen vom Gateway akzeptiert, kann der
Router immer noch per IP-Spoofing direkt angesprochen werden. |
| Ist einmal der Angriff auf das Gateway gelungen, so steht kein Hindernis
mehr dem Zugriff auf das Intranet im Wege. |
|