Register  Login  
  February 7, 2012  
 Suche  
Home

Beratung
       IT Beratung
       Internet Beratung

Entwicklung
       Individual Software
       IhrPortal
       DotNetNuke

Wissen
       eBusiness
       Internet
          Geschichte
          Protokolle
       Intranet
       Firewall
       MindMapping
          MindManager X5
          MM-Verzeichnis
          MM-Downloads
       WebService
       .NET Programmierung

Downloads

Kontakt

Weblog

HouseIndex

Preisroboter
Weitere Links Minimize
Print  

WissenFirewall    
Firewall Konzepte - Techniken - Sicherheit Minimize
Übersicht | Konzepte | Architektur | Grenzen | Betrieb | Security Policy
Anzeige als eine Seite

Architektur einer Firewall

Screening Router (Die einfachste Firewall)

Ein Screening Router ist ein Router, der zwei Netzwerke mittels Paketfilterung "sicher" verbindet. Er stellt die preiswerteste, aber auch die unsicherste Firewallarchitektur dar. Preiswert, weil ein Router bei jeder Netzwerkanbindung bereits vorhanden ist und auf jedem Router Access- und Deny-Listen zur Paketfilterung installiert werden können. Unsicher, weil Paketfilterung allein keine nennenswerte Hürde für einen Hacker darstellt.

Dual Homed Host

Ein "Dual Homed Host" ist ein Rechner, der mit zwei Netzwerkkarten ausgestattet ist. Wie mit einem Router kann man zwei Netzwerke mit einem Dual Homed Host verbinden, mit dem Unterschied, daß bei einem Dual Homed Host die Routingfunktion deaktiviert ist. Das bedeutet, daß der Dual Homed Host den TCP/IP-Verkehr zwischen den beiden Netzen vollständig blockiert.

Über Proxy-Server kann eine kontrollierte und auf der Applikationsebene gefilterte Verbindung zwischen den beiden Netzen hergestellt werden. Verbindungen, für die kein Proxy-Server konfiguriert ist, sind nicht möglich, welches dem folgenden Prinzip entspricht:

"Was nicht ausdrücklich erlaubt ist, ist verboten"

Die Dual Homed Host Architektur hat einen gravierenden Nachteil: Gelingt es einem Angreifer in das System einzudringen, dann ist automatisch das ganze interne Netzwerk "geknackt", da kein weiteres Sicherheitsglied zwischen dem zu schützendem Netz und dem Angreifer liegt.

Screened Host

Bei der "Screened Host"-Architektur wird die primäre Sicherheit durch Paketfilterung erreicht. Ein "sicherer Bastion Host" ist im internen Netzwerk eingerichtet. Der Bastion Host ist der einzige Rechner im internen Netzwerk, zu dem externe Rechner eine Verbindung aufbauen können. Diese Restriktion wird durch entsprechende Accesslisten auf dem Screening Router erreicht. Auch ausgehende Verbindungen können nur über den Bastion Host getätigt werden. Daher besteht wieder keine direkte Verbindung zwischen internen und externen Rechnern. Die Verbindungen über den Bastion Host werden wieder über Proxy-Server abgewickelt. Auch die Screened Host Architektur hat den gleichen großen Nachteil wie die Dual Homed Host-Architektur.

Ist der Screened Host kompromittiert, dann liegt das ganze interne Netz offen.

Three Homed Host

Ein Three Homed Host ist, analog zum Dual Homed Host, ein Rechner mit drei Netzwerkkarten.
Auch hier sind alle Netzwerkinterfaces voneinander isoliert. Die dritte Netzwerkkarte dient dem Aufbau eines "Secure Server Network" (SSN). Das SSN dient dem Schutz von öffentlich zugänglichen Infoservern (z. B. WWW-Server). Will eine Institution einen WWW-Server installieren, kann das auf unterschiedliche Art geschehen. Sie kann den Server auf der externen Seite der Firewall im ungeschützten Netz plazieren. Damit ist der Server ungeschützt zugänglich für Attacken. Die andere Möglichkeit ist, den Server innerhalb des geschützten Netzes, also hinter der Firewall, zu plazieren. Damit müßte man aber einen sehr unsicheren Durchgang durch das Firewallsystem schaffen. Das Secure Server Network ist eine elegante Lösung für dieses Dilemma. Wird der WWW-Server in diesem Netz plaziert, dann ist er vollständig durch die Firewall geschützt, und auch für das interne Netz ergibt sich kein Sicherheitsloch. Aber auch hier hat man denselben Nachteil wie bei Dual Homed- und Screened Host.

Screened Subnet

Die Screened Subnet Architektur kombiniert die Screening Router- und die Dual Homed Host-Architektur.

Ähnlich wie bei Three Homed Host wird ein Secure Server Network oder Screened Subnet geschaffen, in dem dann die Infoserver wie z. B. der WWW-Server plaziert werden.

Durch das Hintereinanderschalten von unabhängigen Komponenten, die unterschiedliche Filterstrategien realisieren, wird ein erheblich höheres Sicherheitsniveau geschaffen. Die Screened Subnet Architektur kann sinnvoll mit einem externen Screening Router und einem Dual Homed Host, mit einem internen Screening Router und einem Dual Homed Host oder mit zwei Screening Routern (intern und extern) und einem Dual Homed Host realisiert werden. In jedem Fall stellt sich dem Angreifer nach dem Überwinden einer Sicherungsschicht eine zweite, bei zwei Screening Routern sogar eine dritte Sicherungsschicht entgegen.

Ein wichtiger Nachteil bleibt aber auch bei dieser Architektur bestehen: Durch die fehlenden Protokollierungsmöglichkeiten der Router fehlen wichtige Protokollinformationen, die beim Erkennen und Zurückverfolgen von Angriffen helfen.

Screened Subnet mit zwei Bastion Host

Diese Architektur ist äquivalent zur Screened Subnet Architektur. Nur wird das Subnet mittels zwei eigenständigen Hosts, auf denen Paketfilterung und Application Level Filterung stattfindet, gebildet.

Dies ist die Architektur mit dem höchsten Sicherheitslevel.

Der Nachteil, daß Protokollinformationen verlorengehen, ist hier aufgehoben. Weitere Vorteile sind hier, dass die Zugangsmöglichkeiten zu den im Secure Server Net befindlichen Servern am flexibelsten gestaltet ist, und dass die Server besser vor Angriffen geschützt werden können.

Nachteile sind hier der hohe Preis und die Tatsache, daß dies die Konfiguration mit dem höchsten Administrationsaufwand ist.

 

Quelle: http://aerzte.freepage.de/enkel/

Konzepte | Seite 3 von 6 | Grenzen
Syndicate   Print  

Google Minimize
Print  

Artikel Minimize
Sie wollten schon immer wissen, was eine Firewall ist und wie eine Firewall funktioniert und welche Arten von Firewall es gibt. Dann lesen Sie einfach hier   


Print  

GoogleAds Minimize
Print  

  Home | Beratung | Entwicklung | Wissen | Downloads | Kontakt | Weblog | HouseIndex | Preisroboter  
  Schelian IT Beratung   Terms Of Use | Privacy Statement