Download - FESG - Technische Universität München
Download - FESG - Technische Universität München
Download - FESG - Technische Universität München
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
126 KAPITEL 4: DIE VERBESSERUNG DER DIENSTGÜTE<br />
Weitere Möglichkeiten<br />
Bisher keine sofort vefügbare,<br />
zufriedenstellende Lösung greifbar<br />
In der Literatur findet man dazu andere Möglichkeiten, welche dazu genutzt<br />
werden können.<br />
1. SOCKS-Proxies: Sockets Secure (SOCKS) ist ein Standard der Internet<br />
Engineering Task Force (IETF) , welcher hauptsächlich<br />
die clientseitige Firewallüberwindung auf Transportebene ermöglicht.<br />
Ein Client kann dabei bestimmen, mit welchem Server hinter der Firewall er<br />
verbunden werden will, so dass eine Art dynamischer TCP -Proxy entsteht.<br />
Benötigt wird dazu nur, dass der Firewall einen SOCKS -Server stellt und<br />
der Client statt der Standardbibliothek zur Kommunikation die modifizierte<br />
SOCKS -Bibliothek mit korrespondierenden Befehlen nutzt (dies wird als<br />
„Socksifikation“ bezeichnet) 33 . Über eine Konfigurationsdatei kann nun der<br />
SOCKS -Server angegeben werden 34 . Eine mögliche Konfiguration sowohl<br />
mit clientseitiger als auch mit serverseitiger Firewall unter zusätzlicher Nutzung<br />
von SSL ist in Abb. 4.11 auf Seite 125 dargestellt 35 .<br />
Nachteil: Auch hier muss in die Middleware eingegriffen werden. Der IOR<br />
verliert an Bedeutung und damit auch seine Dynamik. Callbacks o.ä. werden<br />
nicht unterstützt.<br />
2. Tunnel z.B. über HTTP : Bei dieser Methode werden die Pakete des IIOP -<br />
Datentransfers in HTTP eingebettet. Da herkömmliche clientseitige Firewalls<br />
HTTP -Proxies nutzen, um dieses Protokoll für das Browsen im Netz<br />
offenzuhalten, kann so die Firewall quasi durchtunnelt werden 36 .<br />
Nachteil: Standardkomponenten dazu nutzen nichts, weil wiederum die IOR<br />
manipuliert werden müsste. Getestete, frei erhältliche Standardkomponenten<br />
wie HTTHost 1.7.1 oder Gnu HTTP Tunnel 3.3 zeigen dieses Verhalten. So<br />
ist wiederum ein Eingriff in die Middleware notwendig.<br />
3. Ersatzprotokolle (SOAP ): Eine weitaus zukunftsorientiertere Methode ist<br />
die Nutzung von anderen Protokollen. Interworking Spezifikationen z.B. zur<br />
standardisierten Umsetzung von CORBA nach Web-Service Description<br />
Language (WSDL) und damit nach SOAP erlauben die Nutzung<br />
des auf HTTP basierten Internetprotokolls für Web Services 37 . Somit wird<br />
zur Kommunikation nicht mehr IIOP genutzt, sondern die für die neuen<br />
Dienste entwickelten Protokollumgebungen.<br />
Nachteil: IIOP als eigentliches Protokoll wird nicht mehr verwendet. Die<br />
Hersteller der CORBA -Implementierung müssen die Erweiterungen einbringen.<br />
Zusammengefasst bestätigten die durchgeführten Tests die Problematik, Firewalls<br />
zu überwinden. Bisher konnte kein zufriedenstellender Weg gefunden werden,<br />
der sofort zur Verfügung stehen würde. Erst im Rahmen zukünftiger Entwicklungen<br />
bei den CORBA -Implementierungen kann auf eine Verbesserung dieses<br />
Missstands gehofft werden. Allerdings bleibt dabei weiterhin offen, welches Risiko<br />
es beinhaltet, entfernte Prozeduraufrufe offen zugänglich zu machen. Bisher<br />
kann niemand abschätzen, wie anfällig ein CORBA -Server für direkte Attacken ist.<br />
Schließlich wurden diese nicht von Sicherheitsexperten programmiert, was sich<br />
immer wieder durch zufällige Feststellungen zeigt (z.B. durch Vorspielen eines<br />
33 vgl. dazu [ABI02] a.a.O. S. 8 f.<br />
34 vgl. dazu [SCHR299]<br />
35 vgl. dazu auch [LANG02]<br />
36 vgl. dazu [ABI02] a.a.O. S. 13<br />
37 vgl. dazu [OMGSOAP04]