Verteilte Objekte
Verteilte Objekte
Verteilte Objekte
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Internet und Intranet<br />
Eine sehr neue Entwicklung sind die sogenannten intelligenten Firewalls. Viele Entwickler von<br />
Firewalls glauben, daß eine Überwachung der komplexer werdenden Datenströme nur durch<br />
verbesserte Technologien der Analyse erfolgen kann. Ein Vorreiter mit einem Marktanteil von ca.<br />
44% ist die Firma Checkpoint Software, die der Frage nach JAVA /ActiveX-Sicherheit mit ihrem<br />
Produkt „Firewall-1“ beantwortet [CHP97]. Dabei wird der Versuch unternommen, das<br />
Verhalten von verteilten <strong>Objekte</strong>n bzw. Anwendungen auf Basis von Kontrollentscheidungen zu<br />
analysieren. Das sogenannte „Inspection Module“ liegt zwischen den Schichten 2 und 3 des OSI-<br />
Modells und kann so alle übertragenen Pakete analysieren, bevor diese das Betriebssystem<br />
erreichen. Entscheidungsgrundlage sind der Kommunikationsstatus, der von vorherigen Verbindungen<br />
herrührt, und der Anwendungszustand, der von anderen Anwendungen abgeleitet wird.<br />
Die Inspektion auf Basis des Status erlaubt der Firewall von früheren Kommunikationsversuchen<br />
zu lernen und damit zukünftige Kommunikation besser zu bewerten. Obwohl Firewall-1 im 1.<br />
Quartal ‘97 veröffentlicht wurde, ist die Lernkurve des Produktes noch sehr flach und die Rate<br />
der Wiedererkennung noch nicht ausreichend, um einen wirklichen Schutz vor JAVA oder<br />
ActiveX-Komponenten zu bieten. In der Betrachtung der Sicherheit der beiden<br />
Komponentenmodelle muß also von einer „klassischen“ Firewall als Trennung zwischen dem<br />
Intra- und Internet ausgegangen werden.<br />
2.4.3.3 Virtual Private Network (VPN)<br />
Im Gegensatz zum topologisch fest gebundenen Einsatz der Firewalls, besteht eine Möglichkeit<br />
der Ausdehnung des Intranets über die örtlichen Grenzen des Unternehmens hinaus, in der<br />
Verwendung von sogenannten virtuellen, privaten Netzwerken. Besonders bei der Verbindung von<br />
Außenstellen über das offene, und damit unsichere Internet, sind VPN in der heutigen Phase der<br />
Globalisierung des Marktes ein aktuelles Thema, das nicht allein durch mit Firewalls geschützten<br />
LANs gelöst werden kann. VPN bieten auch eine Lösung für mobile Anwender und das<br />
sogenannte „mobile computing“.<br />
Die Verwendung von Verschlüsselung für den Datenverkehr zwischen Firewalls, also über<br />
unsichere Transportwege, hat das Konzept der VPNs wieder aktuell werden lassen. Wenn zwei<br />
Intranets, also durch Firewalls geschützte TCP/IP Netzwerke, miteinander kommunizieren, muß<br />
deren Kommunikation geschützt werden. Gleiches gilt bei der Anbindung von Klienten in einem<br />
„Public Switched Telephone Network (PSTN)“ an einen Einwahl-, oder „Remote Access Server<br />
(RAS)“. Die Basis des VPN bildet der offene Standard des „Point-To-Point Tunnelling Protocol<br />
(PPTP)“. PPTP ist eine neue Netzwerktechnologie, die Multiprotokoll VPN unterstützt. Im Juni<br />
1996 wurde auf der „Internet Engineering Task Force (IETF)“ Versammlung in Montreal das<br />
PPTP als Internet Draft Standard vorgestellt. Die technische Spezifikation von PPTP ist jetzt<br />
aktualisiert und als IETF Internet Draft öffentlich verfügbar [DRAFT962].<br />
Ein VPN kann als die Fähigkeit, einen „Tunnel“ durch das Internet und andere öffentliche Netzwerke<br />
zu öffnen, beschrieben werden, so daß die Sicherheitsumgebung des Intranets durch diesen<br />
Tunnel auf andere Teilnetze ausgedehnt werden kann. Die Verbindung von Außenstellen eines<br />
Unternehmens über eine sichere PPTP Verbindung ist damit möglich. Aus Anwendersicht ist das<br />
zugrundeliegende physikalische Netzwerk irrelevant, da sich die Verbindung für ihn als<br />
dediziertes privates Netzwerk darstellt.<br />
Ein VPN Tunnel verpackt auch Informationspakete, die nicht dem Internet-Standard für<br />
Adressierung entsprechen, in IP Pakete (siehe dazu Abb. 12). Nach dem Erhalt wird diese<br />
Verpackungsinformation wieder, für die höheren Schichten des OSI-Modells transparent,<br />
entfernt. Damit werden entfernte Anwendersysteme zu virtuellen Knoten des Netzwerkes, mit dem<br />
sie über das VPN verbunden sind. Das Intranet wird auf diese virtuellen Knoten, seien es Einzeloder<br />
Mehrplatzsysteme, ausgedehnt.<br />
30