Verteilte Objekte

Internet und Intranet
Eine sehr neue Entwicklung sind die sogenannten intelligenten Firewalls. Viele Entwickler von
Firewalls glauben, daß eine Überwachung der komplexer werdenden Datenströme nur durch
verbesserte Technologien der Analyse erfolgen kann. Ein Vorreiter mit einem Marktanteil von ca.
44% ist die Firma Checkpoint Software, die der Frage nach JAVA /ActiveX-Sicherheit mit ihrem
Produkt „Firewall-1“ beantwortet [CHP97]. Dabei wird der Versuch unternommen, das
Verhalten von verteilten Objekten bzw. Anwendungen auf Basis von Kontrollentscheidungen zu
analysieren. Das sogenannte „Inspection Module“ liegt zwischen den Schichten 2 und 3 des OSI-
Modells und kann so alle übertragenen Pakete analysieren, bevor diese das Betriebssystem
erreichen. Entscheidungsgrundlage sind der Kommunikationsstatus, der von vorherigen Verbindungen
herrührt, und der Anwendungszustand, der von anderen Anwendungen abgeleitet wird.
Die Inspektion auf Basis des Status erlaubt der Firewall von früheren Kommunikationsversuchen
zu lernen und damit zukünftige Kommunikation besser zu bewerten. Obwohl Firewall-1 im 1.
Quartal ‘97 veröffentlicht wurde, ist die Lernkurve des Produktes noch sehr flach und die Rate
der Wiedererkennung noch nicht ausreichend, um einen wirklichen Schutz vor JAVA oder
ActiveX-Komponenten zu bieten. In der Betrachtung der Sicherheit der beiden
Komponentenmodelle muß also von einer „klassischen“ Firewall als Trennung zwischen dem
Intra- und Internet ausgegangen werden.
2.4.3.3 Virtual Private Network (VPN)
Im Gegensatz zum topologisch fest gebundenen Einsatz der Firewalls, besteht eine Möglichkeit
der Ausdehnung des Intranets über die örtlichen Grenzen des Unternehmens hinaus, in der
Verwendung von sogenannten virtuellen, privaten Netzwerken. Besonders bei der Verbindung von
Außenstellen über das offene, und damit unsichere Internet, sind VPN in der heutigen Phase der
Globalisierung des Marktes ein aktuelles Thema, das nicht allein durch mit Firewalls geschützten
LANs gelöst werden kann. VPN bieten auch eine Lösung für mobile Anwender und das
sogenannte „mobile computing“.
Die Verwendung von Verschlüsselung für den Datenverkehr zwischen Firewalls, also über
unsichere Transportwege, hat das Konzept der VPNs wieder aktuell werden lassen. Wenn zwei
Intranets, also durch Firewalls geschützte TCP/IP Netzwerke, miteinander kommunizieren, muß
deren Kommunikation geschützt werden. Gleiches gilt bei der Anbindung von Klienten in einem
„Public Switched Telephone Network (PSTN)“ an einen Einwahl-, oder „Remote Access Server
(RAS)“. Die Basis des VPN bildet der offene Standard des „Point-To-Point Tunnelling Protocol
(PPTP)“. PPTP ist eine neue Netzwerktechnologie, die Multiprotokoll VPN unterstützt. Im Juni
1996 wurde auf der „Internet Engineering Task Force (IETF)“ Versammlung in Montreal das
PPTP als Internet Draft Standard vorgestellt. Die technische Spezifikation von PPTP ist jetzt
aktualisiert und als IETF Internet Draft öffentlich verfügbar [DRAFT962].
Ein VPN kann als die Fähigkeit, einen „Tunnel“ durch das Internet und andere öffentliche Netzwerke
zu öffnen, beschrieben werden, so daß die Sicherheitsumgebung des Intranets durch diesen
Tunnel auf andere Teilnetze ausgedehnt werden kann. Die Verbindung von Außenstellen eines
Unternehmens über eine sichere PPTP Verbindung ist damit möglich. Aus Anwendersicht ist das
zugrundeliegende physikalische Netzwerk irrelevant, da sich die Verbindung für ihn als
dediziertes privates Netzwerk darstellt.
Ein VPN Tunnel verpackt auch Informationspakete, die nicht dem Internet-Standard für
Adressierung entsprechen, in IP Pakete (siehe dazu Abb. 12). Nach dem Erhalt wird diese
Verpackungsinformation wieder, für die höheren Schichten des OSI-Modells transparent,
entfernt. Damit werden entfernte Anwendersysteme zu virtuellen Knoten des Netzwerkes, mit dem
sie über das VPN verbunden sind. Das Intranet wird auf diese virtuellen Knoten, seien es Einzeloder
Mehrplatzsysteme, ausgedehnt.
30