Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 7. „KLASSISCHE“ FIREWALLS IN IP-NETZEN<br />
R Quelladr. Zieladr. Quellp. Zielp. SYN Prot. Aktion<br />
A Extern Intern 1023 25 TCP Permit<br />
B Intern Extern 25 1023 - TCP Permit<br />
C Intern Extern 1023 25 TCP Permit<br />
D Extern Intern 25 1023 - TCP Permit<br />
E Beliebig Beliebig Alle Alle Alle Deny<br />
Abbildung 7.1: Beispiel für Filterregeln.<br />
Vor- und Nachteile<br />
Der Vorteil e<strong>in</strong>er Packet-Screen ist die Transparenz. Werden ke<strong>in</strong>e verbotenen Datagramme versendet,<br />
bleibt die Funktion der Packet-Screen für die Benutzer vollständig verborgen. Da die Funktionalität<br />
e<strong>in</strong>er Packet-Screen <strong>in</strong> vielen Screen<strong>in</strong>g-Routern bereits vorhanden ist, ist der Installationsaufwand<br />
i.a. ger<strong>in</strong>g.<br />
Nachteil e<strong>in</strong>er Packet-Screen ist, daß die Möglichkeiten der Zugriffskontrolle ger<strong>in</strong>g s<strong>in</strong>d. Es kann ke<strong>in</strong>e<br />
vom Benutzer oder von der Verwendung des Dienstes (z.B. Inhalt e<strong>in</strong>er URL) abhängige Zugriffskontrolle<br />
durchgeführt werden. E<strong>in</strong>ige Protokolle s<strong>in</strong>d für Packet-Screens ungeeignet (z.B. Remote<br />
procedure calls (RPC) wegen variabler Portnummern). E<strong>in</strong> weiterer Nachteil ist die unzureichende<br />
Integrität der Portnummern und IP-Adressen. Sie können leicht gefälscht werden (IP Spoof<strong>in</strong>g). In<br />
der Praxis ist es aufwendig, die Funktion der Packet-Screen für e<strong>in</strong>e große Anzahl von Filterregeln zu<br />
überprüfen.<br />
7.2.2 Proxy-Server<br />
<br />
Abbildung 7.2: Funktionsweise e<strong>in</strong>es Proxy-Servers (Aus [Ellermann 94]).<br />
E<strong>in</strong> Proxy-Server ist e<strong>in</strong> Prozeß auf Anwendungsebene, der e<strong>in</strong>e fe<strong>in</strong> granulierte Zugriffskontrolle<br />
und Audit<strong>in</strong>g auf Anwendungsebene (OSI Schichten 5-7) durchführt. Er stellt Anfragen anstelle e<strong>in</strong>es<br />
104 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>