Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 7. „KLASSISCHE“ FIREWALLS IN IP-NETZEN<br />
<br />
Abbildung 7.5: Bastion <strong>in</strong>nen: konzeptionelle Sicht (Aus [Benecke et al. 98]).<br />
Vor- und Nachteile<br />
Die Bastion im <strong>in</strong>neren Netzwerk ist gegen Angriffe aus dem externen Netz durch e<strong>in</strong>en Screen<strong>in</strong>g-<br />
Router geschützt. Im Gegensatz zu der Gateway-Architektur ist diese Architektur durch den E<strong>in</strong>satz<br />
von mehreren Bastions-Rechner erweiterbar, auf denen dann Proxy-Server für verschiedene Dienste<br />
<strong>in</strong>stalliert werden können.<br />
Nachteil dieser Architektur gegenüber dem Gateway s<strong>in</strong>d zusätzliche Kosten durch den Screen<strong>in</strong>g<br />
Router. Der Netzwerkverkehr des <strong>in</strong>neren Netzes kann mitgehört werden (sniff<strong>in</strong>g), falls es dem Angreifer<br />
gel<strong>in</strong>gt, die Bastion zu kompromittieren. Dadurch ist die <strong>Sicherheit</strong> des <strong>in</strong>neren Netzes deutlich<br />
reduziert, weil z.B. unverschlüsselte Passworte mitgehört werden können.<br />
Bastion außen<br />
<br />
Abbildung 7.6: Bastion außen: konzeptionelle Sicht (Aus [Benecke et al. 98]).<br />
Ist die Bastion im <strong>in</strong>neren Netzwerk, kann der Netzwerkverkehr des <strong>in</strong>ternen Netzes mitgehört werden<br />
(sniff<strong>in</strong>g), falls es dem Angreifer gel<strong>in</strong>gt, die Bastion zu kompromittieren. Dieser Nachteil wird vermieden,<br />
wenn die Bastion von dem <strong>in</strong>neren Netz durch e<strong>in</strong>en Screen<strong>in</strong>g-Router abgeschirmt wird. Die<br />
Bastion ist dann <strong>in</strong> e<strong>in</strong>em vom <strong>in</strong>neren Netzwerk unabhängigen Subnetz untergebracht. Die Funktion<br />
der Bastion ist analog zu der Funktion der Bastion, die im vorherigen Abschnitt beschrieben wurde.<br />
108 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>