Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
7.4. FIREWALL-ARCHITEKTUREN IN DER PRAXIS<br />
kryptographischen Schlüssel für die Benutzerauthentisierung s<strong>in</strong>d auf dem Host Keyserver gespeichert.<br />
Das Audit<strong>in</strong>g erfolgt durch den Computer Sun, der mit dem Gateway über e<strong>in</strong>e ‘read-only’ Leitung<br />
verbunden ist. Es ist also nicht möglich, die Daten des Audit<strong>in</strong>gs von außen zu verändern.<br />
7.4.2 DEC Firewall<br />
<br />
Abbildung 7.9: DEC Firewall (Aus [Ellermann 94])<br />
Die Architektur des DEC Firewalls ist <strong>in</strong> Abb. 7.9 dargestellt. Die wichtigsten Komponenten s<strong>in</strong>d<br />
die Packet-Screen Gate und die Bastion Gatekeeper. Der Router enthält ke<strong>in</strong>e Filterfunktionen. Die<br />
Architektur entspricht der Komb<strong>in</strong>ation von Packet-Screen und äußerer Bastion aus Abschnitt 7.4.3.<br />
Gate ist e<strong>in</strong> Unix Host, auf dem screend läuft und der als Screenig-Router verwendet wird. Das Rout<strong>in</strong>g<br />
ist so konfiguriert, daß die gesamte Kommunikation zwischen Internet und <strong>in</strong>ternem Netzwerk<br />
über die Bastion Gatekeeper geführt wird. Es besteht ke<strong>in</strong>e Protokollbeschränkung. Rout<strong>in</strong>gprotokolle<br />
(z.B. RIP) werden <strong>in</strong> dem Host Gate nicht unterstützt. Dadurch sollen Angriffe, die die Rout<strong>in</strong>g<br />
Tabelle ändern, abgewehrt werden.<br />
Die Bastion Gatekeeper wird durch die Packet Screen Gate abgeschirmt (Architektur: Bastion außen).<br />
Auf dem Host s<strong>in</strong>d Proxy-Server („Application Gateways“) für Telnet und FTP <strong>in</strong>stalliert. Wie<br />
bei dem AT&T Firewall wird für die Benutzerauthentisierung e<strong>in</strong> „Challenge/Response“ Verfahren<br />
verwendet. Um das Ausschleusen geheimer Dokumente aus dem <strong>in</strong>neren Netzwerk nach außen zu<br />
verh<strong>in</strong>dern, werden verschiedene Maßnahmen getroffen. Bei dem FTP-Protokoll ist nur Datenimport<br />
möglich. Für das Telnet-Protokoll ist e<strong>in</strong>e Beschränkung des Datenflusses nach außen h<strong>in</strong> auf 1200<br />
Baud e<strong>in</strong>geführt worden <strong>in</strong> der Hoffnung, daß das Versenden von geheimen Dokumenten rechtzeitig<br />
bemerkt wird. Für die Sicherung der Bastion s<strong>in</strong>d verschiedene Abwehrmaßnahmen gegenüber Angriffen<br />
von außen e<strong>in</strong>gerichtet worden. So werden z.B. falsche Paßwortdateien zurückgeliefert und<br />
es s<strong>in</strong>d „Sucker Traps“ e<strong>in</strong>gerichtet worden. „Sucker Traps“ werden anstelle von Internetdiensten<br />
<strong>in</strong>stalliert. Sie simulieren diesen Dienst und lassen den Angreifer <strong>in</strong> dem Glauben, daß er durch e<strong>in</strong>e<br />
Schwachstelle des Dienstes <strong>in</strong> das System e<strong>in</strong>gebrochen ist. Zugleich wird automatisch versucht,<br />
den potentiellen Angreifer zu identifizieren (z.B. durch e<strong>in</strong>e f<strong>in</strong>ger Abfrage). Zusätzlich werden die<br />
Aktionen des Angreifers protokolliert.<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 111