Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 7. „KLASSISCHE“ FIREWALLS IN IP-NETZEN<br />
7.4.3 Vergleich der Firewall-Architekturen<br />
Während der AT&T Firewall auf der Gateway-Architektur (Abschnitt ) basiert, besteht der DEC Firewall<br />
aus der Komb<strong>in</strong>ation e<strong>in</strong>er Packet-Screen und e<strong>in</strong>er Bastion. Bei beiden Firewalls wird e<strong>in</strong>e<br />
Benutzerauthentisierung mittels e<strong>in</strong>es Challenge/Response Verfahrens durchgeführt. Diese Tatsache<br />
unterstreicht die Bedeutung von kryptographischen Verfahren für den Betrieb von Firewalls.<br />
Die Aufgaben der beiden Firewall-Architekturen unterscheiden sich. Während der AT&T Firewall<br />
<strong>in</strong> erster L<strong>in</strong>ie das <strong>in</strong>nere Netzwerk gegen Bedrohungen aus dem äußerern Netzwerk sichern soll,<br />
richteten sich die <strong>Sicherheit</strong>skonzepte des DEC Firewalls auch gegen Mißbrauch ausgehend von dem<br />
<strong>in</strong>neren Netzwerk. Durch Beschränkung des Datenexports soll erreicht werden, daß ke<strong>in</strong>e geheimen<br />
Dokumente aus dem <strong>in</strong>neren Netzwerk <strong>in</strong> das externe Netzwerk gelangen können.<br />
7.5 Grenzen der <strong>Sicherheit</strong> durch Firewalls<br />
In diesem Abschnitt werden die <strong>Sicherheit</strong>sgrenzen der Firewalls beschrieben. Da e<strong>in</strong> Firewall ke<strong>in</strong>e<br />
Zugriffskontrolle im <strong>in</strong>neren Netzwerk durchführt, besteht ke<strong>in</strong> Schutz des <strong>in</strong>neren Netzwerkes gegenüber<br />
Angriffen aus dem <strong>in</strong>neren Netzwerk. Gerade durch diese Angriffe ist aber e<strong>in</strong> großes Risiko<br />
gegeben, weil der Angreifer aus dem <strong>in</strong>neren Netzwerk die Schwächen dieses Netzwerkes i.a. besser<br />
kennt als e<strong>in</strong> Angreifer von außen. Zudem weiß er, wo und <strong>in</strong> welcher Form die unternehmenskritischen<br />
oder wertvollen Daten gespeichert s<strong>in</strong>d.<br />
E<strong>in</strong> Firewall bietet alle<strong>in</strong>e ke<strong>in</strong>en Schutz der e<strong>in</strong>zelnen Kommunikationsbeziehung. Die Portnummern<br />
bzw. die IP-Adressen können leicht gefälscht werden. E<strong>in</strong> Angreifer kann dadurch e<strong>in</strong>e TCP-<br />
Verb<strong>in</strong>dung übernehmen (TCP-Hijack<strong>in</strong>g) oder Daten verändern, die während der Verb<strong>in</strong>dung übertragen<br />
werden. Um diesen Mißbrauch zu verh<strong>in</strong>dern, ist der E<strong>in</strong>satz kryptographischer Protokolle<br />
notwendig.<br />
Durch die größere Bandbreite <strong>in</strong> Hochgeschw<strong>in</strong>digkeitsnetzen oder durch aufwendige Zugriffskontrollen<br />
können Performanzprobleme auftreten. Dadurch können die Benutzer u.U. erzw<strong>in</strong>gen, daß die<br />
<strong>Sicherheit</strong> des Netzwerkes reduziert wird, um den ordnungsgemäßen Betrieb des Netzwerkes aufrecht<br />
zu halten.<br />
7.6 Zusammenfassung<br />
¯ E<strong>in</strong> Firewall ist e<strong>in</strong> System zwischen zwei Netzwerken, das die e<strong>in</strong>zige Verb<strong>in</strong>dung zwischen<br />
den Netzen darstellt und e<strong>in</strong>e Zugriffskontrolle und Audit<strong>in</strong>g durchführt.<br />
¯ E<strong>in</strong> Firewall bietet effektive Methoden, e<strong>in</strong> Netzwerk gegenüber Angriffen von außen zu schützen,<br />
ohne daß jeder <strong>in</strong>terne Host aufwendig geschützt werden muß. Trotzdem müssen die Hostrechner<br />
(z.B. Bastion) des Firewalls aufwendig gesichert werden, weil sie nach wie vor angreifbar<br />
s<strong>in</strong>d.<br />
¯ E<strong>in</strong> Firewall kann dazu beitragen, die Risiken des Datenmißbrauchs ausgehend von dem <strong>in</strong>neren<br />
Netzwerk abzuschwächen (z.B. durch Zugriffskontrolle des Datenexportes).<br />
¯ Durch E<strong>in</strong>führung e<strong>in</strong>es Firewalls ist e<strong>in</strong> sehr umfangreiches Audit<strong>in</strong>g des Netzwerkverkehrs<br />
zwischen den beiden Netzen möglich.<br />
112 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>