Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 8. HOCHGESCHWINDIGKEITS-FIREWALLS<br />
¯ E<strong>in</strong> IP-Firewall <strong>in</strong> e<strong>in</strong>em ATM-Netz muß zur Kontrolle der emulierten oder gekapselten IP-<br />
Pakete diese zunächst <strong>in</strong> IP-Pakete zurückverwandeln. Dies ist aufwendig und kann zu Performanz-Problemen<br />
führen.<br />
Andererseits kann e<strong>in</strong> Firewall <strong>in</strong> e<strong>in</strong>em ATM-Netz auch ATM-Spezifika nutzen, um Performanz-<br />
Verluste auszugleichen oder den Datendurchsatz zu erhöhen:<br />
¯ Durch die Def<strong>in</strong>ition von Quality-of-Service-Parametern und die Möglichkeit, Bandbreite zu<br />
reservieren, kann bereits beim Verb<strong>in</strong>dungsaufbau e<strong>in</strong> M<strong>in</strong>destdurchsatz durch die Firewall garantiert<br />
werden oder falls Engpässe auftreten könnten, der Verb<strong>in</strong>dungswunsch abgelehnt werden.<br />
Abbildung 8.3: E<strong>in</strong>schleifen e<strong>in</strong>es Proxy (aus [Ellermann 99])<br />
¯ Da ATM e<strong>in</strong> verb<strong>in</strong>dungsorientiertes Protokoll ist, kann beim Verb<strong>in</strong>dungsaufbau durch e<strong>in</strong>en<br />
ATM-Switch e<strong>in</strong> Virtueller Pfad realisiert werden, der durch e<strong>in</strong>en dedizierten Firewallrechner<br />
führt. Dadurch kann transparent e<strong>in</strong> Proxy <strong>in</strong> die Verb<strong>in</strong>dung e<strong>in</strong>gefügt werden (vgl. Abb. 8.3).<br />
Bei Überlast auf diesem Proxy kann auch e<strong>in</strong> zweiter oder dritter Proxy anstelle des ersten bei<br />
weiteren Verb<strong>in</strong>dungen gewählt werden.<br />
¯ Firewallproxies müssen nicht notwendigerweise physikalisch <strong>in</strong> die Verb<strong>in</strong>dung e<strong>in</strong>gesetzt se<strong>in</strong>,<br />
es genügt, e<strong>in</strong>e Virtuelle Verb<strong>in</strong>dung durch den Proxy h<strong>in</strong>durch aufzubauen. Dadurch können<br />
auch zentrale Gruppen von Proxies vorgehalten werden.<br />
¯ E<strong>in</strong>e weitere Möglichkeit ist die Bildung virtueller privater Teilnetze <strong>in</strong> Unternehmen, die durch<br />
logisch e<strong>in</strong>gehängte Firewalls auch untere<strong>in</strong>ander gesichert werden können. Es ist hier ke<strong>in</strong><br />
aufwendiges Tunnel<strong>in</strong>g wie <strong>in</strong> re<strong>in</strong>en IP-Netzen notwendig; die Kopplung von Endgeräten zu<br />
Teilnetzen geschieht re<strong>in</strong> durch Konfiguration der ATM-Switches (vgl. Abb. 8.4).<br />
In allen den beschriebenen Szenarien kommt den ATM-Switches e<strong>in</strong>e besondere Bedeutung zu. Die<br />
Kontrolle von ATM-Verb<strong>in</strong>dungen, also der Aufbau oder die Ablehnung der Verb<strong>in</strong>dung sowie das<br />
E<strong>in</strong>schleifen von Firewallproxies, geschieht beim Verb<strong>in</strong>dungsaufbau durch e<strong>in</strong>en ATM-Switch.<br />
Im folgenden soll deshalb der Verb<strong>in</strong>dungsaufbau <strong>in</strong> e<strong>in</strong>em ATM-Switch (ATM-Signalisierung) h<strong>in</strong>sichtlich<br />
der Kontrollmöglichkeiten beim Verb<strong>in</strong>dungsaufbau untersucht werden.<br />
120 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>