Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3.5. NETZWERKSICHERHEIT<br />
E<strong>in</strong>e Firewall ist e<strong>in</strong>e Schwelle zwischen Netzen mit verschiedenen <strong>Sicherheit</strong>sniveaus.<br />
Durch technische und adm<strong>in</strong>istrative Maßnahmen wird dafür gesorgt, daß jede Kommunikation<br />
zwischen den Netzen über die Firewall geführt werden muß. Auf der Firewall<br />
sorgen Zugriffskontrolle und Audit dafür, daß nur berechtigte Verb<strong>in</strong>dungen zwischen<br />
den Netzen aufgebaut werden und potentielle Angriffe schnellstmöglich erkannt werden.<br />
E<strong>in</strong>er der wichtigsten Punkte dieser Def<strong>in</strong>ition ist, daß es nur genau e<strong>in</strong>e Verb<strong>in</strong>dung zwischen den<br />
Netzen gibt. Sollte es Abweichungen von dieser Regel geben, hier s<strong>in</strong>d vor allem Modemverb<strong>in</strong>dungen<br />
zu nennen, muß dies explizit <strong>in</strong> e<strong>in</strong>er Policy (siehe Abschnitt 3.6) festgehalten werden. Als Ausnahme<br />
kann beispielsweise e<strong>in</strong>e Modemverb<strong>in</strong>dung zu e<strong>in</strong>em Mailserver zugelassen werden, damit<br />
Mitarbeiter auch von auswärts Zugriff auf ihre Daten haben.<br />
Meist wird davon ausgegangen, daß e<strong>in</strong>e Firewall e<strong>in</strong> lokales Netz (LAN) vom Internet abtrennt.<br />
Aber gerade bei größeren Firmen wird das <strong>in</strong>terne Netz oftmals weiter unterteilt und durch „<strong>in</strong>terne“<br />
Firewalls geschützt. Beispielsweise kann durch e<strong>in</strong>e „<strong>in</strong>terne“ Firewall das Rechnernetz der Personalabteilung<br />
vom restlichen Firmennetz geschützt werden, damit nicht jeder Angestellte Zugang zu<br />
vertraulichen Daten aus dem Personalwesen erlangen kann.<br />
Es gibt verschiedene Möglichkeiten, e<strong>in</strong>e Firewall zu realisieren. Sie reichen von ganz e<strong>in</strong>fachen Konfigurationen<br />
bis h<strong>in</strong> zu komplizierten, sehr aufwendigen Implementationen.<br />
E<strong>in</strong>e grobe Unterteilung kann <strong>in</strong> vier Klassen erfolgen:<br />
¯ Packet Screens,<br />
¯ Gateways,<br />
¯ Komb<strong>in</strong>ationen von Packet Screen und Bastion sowie<br />
¯ Mischtechniken.<br />
In den folgenden zwei Abschnitten werden nur die beiden ersten Konzepte genauer dargestellt. Aus<br />
[Kohlrausch, 1999] und [Ellermann, 1994] können weitergehende Informationen zu den verschiedenen<br />
Firewallkonzepten entnommen werden.<br />
Beispiel: Packet Screen<br />
Packet Screen<br />
Netz 1 Netz 2<br />
Abbildung 3.1: Zwei Netze durch e<strong>in</strong>e Packet Screen verbunden<br />
Packet Screens bilden die e<strong>in</strong>fachste Möglichkeit, e<strong>in</strong>e Firewall aufzubauen. Dafür kann e<strong>in</strong> bereits<br />
vorhandener Router so konfiguriert werden, daß er nur bestimmte Pakete durchläßt und andere h<strong>in</strong>gegen<br />
abblockt (vgl. [Carl-Mitchell et al., 1992]). Daher werden Packet Screens auch oftmals als „Screen<strong>in</strong>g<br />
Router“ bezeichnet.<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 47