Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 3. LÖSUNGSMÖGLICHKEITEN FÜR DIE SICHERHEITSPROBLEMATIK<br />
Mit e<strong>in</strong>er Packet Screen ist es möglich, e<strong>in</strong>e Zugriffssteuerung anhand der Quell- und Zieladressen<br />
sowie der Quell- und Zielports zu realisieren. Durch Filterregeln für Quell- und Zieladressen läßt sich<br />
die Erreichbarkeit e<strong>in</strong>zelner Rechner oder Subnetze festlegen. Die E<strong>in</strong>schränkung der erreichbaren<br />
Dienste(http,ftp,telnet,...)erfolgtdurchdieFilterung der Quell- und Zielports. Bei den Filterregeln<br />
wird zwischen „Deny Filtern“ und „Pass Filtern“ unterschieden [Ranum, 1992].<br />
E<strong>in</strong> Vorteil von Packet Screens s<strong>in</strong>d ihre ger<strong>in</strong>gen Kosten, da die notwendige Hardware, <strong>in</strong> Form e<strong>in</strong>es<br />
Routers, meist bereits vorhanden ist und der Router lediglich umkonfiguriert werden muß.<br />
E<strong>in</strong> weiterer Vorteil ist die Transparenz e<strong>in</strong>er Packet Screen. Solange ke<strong>in</strong>e unerlaubten D<strong>in</strong>ge versucht<br />
werden, wird e<strong>in</strong> Benutzer die Packet Screen nicht bemerken.<br />
E<strong>in</strong>e Packet Screen besitzt allerd<strong>in</strong>gs auch e<strong>in</strong>ige Nachteile, von denen im folgenden e<strong>in</strong>ige genannt<br />
werden.<br />
Die nur <strong>in</strong>direkte Kontrolle der übertragenen Protokolle ist e<strong>in</strong> solcher Nachteil. Da nicht nach Protokollen,<br />
sondern nach Portnummern gefiltert wird, ist es nicht gesichert, daß auf den verschiedenen<br />
Ports auch nur die gewünschten Protokolle übertragen werden. Durch „Tunnel<strong>in</strong>g“-Techniken können<br />
so auch Ports und Rechner angesprochen werden, die nicht erreichbar se<strong>in</strong> sollten [Bellov<strong>in</strong> 1989].<br />
Desweiteren besteht die Gefahr, daß Rechnern mit e<strong>in</strong>er gefälschten IP-Adresse ebenfalls Zugang<br />
gewährt wird.<br />
Durch die Prüfung aller e<strong>in</strong>zelnen Pakete kann es <strong>in</strong> Abhängigkeit der Vielzahl der Filterregeln zu<br />
Performanze<strong>in</strong>bußen kommen.<br />
Da e<strong>in</strong> Router ke<strong>in</strong>e Auditdaten liefern kann, müssen im Falle e<strong>in</strong>es erfolgreichen E<strong>in</strong>bruchs die Auditdaten<br />
der e<strong>in</strong>zelnen <strong>in</strong>ternen Hosts gesammelt und verglichen werden. Aufgrund dieses fehlenden<br />
Audits kann e<strong>in</strong>e Packet Screen nicht als „richtige“ Firewall bezeichnet werden (vgl. Def<strong>in</strong>ition <strong>in</strong><br />
3.5.3).<br />
Beispiel: Gateway mit Proxy<br />
Gateway mit Proxy<br />
Netz 1 Netz 2<br />
Abbildung 3.2: Zwei Netze durch e<strong>in</strong> Gateway mit Proxy-Server verbunden<br />
E<strong>in</strong> Rechner, der Verb<strong>in</strong>dung zu zwei Netzen hat, wird als Gateway bezeichnet, wenn Verb<strong>in</strong>dungen,<br />
die über diesen Rechner laufen, auf Applikationsebene realisiert werden. Bieten diese Applikationen<br />
weiterh<strong>in</strong> die Möglichkeit e<strong>in</strong>er Zugriffskontrolle und e<strong>in</strong>es Audits, so kann der Rechner als Gateway-<br />
Firewall genutzt werden.<br />
Als e<strong>in</strong>en Proxy bzw. Proxy-Server wird e<strong>in</strong> Dämon bezeichnet, der auf e<strong>in</strong>em vorher def<strong>in</strong>ierten Port<br />
des Gateways auf e<strong>in</strong>e Verb<strong>in</strong>dung e<strong>in</strong>es Klienten wartet. Der Proxy-Server prüft, ob der Verb<strong>in</strong>dungswunsch<br />
des Klienten erlaubt ist. Ist dies der Fall, stellt der Proxy die Verb<strong>in</strong>dung zum Zielrechner her.<br />
48 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>