FMST-5

EDV


Realisierung von Firewalls

Firewalls lassen sich auf unterschiedliche Weise realisieren. Dabei kann es sich um einen Router handeln, der Pakete nur nach bestimmten Regeln transportiert, oder ein ganzes Subnetz, in dem jeder angeschlossene' Computer eine bestimmte Aufgabe wahrnimmt. Bei der Einrichtung zählt sowohl der finanzielle Aufwand durch die Anschaffung zusätzlicher Hardware als auch die Belastung durch zu hohen Wartungsaufwand. In der Mehrzahl der derzeit existierenden Firewalls sind Paketfilter im Einsatz, da sie relativ einfach zu installieren sind. Oft sind sie sogar die einzige Komponente. Paketfilter können über kommerzielle Router (zum Beispiel Cisco) oder aber auch über eigenständige Rechner realisiert werden. Sie analysieren die Datenpakete und reichen sie nach bestimmten Regeln weiter. Üblicherweise ist jedem Internet Packet (IP) zu entnehmen, an welche Adresse es gelangen soll und welchen Dienst (IP-Port) es nutzt. Der Systemadministrator kann demnach bestimmte Rechner, Subnetze und Dienste sperren. Der Paketfilter hält sich im altgemeinen an das Paradigma: Alles, was nicht ausdrücklich verboten ist, ist erlaubt.

Paketfilter besitzen aber Nachteile: Die Regeln, nach denen sie die Pakete weiterleiten, können in komplexen Installationen schnell sehr kompliziert werden, und zudem sind die meisten Filter nicht in der Lage, genaue Logging-Informationen aufzuzeichnen. Erfolgt trotz des Paketfilters ein Einbruch in die geschützten Bereiche des privaten Netzes, so ist anschliessend kaum etwas über die Arbeitsweise und die Herkunft des Eindringlings zu ermitteln.

Dual-Homed Gateway

Bei einem Dual-Homed-Gateway handelt es sich um einen Rechner, der auf der einen Seite über eine Verbindung zum Internet verfügt und auf der anderen Seite mit dem firmenintemen Netz verbunden ist. Er routet kein TCP/IP, so dass niemand aus dem Internet auf Netzwerkebene auf das Firmennetz zugreifen kann. Die Verbindung der beiden Netze erfolgt im allgemeinen über eigene Applikationen, die Dienste vermitteln. Das Dual-Homed Gateway unterbindet damit alles, was nicht ausdrücklich erlaubt wurde.