Nächste Seite: IP-Protokoll
Aufwärts: Firewall-Architekturen
Vorherige Seite: Mischformen
  Inhalt
  Index
Aufbau eines Bastion Host
Der Bastion Host ist der zentrale Bestandteil einer Firewall, deshalb muß
man bei seiner Konfiguration besonders vorsichtigt vorgehen.
Zu folgenden Punkten sollte man sich vor der Installation Gedanken machen:
- Hardware
Da der Bastion Host die wichtigste Maschine für den Internetzugang ist
sollte man nicht die neuesten Hardwarekomponenten verwenden, sondern
auf bewährte Hardware zurückgreifen. Der Rechner sollte über möglichst
viel RAM verfügen (
64Mbyte ). Die Festplatten sollten auch
großzügig ausgelegt werden.
- Betriebssystem
Das verwendete Betriebssystem sollte auch unter großer Last noch
zuverlässig und stabil laufen. Außerdem sollte guter Support
verfügbar und eine schnelle Fehlerbehebung garantiert sein.
- Standort
Der physikalische Standort des Bastion Host sollte so gewählt werden,
daß nur befugte Personen (Systemadministratoren) Zugang zu der Maschine
haben.
Bei der Installation des Betriebssystems gilt es auch einige Dinge zu beachten, damit
der Bastion Host das höchst mögliche Maß an Sicherheit erhält:
- Minimal Installation des OS
Es empfiehlt sich eine minimale Installation des Betriebsystems
durchzuführen, da man dann später weniger Programme deintallieren
muß.
- Alle bekannten BUGS fixen
Für viele Betriebssyteme gibt es im Internet Checklisten, die auf bekannte
Fehler des jeweiligen OS hinweisen. Auf der Homepage des OS-Herstellers
finden sich dazu meist weitere aktuelle Informationen und Empfehlungen.
Das CERT (http://www.cert.org) ist eine weitere gute Quelle um
sein System auf bekannte Fehler zu überprüfen.
- Keine User accounts
Normalerweise sollte man keine Accounts auf dem Bastion Host anlegen
(ausser denen, die für den Betrieb notwendig sind). Die Sicherheit
des Systems wird durch Useraccounts beeinträchtigt, da die Accounts
angreifbar sind. Die Zuverlässigkeit und die Stabilität des Bastion
Host kann durch Fehlverhalten von Usern beeinträchtigt werden.
Benötigt man jedoch Useraccounts auf dem Bastion Host, so sollten diese
möglichst eingeschränkt werden, d.h. nur soviele Rechte und Dienste
wie unbedingt notwendig sind.
- Überflüssige Programme deinstallieren
Alle Programme, die nicht zum Betrieb des Bastion Host benötigt werden,
sollte man entfernen, z.B. Compiler, Interpreter, Shells usw.
- Loging Informationen
Alle Aktivitäten auf dem Bastion Host sollten protokolliert werden.
In den folgenden Abschnitten werden die verschiedenen Protokolle und Internetservices
daraufhin untersucht, ob ihr Einsatz vom Sicherheitsstandpunkt aus vertretbar
ermöglicht werden kann oder nicht.
HINWEIS:
Alle nachfolgend angebebenen Filterregeln sind folgendermaßen zu interpretieren: Alles
was nicht explizit erlaubt ist, ist verboten.
Nächste Seite: IP-Protokoll
Aufwärts: Firewall-Architekturen
Vorherige Seite: Mischformen
  Inhalt
  Index
Klaus Bauer
1999-10-20