Nächste Seite: Mischformen
Aufwärts: Firewall-Architekturen
Vorherige Seite: Screened Host Architektur
  Inhalt
  Index
Screened Subnet Architektur
Diese Firewall-Anordnung erweitert die vorher beschriebene Screened Host
Architektur um eine zusätzliche Sicherheitsschicht: Perimeter Netzwerk
(Grenznetz).
Da Bastion Hosts von Natur aus das erste Angriffsziel sind, erreicht man
einen deutlichen Sicherheitsgewinn, wenn man sie in ein eigenes Netz, das
Perimeter Network oder Grenznetz, stellt. Abbildung 3.6
zeit eine Screened Subnet Architektur.
Abbildung 3.6:
Screened Subnet Architektur (mit zwei Routern),
Quelle: [BIF-96], S. 68
|
Die einzelnen Komponenten erfüllen folgende Aufgaben:
- Perimeter Network
Es fungiert als Trennschicht zwischen dem internen Firmen-LAN und dem
Internet. Dadurch wird erreicht, daß selbst dann wenn ein Angreifer
erfolgreich in den Bastion Host eingedrungen ist, nur der Netztraffic
des Perimter Network mitgelesen werden kann. Der Traffic im internen LAN
kann also nicht mitgelesen werden.
- Bastion Host
Der Bastion Host stellt die Schnittstelle zwischen dem internen LAN und dem
Internet dar. Ausgehende Dienste werden wie folgt realisiert:
- Interior Router
Schützt das LAN vor dem Grenznetz und dem Internet. Nur die Dienste, die
tatsächlich benötigt werden sind zugelassen.
- Exterior Router
Schützt die Rechner im Grenznetz: den Bastion Host und den
interior Router. Da der Exterior Router die direkte Schnittstelle mit
dem Internet darstellt, kann er leicht Pakete mit gefälschten IP-Adressen
erkennen; also solche Pakete die von außen ankommen und eine interne
IP-Adresse als Source-IP haben (IP-Spoofing).
Nächste Seite: Mischformen
Aufwärts: Firewall-Architekturen
Vorherige Seite: Screened Host Architektur
  Inhalt
  Index
Klaus Bauer
1999-10-20