http://www.webagency.de/infopool/infrastruktur/firewall.htm 16. Dezember 2017
WEBAGENCY E-Commerce Solutions
    
Electronic Commerce Informationspool
Themenrubrik: E-Business-Infrastruktur
 Projektleitfaden
 Planung
 Feinkonzeption
 Realisierung
 Inbetriebnahme/Betrieb
 Projektmanagement
 Lösungen
 Internetportal
 Online-Katalog/-Shop
 Extranet
 Workshop
 Leistungen
 Gemäß Leistungsart
 Gemäß Projektphase
 Alphabetisch sortiert
 Spezial: Website-Check
 Spezial: Feedbackumfrage
 Spezial: Website-Paket
 EC-Infopool
 Internet ABC
 Internet-Basiswissen
 E-Commerce-Know-how
 E-Business-Strategie
 Mittelstand-Spezial
 Beschaffung
 Marketing im Internet
 E-Business-Infrastruktur
 Projektmanagement
 Online-Service
 Über WEBAGENCY
 Firmenprofil
 Referenzen
 Partnerfirmen
 Jobangebote
 Pressemitteilungen
 Pressestimmen
 Kontakt
 Anschrift
 E-Mail an uns

Vor- und Nachteile von Systemen im Neutralen Netz innerhalb von Firewall-Lösungen

Als Firewall ("Brandschutzmauer") bezeichnet man eine Schwelle zwischen zwei Netzen, die erst überwunden werden muss, um Rechner im jeweils anderen Netz zu erreichen. Der Firewall hat die Aufgabe, nur zugelassene netzübergreifende Aktivitäten zu ermöglichen, Missbrauchsversuche frühzeitig zu erkennen sowie grenzüberschreitende Aktivitäten interner Nutzer zu überprüfen.

Komponenten

Ein externer Firewall grenzt das allgemein zugängliche Netzwerk (Internet) vom neutralen Firmennetz (auch "Demilitarisierte Zone" oder kurz DMZ genannt) ab, wobei der Firewall je nach Umfang sowohl Zugriffswege (TCP/IP Ports) als auch Zielsysteme (Hosts bzw. Netzwerkadressen) einschränkt. Ein Application Firewall (auch BASTION Host genannt), der zusätzlich auch noch den Inhalt der Kommunikation (Daten auf einem Zugriffsweg wie HTTP) rudimentär überprüft, hat sich in der Vergangenheit nur selten als vorteilhaft erwiesen.

Der interne Firewall (Gateway) erweitert diese Absicherung für das firmeninterne Netz (auch Intranet genannt) um eine Maskierung aller Rechner, die sich im firmeninternen Netz befinden. Damit ist vom Internet aus nur der interne Firewall Gateway sichtbar, alle Rechner im Intranet werden durch diese Maskierung auf den internen Firewall abgebildet und sind damit von außen (sowohl vom Internet als auch vom DMZ aus) unsichtbar. Eine Maskierung bereits beim externen Firewall ist ebenfalls möglich, erfordert dann jedoch einen Mehraufwand zur Zuordnung der in der DMZ existierenden Rechnersysteme.

Weiterhin schließt die interne Firewall alle Zugriffe von außen - d.h. dem Internet und dem externen Firewall - auf Systeme im firmeninternen Netz (Intranet) aus. Ein System im neutralen Firmennetz kann, sofern das erforderlich ist und das System adäquat abgesichert ist, explizit Zugriff auf Rechner im firmeninternen Netz erhalten.

In der Regel greifen Rechnersysteme aus dem firmeninternen Netz (Intranet) über Rechnersysteme wie Mailserver oder Web-Proxyserver (allgemein zentrale Server) im neutralen Firmennetz (DMZ) auf das Internet zu. Somit fällt neben den beiden Firewalls auch allen Systemen die sich im neutralen Firmennetz (DMZ) befinden die Verantwortung zu, auf den offen zugänglichen Pfaden (Ports) mit einem abgesicherten Verhalten schwer angreifbar zu sein.

Zusammenspiel der Einzelsysteme

Zusammenspiel der Systeme

Entsprechend der weiter oben aufgeführten einzelnen Komponenten sind Abläufe, wie sie im Schaubild zum Zusammenspiel der Einzelsysteme gezeigt werden, möglich und kontrollierbar. Eine Zugriffskontrolle auf Rechner im Intranet kann sowohl bereits beim externen Firewall stattfinden (hier nicht gezeigt) als auch beim internen Firewall. Eine Absicherung von Anwendungssystemen im neutralen Firmennetz (DMZ) findet beim externen Firewall statt und kann sowohl das Erlauben als auch das Ablehnen eines Zugriffs bedeuten.

Vorteile und Nachteile von Betriebssystemen

Entsprechend der einzelnen aufgeführten Komponenten ist die Auswahl des dazu angewandten Betriebssystems von großer Tragweite für das gesamte Netzwerk. Daher ist ein Abwägen von Vorteilen und Nachteilen wichtig.

Firewall auf Basis von Microsoft Windows

Ein System auf Basis von Microsoft Windows als Firewall (sowohl externer als auch interner Firewall) weist im oben aufgeführten Szenario folgende Vor- und Nachteile auf:

Vorteile
  • Leichte Installation des Basis-Systems
  • Leichte Wartbarkeit aufgrund einer Vielzahl von Werkzeugen zur Wartung
  • Geringer Wartungsaufwand wegen automatischer Protokollierung
Nachteile
  • Unsicherheit gegenüber Angriffen auf die Stabilität des Systems
  • Unsicherheit gegenüber dem Ausnutzen von Systemfehlern und Wechselwirkungen aufgrund einer großen Menge von Anwendungen und Werkzeugen, die nicht deaktivierbar sind
  • Unsicherheit aufgrund der schnellen Verbreitung von Viren und Angriffswerkzeugen
  • Unsicherheit aufgrund eines gegenüber dem Internet nicht granular einstellbaren Benutzermodells

Firewall auf Basis von Unix

Ein System auf Basis eines beliebigen Unix Betriebssystems als Firewall (sowohl externer als auch interner Firewall) weist im oben aufgeführten Szenario folgende Vor- und Nachteile auf:

Vorteile
  • Allgemeine Stabilität des Systermkerns
  • Möglichkeit der expliziten Installation von Werkzeugen ohne unerwünschte Zusatzwerkzeuge
  • Explizit auswählbare Benutzerrechte der Prozesse, womit ein allgemeiner Zugriff verhindert werden kann
  • Geringes Angriffspotential gegenüber Viren
  • Individuell konfigurierbare Sicherheitsstufe gegenüber Angriffen von außen
Nachteile
  • Schwere Konfigurierbarkeit des Systems
  • Hoher Wartungsaufwand aufgrund umfangreicher Protokollierung
Beide Systemvarianten können allerdings keinen wirklichen Schutz gegen sogenannte Denial of Service (DoS) Angriffe gegen den Firewall von außen bieten, da diese nicht das Eindringen in das System zum Ziel haben, sondern nur die Erreichbarkeit des Systems generell verhindern wollen. Diese Angriffe legen durch massive Anfragen an ein System dieses entweder lahm oder blockieren den Internet-Zugang des Systems (Standleitung) als solches.

Application Server auf Basis von Microsoft Windows

Ein System auf Basis von Microsoft Windows als Anwendungssystem (beispielsweise Exchange Server als Mailserver) weist im oben aufgeführten Szenario folgende Vor- und Nachteile auf:

Vorteile
  • Leichte Installation des Systems
  • Leichte Wartbarkeit aufgrund einer Vielzahl von Werkzeugen
  • Wenig Wartungsaufwand aufgrund geringer Fehlerverfolgung
Nachteile
  • Unsicherheit gegenüber Angriffen auf die Stabilität des Systems
  • Deutliche Unsicherheit gegenüber Nutzung von Systemfehlern in gängigen Softwareprodukten (beispielsweise Microsoft IIS) aufgrund der raschen Verbreitung dieser Fehler
  • Geringe Eingriffsmöglichkeiten in das System bei aktuellen Zugriffsproblemen

Application Server auf Basis von Unix

Ein System auf Basis eines beliebigen Unix als Anwendungssystem (beispielsweise Apache Webserver) weist im oben aufgeführten Szenario folgende Vor- und Nachteile auf:

Vorteile
  • Eingrenzung möglicher Probleme auf ausgewählte Produkte und nicht voll autorisierte Benutzer
  • Große Auswahl an gängigen Produkten
  • Hohe Stabilität des Gesamtsystems auch bei Ausfall von einzelnen Softwarekomponenten
Nachteile
  • Hoher Aufwand an Konfiguration
  • Mangelnde Akzeptanz seitens der Benutzer im firmeninternen Netz (Intranet)
Beide Systeme können gegen gezielte Angriffe auf einzelne Dienste nur schwer geschützt werden, jedoch ist ein Unix-System aufgrund seiner deutlich geringeren Menge an erforderlichen Komponenten leichter in Hinsicht auf Problemfälle kontrollierbar. Weiterhin ist beim auf Unix basierenden System ein Ausfall einer einzelnen Dienstleistung nicht zwingend identisch mit einem Totalausfall des Systems, während unter Windows der Ausfall des Internet Information Servers (IIS) nur mit einem Neustart des Systems behebbar ist, was einem zeitweiligen Totalausfall entspricht.

Fazit

Die Auswahl des Betriebssystems hat auf die Grundinstallation der Firewall und die Sicherheit der Zugänge deutliche Auswirkungen. Auch ein unsicheres System im neutralen Firmennetz (DMZ) kann die Sicherheit der externen Firewall aushebeln. Sofern weiterhin dieses System im neutralen Firmennetz Zugriff auf Daten innerhalb des Systems hat, kann damit auch direkt in das firmeninterne Netz zugegriffen werden.

Um Problemen in Bereichen der Sicherheit der Firewalls und öffentlichen Server aus dem Weg zu gehen, empfiehlt sich eine homogene einheitliche Unix-Lösung bei der Außennetzanbindung.

Drucken Seite drucken Kontakt Bei WEBAGENCY anfragen
Empfehlen Seite weiterempfehlen

WEBAGENCY - Kaiserallee 62a - 76185 Karlsruhe - Fon: 0721/ 354 60 85 - Fax: 0721/ 354 60 89
© 1998-2009 WEBAGENCY - http://www.webagency.de - e-Mail: info@webagency.de