Beschreibung

Next: Der Paket-Filter Up: TIS FWTK Previous: TIS FWTK

Beschreibung

Der TIS Firewall Toolkit (FWTK) setzt sich aus einem TCP-Relay sowie diversen Proxies zusammen [Ranum94]. Wie der Name bereits sagt, handelt es sich dabei nicht um einen Firewall, der mit wenigen Handgriffen zu installieren ist, sondern vielmehr um eine Ansammlung von Werkzeugen, die ganz nach den speziellen Anforderungen des jeweiligen Unternehmens zusammengestellt werden können. Es können folgende Firewall-Architekturen realisiert werden [TIS94b]:

Dual-homed Gateway
Beim dual-homed gateway stellt der Rechner, auf dem der Firewall läuft, die einzige Verbindung zwischen dem externen und dem internen Netz dar. Es findet kein Routing zwischen den beiden Netzen statt, sodaß eine Weiterleitung eines eintreffenden Paketes nur über einen der Proxies oder das TCP-Relay möglich ist. Eventuell kann noch ein Router eingesetzt werden, um zusätzlich einen Paket-Filter einzubauen, der bestimmten Angriffen, wie z. B. dem IP-Spoofing entgegenwirken kann. Abbildung stellt diese Architektur dar.

Abbildung: TIS FWTK als dual-homed gateway
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis1.eps} \end{center} \end{figure}$
Screened Host Gateway
Bei dieser Architektur, die in Abbildung skizziert ist, befindet sich der Firewall-Rechner innerhalb des internen Netzes, wobei ein vorgeschalteter Router nur Pakete zwischen dem externen Netz und dem Firewall-Rechner gestattet. Es ist also keine direkte Verbindung zwischen dem sicheren und dem unsicheren Netz möglich.

Abbildung: TIS FWTK als screened-host gateway
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis2.eps} \end{center} \end{figure}$
Screened Subnet Gateway
Diese Lösung besteht aus einem eigenen Subnetz, in dem der Firewall-Rechner liegt und das über jeweils einen Router mit dem sicheren und dem unsicheren Netz verbunden ist. Dies ist in Abbildung dargestellt.

Abbildung: TIS FWTK als screened-subnet gateway
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis3.eps} \end{center} \end{figure}$

**Abbildung:** TIS FWTK als *dual-homed gateway*
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis1.eps} \end{center} \end{figure}$

**Abbildung:** TIS FWTK als *screened-host gateway*
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis2.eps} \end{center} \end{figure}$

**Abbildung:** TIS FWTK als *screened-subnet gateway*
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis3.eps} \end{center} \end{figure}$

Im folgenden wird beispielhaft die screened host Lösung beschrieben. Wo sich große Unterschiede bei Verwendung einer anderen Architektur ergeben würden, wird natürlich gesondert darauf hingewiesen. Die Kombination der einzelnen Firewall-Konzepte zeigt Abbildung . Man erkennt, daß die Proxies parallel zu dem TCP-Relay existieren, während der Paket-Filter vorgeschaltet ist. Ebenfalls ist eine ausschließliche Verwendung des Paket-Filters denkbar.

**Abbildung:** Kombination der Firewall-Konzepte beim *screened-host gateway*
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{tis4.eps} \end{center} \end{figure}$

Next: Der Paket-Filter Up: TIS FWTK Previous: TIS FWTK

Root on HPHEGER0
8/28/1998