In Anhang ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
wird beschrieben, wie aus der großen Menge an unterschiedlichen
Firewalls die geeignete Lösung für ein bestimmtes Unternehmen auszuwählen ist. Dies
wird hier am Beispiel der BMW AG durchgeführt.
Welche Dienste durch den Firewall angeboten werden sollen, ist in Tabelle
dargestellt.
| Dienst | innen  außen |
außen innen |
| Telnet | nur für autorisierte Benutzer | Nur nach Authentifikation über one-time passwords |
| Rlogin | verboten | verboten |
| nur für autorisierte Benutzer | uneingeschränkt | |
| FTP | nur für autorisierte Benutzer | Nur nach Authentifikation über one-time passwords |
| News | nur für autorisierte Benutzer | nur bestimmte Newsgruppen sichtbar |
| Finger | verboten | verboten |
| X11 | verboten | verboten |
| WWW | nur für autorisierte Benutzer | Zugriff nur auf einen bestimmten Server |
Um die Kosten für den Internet-Zugang auf die Benutzer umlegen zu können, ist es erforderlich, daß die Benutzer einzeln für die Nutzung bestimmter Dienste autorisiert werden können. Weiterhin ist eine Zweiteilung des domain name service erwünscht, um Angreifern keine Ansatzpunkte für eventuelle Angriffe zu geben.
Hier werden nun die vier im Rahmen dieser Arbeit vorgestellten Firewall-Lösungen daraufhin untersucht, ob sie zur Sicherung des BMW-Internet-Zugangs in Frage kommen oder nicht.
Das hier geforderte Dienstangebot kann von allen vier Lösungen bereitgestellt werden.
Sowohl telnet als auch FTP sollen von außen zugänglich sein. Deshalb muß der
ausgewählte Firewall über entsprechende Authentifikationsmechanismen verfügen
(siehe Anhang ). Die vier vorgestellten Lösungen verfügen, mit Ausnahme des
Sun FW-I, über ausreichende Authentifikationsmöglichkeiten. Der Sun Firewall wird aber
ab Version 1.2 über vergleichbare Mechanismen verfügen.
Eine Zweiteilung des domain name service, wie sie von BMW gefordert ist, ist mit dem Sun Firewall erst ab Version 1.2 möglich. Die anderen Lösungen können ebenfalls so konfiguriert werden, daß interne Adressen nicht nach außen hin sichtbar werden.
Die Sicherheitspolitik sieht vor, daß nur die Benutzer Zugang zum Internet erlangen können, die hierzu ausdrücklich autorisiert wurden. Das bedeutet, daß der entsprechende Firewall in der Lage sein muß, benutzerbezogene Transportentscheidungen treffen zu können. Wiederum kann der Sun Firewall erst in der Version 1.2 diese Forderungen erfüllen.
Nach Untersuchung der Sicherheitspolitik muß eine Entscheidung für ein konkretes Produkt aus folgender Auswahl getroffen werden:
Wie bereits dargestellt, sind alle vier untersuchten Lösungen in der Lage, die geforderte
Sicherheitspolitik zu erfüllen. Da die BMW AG hauptsächlich über IBM-Plattformen verfügt,
kann eine Entscheidung zugungsten des IBM NetSP getroffen werden, der sich zwar nicht als
die beste Lösung herauskristallisiert hat, der aber ausreicht, um die geforderte Politik
zu realisieren. Gewisse Nachteile dieser Lösung können über entsprechende Konfiguration
ausgeglichen werden (siehe Kap. ).