Möchte man beispielsweise einen anonymous FTP- oder WWW-server einrichten, so ergeben sich prinzipiell drei Möglichkeiten, wo der server plaziert werden soll:
Bei dieser Lösung gehört der entsprechende server zum ungesicherten Netz, es handelt sich um einen sogenannten sacrificial host. Dieser Rechner ist natürlich allen Angriffsversuchen aus dem ungesicherten Netz ausgesetzt, weshalb der Firewall so konfiguriert sein muß, daß er keinesfalls Verbindungen von diesem Rechner aus akzeptiert. Die erforderlichen Daten erhält der server dann in regelmäßigen Abständen über aus dem internen Netz initiierte Verbindungen. Diese Lösung ist für das zu sichernde Netz natürlich die sicherste, setzt aber den server beliebigen Angriffsversuchen aus.
Diese Lösung ist natürlich nur bei hostbasierenden Lösungen möglich. Aufgrund des hohen Ressourcenverbrauchs dieser server und aufgrund potentieller Sicherheitslücken ist diese Lösung allerdings nicht empfehlenswert. Wird sie trotzdem eingesetzt, so ist darauf zu achten, daß der server in einer durch chroot geschützten Umgebung möglichst ohne besondere Privilegien läuft, um nicht die Sicherheit des Firewalls zu gefährden.
Bei der Plazierung im internen Netz, hat man natürlich die Möglichkeit, den Zugriff nur bestimmten Benutzern zu gestatten bzw. zu verbieten. Auch kann anhand der Log-Einträge erkannt werden, wenn Angriffe gegen den server unternommen wurden. Es gibt zwei Möglichkeiten, wie der server dann aus dem Internet erreicht werden kann: Entweder wird der Zugang mit Hilfe eines Paket-Filters oder TCP-Relays zu diesem bestimmten Rechner erlaubt. Dann ist der server aber wieder gewissen Angriffen ausgesetzt, die nur über das Logging des Firewalls unterbunden werden können. Die andere Möglichkeit ist die Verwendung eines sicheren Proxies auf dem Firewall, der nur die Anfragen, die gestattet werden sollen, an den eigentlichen server weiterleitet.
Es sollten wenn möglich keine public-domain server verwendet werden, da diese meist Fehler enthalten, die von Angreifern ausgenutzt werden können. Außerdem steht für diese Programme meist der source code zur Verfügung, sodaß die Angreifer in der Lage sind, immer neue Fehler aufzudecken.
Allgemein kann man sagen, daß jeder server, egal ob er ein Teil des Firewalls ist oder zum internen Netz gehört, so sicher wie möglich konfiguriert werden sollte. Dies bedeutet insbesondere, daß vor Start des servers mit Hilfe eines chroot-Kommandos eine Umgebung geschaffen wird, in der auch bei Ausnutzen eines Fehlers des servers keine wichtigen Systemdateien zu erhalten oder zu verändern sind. Außerdem sollten server so wenige Privilegien wie möglich erhalten, also wenn möglich nicht mit root-Berechtigungen laufen.
Hier werden jetzt noch einige Grundsätze erläutert, die bei der Konfiguration eines Firewalls beachtet werden sollten:
Dies ist der oberste Grundsatz, der beim Aufbau eines Firewalls Beachtung finden sollte. Anstatt nur die Dienste zu verbieten, von denen bekannt ist, daß sie eine Gefahr darstellen können, sollte alles verboten werden, mit Ausnahme der Dienste, von denen man sicher sein kann, daß sie keine Gefahr darstellen.
Man kann sich nicht darauf verlassen, daß die Administratoren der anderen Rechner in der Lage sind, diese sicher zu konfigurieren. Genaugenommen kann man nicht einmal sicher sein, daß man selber den Firewall sicher konfigurieren kann. Es sollten also keine Rechner von außen ereichbar sein, mit Ausnahme derer, die vom Firewall-Administrator selbst verwaltet werden.
Noch weniger als bei den Administratoren kann man sich bei den Benutzern darauf verlassen, daß sie mit Blick auf die Sicherheit des Unternehmens handeln. Fehler der Benutzer dürfen also nicht zu einer Gefährdung des Netzes führen können.
Erlaubt man den Zugang von außen über Paßworte, die abgehört und wiederverwendet werden können, so setzt man das Netz einer großen Gefahr aus. Für einen Angreifer ist es normalerweise ein leichtes, diese Paßwörter mitzuprotokollieren und für einen Angriff zu mißbrauchen.
Oft ergeben sich Abhängigkeiten zwischen verschiedenen Änderungen, die erst beim Testen des Firewalls entdeckt werden können. Es sollte also nach einer Änderung an der Konfiguration unbedingt eine ausgiebige Testphase erfolgen, bevor der Firewall wieder seine Arbeit aufnehmen kann.