TCP-Relays sind in der Lage, Verbindungen nur dann zuzulassen, wenn sich der
Benutzer über einen one-time password Mechanismus authentifizieren kann. Somit kann kein Angreifer Kenntnis eines gültigen Authentifikationsschlüssels erlangen, da jeder
Schlüssel im Moment seiner Benutzung für weitere Einsätze unbrauchbar wird. Deshalb ist es möglich,
auch von außen initiierte Verbindungen zu gestatten, ohne dadurch die Sicherheit des
Unternehmensnetzes zu gefährden (vgl. Anhang ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
).
Versucht ein Angreifer die Privilegien eines internen servers für seinen Angriff zu nutzen, so ist es gleichgültig, welche Ursache für diese Angriffsmöglichkeit er auszunutzen versucht. Bei Verwendung eines TCP-Relays bleiben nur die beiden folgenden Möglichkeiten, derartige Angriffe zu unterbinden:
Ein TCP-Relay kann natürlich jegliche Verbindung von außen abblocken und somit einem Angreifer keine Chance geben, mit einem internen server zu kommunizieren. Kann ein Angreifer keine Verbindung zu einem server aufbauen, so kann er ihn natürlich auch nicht für seine Zwecke mißbrauchen.
Ist es erforderlich, Verbindungen von außen zuzulassen, so sollten nur wenige Benutzer in der Lage sein, diese zu initiieren. Diese Benutzer müssen sich über one-time passwords authentifizieren, sodaß ebenfalls kein Angreifer die Möglichkeit hat, mit einem internen server zu kommunizieren.
Auch das Ausnutzen von Benutzerprivilegien läßt sich analog zum Paket-Filter mit einem TCP-Relay nicht verhindern.
Es besteht keine Möglichkeit, einen server vor Überlastung zu schützen, außer man beschränkt die Zahl der autorisierten Benutzer so weit, daß die Gefahr einer Überlastung nicht besteht.
Viele TCP-Relays verlassen sich bei der Authentifizierung des Absenders ausschließlich auf die IP-Adresse. Ist dies der Fall, so ist ein TCP-Relay genauso anfällig für Angriffe mittels Maskerade wie es ein Paket-Filter ist.
Verfügt er aber über weitere Authentifikationsmaßnahmen, so läßt sich das Problem der Maskerade relativ leicht in den Griff bekommen, da es dann nicht mehr erforderlich ist, sich auf nicht zu überprüfende Angaben im Paket-Header zu verlassen.
Ein Abhören des Netzverkehrs ist auch mit Hilfe eines TCP-Relays nicht zu verhindern, da keinerlei Verschlüsselung der übertragenen Daten vorgenommen wird. Allerdings enthalten alle Pakete, die über das ungesicherte Netz transportiert werden, die Adresse des Relays statt des entsprechenden internen Rechners. Somit können Komunikationsbeziehungen bis zu einem gewissen Grad geheimgehalten werden, da es einem Angreifer bedeutend schwerer fällt, ein Paket einem bestimmten internen Rechner zuzuordnen.