Bewertung aufgrund weiterer Kriterien

1.

Audit Proxies verfügen über hervorragende Audit-Mechanismen. Es können sowohl einzelne Pakete als auch Verbindungen geloggt werden. Auch wiederholte Authentifikationsfehler können im Log-File abgelegt werden. Es ist sowohl möglich, Angaben über das transportierte Datenvolumen zu erhalten als auch darüber, welcher Benutzer die Verbindung initiiert hat. Auch die Alerting-Mechanismen, die von Proxies zur Verfügung gestellt werden können, sind sehr umfangreich.

2.

sicherheitsrelevante Kriterien

• Authentifikationsmöglichkeiten

  Bei Verwendung von Proxies steht das gesamte Spektrum an Authentifikationsmöglichkeiten zur Verfügung (siehe Anhang ).

• Sicherheit der Firewall-Komponenten
  • Existenz von User-Accounts

    Es gibt zwei unterschiedliche Arten von Proxies:

    • Proxies mit User-Accounts

      Bei dieser Art von Proxy muß auf dem Firewall ein Account für jeden berechtigten Benutzer existieren. Der Benutzer loggt sich erst in den Firewall ein, von wo aus er den entsprechenden Proxy wie einen client startet. Meist erhält der Benutzer auf dem Firewall nur eine eingeschränkte Shell, mit der er nur einige wenige Kommandos ausführen kann.

    • Proxies ohne User-Accounts

      Die andere Art von Proxies kommt ohne User-Accounts aus. Hier baut der Benutzer eine Verbindung zum Proxy auf, der daraufhin nach dem gewünschten Ziel fragt. Der Proxy baut die Verbindung dorthin auf und der Benutzer hat nie die Möglichkeit, ein Kommando auf dem Firewall auszuführen.

  • periodische Prüfsummenbildung

    Proxies können die eingesetzten Konfigurationsfiles einer periodischen Prüfung unterziehen, um somit festzustellen, ob Änderungen vorgenommen wurden.

• Domain Name Service

  Bei Verwendung von Proxies ist es nicht erforderlich, die Adressen des internen Netzes im externen Netz bekannt zu machen. Deshalb kann eine Zweiteilung des domain name services vorgenommen werden, die internen Rechnern Informationen über sämtliche externen Rechner bietet, umgekehrt aber externen Rechnern nur die Adresse des Firewalls anbietet.

3.

Administration

• Installation und Konfiguration

  Die Installation und Konfiguration von Proxies ist relativ aufwendig, da für jeden Dienst ein eigener Proxy notwendig ist, der natürlich auch eine spezielle Konfiguration erfordert. Da aber keine Abhängigkeiten zwischen den einzelnen Diensten bestehen, wie es bei den Filterregeln eines Paket-Filters oder TCP-Relays der Fall ist, ist die Konfiguration nicht so fehleranfällig wie bei den anderen Konzepten.

• Behandlung proprietärer bzw. neuer Dienste

  Da für jeden Dienst ein eigener Proxy notwendig ist, ist dieses Konzept nicht so flexibel in der Behandlung von proprietären bzw. neuen Diensten. Es ist erforderlich, einen neuen Proxy zu programmieren, bevor ein derartiger Dienst durch den Firewall angeboten werden kann.

4.

Benutzerfreundlichkeit

• Transparenz

  Proxies sind nicht transparent. Die meisten Proxies erfordern zwar keine Änderungen der client-Anwendungen aber einen zweistufigen Verbindungsaufbau, sodaß die Benutzer eine Umstellung ihrer Arbeitsgewohnheiten in Kauf nehmen müssen.

• Performance

  Da im Proxy der gesamte Protokollstack zweimal abgearbeitet werden muß, kann es natürlich zu Leistungseinbußen kommen.

5.

Kosten

Ähnlich wie beim TCP-Relay erfordert das Proxy-Konzept mindestens einen dedizierten Rechner, der ausschließlich zur Realisierung des Firewalls eingesetzt wird. Das bedeutet, daß sowohl Kosten für Hardware als auch für Software entstehen.