Dual-Homed-Host
Architektur
Eine Dual-Homed-Host
Architektur wird um den Dual-Homed-Host herum aufgebaut. Dieser
Host wird zwischen dem internen und dem kritischen Netz (Internet) plaziert. Der Host könnte
somit das Routen zwischen den beiden Netzen übernehmen, die Routingfunktion wird für den
Einsatz in der Firewall-Architektur jedoch deaktiviert. Auf diese Weise werden IP-Pakete nicht
direkt von einem ins andere Netz geroutet. Ein Rechner ausserhalb des Firewalls und ein
Rechner innerhalb des Firewalls können somit nur mit dem Dual-Homed-Host kommunizieren,
nicht aber direkt miteinander. Folgende Abbildung zeigt die Netzkonfiguration einer Dual-
Homed-Host Architektur:
Architektur
mit überwachtem Host (screend-host architecture)
Diese Architektur
bietet Dienste über einen getrennten Router an, welcher als Paketfilter wirkt.
Die Dienste werden von internen Maschinen angeboten, meist vom Bastion-Host selbst. Die
Paketfilterung auf dem Überwachungsrouter wird so eingerichtet, dass aus dem Internet
Verbindungen nur zum Bastion-Host aufgebaut werden können.
Deshalb muss dieser auch höchste Rechnersicherheit bieten.
Architektur
mit überwachtem Teilnetz (screend-subnet architecture)
Diese Architektur
wird gegenüber der Architektur mit überwachtem Host um ein Grenznetz
ergänzt. D.h. zwischen dem Internet und dem internen Netz befindet sich hier das Grenznetz
(auch DMZ genannt). Es können auch mehrere Grenznetze zwischen die Aussenwelt und das
interne Netz gelegt werden. Diese Massnahme ist jedoch nur sinnvoll und wirksam, wenn sich
die verschiedenen Schichten auch unterscheiden. Bei der einfachsten Art dieser Architektur gibt
es zwei Überwachungsrouter, die am Grenznetz angeschlossen sind. Man unterscheidet
zwischen dem inneren Router und dem äusseren Router. Ein Angreifer muss also an beiden
Routern vorbeikommen, um auf das interne Netz zu gelangen. Bei der Architektur mit
überwachtem Host ist nur ein Router zu überwinden.
1. Sicherheit (Kurzfassung)
