>> In sehr vielen Netzen wird mit 2 Router und einem Firewall gearbeitet. Der
>> Firewall kann auch nur "single"-attched sein, sprich eine Netzwerkkarte
>> haben. Es kann also auch bei einem Rechner mit einer Karte sinn machen,
>> einen Firewall zu installieren. Es kann trotzdem aller Traffic durch ihn
>> hindurch m�ssen (alles eine Frage des Routing).
>
>Das ist ein ziemlich blau�ugiges Konzept. Ich habe mir gerade
>noch etwas
>Argumentationshilfe von Peter Simons, unserem Firewall-Experten
>geholt,
>wobei sich folgende Schlu�folgerung ergab (ich zitiere):
>
>Das Szenario ist wie folgt:
>
>
> Au�enwelt
> |
> +---+----+
> | router |
> +---+----+
> |
> +----------+---------+-------+-------+ Ethernet
> | | | |
> | | | |
> +----------+ +------+ +--+---+ +-+----+
> | Firewall | | Host | | Host | | Host |
> +----------+ +------+ +------+ +------+
>
Die �bliche Konfiguration ist jedoch (ich habe von ZWEI routern geredet):
> "Internet"
> |
> +---+----+
> | router | (Router 1)
> +---+----+
> |
> |
> +---+---+ | +---+---+
> | FW |---+---| WWW.. | "Extranet"
> +---+---+ | +---+---+
> |
> +---+----+
> | router | (Router 2)
> +---+----+
> |
> +---------+---------+ "Intranet"
> | | |
> | | |
>+---+---+ +---+---+ +---+---+
>| Host | | Host | | Host |
>+-------+ +-------+ +-------+
Der Router 1 ist so konfiguriert, dass er von extern nur zum Firewall und (evtl) zum externen Services-Server (WWW, FTP, ....) routet (und zwar nur bestimmte Ports).
Der Firewall akzeptiert vom Router 1 nur bestimmten Verkehr (WWW, ...) zum Services-Server (WWW, ...)
Der Router 2 akzeptiert keinen externen Verkehr ausser bestimmte Ports vom Firewall (SMTP, DNS, ...)
Ein Hacker muss nun
1. den Router 1 knacken und dessen Routing �ndern (wie er das allerdings machen soll, ohne darauf Telnetten zu k�nnen ist mir im Moment r�tselhaft).
2. den FW knacken (�ber einen well-known Port, weil alle anderen nicht akzeptiert werden)
3. den Router 2 knacken und dessen Routing �ndern (wie er das allerdings machen soll, ohne darauf Telnetten zu k�nnen ist mir im Moment r�tselhaft).
Das diese Konzept nicht allzu blau�ugig ist, zeigt sich daran, dass es recht oft eingesetzt wird. Nat�rlich ist das Konzept mit einer Dual-attached FW (theoretisch) besser, noch besser ist allerdings das mit 2 FW...
Gruss,
Remo Pini
-----------------------------------------------------
Fatum favet volenti. (anon)
-----------------------------------------------------
Remo Pini������������������������ T: +41� 1 350 28 88
Pini Computer Trading������������ N: +41 79 216 15 51
http://www.rpini.com/������������ Email: [EMAIL PROTECTED]
-----------------------------------------------------
