Thema:
Autor:
Datum:
Status:
Bereich:
Zugehörigkeit:		 Internetwork Screens - Firewall
Igor Epifanov
2000
Analyse
Internet-Technologien
Publikationen





INTERNET-BILDSCHIRME - FIREWALL





Vorwort

Die vorliegende Sachlage ergab sich aus einer Reihe von Gründen. Einer der Hauptgründe ist wahrscheinlich, dass bei der Ausarbeitung des Internet Sicherheitsanforderungen nicht berücksichtigt worden sind, da die wichtigste Anforderung bei der Umsetzung des Internet die Forderung nach Komfort beim Datenaustausch bei der Durchführung wissenschaftlicher Forschungen war. Nichts desto trotz vergrösserte der phänomenale Erfolg des Internet in Verbindung mit dem Auftauchen einer grossen Anzahl von Benutzerkategorien, einschliesslich jener Benutzer, denen der Begriff Ethik fremd ist, die bereits vorhandenen Mängel im Sicherheitssystem dermassen, dass Netze, die dem Zugriff durch das Internet geöffnet sind, Risiko laufen, dass in sie eingedrungen wird und sie beschädigt werden. Weitere Gründe sind folgende:

  • die Verwundbarkeit der Server TCP/IP - eine Reihe von Servern TCP/IP sind nicht ungefährlich und können von klugen Übeltätern blossgestellt werden. Server, die im LRN zur Verbesserung der Netzbedienung eingesetzt werden, sind besonders verwundbar.
  • die Leichtigkeit der Nachvollziehung von Informationskanälen - der Grossteil des Verkehrs im Internet ist nicht verschlüsselt; Email, Passwörter und zu übertragende Files können geraubt werden, indem leichtzugängliche Programme verwendet werden, woraufhin Übeltäter die Passwörter zum Eindringen in die Systeme benutzen können.
  • das Fehlen einer Politik - viele Netze können aus Nichtwissen so konfiguriert sein, dass sie einen Zugang aus dem Internet zulassen, ohne sich dabei eines möglichen Missbrauchs von dieser Seite her bewusst zu sein; viele Netze erlauben die Nutzung einer grösseren Anzahl von TCP/IP Servern, als dies für die Tätigkeit ihrer Organisation nötig wäre, und man versucht nicht, den Zugang zur Information über ihre Computern einzuschränken, die Verbrechern helfen kann, ins Netz einzudringen.
  • die Schwierigkeit der Konfiguration - die Mittel der Regelung des Zugangs in den Hostes sind zum Teil kompliziert im Aufbau und in ihrer Kontrolle; falsch konfigurierte Mittel führen oft zu einem nichtautorisierten Zugang.

Zum Glück gibt es einfache und verlässliche Lösungen, die zur Verbesserung der Sicherheit des Netzes einer Organisation eingesetzt werden können, welches auf dem so populären und verbreiteten TCP/IP Protokoll begründet ist. Das System der Firewall ist eine der Möglichkeiten, die ihre hohe Effizienz bei der Erhöhung der allgemeinen Sicherheit des Netzes bewiesen hat.

Das System der Firewall ist eine Auswahl an Systemen und Wegweisern, die dem Netz an den Stellen seiner Verbindung zum Internet und seiner ZugriffsPolitik, die die Regeln seiner Arbeit bestimmt, hinzugefügt werden. Die Firewall zwingt alle Netzkontakte, eine Schleuse zu durchlaufen, wo sie vom Gesichtspunkt der Sicherheit aus analysiert und eingeschätzt werden können, und sie stellt weitere Mittel zur Verfügung, wie z. B. Massnahmen einer verstärkten Autentifikation anstelle eines Passwortes. Ausserdem kann die Firewall den Zugang zu dem einen oder anderen System oder den Zugang von ihnen aus ins Internet einschränken, kann die Bestimmung der TCP/IP Server blockieren oder andere Sicherheitsmassnahmen gewährleisten. Ein gut konfiguriertes Firewall-System kann die Rolle des Pressedienstes einer Organisation übernehmen und helfen, dem Internetbenutzer einen guten Eindruck von der Organisation zu vermitteln.






Was ist die "Firewall" oder der Internet-Bildschirm?

Der Begriff "Firewall" wird als "Brandmauer" übersetzt. Mit dem Wort "Firewall" (engl. Feuerwand) wird ausserhalb des Computerbereiches eine Wand bezeichnet, die aus verschiedenen Materialien gemacht ist und der Ausdehnung des Feuers entgegenwirkt. Im Bereich der Computernetze ist die Brandmauer eine Barriere, die vor einem "virtuellen" Feuer schützt, vor dem Versuch eines Übeltäters, ins Netz einzudringen, um eine Information zu kopieren, zu verändern oder zu löschen, oder um sich des Durchlassungsstreifens, des Speichers oder der Rechenkraft der in diesem Netz arbeitenden Computer zu bedienen. Die Brandmauer wird an der Grenze zweier Netze, dem Internet und dem LRN, eingerichtet, weshalb sie auch als Internet-Bildschirm bezeichnet wird. Sie filtert alle ein- und ausgehenden Daten und lässt nur autorisierte Pakete durch. Um es deutlicher zu sagen, die Brandmauer ist ein Zugang zur Sicherheit; sie hilft, die SicherheitsPolitik umzusetzen, die erlaubte Server bestimmt und die Zugangstypen zu ihnen, und andere Schutzmassnahmen, wie die verstärkte Autentifikation anstelle der statistischen Passwörter. Das wichtigste Ziel des Brandmauer-Systems ist die Regelung des Zugangs zum oder aus dem zu schützenden Netz. Es verwirklicht die Politik des Netzzuganges, indem es alle Kontakte mit dem Netz die Brandmauer durchlaufen lässt, wo sie analysiert, erlaubt oder zurückgewiesen werden können.

Schematisch kann man die Arbeit der Brandmauer wie folgt darstellen:

Das Brandmauersystem kann ein Wegweiser sein, ein PC, ein Hoste oder eine Gruppe von Hostes, die speziell zum Schutz des Netzes oder des Teilnetzes vor nichtreglementärer Nutzung der Protokolle und Server durch Hostes, die sich ausserhalb dieses Teilnetzes befinden, geschaffen wurde. Gewöhnlich baut das System der Brandmauer auf der Grundlage von Wegweisern der höchsten Ebene auf, gewöhnlich auf jenen, die das Netz mit dem Internet verbinden, obwohl es auch auf anderen Wegweisern aufbauen kann, wenn es um den Schutz nur eines Teils der Hostes oder Teilnetze geht.

Die existierenden Brandmauern unterscheiden sich stark voneinander sowohl im Schutzniveau, als auch in den von ihnen verwendeten Schutzmitteln. Der Grossteil der Brandmauern aber, die als kommerzielle Produkte geliefert werden, kann (übrigens ziemlich bedingt) einer der folgenden 4 Kategorien zugeordnet werden:

  • Brandmauer mit Paketfilterung (packet-filtering firewall)
  • Schleusen auf dem Sende-Niveau (circuit-level gateway)
  • Schleusen auf dem Anwendungsniveau (application-level gateway)
  • Brandmauer auf dem Experten-Niveau (stateful inspection firewall)

Nur wenige Brandmauern sind nur einer der aufgezählten Kategorien zuzuordnen, und noch weniger entsprechen genau jenen Beschreibungen, die unten für jede einzelne Kategorie angeführt werden. Nichts desto trotz spiegeln diese Beschreibungen Schlüsselmöglichkeiten wider, die die verschiedenen Arten von Brandmauern voneinaner unterscheiden.






Brandmauer mit Paketfilterung

Die Brandmauer mit Paketfilterung ist ein Wegweiser oder ein für den Server arbeitendes Programm, welches so konfiguriert ist, dass ein- und ausgehende Pakete gefiltert werden. Die Brandmauer lässt Pakete entweder durch oder weist sie ab, entsprechend der Information, die in den IP-Titeln der Pakete enthalten ist. So kann zum Beispiel die Mehrheit der Brandmauern mit Paketfilterung Pakete auf der Basis einer Information durchlassen oder abweisen, die es erlaubt, das betreffende Paket mit einem konkreten Absender und Empfänger zu assoziieren (völlige Assoziation), und die aus folgenden Elementen besteht:

  • Adresse des Absenders
  • Adresse des Empfängers
  • Information über eine Anlage oder ein Protokoll
  • Portnummer der Quelle
  • Portnummer des Empfängers

Alle Wegweiser (sogar jene, die nicht zur Filterung von Paketen konfiguriert sind) überprüfen gewöhnlich die volle Assoziation des Pakets, um zu bestimmen, wohin es geschickt werden muss. Die Brandmauer mit Paketfilterung vergleicht zusätzlich vor dem Absenden des Pakets an den Empfänger seine volle Assoziation mit einer Regeltabelle, entsprechend der sie das betreffende Paket durchlassen oder abweisen muss. Die Brandmauer setzt die Überprüfung solange fort, bis sie eine Regel findet, mit der die volle Assoziation des Pakets übereinstimmt. Wenn die Brandmauer ein Paket erhält, welches nicht einer einzigen Regel aus der Tabelle entspricht, so wendet sie eine Regel an, die unter Geheimhaltung fällt, und die ebenfalls genau in der Tabelle der Brandmauer bestimmt sein muss. Aus Gründen der Sicherheit verweist diese Regel gewöhnlich auf die Unerlässlichkeit der Bearbeitung aller Pakete, die keiner der anderen Regeln gerecht werden.






Einrichtung der Regeln

Sie können Regeln für die Paketfiltrierung aufstellen, die der Brandmauer "anzeigen", welche Pakete durchgelassen und welche abgewiesen werden sollen. So kann man zum Beispiel die Regeln so bestimmen, dass die Brandmauer Pakete abweist, die von äusseren Servern (man nennt sie gewöhnlich Internet-Hoste) kommend eintreffen, deren IP-Adresse in der Tabelle angeführt ist. Man kann auch eine Regel formulieren, entsprechend welcher es nur erlaubt ist, eingehende Email-Nachrichten durchzulassen, die an den Mail-Server adressiert sind, oder eine Regel zur Blockierung aller Mail-Nachrichten, die von einem äusseren Hoste kommend eintreffen, der irgendwann einmal Ihr Netz mit Gigabiten von unnützen Daten "überflutete".

Ausserdem kann man eine Brandmauer zur Paketfilterung auf der Basis von Portnummern, die in den Benennungen der TCP und UDP (User Datagram Protocol) anzulegen sind, konfigurieren. In diesem Fall wird man bestimmte Arten von Paketen nur durchlassen können (z. B. Telnet oder FTP), wenn sie an einen bestimmten Server gerichtet sind (der dem Telnet oder dem FTP entspricht). Die erfolgreiche Ausführung einer ähnlichen Regel hängt davon ab, welche Übereinstimmungen in Ihrem Netz getroffen wurden, welches auf der Grundlage des TCP/IP funktioniert: für die Arbeit einer TCP/IP-Anlage benutzen Server und Klienten gewöhnlich konkrete Häfen (die man oft als bekannte, d. h. als von vorne herein festgelegte bezeichnet), allerdings ist das keine verpflichtende Bedingung. Z. B. arbeitet die Anlage Telnet auf den Servern eines Netzes mit TCP/IP gewöhnlich über den Hafen 23. Um die Sendung des Telnet nur mit einem bestimmten Server zu erlauben, ist es unerlässlich, Regeln aufzustellen, von denen eine die Brandmauer "zwingt", alle Pakete durchzulassen, die den Hafen 23 der Adresse 123.45.6.7 (IP-Adresse Ihres Telnet-Servers) anwählen, und eine andere, die eingelangende Pakete, welche diesen Hafen über eine andere Adresse anwählen, abweist. Natürlich ist es um einiges schwieriger, reelle Regeln aufzustellen, als es hier beschrieben wird. Kompliziertere Beispiele kann man zum Beispiel in den Regeln der Konfiguration von Wegweisern der Gesellschaft "Cisco" finden, welche im Internet zugänglich sind.






Schleusen auf dem Sende-Niveau

Eine Schleuse auf dem Sende-Niveau kontrolliert die Bestätigung (Quittierung) der Verbindung zwischen einem autorisierten Klienten und dem äusseren Hoste (und umgekehrt), indem sie bestimmt, ob die angeforderte Sendeverbindung zulässig ist. Bei der Filterung von Paketen stützt sich die Schleuse auf dem Sende-Niveau auf eine Information, welche in den Bezeichnungen der IP-Pakete auf dem Sende-Niveau des TCP-Protokolls enthalten ist, d. h. sie funktioniert zwei Ebenen über der Brandmauer mit Paketfilterung.






Kontrolle der quittierten Verbindung

Um festzustellen, ob die Anfrage nach einer Sendeverbindung zulässig ist, führt die Schleuse auf dem Sende-Niveau ungefähr folgende Schritte aus. Sobald der autorisierte Klient bezüglich eines Dienstes anfragt, nimmt die Schleuse diese Anfrage entgegen und überprüft, ob der Klient den Basiskriterien der Filterung entspricht (z. B. ob der DNS-Server die IP-Adresse des Klienten bestimmen kann und den mit ihm verbundenen Namen). Danach stellt die Schleuse im Namen des Klienten eine Verbindung zum äusseren Hoste her und überwacht die Einhaltung der Quittierungsprozedur der Verbindung entsprechend dem TCP-Protokoll. Diese Prozedur besteht aus einer Menge von TCP-Paketen, die durch SYN- (Synchronisieren) und ACK- (Bestätigen) Flaggen gekennzeichnet sind.

Das erste Paket der TCP-Sendung, welches durch eine SYN-Flagge und eine enthaltene beliebige Nummer, z. B. 1 000, gekennzeichnet ist, ist die Anfrage des Klienten auf Eröffnung des Sendeprozesses. Der äussere Hoste, der dieses Paket erhält, sendet als Antwort ein Paket, welches mit der ACK-Flagge und einer enthaltenen Nummer, die um eine Einheit höher ist als die im erhaltenen Paket (in unserem Fall 1 001), gekennzeichnet ist und bestätigt auf diese Weise den Erhalt des SYN-Pakets des Klienten. Danach beginnt die umgekehrte Prozedur: der Hoste sendet dem Klienten ein SYN-Paket mit einer Ausgangsnummer (z. B. 2 000), woraufhin der Klient seinen Erhalt durch die Übersendung eines ACK-Pakets bestätigt, welches die Nummer 2 001 enthält. Damit ist der Quittierungsprozess der Verbindung abgeschlossen. Die Schleuse auf Sende-Niveau befindet die angeforderte Sendung nur dann für zulässig, wenn die bei der Ausführung der Quittierungsprozedur der Verbindung die in den TCP-Paketen enthaltenen SYN- und ACK-Flaggen sowie die Zahlen sich als logisch miteinander verbunden erweisen.






Vermittlungskanäle

Sobald die Schleuse festgestellt hat, dass der bevollmächtigte Klient und der äussere Hoste autorisierte Teilnehmer der TCP-Sendung sind, und sobald sie die Zulässigkeit der betreffenden Sendung überprüft hat, stellt sie eine Verbindung her. Ab diesem Zeitpunkt kopiert die Schleuse nur mehr und sendet die Pakete hin und her, ohne eine Filterung vorzunehmen. Sie unterhält eine Tabelle von hergestellten Verbindungen und lässt Daten durch, die sich auf eine der Sendeverbindungen beziehen, die in dieser Tabelle aufgelistet sind. Wenn der Sendeprozess zuende ist, löscht die Schleuse das entsprechende Element aus der Tabelle und unterbricht die Kette, die in der betreffenden Sendung verwendet wurde.

Für das Kopieren und Weitersenden von Paketen werden in den Schleusen auf Sende-Niveau spezielle Anlagen angewandt, die man manchmal als Vermittlungskanäle (pipe proxies) bezeichnet, da sie zwischen zwei Netzen eine virtuelle Kette oder einen Kanal herstellen, woraufhin sie den Paketen (die sich durch TCP/IP-Anlagen generieren) erlauben, diesen Kanal zu benutzen.






Vermittlungs-Server (PROXY-server)

Die Schleuse auf Sende-Niveau erfüllt noch eine wichtige Schutzfunktion: Sie dient als Vermittlungs-Server (proxy-server). Und obwohl dieser Begriff das Vorhandensein eines Servers voraussetzt, auf dem Vermittlungsprogramme arbeiten (was einer Schleuse auf Sende-Niveau gerecht wird), so bedeutet er in unserem Fall doch ein bisschen etwas anderes. Ein Vermittlungs-Server kann eine Brandmauer sein, die eine Prozedur von Adressenübersendung (address translation) anwendet, durch die eine Umformung der inneren IP-Adressen in eine einzige "verlässliche" IP-Adresse vorgenommen wird. Diese Adresse wird mit der Brandmauer assoziiert, von der aus alle ausgehenden Pakete weitergegeben werden. In der Folge erscheinen im Netz mit Schleuse auf Sende-Niveau alle ausgehenden Pakete als von dieser Schleuse aus abgesandt, was einen direkten Kontakt zwischen dem inneren (autorisierten) Netz und dem potenziell gefährlichen äusseren Netz (in unserem Fall das Internet) ausschliesst. Die IP-Adresse der Schleuse auf Sende-Niveau wird zur einzigen aktiven IP-Adresse, die ins äussere Netz gelangt.

Auf diese Weise schützen die Schleuse auf Sende-Niveau und andere Vermittlungs-Server die inneren Netze vor Überfällen des Typs spoofing (Imitation oder Auswechslung von Adressen), von dem bereits weiter oben die Rede war.






Umgehungsmanöver

Die Schleusen auf Sende-Niveau haben keine "schädlichen" Schwachstellen, aber nach der Herstellung der Verbindung filtern solche Schleusen Pakete nur auf der Sendeebene, d. h. sie können enthaltene Pakete, die zwischen innerem und äusserem Netz auf der Ebene der angewandten Programme übertragen werden, nicht überprüfen, d. h. diese Übertragung geht "blind" vor sich. Auf diese Weise kann der Hacker, der sich im äusseren Netz befindet, seine "bösartigen" Pakete durch die Schleusen "einschleusen" und er kann sich direkt an den inneren Web-Server wenden, der für sich selbst genommen nicht die Funktion einer Brandmauer erfüllen kann.

Mit anderen Worten, wenn die Prozedur der Verbindungsquittierung erfolgreich abgeschlossen ist, stellt die Schleuse auf Sende-Niveau die Verbindung her und wird "blind" alle folgenden Pakete kopieren und weiterleiten, unabhängig davon, was sie enthalten. Um Pakete zu filtern, die durch bestimmte Netz-Server entsprechend ihres Inhalts generiert wurden, ist eine Schleuse auf dem Anwendungsniveau notwendig.






Schleusen auf dem Anwendungsniveau

Ebenso wie die Schleuse auf Sende-Niveau fängt auch die Schleuse auf dem Anwendungsniveau die ein- und ausgehenden Pakete ab, verwendet Vermittlungsprogramme, die die Information über die Schleuse kopieren und weiterleiten, und funktioniert ebenfalls als Vermittlungs-Server, indem sie eine direkte Verbindung zwischen dem bevollmächtigten Server oder Klienten und dem äusseren Hoste ausschliesst. Die Vermittler jedoch, die von der Schleuse auf Anwendungsniveau verwendet werden, unterscheiden sich in einem wichtigen Punkt von den Vermittlerkanälen der Schleusen auf Sende-Niveau: Erstens sind sie mit den Anlagen verbunden, zweitens können sie Pakete auf dem Anwendungsniveau filtern.






Anlagenvermittler

Im Unterschied zu Vermittlerkanälen lassen die Vermittler auf Anwendungsebene nur jene Pakete durch, die von jenen Anlagen generiert worden sind, welche ihnen zur Versorgung übergeben wurden. So kann z. B. das VermittlungsProgramm des Telnet-Servers nur jenen Verkehr kopieren, weiterleiten und filtern, der von diesem Server generiert wird. Wenn im Netz nur eine Schleuse auf Anwendungsebene arbeitet, so können ein- und ausgehende Pakete nur für jene Server weitergegeben werden, für die entsprechende Vermittler vorhanden sind. Wenn daher eine Schleuse auf Anwendungsebene nur FTP- und Telnet-Vermittlerprogramme verwendet, so wird sie Pakete dieser Server durchlassen und Paketer aller anderen Server blockieren.






Filterung auf der Anwendungsebene

Im Unterschied zu Schleusen auf Sende-Niveau, welche alle eingehenden Pakete kopieren und "blind" weiterleiten, überprüfen die Vermittler auf der Anwendungsebene den Inhalt jedes durch die Schleuse durchlaufenden Pakets. Diese Vermittler können einzelne Arten von Komandos oder Informationen in den Protokollen auf der Anwendungsebene herausfiltern, die ihnen anvertraut wurden. Die Utensilien dieser Schleusen erlauben es, einzelne Komandos herauszufiltern, die von diesen Servern (FTP, Telnet, HTTP usw.) werwendet werden. So kann man z. B. eine Schleuse derart konfigurieren, dass sie die Verwendung des Komandos FTP Put durch den Klienten abblockt, welches dem Nutzer, der an einen FTP-Server angeschlossen ist, die Möglichkeit gibt, auf diesem eine Information aufzuzeichnen. Viele Netzverwalter ziehen es vor, die Verwendung dieses Komandos zu untersagen, um das Risiko einer zufälligen Beschädigung der auf dem FTP-Server gespeicherten Informationen und die Wahrscheinlichkeit der Übertragung auf ihn von Gigabiten an Hacker-Daten, die auf den Server zur Auffüllung seiner Festplatte und zur Blockierung der Arbeit übertragen werden, zu senken.






Weitere Schutzfunktionen

In Ergänzung zur Paketfilterung registrieren viele Schleusen auf Anwendungsebene alle vom Server ausgeführten Schritte und, was noch wichtiger ist, sie warnen den Netzverwalter vor möglichen Verletzungen des Schutzes. So erlaubt zum Beispiel der "Border Ware Firewall Server" der Gesellschaft "Secure Computing" bei Versuchen, von aussen in das System einzudringen, die Adressen des Absenders und Empfängers der Pakete festzuhalten und die Zeit, in der diese Versuche gemacht wurden, sowie das verwendete Protokoll. Das Produkt "Black Hole" der Gesellschaft "Milkyway Networks" registriert ebenfalls alle Handlungen des Servers und warnt den Verwalter vor möglichen Verletzungen, indem er ihm eine Mitteilung über Email oder Peidger sendet.






Brandmauer auf dem Experten-Niveau

Diese Brandmauern vereinen in sich Elemente aller drei oben erwähnten Kategorien. Wie auch die Brandmauer mit Paketfilterung arbeiten sie auf Netzbasis, indem sie ein- und ausgehende Pakete auf der Basis einer Überprüfung der IP-Adressen und Portnummern filtern. Die Brandmauern auf Experten-Niveau erfüllen auch Funktionen einer Schleuse auf Sende-Niveau, indem sie bestimmen, ob die Pakete zur entsprechenden Sendung gehören. Und schliesslich übernehmen die Brandmauern auf Experten-Niveau auch Funktionen einer Schleuse auf Anwendungs-Ebene, indem sie den Inhalt der einzelnen Pakete entsprechend der SicherheitsPolitik, die von einer konkreten Firma ausgearbeitet wurde, beurteilen.






Eine bessere Durchführbarkeit, ein besserer Schutz?

So wie die Schleuse auf Anwendungsebene kann auch die Brandmauer auf Experten-Ebene zur Bearbeitung von Paketen konfiguriert sein, die bestimmte Komandos enthalten, wie z. B. das Komando Put und Get des FTP-Servers. Im Unterschied jedoch zu Schleusen auf Anwendungsebene, unterbricht eine solche Brandmauer bei der Analyse der Daten der Anwendungsebene nicht den Austausch im Netz zwischen Klient und Server.

Die Schleuse auf Anwendungsebene stellt zwei Verbindungen her: eine zwischen dem autorisierten Klienten und der Schleuse, die zweite zwischen der Schleuse und dem äusseren Hoste. Danach leitet sie einfach die Information zwischen diesen beiden Verbindungen weiter. Ungeachtet des hohen Schutzniveaus, welches durch solche Schleusen gewährleistet wird, kann sich ein solches System auf die Durchführbarkeit der Arbeit auswirken. Im Gegensatz dazu erlaubt die Brandmauer auf Experten-Ebene direkte Verbindungen zwischen Klienten und äusseren Hostes. Um den Schutz zu gewährleisten, fangen solche Brandmauern alles auf und analysieren es. Anstelle einer Anwendung von mit Anlagen verbundenen Vermittlerprogrammen verwenden Brandmauern auf Experten-Ebene spezielle Algoritmen zur Differenzierung und Bearbeitung von Daten auf der Anlagenebene. Mit Hilfe dieser Algoritmen werden die Pakete mit bekannten Datenschablonen verglichen, was theoretisch eine effektivere Paketfilterung zur Folge haben soll. Da Brandmauern auf Experten-Ebene eine direkte Verbindung zwischen dem autorisierten Klienten und dem äusseren Hoste zulassen, behaupten viele, dass Brandmauern dieser Kategorie einen weniger hohen Schutz garantieren, als Schleusen auf dem Anwendungs-Niveau. Andere wiederum sind gegensätzlicher Meinung.





Schlussfolgerungen.

Brandmauern auf Experten-Niveau gewährleisten eines der bis heute höchsten Schutzniveaus für korporative Netze, und man kann behaupten, dass sie nur sehr schwer zu überlisten ist. Nichts desto trotz darf man nicht vergessen, dass sogar diese verlässlichen Brandmauern keine 100%-ige Sicherheit garantieren.





Home | Über uns | Kompetenz | Veröffentlichungen | Frage-Antwort | Dossier | News | Kontakt
Impressum