Letzte Änderung: 21.10.90 von B. Tritsch
Stichworte:
Ein Proxy-Server kann als Bindgliedglied zwischen Arbeitsplatzrechnern und dem Internet gesehen werden. Er dient als einziges, sicheres Gateway zum Internet, wodurch es nicht mehr erforderlich ist einen dedizierten Rechner dafür abzustellen oder mehrere Internet-Leitungen zu unterhalten. Damit lassen sich die Kosten reduzieren und die Verwaltung vereinfachen. Weiterhin kann ein Proxy in die Richtung des Browsers HTML sprechen und in Richtung eines Servers auf dem Netzwerk andere Protokolle wie Gopher oder FTP. Er übersetzt dann die Datenströme in Echtzeit (Gateway-Funktionalität).
Ein Proxy kann aus den oben genannten Gründen als zentraler Zugangspunkt ins Internet dienen. Daher brauchen nicht alle Clients eine direkte Verbindung "in die Welt" haben. Der Proxy-Server braucht daher als einzige Maschine im Intranet einen Fully Qualified Internet Name oder eine gültige IP-Adresse haben. Die restlichen Rechner benötigen eine beliebige, nur im Intranet eindeutige IP-Adresse.
Eine weitere Hauptfunktionalität stellt das Caching von Daten dar, d.h. die Zwischenspeicherung der Daten auf einem lokalen Datenträger. Dadurch werden Zugriffe auf die selbe WWW-Seite nicht jedesmal über kostenpflichtige Verbindungen gemacht, sondern ab dem initialen Zugriff über das Intranet. Weiterhin bietet der Proxy Server Kontrollmöglichkeiten im Bezug auf die Internet-Dienste, die ein Benutzer in Anspruch nehmen kann und die Zugriffszeiten. So kann beispielsweise der Zugriff auf bestimmte WWW-Sites generell verboten werden.
Die Leistungsmerkmale eines typischen Proxy Servers sind
Abbildung 9.1: Einsatz eines Proxy-Servers
Stichworte
Die Möglichkeit jeden Computer mit einem anderen Computer in der Welt zu verbinden erzeugt gemischte Gefühle. Auf der einen Seite bedeutet sie eine Menge Spaß und schnellen Informationszugriff für viele Anwender. Auf der anderen Seite ist diese Möglichkeit ein einziger Alptraum für den Datensicherheitsbeauftragten einer Firma. Viele Firmen haben umfangreiche Datenbestände, die unter Verschluß gehalten werden müssen. Diese Daten reichen von Personaldaten, Marktinformationen, Entwicklungspläne und Marketingstrategien bis hin zu Finanzanalysen und müssen unter allen Umständen vor Außenstehenden geschützt werden.
Zu der Gefahr, daß sensible Daten nach außen fließen, kommt auch die Gefahr von Programmen und Daten, die unberechtigterweise nach innen gelangen. Insbesondere Viren, Würmer und anderes digitales Ungeziefer können die Sicherheit durchbrechen, wertvolle Daten zerstören und viel Administratorenzeit verbrauchen. Oftmals werden sie von gedankenlosen Mitarbeiter einer Firma dadurch eingescheppt, daß diese ein neues "nettes" Spiel ausprobieren.
Konsequenterweise werden Mechanismen benötigt um die "guten" Bits drinnen und die "schlechten" Bits draußen zu halten. Eine Methode ist sicherlich die Kryptographie (Verschlüsselung). Eine Firewall ist ein anderer Ansatz. Im Prinzip ist eine Firewall eine altbekannte Sicherheitsmethode: Das Ausheben eines tiefen Grabens um ein Schloß. Dieses Design fordert von jedem, der das Schloß betritt oder verläßt, über eine Zugbrücke zu gehen. Hierbei kann jeder von einer Inspektionsinstanz kontrolliert werden.
Im Netzwerk ist der selbe Trick möglich. Jeglicher Datenverkehr vom Intranet zum Internet wird über einen "Zugbrücken"-Rechner geleitet, den Firewall-Server. Die Firewall in einer solchen Konfiguration besteht aus zwei Komponenten: Zwei Router, die die Paketfilterung vornehmen und ein Applikations-Gateway (Internet - Router - App-Gateway - Router - Intranet). Einfachere Konfigurationen existieren ebenfalls, aber der Vorteil der ersteren ist, daß alle Pakete zwei Filter und ein Applikations-Gateway durchlaufen müssen.
Jeder Paketfilter ist ein Standard-Router mit einigen Zusatzfunktionalitäten. Diese erlauben es, jedes Datenpaket zu inspizieren. Pakete, die bestimmte Kriterien erfüllen, werden durchgelassen, die anderen werden verworfen. Meistens überprüft der dem Internet zugewandte Router die eintreffenden Pakete, der dem Intranet zugewandte Router die ausgehenden. Das Applikations-Gateway übernimmt die weitere Überprüfung.
Paketfilter werden typischerweise über Tabellen konfiguriert. Diese Tabellen listen Quellen und Ziele, die akzeptabel und gesperrt sind sowie Standardregeln für die Weiterleitung von Paketen. Meist bestehen die Listeneinträge aus IP-Adresse und Port. Hierbei bestimmen die Ports die ausgewählten Dienste (Telnet, FTP, USENET, etc.).
Das Applikations-Gateway macht mehr, als nur auf die rohen Pakete zu schauen. Das Gateway funktioniert auf dem Applikationslevel. So kann beispielsweise ein Mail-Gateway die eintreffende und ausgehende Mail analysieren und bei Bedarf abblocken. Das Abblocken basiert dabei auf Informationen wie Headers, Größe oder sogar Inhalten.