Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Einen Nachteil hat diese Konstruktion jedoch - Der User an der Arbeitsstation kann zwar<br />
Mails lesen <strong>und</strong> Programme downloaden, diese verbleiben jedoch stets auf der <strong>LINUX</strong><br />
GRAHICAL WALL. Über einen angeschlossenen Drucker können Mails <strong>und</strong> Attachments<br />
ausgedruckt werden, mehr nicht.<br />
Der Vorteil dieser <strong>Firewall</strong>konstruktion ist, daß Viren, trojanische Pferde niemals über<br />
<strong>Firewall</strong>-2 hinweg übertragen werden können. Die Konfiguration von <strong>Firewall</strong>-2 ist relativ<br />
einfach - <strong>für</strong> jeden User muß jeweils 1 TCP Port von Port 6000 an aufwärts reserviert<br />
werden. Ein Angreifer kann mit dem VNC Protokoll keinerlei Schaden auf den<br />
Arbeitsstationen anrichten. Erstens enthält das VNC Protokoll ja nur<br />
Bildschirminformationen <strong>für</strong> die Clients, zweitens läuft es in der JAVA SANDBOX ab, die<br />
zusätzliche Sicherheit bietet.<br />
Die Nachteile dieser Konstruktion sollen hier natürlich auch nicht verschwiegen werden.<br />
Gegenüber allen anderen <strong>Firewall</strong>s sind die Nebenwirkungen aber äußerst gering. Es gibt<br />
evtl. Probleme der Performance bei der Übertragung der Bildschirminhalte. Wer noch ein<br />
10 MBit Netzwerk besitzt, der wird bemerken, daß die Inhalte bei mehr als 10 simultanen<br />
Usern nur noch ruckelnd übertragen werden. Die Flut der Pixelinformationen sorgt trotz<br />
Kompression <strong>für</strong> eine ruckelnde Übertragung. Bei geswitchten 100 MBit Netzwerken<br />
können durchaus bis zu mehrere dutzend User simultan surfen. Hier wird das Limit durch<br />
die Performance der <strong>LINUX</strong> GRAPHICAL WALL gesetzt. Viel RAM <strong>und</strong> ein schneller<br />
Prozessor, sowie eine oder mehrere 100 MBit Karten reichen hier jedoch völlig aus. Wer<br />
dennoch Performanceprobleme hat, der sollte mehrere <strong>LINUX</strong> GRAPHICAL WALL<br />
aufbauen. Wer viele User surfen lassen möchte, <strong>und</strong> wem die Performance nicht reicht,<br />
der kann auf den Arbeitsstationen den Freeware X-Server (Server ist korrekt, obwohl<br />
Client) <strong>für</strong> Windows 95/98/NT installieren. Das X-Protokoll ist sehr kompakt <strong>und</strong> erlaubt<br />
den Anschluß von mehreren h<strong>und</strong>ert Arbeitsstationen pro 100 MBit LAN. Hier werden<br />
zwar auch nur Bildschirminformationen übertragen, jedoch besteht die Gefahr eines Buffer<br />
Overflows im X-Server auf der Arbeitsstation hinter der <strong>Firewall</strong> 2. Diese Gefahr ist jedoch<br />
nicht so bedeutend, da ein Einbruchsversuch in den LOGFILES von <strong>Firewall</strong>-2 schnell<br />
bemerkt werden würde.<br />
Diese GRAPHICAL WALL ist in zahlreichen Unternehmen im Einsatz <strong>und</strong> hat sich<br />
äußerst bewährt. Probleme mit Viren, Makroviren, trojanischen Pferden gehören dort nun<br />
der Vergangenheit an. Und wenn nun ein Angreifer es schafft, bis zur <strong>LINUX</strong> GRAPHICAL<br />
WALL vorzudringen, dann sicherlich nicht unbemerkt. Spätestens bei der Entdeckung der<br />
VNC - Server wird ein professioneller Cracker das Handtuch werfen.<br />
Das Toolkit VNC ist im Internet unter http://www.uk.research.att.com/vnc/index.html zu<br />
finden. VNC liegt im Quellcode vor <strong>und</strong> unterliegt der GNU Public License. Support wird<br />
inzwischen von AT angeboten (früher eine Entwicklung von Olivetti). VNC wird <strong>für</strong> viele<br />
Betriebssysteme angeboten, UNIX, MAC, Windows. Die Clients liegen sogar in einer<br />
JAVA Version vor, sodaß sichergestellt ist, daß in Zukunft auch alle Betriebssysteme<br />
unterstützt werden.<br />
Die verwendeten Ports entsprechen denen von X-Windows, es wird jedoch nicht das RPC<br />
Protokoll eingesetzt. Eine einfache Freischaltung der Ports von 6000 -600x (je nach Zahl<br />
der Clients) auf der <strong>Firewall</strong> genügt.<br />
Es sollte auch nicht unerwähnt bleiben, daß die Folgekosten des Einsatzes der <strong>LINUX</strong><br />
GRAPHICAL WALL erheblich geringer sind. Der Gr<strong>und</strong> liegt darin, daß keinerlei<br />
Folgekosten <strong>für</strong> Lizenzen <strong>für</strong> Virenscanner, Neu/Nachinstallationen von Software auf<br />
Windows Clients entstehen.<br />
Die <strong>LINUX</strong> GRAPHICAL WALL ist bereits erfolgreich bei zahlreichen Banken <strong>und</strong><br />
Versicherungen im Einsatz. Das System arbeitet stabil <strong>und</strong> ohne besondere Probleme. In<br />
normalen Unternehmen ist die <strong>LINUX</strong> GRAPHICAL WALL <strong>für</strong> den Einsatz in den<br />
Bereichen Buchführung/Geschäftsleitung prädestiniert, also immer da, wo die Clients<br />
besonderen Gefahren durch Viren, trojanische Pferde, Active-X Applets.... ausgesetzt<br />
sind. Wer in einem Unternehmen bereits stukturierte Verkabelung mit intelligenten, aktiven<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins