Der Zugriff auf Dienste und Anwendungen im lokale Netzwerk ist in den letzten Jahren immer wichtiger geworden. Die klassische direkte Einwahl mit ISDN oder analogem Modem hat dabei immer mehr an Bedeutung verloren und ist uns daher nur folgende Randnotiz wert: DEFENDO unterstützt beide Verfahren. Wichtiger weil billiger und weltweit verfügbar ist der Remote-Zugriff via Internet - typischerweise auf Terminal-Server oder Mail- und Groupware-Systeme.

Nun definiert sich die Sicherheit eines Netzes aber bekanntermaßen über die am schlechtesten abgesicherte Komponente. Entsprechend sorgfältig sollte der Zugriffsweg gewählt werden um nicht die Sicherheit des gesamten Netzes zu gefährden.

DEFENDO zeigt sich flexibel was die Realisierung verschiedenster Konzepte betrifft. Die folgende Übersicht stellt die wichtigsten kurz vor und zeigt deren Anwendungsbereich sowie Vor- und Nachteile auf.

Dies ist wohl die einfachste Möglichkeit, Internet-Zugriff auf einen lokalen Server freizugeben. Selbst billigste Router bieten heutzutage diese Möglichkeit. Das Ziel von eingehenden IP-Verbindungen wird dabei einfach umgeschrieben, die Pakete also direkt weitergeleitet. Das Verfahren eignet sich für fast alle Anwendungen und ist einfach zu konfigurieren. Unter dem Aspekt der Sicherheit steht diese Variante jedoch nicht so gut da. Es besteht direkter Zugriff aus dem Internet auf diesen lokalen Server. Wird dieser kompromitiert, befindet sich der Angreifer bereits mitten im LAN. Betriebssystem und Anwendung des Servers müssen daher sicherheitstechnisch unbedingt auf dem aktuellsten Stand gehalten werden.

Auch DEFENDO kann bei diesem Konzept die Verbindung zum internen Server lediglich auf IP-Ebene absichern. Die >Stateful Inspection prüft die Plausibilität der Pakete. Ein Plus an Sicherheit bietet jedoch die >Dynamische Firewall des DEFENDO die Angriffe erkennen und aktiv abwehren kann.

Server auf die aus dem Internet zugegriffen werden laufen immer Gefahr gehackt zu werden. Um die Auswirkungen im Falle eines Falles zu minimieren empfiehlt sich der Aufbau einer sog. Demilitarisierten Zone (DMZ). Darunter versteht man ein vom LAN durch eine Firewall getrenntes separates Netzwerk. Im Optimalfall besteht keinerlei Zugriff von der DMZ in das LAN. Zumindest sollte der Zugriff in das LAN jedoch auf das absolut Notwendige beschränkt werden. Viele Web-Applikation sind z.B. so aufgebaut, dass der Web-Server in der DMZ läuft, die Daten jedoch von einer Datenbank im LAN bezogen werden. Wird der Web-Server kompromitiert, so ist das LAN nicht betroffen.

Die Sicherheit des Anwendungs-Servers wird durch eine DMZ nicht erhöht. Hier gelten die selben Aussagen wie für DNAT. Für das LAN bedeutet jedoch die Einführung einer DMZ eine deutlich bessere Absicherung.

Mit allen DEFENDO Modellen kann ohne weiteres sofort eine DMZ aufgebaut werden. Allenfalls die Erweiterung um eine Netzwerk-Karte kann notwendig sein. Der materielle Mehraufwand hält sich somit in Grenzen. Die gestiegene Komplexität der Konfiguration wird durch das >Template-Konzept abgefangen. Auch in Hinblick auf die vorhandene Infrastruktur zeigt sich DEFENDO flexibel. Einen Überblick gibt >Einsatzmöglichkeiten".

Speziell für den Browser-Zugriff auf Web-Anwendungen wie z.B. Outlook Web Access (OWA) bietet DEFENDO einen Reverse-Proxy. Anders als bei den bisher vorgestellten Konzepten findet keine direkte Kommunikation zwischen dem Client im Internet und der lokalen Web-Anwendung statt. Der Reverse-Proxy vermittelt zwischen den Kommunikationspartnern und "versteht" das genutzte Protokoll (HTTP bzw. HTTPS). Unregelmäßigkeiten im Protokoll können erkannt und so Angriffe abgewehrt werden. Auch eine zusätzliche Authentifizierung ist möglich. Der Anwendungs-Server wird durch DEFENDO's Reverse-Proxy somit zusätzlich geschützt. Der Client bemerkt vom Reverse-Proxy nichts. Der Web-Browser muss nicht speziell konfiguriert sein. Von daher eignet sich der Reverse-Proxy insbesondere auch für offene Benutzer-Gruppen und wenn keine Client-Software installiert werden kann.

Für IPSec ist die Konfiguration eines Clients erforderlich. Von daher eignet es sich eher für die Anbindung eines geschlossenen Nutzerkreis an das lokale Netzwerk. Es wird ein kryptographisch gesicherter Tunnel aufgebaut, durch den beliebige Anwendungen auf dem Client mit dem lokalen Netz kommunizieren können. Neben der Anbindung von Clients ist IPSec das Mittel der Wahl um auch größere Einheiten wie Filialen, Standorte oder auch Geschäftspartner anzubinden.