2 1  Einleitung In Zeiten, in denen praktisch jedes Computernetzwerk, insbesondere Firmennetze, mit  dem  Internet  verbunden  sind,  ist  ein  Schutz  gegen  unberechtigte  Zugriffe, Datenverfälschung  und  Informationsdiebstahl  unabdingbar  geworden.  Eine  sehr effektive  Methode,  sich  gegen  Angriffe  zu  schützen,  stellen  Firewalls  dar.  Ein Firewall  ist  eine  Schwelle  zwischen  zwei  Netzen,  z.B.  zwischen  internem  Netz und Internet, die überwunden werden muss, um Systeme im jeweils anderen Netz zu   erreichen.   Durch   technische   und   administrative   Maßnahmen   wird   dafür gesorgt, dass jede Kommunikation zwischen den beiden Netzen über den Firewall geführt  werden  muss.  Auf  dem  Firewall  sorgen  Zugriffskontrolle  und  Auditing dafür,   dass   das   Prinzip   der   geringsten Berechtigung durchgesetzt wird, und potentielle Angriffe schnellstmöglich erkannt werden. Ziel von Schutzmechanismen ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von oft sensiblen Daten und Diensten zu gewährleisten. Die Verbindung eines internen Netzes   kann   im   Zusammenhang   mit   einem   Firewall   mit   einem   sogenannten Bastion-Host  realisiert  werden.  Unter  einem  Bastion-Host  versteht  man  einen besonders gesicherten Rechner, der wie eine Festung wirken soll. Er schützt die Rechner im privaten Netz vor Angriffen von Außen. Wie bei einer Festung gibt es nur  einen  Ein-  und  Ausgang,  der  ständig  bewacht  ist  und  bei  Bedarf  sofort geschlossen werden kann. Die Überwachung des Aus- und Eingangs übernimmt meist  ein  Router  als  Paketfilter.  Bastion-Hosts  sind  von  ihrer  Art  her  damit  die gefährdetsten  Rechner  in  einer  Firewall.  Auch  wenn  sie  in  der  Regel  mit  allen Mitteln geschützt sind, sind sie häufigstes Ziel eines Angriffs, da ein Bastion-Host als einziges System Kontakt zur Außenwelt unterhält.   Die Rechner im privaten Netz sind aus dem Internet nicht direkt erreichbar und dadurch unsichtbar. Andersherum ist auch das Internet nur über den Bastion-Host zugänglich. Deshalb ergibt sich für diesen Rechner die logische Grundhaltung: je einfacher der Bastion-Host aufgebaut ist, desto leichter ist er zu schützen. Denn jeder auf dem Bastion-Host angebotene Dienst kann Software- oder Konfigurationsfehler enthalten. Bei minimalen Zugriffsrechten sollte der Bastion- Host gerade so viele Dienste anbieten, wie er für die Rolle als Firewallundedingt braucht.