3 2  Architekturen von Firewalls mit Bastionen In  diesem  Kapitel  sollen  mögliche  Einsatzmöglichkeiten  von  Bastion-Hosts  im Zusammenhang mit Firewall-Architekturen kurz vorgestellt werden.   2.1   Packet Screen in Kombination mit einer Bastion Ausgehend  von  dem  Konzept  der  Paketfilterung  werden  in  diesem  Abschnitt Kombinationsmöglichkeiten  von  Paketfilterung  mittels  Routern  und  Bastionen dargestellt.  Durch  die  Erweiterung  des  Konzeptes  um  eine  Bastion  können  die Nachteile  eines  Firewalls,  der  nur  aus  einer  Packet  Screen  besteht,  beseitigt werden. Die Packet Screen wird dabei so konfiguriert, dass nur noch ein Rechner - die Bastion - mit dem Internet kommunizieren kann. Benutzer, die auf das Internet zugreifen wollen, müssen dies über den Umweg der Bastion tun. Dazu muss den Benutzern  auf  der  Bastion  ein  Login  gewährt  werden,  oder  es  müssen  auf  der Bastion  Proxy-Server  installiert  werden,  die  Zugriffe  durchführen,  ohne  dass Benutzer auf der Bastion eingeloggt sein müssen. Da nur die Bastion vom Internet aus  angegriffen  werden  kann,  muss  auch  nur  diese  besonders  gegen  Angriffe geschützt werden. Auf der Bastion können Angriffe durch ein erweitertes Audit schnell   erkannt   werden.   Außerdem   wird   es   durch   den   Einsatz   der   Bastion möglich, den Zugriff auf der Basis von  Benutzern einzuschränken. Ein Nachteil dieser Lösung ist, dass der Firewall für Benutzer nicht mehr transparent ist, wenn sie sich zuerst auf der Bastion einloggen müssen. Wird der Zugriff über Proxy- Server realisiert, bleibt zwar die Transparenz erhalten, dafür müssen aber auf den Rechnern  im  LAN  modifizierte  Klienten  -  z.B.  für  Telnet  und  FTP  -  installiert werden. Die Paketfilterung sorgt dafür, dass alle Verbindungen zwischen internem und  externem  Netzwerk  immer  über  diese  Bastion  geführt  werden  müssen.  Die verschiedenen Konzepte, die auf dieser Idee basieren, werden nach der Position der Bastion unterteilt[4]. 2.1.1  Bastion innen Der Bastion-Host liegt im internen Netz, und die Verbindung zum Internet wird durch  einen  Router  sichergestellt.  Direktverbindungen  vom  Internet  zu  einem internen Rechner außer dem Bastion-Host werden durch den Router unterbunden.