Sicherheit auf die harte Tour

Schleusen sind attraktiv

Die Idee der Schleuse lässt sich auf vielerlei Weise auf die IT-Sicherheit übertragen. Wer nicht gleich zur Brachiallösung "Relais" oder zum SCSI-Switch greifen will, stellt dem Durchmarsch der Datenpakete andere Hindernisse in den Weg. Gängig ist es, durch Eigenkonstruktionen oder mit speziellen Produkten künstliche Protokollübergänge zu schaffen und so Angriffsversuche auszuschließen, die sich Fehler in der Auswertung der Datenpakete zunutze machen.

Der Web-Application-Server "Fortnoxx" von Ibrixx etwa arbeitet auf diese Weise. Ist das Produkt installiert, gelangen alle Anfragen aus dem Internet lediglich bis zum Webserver. Fortnoxx leitet sie von dort aus nicht einfach ins Intranet, sondern filtert sie mithilfe einer ersten Firewall und übergibt sie dann an systemeigene Request-Handler. Diese wiederum reichen die Anfragen an einen Server weiter, der sie in eine Queue stellt. An dieser Stelle endet der aktive Zugriff aus dem Web. Im Intranet läuft hinter einer zweiten Firewall ein Client-Prozess, der die wartenden Anfragen über einen Polling-Mechanismus aufgreift und nach einer semantischen Überprüfung an ein Service-Objekt auf Corba-Basis übergibt, das sie bearbeiten soll. Die vom Service-Objekt gelieferte Antwort wird dann zurück in die Queue gestellt und vom Request-Handler an den Client übergeben.

Als Schleusen-ähnlich lassen sich auch Quarantäne-Lösungen aus dem Content-Security-Bereich verstehen, die nach "Sandbox"-Art Mobile Codes in geschützten Bereichen ausführen, wo die Rechte der Applets gezielt eingeschränkt werden können.