Advertisement

VDMFA, eine verteilte dynamische Firewallarchitektur Für Multimedia-Dienste

  • Christoph Rensing
  • Utz Rödig
  • Ralf Ackerman
  • Lars Wolf
  • Ralf Steinmetz
Conference paper
Part of the Informatik Aktuell book series (INFORMAT)

Kurzfassung

Im Rahmen einer umfassenden Security Policy stellen Firewalls eine wichtige Maßnahme zum Schutz eines privaten Netzes vor Angriffen aus dem Internet dar. Sie basieren in der Regel auf IP-Filtern und Proxies. Filter selektieren an den Netzgrenzen Datenströme nach definierten Regeln, zumeist über TCP- oder UDP-Portnummern, die einen Dienst identifizieren, leiten sie weiter oder blocken sie ab. Die Selektion über bestimmte Portnummern ist bei vielen Protokollen nicht statisch möglich, da diese erst zur Verbindungszeit dynamisch bestimmt werden. Daher kommen - sollen solche Dienste die Firewall passieren - sogenannte Proxies zum Einsatz. Proxies stellen den Endpunkt der Kommunikation zu beiden Seiten (lokales Netz und Internet) dar und leiten die Daten auf Anwendungsebene weiter. Sie müssen für jedes Protokoll der Anwendungsebene neu entwickelt werden. Eine Alternative bildet eine dynamische, vom Protokollstatus abhängige Erweiterung der Regeln einer filterbasierten Firewall während der Verbindungszeit. Bestehende kommerzielle Ansätze realisieren diese Dynamik heute im Kern der Firewall selbst, indem in diesen Kenntnisse über die Semantik der Protokolle auf Anwendungsebene integriert werden. Wünschenswert ist aber eine allgemeinere Architektur, wie die Verteilte Dynamische Multimedia Firewallarchitektur VDMFA, die es erlaubt, einfache filterbasierte Firewalls flexibel für neue, insbesondere multimediale Protokolle zu erweitern. Die Funktionsweise der VDMFA basiert auf einer dynamischen Anpassung von Filterregeln über die intelligente Komponente VDMFA-Core, welche wiederum per Skriptsprache oder ein benutzerfreundliches Front-end gesteuert wird. In diesem Beitrag werden die VDMFA vorgestellt und Einsatzmöglichkeiten der Firewallarchitektur für Internet Telefonie Anwendungen aufgezeigt.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

References

  1. [1]
    D. E. Comer: Internetworking with TCP/IP Volume I, 2nd Edition, Prentice Hall, 1991zbMATHGoogle Scholar
  2. [2]
    W. R. Cheswick, S. Bellovin: Firewalls and Internet Security, Addison Wesley, 1994.zbMATHGoogle Scholar
  3. [3]
    ITU-T Recommendation H.323 “Visual telephone Systems and Equipment for Local Area Networks Which Provide A Non-Guraranteed Quality of Service.“, Genf, 1996Google Scholar
  4. [4]
    ITU-T Recommendation H.323 V.2 “Packet-Based Multimedia Communication Systems“, Genf, 1998Google Scholar
  5. [5]
    H. Schulzrinne, S. Casner, R. Frederick, V. Jacobson: RTP: A Transport Protocol for Real-Time Applications, RFC 1889, Internet Engineering Task Force, January 1996Google Scholar
  6. [6]
    S. Strobel: Firewalls für das Netz der Netze, dpunkt-Verlag, 1997Google Scholar
  7. [7]
    Anonymous, Stateful Inspection Firewall Technology Tech Note, Whitepaper, http://www.checkpoint.com/products/technology/stateful1.html
  8. [8]
    Anonymous, Cisco’s PIX Firewall Series an Stateful Firewall Security, Whitepaper, http://http://www.cisco.com/warp/public/751/pix/nat_wp.htm
  9. [9]
    D. Chouinard, J. Richardson, M. Khare, “H.323 and firewalls: The problems and pitfalls of getting H.323 safely through firewalls.“ Revision 2, White Paper, Intel Corporation, October 1997Google Scholar

Copyright information

© Springer-Verlag Berlin Heidelberg 1999

Authors and Affiliations

  • Christoph Rensing
    • 1
  • Utz Rödig
    • 1
  • Ralf Ackerman
    • 1
  • Lars Wolf
    • 1
  • Ralf Steinmetz
    • 1
    • 2
  1. 1.Technische Universität DarmstadtDarmstadtGermany
  2. 2.GMDIPSIDarmstadtGermany

Personalised recommendations