Ratgeber Remote Access

Der Feind im Kinderzimmer

09.06.2009
Von Eckhart Traber

Zuordnung der Gegenstelle

Der große Vorteil der virtuellen Router wird in folgendem Beispiel deutlich: Anhand der Quelle eines Datenpakets kann die Firewall ein Routing-Tag zuweisen, das im IP-Router zur Auswahl der geeigneten Route genutzt wird. Dieses Verfahren reicht aber dann nicht mehr, wenn der Router mehrere IP-Netze mit gleichem Adresskreis verwaltet: Eine eindeutige Zuweisung des Tags anhand der Quelladresse wäre dann nicht mehr möglich. Über das Schnittstellen-Tag gelingt jedoch die Zuordnung der Gegenstelle auch hier. Das virtuelle Routing funktioniert nur durch die Auswertung der Schnittstellen-Tags, eine Konfiguration von zusätzlichen Firewall-Regeln ist nicht nötig. Für jedes lokale Netz kann so ein separater Provider-Zugang über eine getaggte Default-Route in der Routing-Tabelle angesteuert werden.

Die Firewall wird nur dann benötigt, wenn in den LANs mit gleichen IP-Adressen auch Server stehen, die aus dem Internet erreichbar sein sollen. In diesem Fall wird der Verbindungsaufbau von außen nach innen ausgelöst. Die beim Router-Modul aus dem Internet eintreffenden Datenpakete verfügen aber über keine Schnittstellen-Tags, die für die weitere Verarbeitung verwendet werden könnten. In diesem Fall kann jedoch die externe Gegenstelle ausgewertet werden, über welche die Pakete empfangen werden. Mit einer speziellen Firewall-Regel können Verbindungen von dieser Gegenstelle über den entsprechenden Port (etwa Port 80 für Web-Server) in das jeweilige Netz erlaubt werden.

Fazit

Mit der Virtualisierung der Router lässt sich nicht nur der interne Datenverkehr im LAN lenken, sondern auch der Weg nach draußen und die Zugriffe von außen. Unternehmen erhalten damit ganz neue Möglichkeiten, ihre Infrastruktur externen Teilnehmern oder Teleworkern zu öffnen, ohne gleich den Zugriff auf das ganze LAN zu ermöglichen.