Firewall-Systeme

Kommentieren Drucken
Teil 54 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

Bereits zu Beginn der Folgen über die Sicherheit wurden die Firewalls erwähnt. Es handelt sich hierbei allgemein um Einrichtungen, die dazu geeignet sind, ein gesichertes, privates Netzwerk an ein ungesichertes, z. B. öffentliches Netzwerk, anzukoppeln, ohne die Privatheit des ersteren zu kompromittieren.

Konkret geht es meist um die Kopplung von Intranets an das Internet, damit alle oder bestimmte speziell autorisierte Benutzer zusätzlich zu den Leistungen des eigenen Intranets auch Informationen aus dem Internet holen können, ohne dass jemand aus dem Internet wahllos auf das Intranet und die dort gespeicherten Informationen zugreifen kann. Diese strenge Zweiteilung ist ein möglicher Ansatz. Eine weitere Alternative ergibt sich, wenn man auch den Internet-Teilnehmern teilweisen, kontrollierten Zugang ermöglichen möchte, z. B. im Rahmen des allgemeinen Geschäftsprozesses. Dann spricht man auch von der Schaffung einer demilitarisierten Zone DMZ und erzeugt drei Bereiche: das völlig ungesicherte Internet, die teilweise gesicherte DMZ und das völlig gesicherte Intranet. In jedem Falle stellen die Firewalls den einzigen Zugang vom gesicherten zum ungesicherten Netzwerk bzw. zwischen den Zonen dar.

Die Zugriffskontrollsysteme von Firewalls können auf verschiedenen Ebenen angesiedelt und in unterschiedlicher Weise miteinander kombiniert werden. Die unterste Schicht, auf der eine Einwirkung sinnvoll erscheint, ist die Vermittlungsschicht mit dem IP-Protokoll. Hier wird man anhand von Kennungen, Portnummern und IP-Adressen die Benutzer festlegen, die vom Intranet auf das Internet gehen dürfen. Die Filterung ist über diese Ebene hinaus transparent, lässt also beliebige TCP-Schaltkreise und Anwendungen zu. Solange man keinerlei Zugriff von außen auf das Intranet zulässt, bietet diese Form von Firewalls einen elementaren Basisschutz. Definiert man aber auch nur einige wenige Benutzeradressen für den Zugriff vom Internet auf das Intranet, ist ein solcher Paketfilter-Firewall anfällig gegen Angriffe nach Art des IP-Spoofings.

Ähnliche Maßnahmen lassen sich auch auf Schicht vier mit dem TCP-Protokoll durchführen. Unter gleichen Randbedingungen ergeben sich vergleichbare Ergebnisse. Alle Paketfilter lassen sich leicht und preiswert implementieren, bieten aber nur elementaren Basisschutz. Sie sind daher vornehmlich für die Durchsetzung einer inneren Strukturierung geeignet. Neben dedizierten Rechensystemen ist natürlich eine Realisierung von Paketfiltern auf Routern oder anderen Einrichtungen für die Schaffung Virtueller Netze möglich.

Die nächststrengere Bauart ist das Circuit-Relay. Hier werden komplette Relationen zwischen TCP/IP-Endeinrichtungen als Basis der Schutzdefinition verwendet. Zur Definition muss klar sein, wer mit wem wie und mit welchen Parametern ggf. wann kommunizieren darf. Die Schutzdefinition ist eine recht unmittelbare Anwendung der Sicherheitspolitik. Lediglich die im Rahmen der Kommunikation betroffenen Anwendungen bleiben unberührt. Das Circuit-Relay ist ideal für die Definition von Benutzern des Intranets, die sich ohne weitere Einschränkungen im Internet bewegen sollen. Es ist hervorragend für die interne Realisierung von Abschottungen geeignet, denn die notwendige Komplexität eines erfolgversprechenden Angriffs ist so hoch, dass eine unentdeckte Durchführung von innen eher unwahrscheinlich ist. Allerdings kann ein Circuit Relay erheblich auf die Leistung drücken. Gegen gezielte Angriffe auf Anwendungen z. B. durch die Erzeugung offener Verbindungen ist ein Circuit Relay allerdings machtlos. Es eignet sich also auch nur bedingt für den Schutz des Intranets, wenn man Benutzer von außen zulassen möchte.

Application Gateways schließlich stellen die aufwendigste Form der Firewalls dar. Sie führen Kontrollen auf Anwendungsebene durch. Der Schutz besteht im Großen und Ganzen darin, dass üblicherweise ein äußerer Anwender nicht unmittelbar mit einer Anwendung verbunden wird, sondern mit einem vertrauenswürdigen Proxy. Dieser nimmt die Anforderung des äußeren Anwenders auf, prüft dessen Berechtigung und veranlasst dann die gewünschte Funktionsausführung. Ein dabei entstehendes Ergebnis wird an den äußeren Anwender übergeben. Dies ist an sich keine Neuheit, sondern eine mögliche grundlegende Funktionsweise vertrauenswürdiger, sicherer, geschlossener Rechensysteme mit Pförtnern. Ein Unterschied zu geschlossenen Systemen ist die Möglichkeit der verteilten Placierung von Proxies und Diensten auf verschiedenen Rechensystemen. Ein Proxy hat vor allem die Aufgabe, Interna der nachgelagerten zu schützenden Einheiten wie IP- oder TCP-Adressen und weitere Parameter auf diesen Ebenen zu verdecken. Ein Kunde z. B. »redet« nie mit dem betreffenden Server, sondern immer nur mit dem Proxy. Wenn er den Proxy angreift, kann er diesen vielleicht zerstören, sollte idealerweise aber niemals Information gewinnen, die ihn wirklich im anzugreifenden Netz weiterführt. Hilfsweise kann man natürlich auch zusätzliche Programme laufenlassen, die den Verkehr zwischen äußerem Kunden und Proxy überwachen und bei auffälligen Anomalien zusätzlich eingreifen.

Ein Application Level Gateway ist für die interne Organisation in den meisten Fällen zu aufwendig und zieht aufgrund seiner Struktur manchmal auch eine geringe Performance nach sich, die sich aus der Perspektive des Nutzers in höheren Antwortzeiten niederschlägt. Durch konventionelle TCP/IP-Angriffe ist es allerdings nicht so einfach aus der Fassung zu bringen. Es ist daher die von den heute bekannten Alternativen relativ sicherste für den Zugang auf einen internen Server aus dem unsicheren Internet.

Application Level Gateways bilden eine weitreichende Basis zur Implementierung zusätzlicher Sicherheitsmaßnahmen, z. B. im Rahmen von Verschlüsselung. Eine neue Generation von Application Level Gateways kontrolliert nicht nur statische Anfragen, sondern auch bestimmte Verhaltensmuster von Sessions, logischen Verbindungen zwischen (externen) Nutzern und internen Diensten. Hier können Status und Kontext einer Verbindung einfließen.

Alle Formen von Firewalls können unterschiedlich implementiert werden. Besonders gerne nimmt man einen sog. Dual Bastion Host, der zwei Anschlüsse besitzt, eben zum unsicheren und zum sicheren Netz, und auch durch interne Baugruppentrennung und hohe Qualität des Betriebssystems und der speziellen Schutzanwendungen dafür sorgt, dass es keine unentdeckten Netzübergänge gibt. Der Ansatz des Dual Bastion Hosts ermöglicht eine besonders schnelle Anpassung an geänderte Randbedingungen, wie z. B. einen Update einer geknackten Sicherheitssoftware in eine Version, bei der das Sicherheitsproblem – zunächst – beseitigt wurde.

Fazit
Schutzmaßnahmen können nur im Rahmen der Umsetzung eines geschlossenen Sicherheitskonzeptes mit technischen und organisatorischen Maßnahmen erfolgreich durchgeführt werden. Die wichtigste zentrale Maßnahme ist der Aufbau einer Firewall-Zone mit Firewalls, Routern und geschützten Servern für den externen Zugriff sowie Integration von zusätzlichen Sicherungsverfahren wie Authentisierung und Verschlüsselung.

Bei den relativ geringen Preisen für Server Hardware ist es absolut nicht zu vertreten, wenn externe Benutzer und interne Benutzer auf der gleichen Server-Maschine arbeiten. Durch einen Umweg im Dateisystem kann sich nämlich ein externer Benutzer relativ leicht Zugang zu Bereichen auf dem Server verschaffen, die ihm eigentlich nicht zugänglich sein sollen. Diese Maßnahmen sollte man mit internen Schutzmaßnahmen kombinieren, wie Schutzmechanismen gegen Fehlfunktionen einer Firewall-Zone, Host-Security und Virenkontrolle.

Ein Firewall kontrolliert also die Sicherheitszone zwischen internem und externem Netz, schirmt das lokale Netz vor unberechtigten externen Zugriffen ab und ermöglicht darüber hinaus eine kontrollierte Dienst-Freigabe für interne Benutzer.

Die Situation bei der Konstruktion von Sicherheitshilfsmitteln wird dadurch erschwert, dass nur wenige einen gesamtheitlichen Sicherheitsansatz verfolgen. Totale Sicherheit in Netzen kann es nicht geben.

Intranets sind für sich gesehen sicherer als herkömmliche Unternehmensnetze, weil vielfältige Bedrohungen, die von den eigenen Mitarbeitern ausgehen und ein erhebliches Schadenspotential darstellen, nicht mehr vorkommen. Intranets sind auch sicher gegenüber Angriffen von Amateuren. Eine Sicherheit gegenüber professionellen Angreifern kann nach heutigem Kenntnisstand nur im heute allgemein üblichen Maße gewährleistet werden. Dies gilt in verschärfter Form besonders dann, wenn Intranets mit dem Internet verbunden werden. Die Sicherheitsprobleme sind insgesamt in den meisten Fällen nicht so schwerwiegend, dass das gesamte Konzept deshalb verworfen werden müsste. Konzeptgebundene, Initiale Sicherheitsprobleme z. B. mit Java oder HTML sind mittlerweile erkannt und werden im interessierenden Zeitraum sicherlich beseitigt.

Alles in allem ist es wichtig, bei aller Aufmerksamkeit gegenüber Sicherheitsproblemen die möglichen Vorteile von Intranets hierdurch nicht zu verstellen. Nach der Vorstellung des Autors wird man die Intranet-Technologien zunächst ohnehin dort anwenden, wo nicht die allerhöchsten Sicherheitsanforderungen gestellt werden, wo aber andererseits die Vorteile durch bessere Organisation und fehlerarme Hardware wesentlich zum Tragen kommen.

« Teil 53: Sicherung der Information ab der DatendarstellungsschichtTeil 55: Transaktionssicherheit »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.