Scheitern Firewalls mit User-Identifikation an IPv6?

Kommentieren Drucken

Der Netzzugang ist die einzige Möglichkeit einen User im Netz zu identifizieren. Wer ihn offen lässt, ist selber schuld.

Diese These ist eben so einfach wie provokativ. Aber ist sie auch richtig? Versprechen doch viele moderne Hersteller, Usertraffic transparent – quasi „on the fly“ – Usern zuordnen zu können und dann ggf. zu blocken. Produkte dieser Hersteller sind heute auch schon vielfach im Einsatz und erfüllen ihre Zwecke. Was sollte sich daran in Zukunft ändern?

Dazu muss man sich anschauen, wie die User eigentlich identifiziert werden. In den Paketen steht schließlich nur in den seltensten Fällen ein Username, ein Passwort oder eine ID. Da die Pakete häufig weite Strecken zurücklegen, bevor sie an den Filtern ankommen, bleiben nur die IP Adressen des Senders und Empfängers, um den User zu identifizieren. Das war aber im Grunde immer schon so.

Neu ist die Art und Weise, wie die IP-Adressen und User einander zugeordnet werden. Früher war es notwendig, diese Zuordnung manuell vorzunehmen. Da das sehr aufwändig ist, wurden die meisten Regeln nicht für einzelne IP-Adressen, sondern für ganze Subnetze getroffen. Ein einfaches, jedoch typisches Beispiel sieht so aus:

  • Subnetz A sind Telefone
  • Subnetz B sind PCs
  • Filter:
    • Subnetz A erlaubt SIP und RTP, Rest verboten
    • Subnetz B verboten SIP und RTP, Rest erlaubt

Ausführliche Regelwerke gibt es in solchen Fällen nur für Server mit speziellen Aufgaben.
Mit den modernen Firewalls hat sich das geändert, die Regeln werden für User(-gruppen) und nicht Subnetze getroffen. Ein typisches Regelwerk sähe dann so aus:

  • User Adam gehört zur Gruppe Vertrieb, Gruppe Vertrieb darf auf Facebook zugreifen.
  • User Eve gehört zur Gruppe Buchhaltung, Gruppe Buchhaltung darf nicht auf Facebook zugreifen.

Die Zuordnung zwischen den Usern und der IP-Adresse geschieht möglichst automatisch. Sprich die Firewall versucht herauszufinden, welche IP-Adresse Adam und welche Eve hat. Daraus generiert sie ein dynamisches IP-Filterwerk:

  • Adam hat IP-Adresse 1.
  • Eve hat IP-Adresse 2.
  • Filter:
    • IP-Adresse 1 erlaubt für *.facebook.com.
    • IP-Adresse 2 verboten für *.facebook.com.

Woher jedoch hat die Firewall Kenntnis darüber, welcher User gerade welche IP-Adresse nutzt? Dafür gibt es eine ganze Reihe von Möglichkeiten. Viele Produkte beherrschen auch mehrere Varianten. Die Priorität der Verfahren kann der Administrator festlegen. Typische Verfahren sind:

  • Firewall hat eingeschränkten Zugriff auf den Verzeichnisdienst (bspw. Active Directory).
    In diesem Fall kann sie auf Logfiles und Konfigurationen zugreifen. Sie versucht dann anhand von Anmeldungen am Verzeichnisdienst, die in den Logs verzeichnet sind, die IP Adresse den Usern zuzuordnen.
  • Firewall hat eingeschränkten Zugriff auf den zentralen E-Mail-Dienst.
    Da User sich auch gegen den E-Mail-Dienst mit Name und Passwort authentifizieren müssen, können auch diese Logs Aufschluss über die IP-Adressen der User geben.
  • Explizite Authentifizierung an der Firewall
    Greift ein unbekannter User auf eine Webseite zu, wird er zu einer Seite umgeleitet, an der er sich zunächst einmal authentifizieren muss. So gewinnt die Firewall Kenntnis über die IP-Adresse des Nutzers. Für den User wirkt das wie eine klassische Web-Proxy-Authentifzierung, in der Tat kann die Firewall diese Zuordnung dann aber auch für alle anderen Dienste nutzen.

So weit, so gut. Warum sollte das in Zukunft nicht mehr funktionieren?

Abbildung 1 zeigt ein Beispiel, was in Zukunft schief laufen kann:

In dem kleinen Ausschnitt sieht man zwei Absende-IP-Adressen: eine IPv4- und eine IPv6-Adresse. Der IPv6-Adresse ist der User „schaub“ zugeordnet, bei der IPv4-Adresse hingegen ist kein User bekannt. Dabei handelt es sich um denselben Rechner und die beiden abgebildeten Einträge sind innerhalb weniger Sekunden entstanden. Die Zuordnung von User/IP-Adresse geschah zuvor via Firewall-Authentifizierung. Da der Rechner die Firewall über IPv6 erreichen kann, tut er dies bei dem Authentifizierungsvorgang auch. Die Firewall trägt daraufhin die IPv6-Adresse in die Userdatenbank ein. Der Zugriff auf die Webseite erfolgt später jedoch über IPv4. Wie man leicht erkennt, kann die Firewall der IPv4-Adresse keinen User mehr zuordnen.

An dieser Stelle gäbe es sicherlich die Möglichkeit für IPv4 eine erneute Proxyauthentifzierung durchzuführen. Das allerdings würde bei den Usern auf wenig Verständnis stoßen. Aber selbst wenn, wäre es kein Allheilmittel. Denn mit IPv6 tauchen für die Firewall-Hersteller völlig neue Probleme auf, die es so mit Version 4 nicht gab. War die ursprüngliche Philosophie von IPv4 noch: 1 Host = 1 Adresse, so gilt das für Version 6 nicht mehr. Adressen werden Interfacen zugeordnet und jedes Interface hat auch noch mehrere IP-Adressen. Im Falle von eingeschalteten Privacy Extensions ändern sich die Globalen Adressen auch noch, je nach Implementierung zwischen regelmäßig und ständig.

Bleibt also nur der Ausweg: DHCPv6 + Useridentifikation via AD?
Im Prinzip ja, aber …

  • Was macht man mit Geräten, die nicht ins AD eingebunden werden können? (Stichwort: BYOD)
  • Was macht man mit Betriebssystemen, die nicht (ohne weiteres) ins AD eingebunden werden (sollen)?
  • Wie behandelt man Hardware ohne User? (Drucker, Access-Points…)

Damit wären wir aber wieder beim Ausgangspunkt: eine eindeutige Nutzerauthentifizierung ist im Grunde nur sinnvoll, wenn sie zu dem Zeitpunkt geschieht, wenn ein User ein Netzwerk betritt. Denn nur zu diesem Zeitpunkt und an diesem Ort kann ein User gezwungen werden sich eindeutig zu identifizieren.

Damit stellt sich jedoch automatisch die Frage, ob nicht das auch der Ort ist, an dem die Kommunikationskontrolle greifen muss, anstatt wie bislang „irgendwo“ im Netz. Das jedoch würde eine völliges Umdenken erfordern: Statt zentraler Firewalls müsste mit zentraler Filterverwaltung und dezentraler Filterung gearbeitet werden.

Alternativ wäre noch vorstellbar, dass die Netzzugangskomponenten ihre Informationen den Firewalls zur Verfügung stellen, damit diese daraus die Adress-/User-Zuordnung generieren.

Was bleibt also als Fazit? Man möchte wie Reich-Ranicki mit dem Brecht-Zitat enden:

„So sehen wir betroffen,
Den Vorhang zu und viele Fragen offen“

Doch ist das Stück nicht zu Ende, es hat gerade erst begonnen. Für Sicherheitsverantwortliche in Unternehmen bleibt es somit spannend und unvermeidbar, sich auf dem Laufenden der aktuellen Entwicklungen zu halten. Denn eine Patentlösung gibt es (noch?) nicht.

zugeordnete Kategorien: IP und IPv6, IT-Sicherheit, LAN
zugeordnete Tags: , , ,

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.