Orientierungshilfe zu
|
2. Vorbereitung und Planung |
FIREWALL-SYSTEME |
Soll ein Verwaltungsnetz an das Internet angeschlossen werden, so kann dies entweder durch einen zentralen Zugang oder durch mehrere dezentrale erfolgen. Aus Sicherheitsgründen ist für ein (Teil-)Netz mit einheitlichem Schutzbedarf ein zentraler Zugang vorzuziehen. Die durch die Anbindung hervorgerufenen Sicherheitsrisiken lassen sich durch Einsatz einer Firewall reduzieren.
Unter einer Firewall ("Brandschutzmauer") wird eine Schwelle zwischen zwei Netzen verstanden, die überwunden werden muß, um Systeme im jeweils anderen Netz zu erreichen. Die Hauptaufgabe einer Firewall besteht darin, zu erreichen, daß jeweils nur zugelassene netzübergreifende Aktivitäten möglich sind und daß Mißbrauchsversuche frühzeitig erkannt werden. Üblicherweise wird dabei davon ausgegangen, daß die Teilnehmer des internen Netzes (hier: des Verwaltungsnetzes) vertrauenswürdiger sind als die Teilnehmer des externen Netzes (hier: des Internet). Gleichwohl sind Firewall-Lösungen auch geeignet, die "grenzüberschreitenden" Aktivitäten der internen Nutzer, d.h. den Übergang zwischen verschiedenen Teilnetzen (z.B. Ressortnetze) innerhalb eines Verwaltungsnetzes zu begrenzen. Mit Hilfe von Firewall-Systemen lassen sich die vorher in der Kommunikationsanalyse definierten Anforderungen weitgehend technisch erzwingen (Policy-Enforcer).
3.1.1 Charakteristika von Firewall-Systemen
Firewalls weisen die folgenden Charakteristika auf:
Von besonderer Relevanz ist es, für den von einer Firewall geschützten Bereich das erforderliche Schutzniveau zu definieren.
Diese Anforderung kann mit drei Lösungsvarianten erfüllt werden:
Eine Firewall kann durch verschiedene Konzepte realisiert werden. Im wesentlichen unterscheidet man folgende Grundkonzepte:
Ein Application Level Gateway ist ein speziell konfigurierbarer Rechner, über den die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz stattfindet. Ein Application Level Gateway arbeitet im Gegensatz zum Packet Filter auf der Anwendungsschicht, d.h. die Kontrolle der Kommunikationsbeziehungen findet auf Anwendungsebene statt. Für jeden Dienst (Telnet, FTP usw.) werden Security Proxys eingeführt, die den direkten Zugriff auf den Dienst verhindern. Hierbei bestehen z.B. die Möglichkeiten einer ausführlichen Protokollierung (Audit) und einer benutzerbezogenen Authentisierung für die unterschiedlichen Dienste. Die meisten Application Level Gateways sind nicht in der Lage, zu unterscheiden, über welche Netzschnittstelle ein Paket hereinkommt. Ein Application Level Gateway mit zwei Netzschnittstellen wird Dual-homed Gateway genannt.
Die Kombination von Packet Filter und Application Level Gateway wird als Screened Gateway, Transparent Application Gateway oder Sandwich-System bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden Einzelkomponenten erheblich. Die Anordnung der beteiligten Komponenten kann variieren und erlaubt die individuelle Realisierung eines Firewall-Konzeptes.
Stateful Inspection (auch Stateful Packet Filter oder Dynamic Packet Filter) ist eine recht neue Firewall-Technologie und arbeitet sowohl auf der Netz- als auch auf der Anwendungsschicht. Die IP-Pakete werden auf der Netzschicht entgegengenommen, von einem Analysemodul, das dynamisch im Betriebssystemkern geladen ist, zustandsabhängig inspiziert und gegenüber einer Zustandstabelle abgeglichen. Die Regeln, nach denen das Modul agiert, können sehr differenziert vorgegeben werden. Für die Kommunikationspartner stellt sich eine Firewall mit Stateful Inspection als eine direkte Leitung dar, die nur für eine den Regeln entsprechende Kommunikation durchlässig ist. Im Out-Of-Band-Betrieb erfolgt die Wartung und Konfiguration nicht über TCP/IP. Die Firewall besitzt dann keine eigene IP-Adresse, so daß keine Möglichkeit besteht, sie über TCP/IP direkt aus den angeschlossenen Netzen anzusprechen oder auf diesem Wege anzugreifen. Optional führt die Firewall ein Rewriting durch, d.h. Pakete werden vor dem Weitersenden nach vorgegebenen Regeln transformiert.
Stateful Inspection vereinigt bereits konzeptuell die Schutzmöglichkeiten von Packet Filter und Application Level Gateway, so daß diese beiden Funktionen nicht in getrennten Komponenten realisiert werden müssen. Experten streiten sich darüber, welches Konzept in welcher Realisierung mehr Sicherheit mit sich bringt. Inzwischen werden auch hybride Firewalls angeboten, die zusätzlich zur Stateful Inspection Proxys wie beim Application Gateway zur Verfügung stellen.
Vorteile | Nachteile | |
Packet Filter (Router oder Rechner mit spezieller Software) |
leicht realisierbar, da von vielen Routern angeboten leicht erweiterbar für neue Dienste Router auf dem Markt verfügbar Transparenz für den Benutzer Arbeitsgeschwindigkeit |
Übernahme des Packet Filter durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit es ist bei den meisten Produkten nicht möglich, Dienste nur für bestimmte Benutzer zuzulassen alle Dienste, die erlaubt und erreicht werden können, müssen sicher sein Protokollierung nur auf unteren Netzschichten möglich keine Authentisierung möglich |
Dual-homed Gateway (Application Level Gateway mit zwei Netzschnittstellen) |
kein Paket kann ungefiltert passieren aussagekräftige Protokollierung auf höheren Schichten möglich interne Netzstruktur wird verborgen durch den Einsatz von Network Address Translation (NAT) |
Übernahme des Gateways durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit keine Transparenz für den Benutzer Probleme bei neuen Diensten, schlechte Skalierbarkeit |
Screened Gateway (Anordnung aus Application Level Gateway mit einem oder zwei Packet Filtern (Teilnetz-Bildung)) |
kein direkter Zugang zum Gateway möglich interne Netzstruktur wird verborgen Network Address Translation (NAT) vereinfachte Regeln durch 2. Filter durch Einsatz mehrerer Gateways läßt sich die Verfügbarkeit steigern aussagekräftige Protokollierung möglich |
keine Transparenz für den Benutzer bei Realisation mit mehreren Rechnern und Routern: erhöhter Platzbedarf Probleme bei neuen Diensten, schlechte Skalierbarkeit |
Stateful Inspection (Firewall-Rechner mit zustandsabhängiger Analyse und Reaktion) |
gute Skalierbarkeit arbeitet auf Netz- und Anwendungsschicht Out-Of-Band-Betrieb: keine Angriffsmöglichkeit über TCP/IP interne Netzstruktur wird verborgen Rewriting möglich (über NAT hinaus) umfangreiche Authentisierungsvarianten |
Übernahme des Gateways durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit keine Zwischenspeicherung, daher nicht volle Gateway-Funktionalität und kein Caching schneller Rechner erforderlich, da wegen der umfangreichen Analyse und Aktionsmöglichkeiten sonst Performance-Einbußen |
Neben den im folgenden dargestellten Architekturen von Firewalls sind auch Abwandlungen oder Kombinationen der Anordnungen möglich.
Rein zentrale Firewall-Lösungen (vgl. Abbildung 3.1) sind durch folgende Aspekte charakterisiert:
Ein weiterer Nachteil zentraler Firewalls besteht in dem - auch aus dem Großrechnerbereich bekannten - Problem, daß eine Benutzerverwaltung, die fernab von dem jeweiligen Fachbereich erfolgt, häufig zu Abweichungen zwischen der Realität von Benutzerrechten und deren Abbildung in Form von Accounts führt.
Da eine Firewall Zugriffe innerhalb des internen Netzes nicht kontrolliert, besteht bei rein zentralen Lösungen die Gefahr, daß das gesamte Verwaltungsnetz als eine Einheit betrachtet wird und insofern nur die Zugriffe von oder nach außen restringiert werden. Dieser Aspekt ist zwar nur mittelbar Teil des Themas "Internet-Anbindung", muß bei einer Gesamtbetrachtung von Netzsicherheit jedoch unbedingt einbezogen werden.
Der Einsatz einer alleinigen zentralen Firewall ist allenfalls dann vertretbar, wenn alle angeschlossenen Teilnetze über ein gleiches Sicherheitsbedürfnis bzw. -niveau verfügen und zudem nicht die Gefahr des internen Mißbrauchs besteht. Davon kann in behördenübergreifenden Verwaltungsnetzen mit einer Vielzahl angeschlossener Rechner jedoch nicht ausgegangen werden.
Gestaffelte Firewall-Lösungen (vgl. Abbildung 3.2) sind durch folgende Aspekte charakterisiert:
Für die dezentralen Firewalls bieten sich prinzipiell die gleichen Technologien wie bei einer zentralen Firewall an. Die Kombination zentraler und dezentraler Schutzmechanismen erlaubt die Realisierung des Prinzips eines autonomen Schutzes; bei sorgfältiger Konfiguration bleiben besonders geschützte Subnetze auch dann gesichert, wenn die zentrale Firewall durch einen Eindringling überwunden wurde.
Mit gestaffelten Firewalls kann - anders als bei zentralen Lösungen - das datenschutzrechtlich bedeutsame Prinzip der informationellen Gewaltenteilung abgebildet werden, mit dem es nicht zu vereinbaren wäre, wenn die Verwaltung als informatorisches Ganzes betrachtet würde. Die Teilnetze können sowohl gegen Angriffe von außen - aus dem Internet - als auch untereinander abgeschottet werden.
Da gestaffelte Lösungen besser als ausschließlich zentrale Firewalls die Anforderungen der Benutzer abbilden können, ist auch die Gefahr der Umgehung der kontrollierten Schnittstellen durch Schaffung "wilder" Internet-Zugänge geringer. Zudem würden sich die Folgen derartiger Verstöße gegen die festgelegte Sicherheitspolitik besser isolieren lassen.
Auch gestaffelte Firewalls sind mit einem insgesamt hohen Administrations- und Pflegeaufwand verbunden, der jedoch auf die zentrale Firewall und die dezentralen Firewalls verteilt ist. Die Festlegung der individuellen Benutzerrechte kann dabei im wesentlichen den anwendernäheren dezentralen Firewalls zugeordnet werden.
Server, die Dienste für Internet-Nutzer zur Verfügung stellen wie WWW oder Mail, werden häufig hinter einer Firewall in der sogenannten entmilitarisierten Zone (DMZ, Demilitarized Zone, auch Screened Subnet) eingerichtet, von der das interne Netz durch eine (weitere) Firewall abgeschottet ist. Dies hat den Vorteil, daß das lokale Netz auch dann noch geschützt ist, wenn ein Angreifer bis zum WWW-Server gelangt.
Die entmilitarisierte Zone kann beispielsweise zwischen zwei Firewalls realisiert werden (vgl. Abbildung 3.3). Durch Verwendung unterschiedlicher Firewall-Produkte läßt sich dabei eine höhere Sicherheit erreichen, da mögliche Fehlfunktionen bei unabhängiger Entwicklung der Produkte wahrscheinlich nicht gleichzeitig auftreten.
Die Aufgaben der beiden Firewalls können auch von nur einer Firewall mit mehreren Schnittstellen übernommen werden, mit denen sich mehrere Netze mit unterschiedlicher Sicherheit bilden lassen. So können auch eine oder mehrere entmilitarisierte Zonen eingerichtet werden. Diese Lösung ist kostengünstiger, verzichtet aber auf die erhöhte Sicherheit.
Zumeist werden neben der Firewall Router eingesetzt, die oft die Funktion von Packet-Filtern übernehmen können. Damit läßt sich eine "Sandwich-Lösung" (vgl. Abbildung 3.4) realisieren, die durch Verwendung unterschiedlicher Systeme eine erhöhte Sicherheit gewährleisten kann. Auch hier ist die Einrichtung einer entmilitarisierten Zone möglich.
Die Anordnung von Mail-, WWW- und DNS-Servern bei Sandwich-Systemen mit entmilitarisierten Zonen wird in der folgenden Abbildung beispielhaft veranschaulicht:
4. Auswahl und Umsetzung der Sicherheitsmaßnahmen; Betriebsphase |