Technisch-Organisatorische Maßnahmen
Startseite

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet

Zur Planung 2. Vorbereitung und Planung

Zur Inhaltsübersicht FIREWALL-SYSTEME

 
3.1  Grundlagen

Soll ein Verwaltungsnetz an das Internet angeschlossen werden, so kann dies entweder durch einen zentralen Zugang oder durch mehrere dezentrale erfolgen. Aus Sicherheitsgründen ist für ein (Teil-)Netz mit einheitlichem Schutzbedarf ein zentraler Zugang vorzuziehen. Die durch die Anbindung hervorgerufenen Sicherheitsrisiken lassen sich durch Einsatz einer Firewall reduzieren.

Unter einer Firewall ("Brandschutzmauer") wird eine Schwelle zwischen zwei Netzen verstanden, die überwunden werden muß, um Systeme im jeweils anderen Netz zu erreichen. Die Hauptaufgabe einer Firewall besteht darin, zu erreichen, daß jeweils nur zugelassene netzübergreifende Aktivitäten möglich sind und daß Mißbrauchsversuche frühzeitig erkannt werden. Üblicherweise wird dabei davon ausgegangen, daß die Teilnehmer des internen Netzes (hier: des Verwaltungsnetzes) vertrauenswürdiger sind als die Teilnehmer des externen Netzes (hier: des Internet). Gleichwohl sind Firewall-Lösungen auch geeignet, die "grenzüberschreitenden" Aktivitäten der internen Nutzer, d.h. den Übergang zwischen verschiedenen Teilnetzen (z.B. Ressortnetze) innerhalb eines Verwaltungsnetzes zu begrenzen. Mit Hilfe von Firewall-Systemen lassen sich die vorher in der Kommunikationsanalyse definierten Anforderungen weitgehend technisch erzwingen (Policy-Enforcer).

 
3.1.1  Charakteristika von Firewall-Systemen

Firewalls weisen die folgenden Charakteristika auf:

  • Die Firewall ist die definierte und kontrollierte Schnittstelle zwischen dem zu schützenden und dem nicht vertrauenswürdigen Netz.
  • Im internen Netz besteht jeweils ein einheitliches Sicherheitsniveau. Eine weitere Differenzierung nach Sicherheitsstufen geschieht - zumindest auf der Ebene des Netzes - nicht.
  • Die Firewall setzt eine definierte Sicherheitspolitik (Security Policy) für das zu schützende Netz voraus; in diese müssen die Anforderungen aller vernetzten Stellen einfließen.
  • Es besteht die Notwendigkeit die Benutzerprofile derjenigen internen Teilnehmer, die mit Rechnern in dem externen Netz kommunizieren dürfen, auf die Firewall abzubilden.
Die Stärke der Firewall hängt wesentlich von der eingesetzten Technik und ihrer korrekten Administration ab; entscheidend für die Sicherheit sind jedoch auch die Staffelung und die organisatorische Einbindung von Firewalls in die EDV-Infrastruktur.

 
3.1.2  Schutzniveau

Von besonderer Relevanz ist es, für den von einer Firewall geschützten Bereich das erforderliche Schutzniveau zu definieren. Diese Anforderung kann mit drei Lösungsvarianten erfüllt werden:

  1. einheitlich hohes Schutzniveau im internen Netz, d.h. Orientierung am höchsten vorhandenen Schutzbedarf;
  2. einheitlich niedriges Schutzniveau, d.h. Orientierung am niedrigsten vorhandenen oder an einem insgesamt geringen oder mittleren Schutzbedarf;
  3. einheitlich niedriges Schutzniveau sowie Durchführung zusätzlicher Maßnahmen zum Schutz von Netzkomponenten mit höherem Schutzbedarf.
Die Varianten 1 und 2 entsprechen am ehesten zentralen Firewall-Lösungen, wobei angesichts der Sensibilität der in der Verwaltung verarbeiteten Daten Variante 2 indiskutabel und mit den Anforderungen des Datenschutzrechts unvereinbar sein dürfte. Variante 3 führt zur Lösung gestaffelter Firewalls, d.h. zu einer Konstellation, bei der neben einer zentralen, den mittleren Schutzbedarf abdeckenden Firewall (die u.a. die interne Netzstruktur nach außen sichert) bereichsbezogen und bedarfsorientiert Firewall-Anschlüsse mit unterschiedlichem Sicherheitsniveau implementiert werden können. Allerdings können selbst bei einheitlich hohem Schutzniveau im Gesamtnetz gestaffelte Firewalls sinnvoll sein, um den möglichen Schaden, der mit Sicherheitsverletzungen verbunden ist, auf ein Netzsegment zu begrenzen. Dies gilt insbesondere auch für die Abwehr von internem Mißbrauch.

 
3.2  Firewall-Technologien

Eine Firewall kann durch verschiedene Konzepte realisiert werden. Im wesentlichen unterscheidet man folgende Grundkonzepte:

  • Packet Filter (Packet Screen, Screening Router)
  • Application Level Gateway (Dual-homed Gateway)
  • Stateful Inspection (Stateful Packet Filter, Dynamic Packet Filter)
Ein Packet Filter (auch Packet Screen oder Screening Router) ist ein Router, der IP-Pakete zur Unterscheidung zwischen der erlaubten und unerlaubten Nutzung von Kommunikationsdiensten filtert. Packet Filter können nach Quell- und Zieladresse sowie nach Quell- und Zielport filtern. Damit ist sowohl einschränkbar, welche Rechner im zu schützenden und welche im unsicheren Netz an der Kommunikation beteiligt sein dürfen, als auch, welche Kommunikationsdienste erlaubt sind. Die Filterregeln sind an die Netzschnittstellen gebunden. Sie werden vom Packet Filter in der Reihenfolge abgearbeitet, in der sie angegeben sind.

Ein Application Level Gateway ist ein speziell konfigurierbarer Rechner, über den die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz stattfindet. Ein Application Level Gateway arbeitet im Gegensatz zum Packet Filter auf der Anwendungsschicht, d.h. die Kontrolle der Kommunikationsbeziehungen findet auf Anwendungsebene statt. Für jeden Dienst (Telnet, FTP usw.) werden Security Proxys eingeführt, die den direkten Zugriff auf den Dienst verhindern. Hierbei bestehen z.B. die Möglichkeiten einer ausführlichen Protokollierung (Audit) und einer benutzerbezogenen Authentisierung für die unterschiedlichen Dienste. Die meisten Application Level Gateways sind nicht in der Lage, zu unterscheiden, über welche Netzschnittstelle ein Paket hereinkommt. Ein Application Level Gateway mit zwei Netzschnittstellen wird Dual-homed Gateway genannt.

Die Kombination von Packet Filter und Application Level Gateway wird als Screened Gateway, Transparent Application Gateway oder Sandwich-System bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden Einzelkomponenten erheblich. Die Anordnung der beteiligten Komponenten kann variieren und erlaubt die individuelle Realisierung eines Firewall-Konzeptes.

Stateful Inspection (auch Stateful Packet Filter oder Dynamic Packet Filter) ist eine recht neue Firewall-Technologie und arbeitet sowohl auf der Netz- als auch auf der Anwendungsschicht. Die IP-Pakete werden auf der Netzschicht entgegengenommen, von einem Analysemodul, das dynamisch im Betriebssystemkern geladen ist, zustandsabhängig inspiziert und gegenüber einer Zustandstabelle abgeglichen. Die Regeln, nach denen das Modul agiert, können sehr differenziert vorgegeben werden. Für die Kommunikationspartner stellt sich eine Firewall mit Stateful Inspection als eine direkte Leitung dar, die nur für eine den Regeln entsprechende Kommunikation durchlässig ist. Im Out-Of-Band-Betrieb erfolgt die Wartung und Konfiguration nicht über TCP/IP. Die Firewall besitzt dann keine eigene IP-Adresse, so daß keine Möglichkeit besteht, sie über TCP/IP direkt aus den angeschlossenen Netzen anzusprechen oder auf diesem Wege anzugreifen. Optional führt die Firewall ein Rewriting durch, d.h. Pakete werden vor dem Weitersenden nach vorgegebenen Regeln transformiert.

Stateful Inspection vereinigt bereits konzeptuell die Schutzmöglichkeiten von Packet Filter und Application Level Gateway, so daß diese beiden Funktionen nicht in getrennten Komponenten realisiert werden müssen. Experten streiten sich darüber, welches Konzept in welcher Realisierung mehr Sicherheit mit sich bringt. Inzwischen werden auch hybride Firewalls angeboten, die zusätzlich zur Stateful Inspection Proxys wie beim Application Gateway zur Verfügung stellen.

Vorteile Nachteile
Packet Filter

(Router oder Rechner mit spezieller Software)

 leicht realisierbar, da von vielen Routern angeboten

leicht erweiterbar für neue Dienste

Router auf dem Markt verfügbar

Transparenz für den Benutzer

Arbeitsgeschwindigkeit

 Übernahme des Packet Filter durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit

es ist bei den meisten Produkten nicht möglich, Dienste nur für bestimmte Benutzer zuzulassen

alle Dienste, die erlaubt und erreicht werden können, müssen sicher sein

Protokollierung nur auf unteren Netzschichten möglich

keine Authentisierung möglich

Dual-homed Gateway

(Application Level Gateway mit zwei Netzschnittstellen)

 kein Paket kann ungefiltert passieren

aussagekräftige Protokollierung auf höheren Schichten möglich

interne Netzstruktur wird verborgen durch den Einsatz von Network Address Translation (NAT)

 Übernahme des Gateways durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit

keine Transparenz für den Benutzer

Probleme bei neuen Diensten, schlechte Skalierbarkeit

Screened Gateway

(Anordnung aus Application Level Gateway mit einem oder zwei Packet Filtern (Teilnetz-Bildung))

 kein direkter Zugang zum Gateway möglich

interne Netzstruktur wird verborgen

Network Address Translation (NAT)

vereinfachte Regeln durch 2. Filter

durch Einsatz mehrerer Gateways läßt sich die Verfügbarkeit steigern

aussagekräftige Protokollierung möglich

 keine Transparenz für den Benutzer

bei Realisation mit mehreren Rechnern und Routern: erhöhter Platzbedarf

Probleme bei neuen Diensten, schlechte Skalierbarkeit

Stateful Inspection

(Firewall-Rechner mit zustandsabhängiger Analyse und Reaktion)

 gute Skalierbarkeit

arbeitet auf Netz- und Anwendungsschicht

Out-Of-Band-Betrieb: keine Angriffsmöglichkeit über TCP/IP

interne Netzstruktur wird verborgen

Rewriting möglich (über NAT hinaus)

umfangreiche Authentisierungsvarianten

 Übernahme des Gateways durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit

keine Zwischenspeicherung, daher nicht volle Gateway-Funktionalität und kein Caching

schneller Rechner erforderlich, da wegen der umfangreichen Analyse und Aktionsmöglichkeiten sonst Performance-Einbußen

 
3.3  Firewall-Architekturen

Neben den im folgenden dargestellten Architekturen von Firewalls sind auch Abwandlungen oder Kombinationen der Anordnungen möglich.

 
3.3.1  Zentrale Firewalls

Rein zentrale Firewall-Lösungen (vgl. Abbildung 3.1) sind durch folgende Aspekte charakterisiert:

  • Die zentrale Firewall bildet die einzige Schnittstelle (Choke Point) zwischen dem kompletten zu schützenden Verwaltungsnetz und dem übrigen Internet.
  • Innerhalb des gesamten Verwaltungsnetzes besteht ein einheitliches Sicherheitsniveau; eine weitere Differenzierung nach Sicherheitsstufen erfolgt nicht.
  • Eine Kontrolle der internen Verbindungen durch die Firewall ist nicht möglich.
  • Die zentrale Firewall setzt eine definierte Sicherheitspolitik für das gesamte Verwaltungsnetz voraus. Abweichende Sicherheitspolitiken für besonders schützenswerte Bereiche sind auf Netzebene nicht durchsetzbar.
  • Es besteht die Notwendigkeit einer zentralen Benutzerverwaltung. Für jeden Teilnehmer muß sowohl auf Dienstebene als auch bezogen auf die zugelassenen Adressen die zulässige Kommunikation festgelegt werden.
Da eine zentrale Firewall eine Differenzierung nach Teilnetzen nicht unterstützt und dementsprechend ein einheitliches Sicherheitsniveau für das gesamte Verwaltungsnetz voraussetzt, muß sich der Grad des gewährleisteten Schutzes nach den sensibelsten Daten richten und ist dementsprechend hoch. Dies hat jedoch für Verwaltungsbereiche mit weniger sensiblen Daten den Nachteil, unnötig hohe Schranken zu errichten. Daraus ergibt sich die Gefahr, daß gerade von diesen Stellen zusätzliche Internet-Zugänge mit geringeren Restriktionen geschaffen werden, wodurch der gesamte Zweck der Firewall ad absurdum geführt wird.



Abbildung 3.1:  Zentrale Firewall-Anordnung

Ein weiterer Nachteil zentraler Firewalls besteht in dem - auch aus dem Großrechnerbereich bekannten - Problem, daß eine Benutzerverwaltung, die fernab von dem jeweiligen Fachbereich erfolgt, häufig zu Abweichungen zwischen der Realität von Benutzerrechten und deren Abbildung in Form von Accounts führt.

Da eine Firewall Zugriffe innerhalb des internen Netzes nicht kontrolliert, besteht bei rein zentralen Lösungen die Gefahr, daß das gesamte Verwaltungsnetz als eine Einheit betrachtet wird und insofern nur die Zugriffe von oder nach außen restringiert werden. Dieser Aspekt ist zwar nur mittelbar Teil des Themas "Internet-Anbindung", muß bei einer Gesamtbetrachtung von Netzsicherheit jedoch unbedingt einbezogen werden.

Der Einsatz einer alleinigen zentralen Firewall ist allenfalls dann vertretbar, wenn alle angeschlossenen Teilnetze über ein gleiches Sicherheitsbedürfnis bzw. -niveau verfügen und zudem nicht die Gefahr des internen Mißbrauchs besteht. Davon kann in behördenübergreifenden Verwaltungsnetzen mit einer Vielzahl angeschlossener Rechner jedoch nicht ausgegangen werden.

 
3.3.2  Gestaffelte Firewalls

Gestaffelte Firewall-Lösungen (vgl. Abbildung 3.2) sind durch folgende Aspekte charakterisiert:

  • Es handelt sich um eine Kombination zentraler und dezentraler Komponenten, wobei durch eine zentrale Firewall ein Mindestschutz für das Gesamtnetz gegenüber dem Internet realisiert wird und dezentrale Firewalls in Subnetzen mit besonderem Schutzbedarf ein angemessenes Schutzniveau sicherstellen.
  • Innerhalb des jeweiligen geschützten Subnetzes besteht jeweils ein einheitliches Sicherheitsniveau.
  • Eine Kontrolle der verwaltungsinternen Verbindungen ist möglich, sofern die Kommunikation den durch dezentrale Firewalls geschützten Bereich überschreitet.
  • Auch ein gestaffeltes Firewall-System setzt eine definierte Sicherheitpolitik für das Gesamtnetz voraus. Bei ihrer Definition müssen insbesondere die Anforderungen an einen zu garantierenden Grundschutz einfließen. Darüber hinaus sind für die Subnetze gesonderte Sicherheitsanforderungen zu definieren.
  • Die Benutzerverwaltung kann weitgehend dezentralisiert werden. Allerdings sind einheitliche Regeln festzulegen, nach denen Benutzer das Recht haben, über die zentrale Firewall mit Systemen im Internet in Verbindung zu treten.
  • Auch die dezentralen Firewalls müssen qualifiziert administriert werden.



Abbildung 3.2:  Gestaffelte Firewall-Anordnung

Für die dezentralen Firewalls bieten sich prinzipiell die gleichen Technologien wie bei einer zentralen Firewall an. Die Kombination zentraler und dezentraler Schutzmechanismen erlaubt die Realisierung des Prinzips eines autonomen Schutzes; bei sorgfältiger Konfiguration bleiben besonders geschützte Subnetze auch dann gesichert, wenn die zentrale Firewall durch einen Eindringling überwunden wurde.

Mit gestaffelten Firewalls kann - anders als bei zentralen Lösungen - das datenschutzrechtlich bedeutsame Prinzip der informationellen Gewaltenteilung abgebildet werden, mit dem es nicht zu vereinbaren wäre, wenn die Verwaltung als informatorisches Ganzes betrachtet würde. Die Teilnetze können sowohl gegen Angriffe von außen - aus dem Internet - als auch untereinander abgeschottet werden.

Da gestaffelte Lösungen besser als ausschließlich zentrale Firewalls die Anforderungen der Benutzer abbilden können, ist auch die Gefahr der Umgehung der kontrollierten Schnittstellen durch Schaffung "wilder" Internet-Zugänge geringer. Zudem würden sich die Folgen derartiger Verstöße gegen die festgelegte Sicherheitspolitik besser isolieren lassen.

Auch gestaffelte Firewalls sind mit einem insgesamt hohen Administrations- und Pflegeaufwand verbunden, der jedoch auf die zentrale Firewall und die dezentralen Firewalls verteilt ist. Die Festlegung der individuellen Benutzerrechte kann dabei im wesentlichen den anwendernäheren dezentralen Firewalls zugeordnet werden.

 
3.3.3  Entmilitarisierte Zone

Server, die Dienste für Internet-Nutzer zur Verfügung stellen wie WWW oder Mail, werden häufig hinter einer Firewall in der sogenannten entmilitarisierten Zone (DMZ, Demilitarized Zone, auch Screened Subnet) eingerichtet, von der das interne Netz durch eine (weitere) Firewall abgeschottet ist. Dies hat den Vorteil, daß das lokale Netz auch dann noch geschützt ist, wenn ein Angreifer bis zum WWW-Server gelangt.

Die entmilitarisierte Zone kann beispielsweise zwischen zwei Firewalls realisiert werden (vgl. Abbildung 3.3). Durch Verwendung unterschiedlicher Firewall-Produkte läßt sich dabei eine höhere Sicherheit erreichen, da mögliche Fehlfunktionen bei unabhängiger Entwicklung der Produkte wahrscheinlich nicht gleichzeitig auftreten.



Abbildung 3.3:  Kaskadierte Firewall-Anordnung mit DMZ

Die Aufgaben der beiden Firewalls können auch von nur einer Firewall mit mehreren Schnittstellen übernommen werden, mit denen sich mehrere Netze mit unterschiedlicher Sicherheit bilden lassen. So können auch eine oder mehrere entmilitarisierte Zonen eingerichtet werden. Diese Lösung ist kostengünstiger, verzichtet aber auf die erhöhte Sicherheit.

 
3.3.4  Screened Gateway

Zumeist werden neben der Firewall Router eingesetzt, die oft die Funktion von Packet-Filtern übernehmen können. Damit läßt sich eine "Sandwich-Lösung" (vgl. Abbildung 3.4) realisieren, die durch Verwendung unterschiedlicher Systeme eine erhöhte Sicherheit gewährleisten kann. Auch hier ist die Einrichtung einer entmilitarisierten Zone möglich.



Abbildung 3.4:  Screened Gateway (Sandwich-System)

Die Anordnung von Mail-, WWW- und DNS-Servern bei Sandwich-Systemen mit entmilitarisierten Zonen wird in der folgenden Abbildung beispielhaft veranschaulicht:



Abbildung 3.5:  Screened Gateway (Sandwich-System) mit DMZ

Seitenanfang
4. Auswahl und Umsetzung der Sicherheitsmaßnahmen;
Betriebsphase		 Zur Betriebsphase
 Letzte Änderung:
 am 22.02.1999
E-Mail an den Webmaster