Rubrik: Produkte/Hintergrund

IT SecCity: Gedanken zur Implementierung, zum Aufbau, Design und Betrieb von Firewalls

Vor dem Firewall-Konzept steht eine Analyse des Sicherheitsbedarfs des Unternehmens

(16.08.04) - Firewalls sind die wichtigsten Bollwerke gegen Eindringlinge. Doch nicht nur die Sicherheit, auch die Leistungsfähigkeit der virtuellen Brandschutzmauern ist entscheidend. Prinzipiell existieren zwei unterschiedliche Sorten von Firewalls. Die einfachste und auch preiswerteste Art sind die so genannten Paketfilter. Dabei überprüft eine Software jedes einzelne Datenpaket an Hand von Informationen wie der IP-Ursprungs- oder -Zieladresse, der TCP/UDP-Portnummern oder den ICMP- Message-Type. Die Alternative zu Paketfilter-Firewalls ist der Einsatz von Proxy-Servern, auch Application Level Gateway genannt. Diese trennen den direkten Datenstrom zwischen externem und internem Netz.

Eine universelle Vernetzung öffnet die Schwachpunkte jedes einzelnen Systems für alle anderen Netzteil-nehmer. Denn sobald zwischen dem lokalen Netz und dem Internet eine Verbindung besteht, können Angreifer versuchen, Daten zu stehlen oder DOS (Denial of Serice)-Angriffe - Attacken auf die Funktionali-tät der IT - starten. Damit sensible Informationen nicht in falsche Hände geraten und der Betrieb des eigenen LANs sowie der FTP-Server gesichert ist, müssen die Verantwortlichen in den Firmen und Organisationen das lokale Netzwerk vor Angriffen von Außen schützen.

Denn die Bedrohung durch Hacker wächst. Sie bemühen sich aktiv, in ein Computer-System einzubrechen und dieses zu schädigen, wofür sie inzwischen über viele Werkzeuge verfügen. Die einfachsten sind Probes und Scanner, welche die angebotenen Dienste eines Systems prüfen und ein Profil daraus erstellen. Auf diese Weise lassen sich Schwachpunkte finden, an denen die Hacker in einen Computer eindringen und dort die Kontrolle übernehmen können. So besteht zum Beispiel die Möglichkeit, so genannte "Trojanische Pferde" einzuschleusen. Dabei handelt es sich um Computer-Programme, die sich auf Rechnersystemen einnisten und dem Hacker den Zugriff auf sämtliche Dateien verschaffen oder gar die Kontrolle über den Computer oder über das gesamte Netz ermöglichen. Oft setzen die Angreifer auch Viren als Hilfsmittel ein, MS Blast oder Lovsan sind aktuelle Beispiele. Der QAZ-Wurm ist ein Beispiel für die verschwimmende Grenze zwischen Viren und Hackern. Dieser Schädling fand ein großes Medien-Echo, weil er wichtige Firmengeheimnisse des von ihm angegriffenen Unternehmens offen legte. Er wurde im Sommer 2000 entdeckt und verbreitete sich durch Netzwerkverbindungen, wobei er ein "Backdoor"-Programm installierte, mit dem Passworte vom Rechner eines Opfers gestohlen werden konnten.

Diese Gefahren haben auch die Unternehmen erkannt. Probates Mittel: Der Einsatz von Firewalls. Laut einer Untersuchung der Unternehmensberatung Frost & Sullivan sind vor allem bei kleinen und mittleren Unternehmen die "Brandschutzmauern" stark im Kommen. Insgesamt soll das Marktvolumen von 409 Millionen Dollar im Jahr 2000 auf rund 1,25 Milliarden Dollar im Jahr 2005 steigen. Die verfügbaren Lösungen reichen von der Zusatzsoftware bis hin zu speziellen Geräten, die ausschließlich auf diese Aufgabe ausgelegt sind. Der Trend geht dabei zu hardwarebasierten Lösungen. "Wir gehen davon aus, dass der Softwaresektor im Jahr 2005 einen Umsatzanteil von rund 38 Prozent erwirtschaften wird, während die Appliances den Markt klar dominieren", so Jose Lopez, Research Analyst bei Frost und Sullivan. In ihrer grundlegenden Funktionsweise unterscheiden sich die Systeme allerdings nur wenig.

Prinzip einer Firewall

Eine Firewall ist vergleichbar mit einer Zoll- oder Grenzschutzeinrichtung. An der Schnittstelle zweier Netze - beispielsweise einem Firmennetz und dem Internet - überprüft sie alle ein- und ausgehenden Datenpakete, vergleicht diese mit der durch die Konfiguration festgelegten Sicherheitspolitik und entscheidet schließlich, ob das Datenpaket durchgelassen oder abge-blockt wird. Dabei läuft der gesamte Datenverkehr zwischen den beiden Netzen über die Firewall. So wird gewährleistet, dass nur zulässige Daten in das Unternehmen hinein oder aus dem Unternehmen heraus kommen. Denn oftmals versuchen Angreifer, absichtlich inkorrekt formatierte Netzpakete, die Schwachstellen in Applikationen oder Betriebssystemen ausnutzen, einzu-schleusen und dadurch das Firmennetz zu stören. Zudem kann die Firewall interne Benutzer davon abhalten, sicherheitsrelevante Informationen wie unverschlüsselte Passwörter oder vertrauliche Daten nach außen zu geben und dadurch das System zu gefährden.

·         Paketfilter

Prinzipiell existieren zwei unterschiedliche Sorten von Firewalls. Die einfachste und auch preiswerteste Art sind die so genannten Paketfilter. Dabei überprüft eine Software jedes einzelne Datenpaket an Hand von Informationen wie der IP-Ursprungs- oder -Zieladresse, der TCP/UDP-Portnummern oder den ICMP- Message-Type. Anhand von konfigurierten Filterregeln wird eine Weiterleitung erlaubt oder abgelehnt. Falls das Datenpaket die Filter passiert sorgt der Router für die Weiterleitung des Pakets, andernfalls verwirft er es. Wenn keine Regel greift, verfährt der Paketfilterungs-Router nach den Default-Einstellungen.

Von Vorteil bei den Paketfiltern ist die hohe Transparenz für den Benutzer, denn weder Applikationen noch Abläufe müssen modifiziert werden. Zudem zeichnen sich diese Lösungen durch einen hohen Paketdurchsatz aus und sind zumeist sehr kostengünstig, da die Filterung von einem vorhandenen Router durchgeführt werden kann. Doch die Paketfilterung hat auch Nachteile. So ist neben detaillierten Protokollkenntnissen für eine komplexe Filterung auch eine lange Regelliste notwendig. Vor allem bei großen internen Netzen führt dies zu komplizierten und damit fehlerträchtigen Filter-Konfigurationen. Zudem sind derartige Listen sehr aufwändig, schwer zu verwalten und auch schwierig zu testen, da häufig geeignete Werkzeuge fehlen. So genannten Data driven-Attacken stellen ebenfalls ein Problem dar: Scheinbar harmlose Daten mit verstecktem Code können die Firewall passieren und dann die Sicherheitseinstellungen ändern.

·         Proxy Server

Die Alternative zu Paketfilter-Firewalls ist der Einsatz von Proxy-Servern, auch Application Level Gateway genannt. Diese trennen den direkten Datenstrom zwischen externem und internem Netz. Der Proxy übernimmt dabei als Stellvertreter die Kommunikation zum Ziel-rechner, wodurch gezielt einzelne applikationsspezifische Features wie beispielsweise der FTP-Befehl "put" gefiltert werden. Ebenso sind Applikationserweiterungen, wie zum Beispiel die Integration einer Authentisierung, möglich. Das Resultat beim Einsatz von Proxys: Der Host bleibt nach außen hin verborgen und die Proxy-Rechner sind als einziger Knotenpunkt zwischen lokalem und globalem Netz geschaltet. Dadurch schützen sie die lokalen Rechner. Denn nur der Proxy-Server ist Angriffen von außen ausgesetzt.

Die Vorteile der Proxy-Server liegen in ihrem hohen Sicherheitsniveau. So sind unterschiedliche Formen der Nutzer-Authentifizierung (Authentisierung) möglich, Dienste können nutzerspezifisch zugelassen oder gesperrt werden und ein selektives Sperren bestimmter Protokoll-Kommandos ist möglich. Zudem ist ein umfassendes Login realisierbar und die Konfiguration ist relativ einfach. Allerdings weisen Proxy-Server eine geringere Perfomance als die Paketdienste auf und sind auf Grund modifizierter Abläufe nicht immer transparent für den Benutzer.

Auf die Implementierung kommt es an

Doch egal für welche Art von Firewall sich ein Unternehmen entscheidet: Um eine umfassende Sicherheit zu gewährleisten, ist die richtige Realisierung der Lösung von entscheidender Bedeutung. Firewall-Systeme sind komplex und bedürfen einer wohlüberlegten Sicherheitstrategie. Eine Lösung zu kaufen und einfach zu starten funktioniert dabei nicht. Grundlage für den erfolgreichen Einsatz ist ein vorbereitendes Konzept sowie die regelmäßige Wartung und Analyse der vom Firewall-System erstellten Protokolle sowie das Anpassen der Policy an veränderte Bedingungen.

Neben der Sicherheit gilt es aber auch, die Performance der Brandschutzmauern zu bedenken. Schließlich muss der gesamte Datenverkehr über diese laufen. Zudem setzen immer mehr CIOs auf die Kontrolle des internen Netzverkehrs und setzen zwischen einzelne Netzsegmente Firewalls. Um die in der Regel enormen internen Datenmengen zu bewältigen, sind leistungsfähige Lösungen gefragt.

Welche Anforderungen konkret an die Firewall-Systeme diesbezüglich notwendig sind, ist allerdings nicht immer einfach festzustellen. Unternehmen sollten sich daher bei der Realisierung einer entsprechenden Lösung von erfahrenen Spezialisten unterstützen lassen. Denn schon vor der Anschaffung müssen Bedarf, Kosten, Nutzen und Risiken analysiert werden, um ein durchdachtes Konzept zu erstellen. Nur erfahrene Experten vermeiden hierbei gefährliche Sicherheitslöcher und überzogene Kosten.

Appliance-Pakete: Rundum-Sorglos mit externen Dienstleistern

Das haben auch die Unternehmen erkannt. In der Regel verfügen diese nur über eingeschränkte Personal-ressourcen in den IT-Abteilungen, um die zunehmend komplexeren Infrastrukturen sicher zu halten. Die Anwender fragen deswegen verstärkt nach integrierten Sicherheitslösungen. Diese "Security Appliances" sorgen für Sicherheit mit einer Kombination aus Software und Hardware. Der Aufwand für den Administra-tor beschränkt sich in der Regel auf eine verhältnismäßig überschaubare Konfiguration, oder bei kombinier-ten Dienstleistungspaketen sogar nur auf die Bereitstellung von Einbauplätzen im Rack.

Analyse

Um das Bewusstsein für mögliche Gefahren bei den Verantwortlichen zu schärfen, bieten IT-Dienstleister häufig eine Security-Demonstration "Live-Hacking" an. Auf mitgebrachten Rechnern werden Sicherheits-lücken demonstriert und das grundsätzliche Vorgehen von Hackern bei einem "Einbruchsversuch" veranschaulicht. Die Vorführung erfolgt mit für jeden zugänglichen Tools und Portscannern. Anhand verschiedener Szenarien wird gezeigt, wie Passworte mit einfachen Mitteln zu knacken sind, welche Informationen über Systeme sich mittels Portscan ermitteln lassen und welche Gefahren von Trojanern ausgehen.

Bevor ein mögliches Firewall-Konzept entworfen werden kann, muss der genaue Sicherheitsbedarf des Unternehmens geklärt werden. Auch eine präzise Überprüfung der vorhandenen Netzwerkstrukturen und der organisatorischen Rahmenbedingungen steht auf dem Programm. Eventuelle Sicherheitslücken deckt der IT-Dienstleister durch einen so genannten externen Penetrationstest auf, der die Firewall-Infrastrukturen überprüft. Bei dieser Untersuchung werden ähnliche Methoden angewendet wie auch Hacker sie verwenden.

Aufbau und Design der Firewall-Lösung

Auf Basis der Analyse-Ergebnisse wird ein individuelles Firewall-Konzept erstellt. Dabei müssen die Integration der Komponenten in die bestehende Infrastruktur geplant und die notwendigen Netzwerk-objekte, Nutzergruppen und Dienste definiert werden. Erst nach der Erstellung des Konzeptes erfolgt die eigentliche Implemtierung der Lösung. Auf Basis der ausgewählten Hardware erfolgt die abgesicherte Grundinstallation des Betriebssystems, der Firewall-Software und weiterer Komponenten. Diese werden gemäß der Planung konfiguriert und vor Inbetriebnahme getestet.

Betrieb der Firewall

Für einen sicheren Betrieb einer Firewall sind die umgesetzten Sicherheitsmaßnahmen regelmäßig auf ihre korrekte Einhaltung zu überprüfen. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder sporadisch auf ihre Einhaltung überprüft werden. Ebenso wichtig ist es, in zyklischen Abständen zu kontrollieren, ob neue Zugänge unter Umgehung der Firewall geschaffen wurden. Zudem muss durch regelmäßige Tests die korrekte Umsetzung aller Filterregeln sichergestellt werden.

Reports

Um über eventuelle Unregelmäßigkeiten im Betrieb informiert zu werden, wird ein fortlaufendes Logbuch geführt. Dieses enthält Angaben zu Konfigurationsänderungen, übertragenen Daten, die Anzahl der Verbindungen und Alarmmeldungen. (Jens Verstaen/ma)