Register  Login  
  February 8, 2012  
 Suche  
Home

Beratung
       IT Beratung
       Internet Beratung

Entwicklung
       Individual Software
       IhrPortal
       DotNetNuke

Wissen
       eBusiness
       Internet
          Geschichte
          Protokolle
       Intranet
       Firewall
       MindMapping
          MindManager X5
          MM-Verzeichnis
          MM-Downloads
       WebService
       .NET Programmierung

Downloads

Kontakt

Weblog

HouseIndex

Preisroboter
Weitere Links Minimize
Print  

WissenFirewall    
Firewall Konzepte - Techniken - Sicherheit Minimize
Übersicht | Konzepte | Architektur | Grenzen | Betrieb | Security Policy
Anzeige als mehrere Seiten
Firewall

Konzepte - Techniken - Sicherheit

Die Firewall ist ein speziell für die Sicherheit konfigurierter Rechner.

Auf diesem Rechner ist eine Software installiert, welche von Hause aus, erst mal keine Daten von internen zum externen Netz zulässt.

Die Firewall soll ein internes Netz von Angriffen von außen schützen.

Inhalte und Verweise

  • Konzepte - Sicherheit - Technik
  • Firewall Konzepte
  • Architektur einer Firewall
  • Grenzen einer Firewall
  • Sicherer Betrieb einer Firewall
  • Erstellen einer Security Policy

Firewall Konzepte

Paketfilter

  • Wirkung über Layer 3/4
  • Keine Content-Überprüfung
  • Keine Informationsveränderungen

Paketfilter sind Router oder Rechner mit spezieller Software. Sie verwenden Informationen die zum Filtern von Paketen benutzt werden, welche in der dritten und vierten Schicht der TCP/IP-Protokollfamilie vorhanden sind (Quell- und Zieladresse, Portnummern). Hierfür werden Access- bzw. Deny-Listen benutzt.

Der Paketfilter ist eine sehr preiswerte Lösung, da jeder Router die Möglichkeit besitzt, Paketfilterung durchzuführen.

Ein Problem ist die Erstellung der Access- und Deny-Listen, dies erfordert sehr gute Kenntnisse in der Programmierung des jeweiligen Routers.

Desweiteren können sich, besonders bei komplexen Filterregeln, leicht Fehler einschleichen, welche die Konsistenz der Filterregeln gefährden.

Paketfilter bieten alleine aber keinen ausreichenden Schutz vor Angriffen.

Zum Beispiel kann man einen Paketfilter durch IP-Spoofing überwinden.

Ein weiterer Nachteil ist, daß einfache Router keine Möglichkeiten haben, eine Protokollierung des TCP/IP- Verkehrs vorzunehmen, hierdurch gehen wertvolle Protokollinformationen verloren.

Eine Folge ist, daß man einen Angriff nur schwierig erkennt und ihn ebenso schwer verfolgen kann, da ein Teil der "bösartigen" Pakete ja schon von den Paketfilter-Modulen des Routers verworfen oder abgewiesen werden.

Diesen Nachteil hat man bei neueren Firewallprodukten nicht mehr. Sie bieten inzwischen die Möglichkeit Paketfilterung in Verbindung mit einer vollständigen Protokollierung des TCP/IP-Verkehrs auf einem Dual Homed Host durchzuführen.

Application Gateway

  • Wirkung über Layer 5-7 Infos
  • Logische Unterbrechung der Kommunikationsverbindung
  • Content-Überprüfung
  • Informationsveränderung der Layer 5-7 Infos möglich

Application Level Gateways arbeiten auf der Schicht 7 des OSI-Modells. Sie unterbrechen und untersuchen den Verkehr auf der TCP/IP-Applikationsebene.

Für jede Anwendung, die weitergeleitet wird, verwendet man einen speziellen Code, den Proxy-Server. Er ist gleichzeitig Client und Server.

Der Server im externen Netz "sieht" den Client-Teil des Proxy-Servers und der Client im internen Netz "sieht" den Server-Teil des Proxy-Servers.

Der Proxy-Server übernimmt die Vermittlung.

Durch die vollständige Kontrolle des stattfindenden Datenverkehrs zwischen dem Client und dem Server vom Proxy-Server, kann dieser eine detaillierte Protokollierung vornehmen.

Für jeden Dienst den das Application Level Gateway anbietet, muß ein neues Programm (Proxy-Server) geschrieben werden.

Aus diesem Grund bieten die meisten Firewallprodukte mit Application Level Filterung nur die gängigen Internet-Dienste Gateways an.

In den meistern Firewall-Rechnern ist standardmäßig die TCP/IP abgeschaltet. Um Verbindung aufnehmen zu können muß für den Dienst ein passender Proxy-Server vorhanden sein.

Hier wird das folgende Konzept verfolgt:

"Was nicht ausdrücklich erlaubt ist, ist verboten !"

Circuit Level Gateways

  • Wirkung: Layer 3-7
  • Keine Unterbrechung der Kommunikationsverbindung
  • Informationsveränderung der Layer 3-7 Infos möglich
  • Sichern der UPD-, aktiven FTP- und RPC- basierenden Anwendungen möglich

Circuit Level Gateways fungieren auf der Verbindungsschicht, sie vermitteln als Relais TCP-Verbindungen.

Wenn eine externe Verbindung auf einem TCP-Port des Gateway eingeht, dann kontaktiert dieser das interne Ziel.

Das Gateway kopiert dann die Daten zwischen den Schnittstellen während die Verbindung besteht.

Die Relaisdienste kontrollieren den durchfließenden Datenstrom im Allgemeinen nicht.
Ein Risiko bei abgehenden Verbindungen besteht nicht. Hingegen können eingehende Verbindungen ein Sicherheitsrisiko darstellen, wenn sie allgemein verfügbar sein sollen.
Zum Beispiel könnten interne Benutzer für eingehende Verbindungen auf ihrem Rechner ungeschützte Dienste anbieten.

Architektur einer Firewall

Screening Router (Die einfachste Firewall)

Ein Screening Router ist ein Router, der zwei Netzwerke mittels Paketfilterung "sicher" verbindet. Er stellt die preiswerteste, aber auch die unsicherste Firewallarchitektur dar. Preiswert, weil ein Router bei jeder Netzwerkanbindung bereits vorhanden ist und auf jedem Router Access- und Deny-Listen zur Paketfilterung installiert werden können. Unsicher, weil Paketfilterung allein keine nennenswerte Hürde für einen Hacker darstellt.

Dual Homed Host

Ein "Dual Homed Host" ist ein Rechner, der mit zwei Netzwerkkarten ausgestattet ist. Wie mit einem Router kann man zwei Netzwerke mit einem Dual Homed Host verbinden, mit dem Unterschied, daß bei einem Dual Homed Host die Routingfunktion deaktiviert ist. Das bedeutet, daß der Dual Homed Host den TCP/IP-Verkehr zwischen den beiden Netzen vollständig blockiert.

Über Proxy-Server kann eine kontrollierte und auf der Applikationsebene gefilterte Verbindung zwischen den beiden Netzen hergestellt werden. Verbindungen, für die kein Proxy-Server konfiguriert ist, sind nicht möglich, welches dem folgenden Prinzip entspricht:

"Was nicht ausdrücklich erlaubt ist, ist verboten"

Die Dual Homed Host Architektur hat einen gravierenden Nachteil: Gelingt es einem Angreifer in das System einzudringen, dann ist automatisch das ganze interne Netzwerk "geknackt", da kein weiteres Sicherheitsglied zwischen dem zu schützendem Netz und dem Angreifer liegt.

Screened Host

Bei der "Screened Host"-Architektur wird die primäre Sicherheit durch Paketfilterung erreicht. Ein "sicherer Bastion Host" ist im internen Netzwerk eingerichtet. Der Bastion Host ist der einzige Rechner im internen Netzwerk, zu dem externe Rechner eine Verbindung aufbauen können. Diese Restriktion wird durch entsprechende Accesslisten auf dem Screening Router erreicht. Auch ausgehende Verbindungen können nur über den Bastion Host getätigt werden. Daher besteht wieder keine direkte Verbindung zwischen internen und externen Rechnern. Die Verbindungen über den Bastion Host werden wieder über Proxy-Server abgewickelt. Auch die Screened Host Architektur hat den gleichen großen Nachteil wie die Dual Homed Host-Architektur.

Ist der Screened Host kompromittiert, dann liegt das ganze interne Netz offen.

Three Homed Host

Ein Three Homed Host ist, analog zum Dual Homed Host, ein Rechner mit drei Netzwerkkarten.
Auch hier sind alle Netzwerkinterfaces voneinander isoliert. Die dritte Netzwerkkarte dient dem Aufbau eines "Secure Server Network" (SSN). Das SSN dient dem Schutz von öffentlich zugänglichen Infoservern (z. B. WWW-Server). Will eine Institution einen WWW-Server installieren, kann das auf unterschiedliche Art geschehen. Sie kann den Server auf der externen Seite der Firewall im ungeschützten Netz plazieren. Damit ist der Server ungeschützt zugänglich für Attacken. Die andere Möglichkeit ist, den Server innerhalb des geschützten Netzes, also hinter der Firewall, zu plazieren. Damit müßte man aber einen sehr unsicheren Durchgang durch das Firewallsystem schaffen. Das Secure Server Network ist eine elegante Lösung für dieses Dilemma. Wird der WWW-Server in diesem Netz plaziert, dann ist er vollständig durch die Firewall geschützt, und auch für das interne Netz ergibt sich kein Sicherheitsloch. Aber auch hier hat man denselben Nachteil wie bei Dual Homed- und Screened Host.

Screened Subnet

Die Screened Subnet Architektur kombiniert die Screening Router- und die Dual Homed Host-Architektur.

Ähnlich wie bei Three Homed Host wird ein Secure Server Network oder Screened Subnet geschaffen, in dem dann die Infoserver wie z. B. der WWW-Server plaziert werden.

Durch das Hintereinanderschalten von unabhängigen Komponenten, die unterschiedliche Filterstrategien realisieren, wird ein erheblich höheres Sicherheitsniveau geschaffen. Die Screened Subnet Architektur kann sinnvoll mit einem externen Screening Router und einem Dual Homed Host, mit einem internen Screening Router und einem Dual Homed Host oder mit zwei Screening Routern (intern und extern) und einem Dual Homed Host realisiert werden. In jedem Fall stellt sich dem Angreifer nach dem Überwinden einer Sicherungsschicht eine zweite, bei zwei Screening Routern sogar eine dritte Sicherungsschicht entgegen.

Ein wichtiger Nachteil bleibt aber auch bei dieser Architektur bestehen: Durch die fehlenden Protokollierungsmöglichkeiten der Router fehlen wichtige Protokollinformationen, die beim Erkennen und Zurückverfolgen von Angriffen helfen.

Screened Subnet mit zwei Bastion Host

Diese Architektur ist äquivalent zur Screened Subnet Architektur. Nur wird das Subnet mittels zwei eigenständigen Hosts, auf denen Paketfilterung und Application Level Filterung stattfindet, gebildet.

Dies ist die Architektur mit dem höchsten Sicherheitslevel.

Der Nachteil, daß Protokollinformationen verlorengehen, ist hier aufgehoben. Weitere Vorteile sind hier, dass die Zugangsmöglichkeiten zu den im Secure Server Net befindlichen Servern am flexibelsten gestaltet ist, und dass die Server besser vor Angriffen geschützt werden können.

Nachteile sind hier der hohe Preis und die Tatsache, daß dies die Konfiguration mit dem höchsten Administrationsaufwand ist.

 

Quelle: http://aerzte.freepage.de/enkel/

Grenzen einer Firewall

Eine Firewall ist ein mächtiges Werkzeug zum Schutz von Netzwerken auf den unteren Protokollschichten. Aber einen ultimativen Schutz gegen das Eindringen von Unbefugten in ein geschütztes Netzwerk gibt es nicht, auch die beste Firewall kann dies nicht bieten. Sie kann ein Eindringen höchstenfalls erschweren.

Gegen Angriffe auf höherer Protokollebenen kann eine Firewall nicht schützen.

"Zum Beispiel wäre die einzige Möglichkeit sich vor dem Einschleppen von Viren zu schützen die sehr zeitaufwendige Inspektion der einzelnen Paketinhalte."

Vor fehlerhafter Anwendungssoftware kann eine Firewall ebenso nicht schützen.

Ein Beispiel hierfür ist das Mailingprogramm Sendmail, es reagiert auf bestimmte ungewöhnliche Mailheader unter gewissen Bedingungen mit sicherheitskritischen Aktivitäten.

Da sich eine Firewall im allgemeinen nicht um diese Mailheader kümmert, könnte man höchstens versuchen die bekannt kritischen Header auszusperren. Aber man ist nicht sicher vor einem bisher noch nicht bekannten kritischen Header.

Jede Information, die nach Innen durchgereicht wird, kann Probleme verursachen, sobald sicherheitskritische Komponenten sie in die Finger bekommen.

Gegen Angriffe von innen kann eine Firewall kaum Schutz bieten.

Um trotzdem einen Schutz zu erreichen, kann man in besonders kritische Bereiche des Netzwerkes eine zweite Firewall errichten, um diese dann vom restlichen Netzwerk zu entkoppeln.

Eine Firewall kann auch nur eingeschränkt davor schützen, dass von einem Rechner des internen Netzwerkes aus ein Angriff auf einen Rechner im externen Netz erfolgt.

Eine Firewall ist nur von Nutzen, wenn der ganze Internet-Verkehr über die Firewall hinweg abgewickelt wird.

Sie kann nicht schützen vor Verkehr, der über direkte Netzverbindungen getätigt wird (unter Umgehung der Firewall).

Gibt es neben der über die Firewall bestehende Netzanbindung eine zweite Netzanbindung (z.B. durch ein privates Modem), dann ist automatisch das gesamte Netzwerk ungeschützt.

Weiterhin bietet eine Firewall gegen den Risikofaktor Mensch nur einen unzureichenden Schutz.

Durch Methoden des "Social Engineering" können Anwender dazu gebracht werden, sicherheitskritische Aktivitäten zu entwickeln, ohne etwas vom Schaden den sie anrichten oder anrichten helfen zu ahnen.

Sicherer Betrieb einer Firewall

Entscheidender Bestandteil einer Sicherheitspolitik ist ihre ständige Verbesserung.

Alle beteiligten Komponenten (Firewall) müssen ständig überwacht und nachgebessert werden (durch das Einspielen von Software-Patches z.B.). Auch müssen die umgesetzten Sicherheitsmaßnahmen (insbesondere organisatorische Regelungen) ständig auf ihre korrekte Einhaltung hin überprüft werden. Es sollte in regelmäßigen Abständen überprüft werden, ob neue Zugänge, unter Umgehung der Firewall, geschaffen wurden. Durch regelmäßige Tests muß außerdem überprüft werden, ob alle Filterregeln korrekt umgesetzt worden sind. Dabei ist zu testen, dass nur die Dienste zugelassen werden, die in der Sicherheitspolitik erlaubt sind.

Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind, müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden. Die bei der Beschaffung aufgestellten Forderungen an die Filtermodule müssen umgesetzt und ständig auf Vollständigkeit hin überprüft werden.

Die auflaufenden Protokolldaten sollten regelmäßig auf Unregelmäßigkeiten hin überprüft werden. Diese Tätigkeiten obliegen dem Sicherheitsmanager, dem Datenschutzbeauftragten und dem Firewalladministrator.

Erstellen einer Security Policy

Bevor man eine passende Firewall zu planen und auszuwählen beginnt, muß eine Sicherheitspolitik erstellt werden.

In dieser wird festgelegt, wie die Netzanbindung der Firma oder Organisation gestaltet werden soll.

Die Entwicklung einer Sicherheitspolitik geht in drei Schritten vonstatten. Als erstes wird festgestellt, welches Sicherheitsniveau für die Firma angemessen ist.

Danach wird ein Sicherheitsmanagement-Team gebildet, welches schließlich die Sicherheitspolitik erarbeitet.

In der Beschreibung der Sicherheitspolitik gibt es keine technischen Beschreibungen, wie zum Beispiel ein Paketfilter zu konfigurieren ist, dies ist Aufgabe eines Umsetzungskonzeptes.

Einer Sicherheitspolitik beschreibt die Vorgaben, die der Paketfilter nach der Konfiguration erfüllen soll und dies in möglichst allgemeinverständlicher Form.

In der folgenden Abschnitten sind einige sinnvolle Inhalte der Sicherheitspolitik erläutert.

Organisatorische Maßnahmen

  • Den Mitarbeitern der Firma wird untersagt, Netzzugänge zu schaffen (z.B. eigene Modems), welche die Firewall umgehen.
  • Ein Netzbetrieb ohne Firewall muß ausgeschlossen werden (Überbrückung).
  • Das interne Firmennetz kann nur über eine einzige IP-Adresse (die der Firewall) erreicht werden.
  • Die Adressen interner Rechner werden nicht Außenstehenden bekanntgegeben.

Maßnahmen zum Schutz der Firewall Hardware

  • Der oder die Firewallrechner muß in einem speziellen abgesicherten Raum mit geeigneten Katastrophenschutzeinrichtungen und Zugangskontrolle untergebracht werden.
  • Es ist eine unterbrechungsfreie Stromversorgung für die Firewall (USV) vorzusehen.
  • Es ist ein Schutz gegen die Abstrahlungen des Administrationsterminals vorzusehen, damit das Ausspähen von Konfigurationsdaten erschwert wird.

Maßnahmen zum Schutz der Firewall Software

  • Um die Firewall zu konfigurieren wird nach dem Konzept "Was nicht ausdrücklich erlaubt ist, ist verboten" vorgegangen. Hierzu wird ein abgespecktes "sicheres" Betriebssystem verwendet. Es werden nur die Programmteile, die zum Betreiben des Firewall unbedingt notwendig sind, installiert.
  • Die Firewall wird mit geeigneten Virenschutzprogramme versehen. Es muß sichergestellt werden, dass Originalsoftware verwendet wird. Sie ist von einer schreibgeschützten Diskette aus zu starten. Die Firewall muss während der Viren-/ Integritätsprüfung vom Netz abgeklemmt werden.
  • Es ist ein geeignetes Backupkonzept zu entwerfen, und die Backups müssen sicher aufbewahrt werden. Die Protokolldaten der Firewall sind täglich zu sichern. Es müssen wöchentliche und monatliche Backups der Logdateien erstellt werden. Die Konfigurationsdaten und die eigentliche Firewallinstallation sollten nach jeder Änderung gesichert werden.
  • Der Firewallrechner darf nicht für andere Tätigkeiten verwendet werden, d.h. es darf außer der Firewallsoftware keine zusätzliche Software eingespielt werden.

Maßnahmen zur Schulung der Mitarbeiter

  • Die Mitarbeiter, die Zugang zum öffentlichen Netz (Internet) haben, müssen gegenüber Sicherheitsaspekten mittels Aufklärung und Schulung sensibilisiert werden. Es ist große Aufmerksamkeit der Gestaltung und der Handhabung von Paßwörtern zu widmen.
  • Die Benutzer müssen auf Verbote und Gefahren hingewiesen werden, die beim Hereinholen von Programmen und Dateien existieren.

Dokumentation der erlaubten Dienste

  • Email (SMTP)
  • FTP (Dateitransfer)
  • Anonymous FTP (Dateitransfer an unautorisierte Außenstehende)
  • ICMP (Fehler- und Diagnoseinformationen)
  • WAIS (Suche nach Schlüsselworten in Dokumenten im Internet)
  • HTTP (WWW)
  • DNS (Zur Übersetzung von Rechnernamen in IP-Adressen und umgekehrt)
  • TELNET (entfernter Terminalzugang)

Dokumentation der verbotenen Dienste

Hier werden die bekanntesten Protokolle/Dienste explizit genannt. Alle weiteren, hier nicht genannten, werden ebenfalls gesperrt:

telnet, tftp, whois, finger, archie, fsp, uucp, remote-Kommandos (BSD), rexec, rex, talk, irc, syslog, Nfs, NIS / yp, epr/pr, SNMP, RIP, NTP, ARP

Erstellung von Eskalationsplänen

  • Findet ein Angriff auf das Firmennetz oder ein Einbruch in das Firmennetz statt, dann liegt es im Ermessen der verantwortlichen Administratoren, welche Maßnahmen zu ergreifen sind. Kriterien für die Entscheidung (Verfolgung oder nicht) sind der z.B. entstandene Schaden und die Erfolgsaussichten einer Verfolgung. Der Aufwand, der bei einer Verfolgung des Täters betrieben wird, muß im Verhältnis zum entstandenen oder zu erwartenden Schaden stehen.
  • Die Firewall wird am Anfang des Betriebes so eingestellt, daß die Alarmschwelle sehr niedrig angesetzt ist. Die Firewall gibt beim geringstem Anlaß eine Alarmmeldung an den Administrator aus. Später im laufendem Betrieb kann die Alarmschwelle evtl. stufenweise nach oben gesetzt werden (nach Sammlung von Erfahrungen).
  • Es ist ein geeignetes Verfahren zu entwickeln, wie dem Systemverwalter sicherheitsrelevante Unregelmäßigkeiten gemeldet werden.

Maßnahmen zur Protokollierung

  • Die Protokollierung des IP-Verkehrs ist eine der wichtigsten Funktionen einer Firewall. Jede aufgebaute und abgewiesene Verbindung auf der Anwendungsschicht muß protokolliert werden (Benutzer-Identifikation, IP-Adresse des Quell- und Zielrechners, Portnummer, Zeit und Datum). Aus den entstehenden Protokolldateien können Nutzerprofile erstellen werden. Es muß festgelegt werden, wie lange Protokolldateien gespeichert bleiben und wer die Protokolle einsehen darf (Administrator u. Stellvertreter sowie Revisor). Es ist auf die Einhaltung des Zweckbindungsgrundsatzes zu achten. Siehe §14 Abs. 4 BDSG. Die Protokollierung muß den datenschutzrechtlichen Bestimmungen entsprechen. Die Mitarbeiter müssen über ihre Rechte und über den Umfang der Nutzdatenfilterung informiert werden.
  • Bei einem Ausfall der Protokollierungskomponente muß eine Warnung ausgegeben werden. Die Firewall muß so zu konfigurieren sein, daß bei einem Ausfall der Protokollierungskomponente jegliche nicht administrative Nutzung der Firewall unterbunden wird.
Syndicate   Print  

Google Minimize
Print  

Artikel Minimize
Sie wollten schon immer wissen, was eine Firewall ist und wie eine Firewall funktioniert und welche Arten von Firewall es gibt. Dann lesen Sie einfach hier   


Print  

GoogleAds Minimize
Print  

  Home | Beratung | Entwicklung | Wissen | Downloads | Kontakt | Weblog | HouseIndex | Preisroboter  
  Schelian IT Beratung   Terms Of Use | Privacy Statement