Firewall

Firewall

Firewalls - Bollwerke gegen unbefugte Netzzugriffe

Firewalls sind nach wie vor unerlässlich, um Netzwerke vor Angriffen aus dem Internet zu schützen. Sie verhindern aber auch unerwünschte Manipulationen durch Fehlverhalten innerhalb des Intranetzes. Die Auswahl und Konfiguration einer Firewall muss dabei in ein Gesamtkonzept integriert werden. Firewalls lassen sich grundsätzlich in Paketfilter und Application-Gateways einteilen. Ideal wäre eine mehrstufige Firewall-Anordnung aus bestehend aus einem Application-Gateway, das sowohl zum Internet als auch zum LAN mit einem zusätzlicher Paketfilter-FW geschützt wird. Neue Gefahren, beispielsweise durch aktive Inhalte wie Active-X-Controls, erfordern dabei eine ständige Überprüfung der Sicherheitsregeln (Policy) und der Firewall-Konfiguration.

Dem Anwender wird empfohlen, vor der Realisierung eines Internet-Anschlusses und vor der Beschaffung eines konkreten Firewall-Produktes eine Reihe wichtiger Fragen zu beantworten:

Was soll geschützt werden?

Welche Dienste sind für wen erforderlich?

Wer darf wann und mit welchen Rechten die Firewall passieren?

Wer administriert die Firewall?

Welche Verbindungsdaten werden protokolliert?

Wie werden diese Verbindungsdaten zur nachträglichen Analyse archiviert?

Wer wertet diese Daten wie häufig aus?

Welcher Datendurchsatz ist zu erwarten?

Was ist eine Firewall?

Eine Firewall ist eine Barriere, die ungewollte Zugriffe auf das Netzwerk und deren dahintergelagerten Systeme und Server verhindern soll, damit deren Funktionalität nicht beeinträchtigt oder zum erliegen kommt. Sie ist nicht dafür ausgelegt Netzwerke gegen Attacken zu schützen, die auf die Dateninhalte gehen.
Ein Beispiel: Der Internet-Mail Wurm/Virus "I love you" wurde als Anhang mit einem EMail mit versand. Dieser Content (Inhalt) konnte durch die Firewall nicht als schadhaft erkannt werden; der Schaden war mit dieser Methode nicht zu verhindern. Dies zeigt, dass eine komplette Netzwerk-Sicherheits-Strategie implementiert werden muss, die auch z.B. Virenscanning von EMails mit beinhaltet.

Regelwerke der Firewallimplementation

Der erste Schritt zur Implementierung einer Firewall die Zusammenstellung einer wirkungsvollen und nachvollziehbaren Durchgangs-Policy. Für den SoHo Bereich könnte dies wie folgt aussehen:

Jeder Nutzer aus dem privaten Netz darf ins Internet
Keiner aus dem Internet darf ins das private Netz

Wird ein eigener Server betrieben (z.B. Mailserver), der aus dem Internet aus angesprochen werden soll, so wird das Regelwerk dementsprechend erweitert:

Jeder Nutzer aus dem privaten Netz darf ins Internet
Keiner aus dem Internet darf ins das private Netz
Jeder Nutzer aus dem Internet hat Zugang auf einen/mehrere bestimmte Sever

Diese Regeln basieren ausschliesslich auf IP-Adressen. Um den Server vor ungewollten Programmen zu schützen, wird der Zugang bei einem Web-Server nur auf das HTTP-Protokoll eingeschränkt. Diese Regel arbeitet im Gegensatz zu den oberen auf Portbasis (HTTP = Port 80):

Jeder Nutzer aus dem privaten Netz darf ins Internet
Keiner aus dem Internet darf ins das private Netz
Jeder Nutzer aus dem Internet hat Zugang über Port 80 (HTTP) auf einen/mehrere bestimmte Server

So kann das Regelwerk beliebig für weitere Dienste erweitert bzw. eingeschränkt werden. Wichtigste Regel:

alles verbieten

einzeln zulassen

Auch hier noch einmal der Hinweis: Es kann immer nur der Server oder ein Service zugelassen oder eingeschränkt werden. Ist das Tor offen, so besteht immer noch die Möglichkeit für einen Angreifer den Rechner zu beeinträchtigen. Eine Firewall ist kein allumfassender Schutz, weitere Massnahmen müssen auch auf dem Server implementiert werden.

Folgende Kriterien hat eine Firewall zu erfüllen:

Unterstützung einer High-Level Security
Durchführung sicherer Regeln zur Zugangüberprüfung über ein breites Spektrum an Internetprotokollen
Unterstützung von Auditierungs-, Logging- und Reportingwerkzeugen
Effektive und sichere Methoden für eine lokale bzw. remote Administration
Keine allzu starken Geschwindigkeitseinschränkungen

Wie teuer in Anschaffung und Betrieb?

In vielen Umgebungen, egal ob zu Hause, im kleinen Büro, mittleren Unternehmen oder auch in Grossunternehmen spielt die Kostenseite immer eine wichtige Rolle. Eine kostengünstige Lösung kann eine gute Lösung sein, wenn immer wieder danach geschaut wir, ob neue Treiber, Probleme oder Technologieänderungen berücksichtigt werden.

Drei Arten von Firewalltechnologien

Packet Filtering Firewall
- Ursprungsfirewall, oft wurde diese Funktion von einem Router übernommen
- Pakete wurden auf Quelladresse, Zieladresse, Quellport und/oder Zielport überprüft
- Vorteil: Günstig, geringe Belastung der CPU
- Einschränkung: Policy basiert nur auf der Netzwerk- bzw. Transportschicht, offene TCP- oder UDP-Ports laden zum Missbrauch ein

Application Gateway Firewall
- Weiterentwicklung, wobei jeder Datentransfer über ein Programm (Proxy) abgewickelt wird
- Proxies sind spezifisch für Programme oder Protokolle
- Nur Protokolle, für die ein solcher Proxy implementiert wurde, werden durchgelassen
- Vorteil: sehr sicher in Zusammenarbeit mit einem Paketfilterfirewall
- Einschränkung: hohe Belastung der CPU, teure Hardware; da es meist auf Rechnern läuft, muss das Betriebssystem mit viel Aufwand abgesichert werden (Angriffspunkt)

Stateful Inspection Firewall
- Dritte Generation an Firewalls, bekannt auch als dynamischer Paketfilter-Firewall
- Versteht die Inhalte von der Netzwerkschicht (IP) bis in die Applikationsschicht
- Verfolgt den Status einer Sitzung (Session) vom Anfang bis zum Ende
- Vorteil: Monitoring des Datenflusses, dynamische Nutzung der regelbasierenden Filter, einfache Integration von neuen Internetapplikationen, geringen Belastung der CPU
- Einschränkung: teilweise teure Hardware und Software

Firewall Accounting

Die Firewall sollte das Mitschreiben von Ereignissen unterstützen, um die verschiedenen Arten der Regeln (Policies) während des Datenflusses beobachten zu können. Die mitgeschiebenen Daten beinhalten u.a.

Datum und Zeit des Ereignisses
das Ereignis in kurzer beschriebener Form
eingehend oder ausgehend
IP-Adresse von Quelle und Ziel
IP-Port von Quelle und Ziel
betreffende Applikation (z.B. HTTP)
Statistische Auswertung des Ereignisses

Firewall Trigger

Trigger sollten basierend auf einem zu bestimmenden Kriterium dynamisch das Ändern der Konfiguration eines Routers unterstützen. Durch diesen Trigger angestossen sollte dann ein vorkonfiguriertes Script ablaufen.
Angestossene Firewall Ereignisse sind beispielsweise:

HOSTSCAN
PORTSCAN
TCPATTACK
SYNATTACK
DOSFLOOD
SMURFATTACK
FRAGATTACK

Start oder Ende eines Ereignisses aktivieren den Trigger. Beispielsweise könnte dies ein Abschalten eines Netzwerkinterfaces sein mit gleichzeitiger Information an den Netzwerkadministrator mittels Mail.

RADIUS, LDAP und Access-Listen

Ein externer RADIUS oder LDAP Server kann zur Nutzeridentifizierung mitbenutzt werden. Dies macht eine zentrale und vereinfachte Netzwerkadministration auf Personen, Dienste oder IP-Adressen möglich.

© kahlhans.de
Stand August 2002