Firewall
Firewalls - Bollwerke gegen unbefugte Netzzugriffe
Firewalls sind nach wie vor unerlässlich, um Netzwerke vor Angriffen aus dem Internet
zu schützen. Sie verhindern aber auch unerwünschte Manipulationen durch Fehlverhalten
innerhalb des Intranetzes. Die Auswahl und Konfiguration einer Firewall muss dabei in ein
Gesamtkonzept integriert werden. Firewalls lassen sich grundsätzlich in Paketfilter
und Application-Gateways einteilen. Ideal wäre eine mehrstufige Firewall-Anordnung aus
bestehend aus einem Application-Gateway, das sowohl zum Internet als auch zum LAN mit einem
zusätzlicher Paketfilter-FW geschützt wird. Neue Gefahren, beispielsweise durch aktive
Inhalte wie Active-X-Controls, erfordern dabei eine ständige Überprüfung der
Sicherheitsregeln (Policy) und der Firewall-Konfiguration.
Dem Anwender wird empfohlen, vor der Realisierung eines Internet-Anschlusses und vor
der Beschaffung eines konkreten Firewall-Produktes eine Reihe wichtiger Fragen zu
beantworten:
Was ist eine Firewall?
Eine Firewall ist eine Barriere, die ungewollte Zugriffe auf das Netzwerk und deren
dahintergelagerten Systeme und Server verhindern soll, damit deren Funktionalität
nicht beeinträchtigt oder zum erliegen kommt. Sie ist nicht dafür ausgelegt
Netzwerke gegen Attacken zu schützen, die auf die Dateninhalte gehen.
Ein Beispiel: Der Internet-Mail Wurm/Virus "I love you" wurde als Anhang mit einem EMail
mit versand. Dieser Content (Inhalt) konnte durch die Firewall nicht als schadhaft erkannt
werden; der Schaden war mit dieser Methode nicht zu verhindern. Dies zeigt, dass eine komplette
Netzwerk-Sicherheits-Strategie implementiert werden muss, die auch z.B. Virenscanning von
EMails mit beinhaltet.
Regelwerke der Firewallimplementation
Der erste Schritt zur Implementierung einer Firewall die Zusammenstellung einer wirkungsvollen
und nachvollziehbaren Durchgangs-Policy. Für den SoHo Bereich könnte dies wie folgt
aussehen:
Wird ein eigener Server betrieben (z.B. Mailserver), der aus dem Internet aus angesprochen
werden soll, so wird das Regelwerk dementsprechend erweitert:
Diese Regeln basieren ausschliesslich auf IP-Adressen. Um den Server vor ungewollten
Programmen zu schützen, wird der Zugang bei einem Web-Server nur auf das HTTP-Protokoll
eingeschränkt. Diese Regel arbeitet im Gegensatz zu den oberen auf Portbasis (HTTP = Port 80):
So kann das Regelwerk beliebig für weitere Dienste erweitert bzw. eingeschränkt werden.
Wichtigste Regel:
Auch hier noch einmal der Hinweis: Es kann immer nur der Server oder ein Service zugelassen
oder eingeschränkt werden. Ist das Tor offen, so besteht immer noch die Möglichkeit für
einen Angreifer den Rechner zu beeinträchtigen. Eine Firewall ist kein allumfassender
Schutz, weitere Massnahmen müssen auch auf dem Server implementiert werden.
Folgende Kriterien hat eine Firewall zu erfüllen:
Wie teuer in Anschaffung und Betrieb?
In vielen Umgebungen, egal ob zu Hause, im kleinen Büro, mittleren Unternehmen oder auch
in Grossunternehmen spielt die Kostenseite immer eine wichtige Rolle. Eine kostengünstige
Lösung kann eine gute Lösung sein, wenn immer wieder danach geschaut wir, ob neue Treiber,
Probleme oder Technologieänderungen berücksichtigt werden.
Drei Arten von Firewalltechnologien
Firewall Accounting
Die Firewall sollte das Mitschreiben von Ereignissen unterstützen, um die verschiedenen
Arten der Regeln (Policies) während des Datenflusses beobachten zu können. Die
mitgeschiebenen Daten beinhalten u.a.
Firewall Trigger
Trigger sollten basierend auf einem zu bestimmenden Kriterium dynamisch das
Ändern der Konfiguration eines Routers unterstützen. Durch diesen Trigger
angestossen sollte dann ein vorkonfiguriertes Script ablaufen.
Angestossene Firewall Ereignisse sind beispielsweise:
Start oder Ende eines Ereignisses aktivieren den Trigger. Beispielsweise könnte
dies ein Abschalten eines Netzwerkinterfaces sein mit gleichzeitiger Information an den
Netzwerkadministrator mittels Mail.
RADIUS, LDAP und Access-Listen
Ein externer RADIUS oder LDAP Server kann zur Nutzeridentifizierung mitbenutzt werden.
Dies macht eine zentrale und vereinfachte Netzwerkadministration auf Personen, Dienste
oder IP-Adressen möglich.
© kahlhans.de
Stand August 2002