Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 7. „KLASSISCHE“ FIREWALLS IN IP-NETZEN<br />
¯ die e<strong>in</strong>zige Verb<strong>in</strong>dung zwischen den beiden Netzwerken darstellt und<br />
¯ Zugriffskontrolle und Audit<strong>in</strong>g des Datentranfers zwischen beiden Netzwerken durchführt.<br />
Der „klassische“ IP-Firewall wird zur Zugriffskontrolle zwischen dem Internet und e<strong>in</strong>em lokalen<br />
Netzwerk e<strong>in</strong>gesetzt. Firewalls können aber auch sicherheitsrelevantere <strong>in</strong>terne Netzwerke (Kaskade<br />
von Firewalls) gegen Angriffe von außen schützen.<br />
Dieser Beitrag gliedert sich <strong>in</strong> folgende Abschnitte: Im ersten Abschnitt werden die Elemente e<strong>in</strong>es<br />
Firewalls (Packet-Screen, Proxy-Server und Bastion) beschrieben. Im zweiten Abschnitt wird gezeigt,<br />
wie sich die Elemente von Firewalls <strong>in</strong> die grundlegenden Architekturen e<strong>in</strong>gliedern. In diesem Abschnitt<br />
wird auch die <strong>Sicherheit</strong> der e<strong>in</strong>zelnen Firewall-Architekturen verglichen. Danach wird anhand<br />
von zwei Firewallarchitekturen beschrieben, wie die im letzten Abschnitt beschriebenen Konzepte <strong>in</strong><br />
der Praxis e<strong>in</strong>gesetzt werden können. Zum Abschluß werden die Grenzen von Firewalls aufgezeigt.<br />
7.2 Elemente e<strong>in</strong>es Firewalls<br />
7.2.1 Packet-Screen<br />
Die Zugriffskontrolle durch e<strong>in</strong>e Packet-Screen erfolgt auf der Grundlage der Header-Informationen<br />
<strong>in</strong> den TCP/IP, UDP und ICMP Datagrammen (OSI Schichten 3 und 4, siehe auch [Möller 99]). Filterregeln,<br />
die vom Adm<strong>in</strong>istrator vorgegeben werden, geben an, welche Datagramme die Packet-Screen<br />
passieren dürfen oder gesperrt werden. Es gibt zwei verschiedene Filterstrategien:<br />
Gebotsregeln: Alles, was nicht explizit erlaubt ist, ist verboten.<br />
Verbotsregeln: Alles, was nicht explizit verboten ist, ist erlaubt.<br />
E<strong>in</strong>e größere <strong>Sicherheit</strong> gewährleistet die erste Filterstrategie. Nur Datagramme, deren Weiterleitung<br />
durch e<strong>in</strong>e Gebotsregel explizit erlaubt worden ist, können die Packet-Screen passieren. Fehler bei der<br />
Festlegung der Regeln bewirken deshalb im allgeme<strong>in</strong>en, daß erlaubte Datagramme durch e<strong>in</strong>e fehlerhafte<br />
Regel gesperrt werden. Bei der zweiten Filterstrategie bewirkt e<strong>in</strong>e fehlerhafte Verbotsregel,<br />
daß Datagramme, die durch diese Regel gesperrt werden sollten, die Packet-Screen passieren können.<br />
Es ist i.a. nicht möglich, alle Schwachstellen im <strong>in</strong>ternen Netzwerk zu schließen. Z.B. kann e<strong>in</strong> Host<br />
im <strong>in</strong>ternen Netzwerk e<strong>in</strong>en Dienst anbieten, den e<strong>in</strong> Benutzer ohne Kenntnis des Adm<strong>in</strong>istrators<br />
e<strong>in</strong>gerichtet hat. Werden nur die <strong>in</strong> den Verbotsregeln angegebenen Dienste gesperrt, kann dieser<br />
Dienst aber immer noch von außen angegriffen werden. Da der Adm<strong>in</strong>istrator nicht weiß, daß dieser<br />
Dienst e<strong>in</strong>gerichtet worden ist, kann er diesen Dienst nicht explizit <strong>in</strong> den Regeln berücksichtigen.<br />
Werden allerd<strong>in</strong>gs nur die erlaubten Dienste <strong>in</strong> den Gebotsregeln angegeben, ist der Dienst von außen<br />
nicht angreifbar. Ohne Kenntnis des Systemadm<strong>in</strong>istrators kann <strong>in</strong> diesem Fall also ke<strong>in</strong> eventuell<br />
angreifbarer Dienst e<strong>in</strong>gerichtet werden, der dem Internet zur Verfügung steht.<br />
Gefiltert wird nach :<br />
1. IP-Quell- und Zieladresse<br />
2. Datagrammtyp (TCP / UDP / ICMP / IP)<br />
102 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>