Auswahl von Firewall-Produkten
Auswahl von Firewall-Produkten
Auswahl von Firewall-Produkten
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
levanter Hersteller können die einschlägigen<br />
„Bunten Bücher“ des US-<br />
Verteidigungsministeriums (z.B. das<br />
Orange Book) einen Anhaltspunkt liefern.<br />
In Deutschland hat das Bundesamt<br />
für Sicherheit in der Informationsverarbeitung<br />
(BSI, www.bsi.de) das<br />
sogenannte IT-Grundschutzhandbuch<br />
herausgegeben und auf der Homepage<br />
auch eine <strong>Firewall</strong>studie publiziert,<br />
die allerdings bereits <strong>von</strong> 1997 datiert.<br />
Derartige Werke sind für Fachleute<br />
wie Kauffels umstritten, weil ihnen<br />
die Betrachtung dynamischer Komponenten<br />
völlig fehlt und Sicherheit im<br />
Grundanforderungen<br />
an <strong>Firewall</strong>-Systeme<br />
• Jeglicher Datenverkehr <strong>von</strong> innen<br />
nach außen (und umgekehrt)<br />
läuft über die <strong>Firewall</strong>.<br />
• Nur autorisierter Verkehr darf die<br />
<strong>Firewall</strong> passieren. Welcher Verkehr<br />
autorisiert ist, wird in einer<br />
Sicherheitspolitik definiert.<br />
• Die <strong>Firewall</strong> selbst ist gegen Angriffe<br />
weitestgehend resistent.<br />
Daher darf nach Möglichkeit nur<br />
fehlerfreie Software eingesetzt<br />
werden. Da jedes Programm aber<br />
potentiell Sicherheitslücken enthalten<br />
kann, dürfen nur die unbedingt<br />
notwendigen Programme<br />
auf der <strong>Firewall</strong> installiert<br />
werden. Dies bedeutet insbesondere,<br />
daß auf der <strong>Firewall</strong> weder<br />
graphische Oberflächen zur Verfügung<br />
stehen, noch daß gewöhnliche<br />
Benutzer Login-Möglichkeiten<br />
dort haben.<br />
• Alles was nicht ausdrücklich erlaubt<br />
ist, wird <strong>von</strong> der <strong>Firewall</strong> abgewiesen.<br />
• Die <strong>Firewall</strong> darf nur über einen<br />
vertrauenswürdigen Pfad administrierbar<br />
sein.<br />
Quelle: BSI-Studie „Gesicherte Verbindung<br />
<strong>von</strong> Computernetzen mit<br />
Hilfe einer <strong>Firewall</strong>“<br />
NET 10/99<br />
wesentlichen als die „Sicherheit der<br />
ruhenden Daten“ betrachtet wird.<br />
Das läßt aber gerade die Netze und<br />
die darin „reisenden Daten“ außer<br />
acht. Solche Kriterienkataloge und<br />
Studien können (wie auch unsere<br />
Marktübersicht) also letztlich nur Anhaltspunkte<br />
für die Planung geben.<br />
Anforderungskatalog erstellen<br />
Ein aus der Sicherheitsstrategie abgeleiteter,<br />
klipp und klar formulierter<br />
Anforderungskatalog steht am Anfang<br />
des <strong>Auswahl</strong>prozesses, denn oftmals<br />
fängt die Begriffsverwirrung<br />
schon beim Produktnamen <strong>Firewall</strong><br />
an. Damit wird heutzutage eine Vielzahl<br />
äußerst unterschiedlicher Produkte<br />
benannt.<br />
In den Herstellerverzeichnissen der<br />
einschlägigen Messen CeBIT, Systems,<br />
Exponet und InternetWorld tummeln<br />
sich weit über hundert Firmen, die<br />
entsprechende Produkte an den Kunden<br />
bringen wollen – <strong>von</strong> der israelischen<br />
Hightech-Schmiede über das<br />
kleine, aber feine Softwarehaus bis zu<br />
Weltkonzernen wie Nokia oder IBM.<br />
Oft verbirgt sich hinter einer großen<br />
Adresse das innovative Produkt eines<br />
frisch gestarteten Spezialisten – nur in<br />
anderer Verpackung. Die Flut der Produkte,<br />
die oftmals nur in unterschiedlicher<br />
Verpackung oder in unwesentlichen<br />
Variationen daherkommen, erschwert<br />
die <strong>Auswahl</strong> erheblich.<br />
Da hilft die Definition der beiden Autoren<br />
der vom BSI in Auftrag gegebenen<br />
Studie „Gesicherte Verbindung<br />
<strong>von</strong> Computernetzen mit Hilfe einer<br />
<strong>Firewall</strong>“, Andreas Bonnard und Christian<br />
Wolff vom Fachzentrum Sicherheit<br />
der Zentralabteilung Technik der<br />
Siemens AG in München. Danach ist<br />
eine <strong>Firewall</strong> eine Schutzmaßnahme,<br />
um den Übergang zwischen zwei<br />
Rechnernetzen abzusichern. „Durch<br />
technische und administrative Maßnahmen<br />
muß zugleich dafür gesorgt<br />
werden, daß jede Kommunikation<br />
zwischen den beiden Netzen über die<br />
<strong>Firewall</strong> geführt wird,“ stellen sie die<br />
zentrale Forderung jeder <strong>Firewall</strong>-Installation<br />
auf.<br />
Ziel dieser Maßnahme ist es im Standardfall,<br />
das interne Netz (normalerweise<br />
das Netz des Betreibers, der<br />
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
auch die <strong>Firewall</strong> installiert) vor Angriffen<br />
aus dem externen Netz zu schützen<br />
sowie unerwünschten Datenabfluß<br />
vom internen in das externe Netz<br />
zu verhindern.<br />
Bypässe unterbinden<br />
Gibt es Schleichwege in die geschützten<br />
Bereiche, ist die <strong>Firewall</strong> nicht<br />
mehr als eine Augenwischerei.<br />
Extern steht<br />
dabei im allgemeinen<br />
für<br />
die Kommunikationszugänge<br />
in den<br />
WAN-Bereich.<br />
Extern können<br />
bei In-<br />
Unter www.icsa.net/fwbg hat man Zugriff auf<br />
den <strong>Firewall</strong> Buyer`s Guide <strong>von</strong> ICSA, einem Unternehmen<br />
der Gartner Group, das nach aufwendigen<br />
Prüfungen im eigenen Labor Produktzertifikate<br />
vergibt.<br />
tranets auch die weniger geschützten<br />
Bereiche innerhalb eines internen Netzes<br />
sein, beispielsweise die häufig <strong>von</strong><br />
Außendienstmitarbeitern und Kunden<br />
besuchte Vertriebsabteilung, die sich<br />
schlecht schützen läßt. Auch ein Testnetz<br />
kann durch eine <strong>Firewall</strong> vom inneren<br />
Netz abgeschirmt werden.<br />
Der Schutz des inneren Netzes wird<br />
erreicht, indem unsichere Dienste<br />
durch die <strong>Firewall</strong> (sowohl <strong>von</strong> außen<br />
nach innen als auch umgekehrt, falls<br />
gewünscht) oder aber durch zusätzliche<br />
Maßnahmen abgesichert werden<br />
(z.B. Verschlüsselung). Zugriffskontrolle<br />
und Auditing sorgen zusätzlich<br />
dafür, daß das Prinzip der minimalen<br />
Rechte durchgesetzt wird und Angriffe<br />
durch entsprechende Protokollierung<br />
erkannt werden.<br />
23