Auswahl von Firewall-Produkten

Weitere Magazine

Empfehlungen

Info

levanter Hersteller können die einschlägigen „Bunten Bücher“ des US- Verteidigungsministeriums (z.B. das Orange Book) einen Anhaltspunkt liefern. In Deutschland hat das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI, www.bsi.de) das sogenannte IT-Grundschutzhandbuch herausgegeben und auf der Homepage auch eine Firewallstudie publiziert, die allerdings bereits von 1997 datiert. Derartige Werke sind für Fachleute wie Kauffels umstritten, weil ihnen die Betrachtung dynamischer Komponenten völlig fehlt und Sicherheit im Grundanforderungen an Firewall-Systeme • Jeglicher Datenverkehr von innen nach außen (und umgekehrt) läuft über die Firewall. • Nur autorisierter Verkehr darf die Firewall passieren. Welcher Verkehr autorisiert ist, wird in einer Sicherheitspolitik definiert. • Die Firewall selbst ist gegen Angriffe weitestgehend resistent. Daher darf nach Möglichkeit nur fehlerfreie Software eingesetzt werden. Da jedes Programm aber potentiell Sicherheitslücken enthalten kann, dürfen nur die unbedingt notwendigen Programme auf der Firewall installiert werden. Dies bedeutet insbesondere, daß auf der Firewall weder graphische Oberflächen zur Verfügung stehen, noch daß gewöhnliche Benutzer Login-Möglichkeiten dort haben. • Alles was nicht ausdrücklich erlaubt ist, wird von der Firewall abgewiesen. • Die Firewall darf nur über einen vertrauenswürdigen Pfad administrierbar sein. Quelle: BSI-Studie „Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall“ NET 10/99 wesentlichen als die „Sicherheit der ruhenden Daten“ betrachtet wird. Das läßt aber gerade die Netze und die darin „reisenden Daten“ außer acht. Solche Kriterienkataloge und Studien können (wie auch unsere Marktübersicht) also letztlich nur Anhaltspunkte für die Planung geben. Anforderungskatalog erstellen Ein aus der Sicherheitsstrategie abgeleiteter, klipp und klar formulierter Anforderungskatalog steht am Anfang des Auswahlprozesses, denn oftmals fängt die Begriffsverwirrung schon beim Produktnamen Firewall an. Damit wird heutzutage eine Vielzahl äußerst unterschiedlicher Produkte benannt. In den Herstellerverzeichnissen der einschlägigen Messen CeBIT, Systems, Exponet und InternetWorld tummeln sich weit über hundert Firmen, die entsprechende Produkte an den Kunden bringen wollen – von der israelischen Hightech-Schmiede über das kleine, aber feine Softwarehaus bis zu Weltkonzernen wie Nokia oder IBM. Oft verbirgt sich hinter einer großen Adresse das innovative Produkt eines frisch gestarteten Spezialisten – nur in anderer Verpackung. Die Flut der Produkte, die oftmals nur in unterschiedlicher Verpackung oder in unwesentlichen Variationen daherkommen, erschwert die Auswahl erheblich. Da hilft die Definition der beiden Autoren der vom BSI in Auftrag gegebenen Studie „Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall“, Andreas Bonnard und Christian Wolff vom Fachzentrum Sicherheit der Zentralabteilung Technik der Siemens AG in München. Danach ist eine Firewall eine Schutzmaßnahme, um den Übergang zwischen zwei Rechnernetzen abzusichern. „Durch technische und administrative Maßnahmen muß zugleich dafür gesorgt werden, daß jede Kommunikation zwischen den beiden Netzen über die Firewall geführt wird,“ stellen sie die zentrale Forderung jeder Firewall-Installation auf. Ziel dieser Maßnahme ist es im Standardfall, das interne Netz (normalerweise das Netz des Betreibers, der Auswahl von Firewall-Produkten auch die Firewall installiert) vor Angriffen aus dem externen Netz zu schützen sowie unerwünschten Datenabfluß vom internen in das externe Netz zu verhindern. Bypässe unterbinden Gibt es Schleichwege in die geschützten Bereiche, ist die Firewall nicht mehr als eine Augenwischerei. Extern steht dabei im allgemeinen für die Kommunikationszugänge in den WAN-Bereich. Extern können bei In- Unter www.icsa.net/fwbg hat man Zugriff auf den Firewall Buyer`s Guide von ICSA, einem Unternehmen der Gartner Group, das nach aufwendigen Prüfungen im eigenen Labor Produktzertifikate vergibt. tranets auch die weniger geschützten Bereiche innerhalb eines internen Netzes sein, beispielsweise die häufig von Außendienstmitarbeitern und Kunden besuchte Vertriebsabteilung, die sich schlecht schützen läßt. Auch ein Testnetz kann durch eine Firewall vom inneren Netz abgeschirmt werden. Der Schutz des inneren Netzes wird erreicht, indem unsichere Dienste durch die Firewall (sowohl von außen nach innen als auch umgekehrt, falls gewünscht) oder aber durch zusätzliche Maßnahmen abgesichert werden (z.B. Verschlüsselung). Zugriffskontrolle und Auditing sorgen zusätzlich dafür, daß das Prinzip der minimalen Rechte durchgesetzt wird und Angriffe durch entsprechende Protokollierung erkannt werden. 23
Auswahl von Firewall-Produkten Sicherheit auf verschiedenen Ebenen Die Firewall kann dabei auf den unterschiedlichsten Ebenen des ISO-7- Schichtenmodells arbeiten. Als unterste Schicht ist dabei Vermittlungsschicht mit dem IP-Protokoll sinnvoll. Ist der Zugriff von außen auf das Intranet nicht zulässig, kann so mit einfa- Selbst dort, wo Check Point nicht draufsteht, ist häufig die Firewall-1 des marktführenden Unternehmens drin (Foto: Check Point) chen Mitteln sehr preiswert ein wirksamer Basisschutz installiert werden, indem einfach aufgrund der bekannten MAC- und IP-Adresse der Zugriff erlaubt oder gesperrt wird. Ähnlich funktioniert das Prinzip auf der Schicht 4 mit dem TCP-Protokoll, auf Basis der TCP-Portnummer. Man spricht in diesen Fällen von Paketfiltern. Anfällig werden diese Paketfilter immer dann, wenn auch nur einigen wenigen Benutzeradressen der Zugriff aus dem externen auf das interne Netz erlaubt wird. Das führt z.B. zu den berüchtigten Spoofing- Angriffen, bei denen der Firewall eine autorisierte Quelladresse vorgespiegelt wird. Da heute aber der Zugriff auf das Internet gang und gäbe ist, sind Paketfilter, die üblicherweise bereits standardmäßig auf Routern oder ähnlichen Netzkomponenten installiert werden, vor allem zur Aufteilung des internen Netzes bzw. zur Schaffung virtueller Netze nützlich. Dabei ist der Unterschied zwischen simplen statischen Paketfiltern (die nur den Verkehr zwischen fest vorgegebenen Adreßpaaren kontrollieren) und auf- wendigeren dynamischen Filtern zu beachten, die den Socket gesendeter Datenpakete speichern und auf dieser Basis auch die sogenannten UDP- Dienste wie NFS oder RPC kontrollieren können, die keinen festen TCP- Port verwenden. Strenger als der Paketfilter arbeitet das Circuit-Relay, das die Relation zwischen TCP/IP-Endeinrichtungen als Basis der Schutzdefinition verwendet. Dazu wird festgelegt, wer mit wem, wie, wann und mit welchen Parametern kommunizieren darf. Es eignet sich hervorragend für Netze, in denen Benutzer sich ohne weitere Einschränkungen im Internet bewegen dürfen, jedoch nur bedingt, wenn Benutzer sich aus dem externen Netz in das interne Netze einschalten dürfen. Denn gegen gezielte Angriffe auf Anwendungen, zum Beispiel durch das Erzeugen offener Verbindungen, ist ein Circuit-Relay machtlos. Außerdem kann es ganz erheblich auf die Performance drücken. Dennoch: Für die Definition der Benutzerrechte im Intranet ist es ideal geeignet, da ein unbemerktes Durchbrechen der Abschottung von innen nur mit erheblichem Aufwand möglich und daher eher unwahrscheinlich ist. Die aufwendigste, aber auch sicherste Implementierung einer Firewall bilden die sogenannten Application Gateways, die ihre Kontrollen auf Anwendungsebene durchführen. Aufgrund der daraus resultierenden Leistungseinbuße (längere Antwortzeiten!) scheint es für die interne Organisation zu aufwendig, liefert aber für die Abschottung nach außen ein hohes Maß an Sicherheit und eine Plattform zur Implementierung weiterer Sicherheitsmechanismen, wie zum Beispiel die Verschlüsselung. Der Proxy als „Vorkoster“ Ein Application Gateway sorgt für Sicherheit, indem es für die zu schützende Anwendung einen Proxy genannten vertrauenswürdigen Stellvertreter vorschaltet, mit dem jeder Anwender aus dem externen Netz zunächst verbunden wird. Der Proxy hat keine andere Aufgabe, als die schutzwürdigen Interna (z.B. IP- oder TCP-Adressen und andere Parameter) zu verbergen. Im schlimmsten Fall sollte ein Angreifer den Proxy zerstören können, beraubt sich aber damit der Brücke ins interne Netz. Die neue Generation dieser Gateways kontrolliert nicht nur statisch die eingehenden Anfragen, sondern wertet auch dynamisch die Verhaltensmuster von Sessions und Verbindungen aus. Für den Fall der Fälle kann zusätzlich auch ein Monitor eingesetzt werden, der den Datenverkehr zwischen externem Besucher und Proxy analysiert und bei Auffälligkeiten eingreift. Für solche und ähnliche Aufgaben gibt es mittlerweile eine ganze Reihe sogenannter Intrusion Detection Systeme – aber das ist ein anderes Thema. Alle Typen von Firewalls lassen sich auch noch in unterschiedlichster Art und Weise implementieren, wobei je nach Sicherheitsanforderung ein abgestufter Einsatz von Routern, Firewalls und auch Remote Access-Servern in Betracht kommt. Die sicherste aber auch aufwendigste Form der Implementierung ist die als „Dual Bastion Host“, die dem Umstand Rechnung trägt, daß eine Firewall ja auch aus dem internen Netz heraus angegriffen werden könnte. Dabei wird das Gateway an beiden Anschlüssen, zum internen und zum externen Netz, über Paketfilter geschützt, wobei der gesamte Datenverkehr zwischen beiden Netze alle drei Hürden überwinden muß. Auf gute Noten in der Produkt-Evaluierung der META Group kam auch Axent mit Raptor (Foto: Axent) 24 NET 10/99
Seite 1: THEMENSCHWERPUNKT SICHERHEIT IN NET
Seite 5: Auswahl von Firewall-Produkten Hers

Auswahl von Firewall-Produkten

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?