Home - improve
Unser Angebot
Presse-Forum
Veröffentlichungen
Referenzen
Kontakt
Termine

Moderne Firewalls bieten mehr als nur Paket-Filterung

All-In-One Security

Von Klaus Eppele

Das Internet ist heute als Schlüsseltechnologie für Kommunikation, Informationsbeschaffung, als Speichermedium für Wissens- und Erfahrungswerte sowie als Marktplatz für Informationsdienste etabliert. Seit seinen Anfängen haben sich seine Ausmaße vervielfacht und von 1995 bis 2001 war das zahlenmäßige Wachstum allein der .de-Domains nahezu exponential.

Die Endsysteme im weltumspannenden Netzwerk kommunizieren über das Internet Protocol (IP) und verschiedene andere Protokolle, die darauf aufsetzen, wie z. B. TCP, UDP, ICMP. Basis einer solchen Kommunikation sind die IP-Adressen mit der Fähigkeit, alle erreichbaren Einheiten im Netzwerk eindeutig zu identifizieren.

Das Internet selbst existiert als Zusammenschluss verschiedenartiger Netzwerke, die sich sowohl durch die verwendeten Protokolle als auch durch die Ausbreitung unterscheiden. An Knotenpunkten, die zwei oder mehrere Netzwerke miteinander verbinden, entstehen eine Vielzahl von Aufgaben, die von Routern, Bridges oder Gateways übernommen werden. Ein spezieller Fall eines solchen Knotenpunktes ist eine Firewall.

Hier treffen in aller Regel drei Typen von Netzwerken aufeinander:

    • Externes Netzwerk/Wide Area Network (WAN)
    • Internes Netzwerk/Local Area Network (LAN)
    • De-Militarisierte Zone (DMZ)

Bild1Die Firewall ist die Schaltstelle zwischen WAN, LAN und De-Militarisierter Zone (DMZ). (Quelle: Astaro)

 

 

 

 

 

 

Die charakteristischen Aufgaben einer Firewall als Schnittstelle zwischen WAN, LAN und DMZ sind:

    • Schutz vor unbefugten Zugriffen
    • Zugangskontrolle (wer darf wie und worauf zugreifen)
    • Gewährleistung der Beweissicherheit
    • Durchführung von Protokollauswertungen
    • Alarmierung bei sicherheitsrelevanten Ereignissen
    • Verbergen der internen Netzstruktur
    • Entkopplung von Servern und Clients durch Proxies
    • Gewährleistung der Vertraulichkeit/Abhörsicherheit von Daten

Es existieren mehrere generische Netzwerkeinrichtungen, die unter dem Überbegriff Firewall zusammengefasst, diese Aufgaben übernehmen. Im folgenden soll kurz auf einige Formen und ihre Ableger eingegangen werden.

Netzwerkschicht-Firewalls: Paketfilter (Packet Filter)

Wie der Name schon sagt, werden hier IP-Pakete (bestehend aus Adressinformation, einigen Flags und den Nutzdaten) gefiltert. Mit einer solchen Firewall kann man, basierend auf verschiedenen Variablen, Zugang gewähren oder ablehnen. Diese Variablen sind u. a.:

    • die Ursprungsadresse
    • die Zieladresse
    • das Protokoll (z. B. TCP, UDP, ICMP)
    • die Port-Nummer

Dieser Ansatz bietet einen großen Vorteil: Er ist betriebssystem- und applikationsneutral. In der fortgeschrittenen und komplexeren Entwicklungsform umfasst der Leistungsumfang von Paketfiltern die Interpretation der Pakete auf höherer Kommunikationsebene. In diesem Fall werden Pakete auch auf Transportebene (TCP/UDP) interpretiert und Statusinformationen für jede aktuelle Verbindung werden bewertet und festgehalten. Dieses Vorgehen wird als Stateful Inspection bezeichnet.

Der Paketfilter merkt sich den Zustand jeder einzelnen Verbindung und lässt nur Pakete passieren, die dem aktuellen Verbindungszustand entsprechen. Besonders interessant ist diese Tatsache für Verbindungsaufbauten vom geschützten in das ungeschützte Netzwerk:

Baut ein System im geschützten Netzwerk eine Verbindung auf, so lässt der Stateful Inspection Packet Filter z. B. Antwortpakete des externen Hosts in das geschützte Netzwerk passieren. Wird diese Verbindung wieder abgebaut, so hat kein System aus dem ungeschützten Netzwerk die Möglichkeit, Pakete im abgesicherten Netzwerk zu platzieren - es sei denn, man will es so und erlaubt diesen Vorgang explizit.

Anwendungsschicht-Gateways: Application Proxy Firewall (Application Gateway)

Die zweite maßgebende Art von Firewalls sind die Anwendungsschicht-Gateways. Sie nehmen Verbindungen zwischen außenstehenden Systemen und dem zu schützenden Netzwerk stellvertretend an. In diesem Fall werden Pakete nicht weitergeleitet sondern es findet eine Art Übersetzung statt, mit dem Gateway als Zwischenstation und Übersetzer.

Die Stellvertreterprozesse auf dem Application Gateway werden als Proxy-Server oder kurz Proxies bezeichnet. Jeder Proxy kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsmerkmale anbieten. Dadurch ergeben sich weitere umfangreiche Sicherungs- und Protokollierungsmöglichkeiten.

Die Analyse ist auf dieser Kommunikationsebene besonders intensiv möglich, da der Kontext der Anwendungsdaten jeweils klar durch Protokollstandards definiert ist. Die Proxies konzentrieren sich auf das Wesentliche. Der Vorteil ist, dass kleine überschaubare Module verwendet werden, wodurch die Fehleranfälligkeit durch Implementationsfehler reduziert wird.

Bekannte Proxies sind z. B.:

    • der HTTP Proxy mit Java, JavaScript & ActiveX-Filter sowie Werbebanner-Filterung
    • der SMTP Proxy, verantwortlich für die Zustellung von E-Mails und für das Überprüfen auf vorhandene Viren
    • der SOCKS Proxy als generischer, authentifikationsfähiger Circuit-Level-Proxy

Anwendungsschicht-Gateways bieten den Vorteil der physikalischen und logischen Trennung von gesichertem und ungesichertem Netzwerk. Sie stellen sicher, dass kein Paket direkt zwischen den Netzwerken fließen darf. Direktes Resultat daraus ist ein reduzierter Administrationsaufwand:

Man muss lediglich die Integrität der Stellvertreter sicherstellen, um sämtliche Clients und Server im Netzwerk zu schützen - unabhängig von Marke, Programmversion oder Plattform.

Weitere Schutzmechanismen

Weitere Mechanismen gewährleisten zusätzliche Sicherheit: Die Verwendung privater IP-Adressen in den geschützten Netzwerken, gepaart mit Network Address Translation (NAT) in den Ausprägungen

Masquerading

    • Source NAT (SNAT)
    • Destination NAT (DNAT)

erlaubt es, ein gesamtes Netzwerk hinter einer oder wenigen offiziellen IP-Adressen zu verbergen und die Erkennung Ihrer Netztopologie von außen zu verhindern.

Bei nach wie vor voll verfügbarer Internet-Konnektivität ist nach außen hin keine Identifikation von Endsystemen mehr möglich.

Durch Destination NAT ist es trotzdem möglich, Server innerhalb des geschützten Netzwerks oder der DMZ zu platzieren und für einen bestimmten Dienst nach außen hin verfügbar zu machen.

Bild2Mittels Network Address Translation (NAT) kann man ein komplettes Netzwerk hinter einer IP-Adresse verbergen. (Quelle: Astaro)

 

 

 

 

 

 

 

 

 

Beispiel: Ein Benutzer mit der IP-Adresse 5.4.3.2 schickt über Port 1111 eine Anfrage an den Web-Server im DMZ. Er kennt nur die externe IP-Adresse 1.1.1.1, Port 88. Durch DNAT ändert nun die Firewall die Ziel-IP-Adresse der Anfrage in 10.10.10.99, Port 80 und schickt diese an den Web-Server. Der Web-Server schickt anschließend die Antwort mit seiner internen IP-Adresse (10.10.10.99, Port: 80) und der IP-Adresse des Benutzers ab. Die Firewall erkennt das Paket anhand der Benutzer-Adresse und ändert nun die Quell-Addresse von der internen IP-Adresse 10.10.10.99, Port 80 in die externe IP-Adresse 1.1.1.1, Port 88.

Virtuelle Private Netze

Die Geschäftswelt stellt heute Anforderungen an die IT-Infrastruktur, zu denen Echtzeit-Kommunikation und enge Zusammenarbeit mit Geschäftspartnern, Consultants und Zweigstellen gehören. Die Forderung nach Echtzeitfähigkeit führt immer öfter zur Schöpfung so genannter Extranets, die mit dem Netzwerk des Unternehmens entweder

    • über dedizierte Standleitungen oder
    • unverschlüsselt über das Internet

erfolgen. Dabei hat jede dieser Vorgehensweisen Vor- und Nachteile, da ein Konflikt zwischen den entstehenden Kosten und den Sicherheitsanforderungen auftritt.

Durch Virtual Private Networks (VPN) wird es möglich, abgesicherte, d. h. verschlüsselte Verbindungen zwischen LANs aufzubauen, die transparent von Endpunkt zu Endpunkt über das Internet geleitet werden. Dies ist insbesondere sinnvoll, wenn das Unternehmen an mehreren Standpunkten operiert, die über Internet-Anbindungen verfügen. Aufbauend auf dem IPSEC-Standard wird es hier möglich, sichere Verbindungen herzustellen.

Bild3Firewalls mit integrierter VPN-Funktionalität sorgen für Sicherheit bei der Datenübertragung über das Internet. (Quelle: Astaro)

 

 

 

 

 

 

 

Unabhängig von der Art der zu übertragenden Daten wird diese verschlüsselte Verbindung automatisch (d. h. ohne die Notwendigkeit zusätzlicher Konfigurationen oder Passwörter am Endsystem) genutzt, um den Inhalt während des Transports abzusichern.

Am anderen Ende der Verbindung werden die übermittelten Daten wieder transparent entschlüsselt und stehen in ihrer ursprünglichen Form dem Empfänger bereit.

Ein Beispiel für eine moderne Firewall ist Astaro Security Linux (ASL). ASL ist ein Hybrid aus den genannten Schutzmechanismen und vereinigt die Vorteile aller Varianten: Die Stateful Inspection Packet Filter-Funktionalität bietet plattformunabhängig die nötige Flexibilität, um alle nötigen Dienste definieren, freischalten oder sperren zu können. Vorhandene Proxies machen Astaro Security Linux zum Application Gateway, der die wichtigsten Endsystem-Dienste wie HTTP, Mail und DNS durch Stellvertreter absichert und zudem durch SOCKS generisches Circuit-Level-Proxying ermöglicht. VPN, SNAT, DNAT, Masquerading und die Möglichkeit, statische Routen zu definieren, erweitern die dedizierte Firewall zu einem leistungsfähigen Knoten- und Kontrollpunkt in Ihrem Netzwerk.

WebAdminDie Konfiguration der Astaro-Firewall erfolgt mit dem web-basierten Konfigurations-Tool WebAdmin . (Quelle: Astaro)

 

 

 

 

 

 

Autor

Der Autor Dipl. Inform. Klaus Eppele ist Inhaber der Firma improve marketing-training-consulting, Karlsruhe, www.improve-mtc.de.

improve
marketing-training-consulting
Dipl. Inform. Klaus Eppele
Heinrich-Weitz-Str. 31
76228 Karlsruhe
Tel: 07 21 / 94 74 6-21
Fax: 07 21 / 94 74 6-22
eMail: eppele@improve-mtc.de
URL: http://www.improve-mtc

Erschienen in CIH 03/02, Seiten 20 - 22