Von Derk Fischer*
Die Zahl der an das weltweite Internet angeschlossenen Unternehmensnetze ist sprunghaft angestiegen. Mittlerweile sind mehr als drei Millionen Rechner integriert. Auch in Europa, speziell in Deutschland, findet das Internet immer mehr Teilnehmer. Fragen der Sicherheit finden zur Zeit allerdings noch nicht genuegend Beachtung. Doch lokale Netze lassen sich mit Firewalls schuetzen.
Getragen wird der Internet-Aufschwung im wesentlichen von Unternehmen, deren Produktionsziele im Bereich der Informationstechnologie liegen. Allerdings draengen auch solche Firmen ins Internet, die Informationstechnologie ausschliesslich als Produktionshilfsmittel einsetzen. Ziel dieser Anwender ist die Nutzung des Internet zur weltweiten Informationsverteilung, unter anderem auch zur Werbung, zur Realisierung von Supportleistungen und zur internen Unternehmenskooperation.
Sicherheit eine Frage des rechten Masses
Die Frage nach der Sicherheit, sowohl was den unbefugten Zugriff auf Daten waehrend ihres Weges vom Sender zum Empfaenger als auch was das Eindringen in Unternehmensnetze beziehungsweise die darin integrierten Endgeraete betrifft, wird allerdings in den wenigsten Faellen angemessen beachtet.
Von TCP/IP abhaengige Dienste sind anfaellig gegenueber dem Herauskopieren von Paketen aus dem Informationsfluss und dem Versenden gefaelschter Pakete, dem sogenannten Spoofing.
Der verbindungslose Dienst UDP eignet sich aufgrund fehlender Sicherungsmechanismen wesentlich besser zum Spoofing als der verbindungsorientierte Dienst TCP. Allerdings bietet auch die Sequenznumerierung des TCP keinen hinreichenden Schutz vor einer Infiltration des TCP-Datenstroms mit gefaelschten Paketen.
Geeignete Verschluesselung der Nutzerdaten fehlt
Hauptursache fuer diese Anfaelligkeit ist das Fehlen einer geeigneten Verschluesselung der Nutzdaten. Um innerhalb des Internet gesicherte Transaktionen zu gewaehrleisten, waeren ein eindeutiger Fingerabdruck innerhalb eines jeden Datenpakets zur Senderautorisierung und eine Verschluesselung der Anwendungsdaten erforderlich. Aufgrund des hohen Verwaltungsaufwands werden solche Mechanismen vorerst nicht fuer die weltweit bekannten Standarddienste verfuegbar sein.
Die Mechanismen zur automatischen Wegewahl innerhalb eines paketorientierten Netzes entscheiden ursaechlich ueber dessen Funktionsfaehigkeit. Mit fehlerhaften oder gefaelschten Wegeinformationen koennen Zielrechner ueber den tatsaechlichen Absender eines Pakets getaeuscht werden.
Das Internet-Protokoll bietet die Moeglichkeit, den Rueckweg von Paketen unabhaengig vom Inhalt der Adressfelder zu erzwingen. Zusammen mit gefaelschten Absenderadressen kann damit ein "feindlicher" Rechner perfekt getarnt werden.
Die Verteilung von Routing-Informationen bildet einen weiteren Schwachpunkt, da die meisten Rechner und Router eintreffenden Routing-Informationen arglos vertrauen. Neuere Routing-Protokolle (wie zum Beispiel OSPF = Open shortest path first) sehen Authentifikations-Mechanismen vor; diese beschraenken sich aber auf einfache Passwortfelder, die wiederum Ziel von Abhoerangriffen werden koennen. Internet-Dienste werden in der Regel als Client- Server-Anwendung realisiert, die ueber keine oder nur geringe Mechanismen der Datensicherung verfuegen.
Vom Funktionsprinzip her werden die Verbindungen zwischen den verteilten Prozessen mit Hilfe der IP-Adressen und lokalen Portnummern realisiert, von denen waehrend des Verbindungsaufbaus mindestens der Zielport der Server-Anwendung bekannt sein muss. Fuer den weiteren Ablauf der Kommunikation koennen zusaetzliche Zugangsports ausgehandelt werden. Geschieht dies waehrend einer Anwendung, so sind diese Zugangsports in der Ueberwachung komplexer und letztlich nicht vollstaendig beherrschbar.
Die notwendigerweise weltweit gueltige, feste Zuordnung zwischen Dienst und Zugangsport eroeffnet die Moeglichkeit, relativ einfach spezielle Dienste mit gefaelschten Nachrichten anzusprechen.
Die erste zu ueberwindende Huerde waehrend eines Angriffsversuchs stellt die Frage nach eventuellen Angriffszielen beziehungsweise deren Adressen und Namen dar. Mit Hilfe des inversen DNS-Diensts zur Abfrage von Rechnernamen unter Angabe einer Rechneradresse ist es moeglich, falsche Rechnernamen im Netz zu propagieren.
DNS erlaubt ausserdem aufgrund seiner Strukturierung detaillierte Einblicke in die Organisationsstruktur, die den Netzen zugrunde liegt. Neben der direkten Abfrage der DNS-Server bietet sich das Abhoeren der DNS-Kommunikation zur Informationsbeschaffung an.
Haeufigster Angriffspunkt fuer Eindringlinge bleiben die Benutzer- Accounts. Raten, der gezielte Einsatz von entsprechenden Woerterbuechern, die unvorsichtige Bekanntgabe von Passwoertern oder das sprichwoertliche "ueber die Schulter schauen" verschafft den Erstzugang. Kopien der Passwortdateien und die Auswertung der lokalen Endgeraetelisten ermoeglichen eine ungestoerte Entschluesselung der Benutzerpassworte und eine Planung der weiteren Vorgehensweise innerhalb des lokalen Netzes.
Die neuen Informationsdienste des Internet (unter andrem Gopher, WAIS, WWW) richten sich nach einem einheitlichen Funktionsschema, der Abfrage von Daten oder Referenzen auf Daten, unterscheiden sich aber im Hinblick auf die ausgetauschten Informationen und deren Weiterverarbeitung wesentlich. Gewisse Parallelen hinsichtlich der Sicherheitsproblematik lassen sich aber trotzdem ziehen.
Sicherheitsloecher nur schwer erkennbar
Die in den uebertragenen Daten enthaltenen notwendigen Informationen zur Weiterverarbeitung (zum Beispiel automatische Umschluesselung von Text- in Binaerdaten) koennen gefaelscht oder zur Uebertragung von sicherheitskritischen Daten zum Absender genutzt werden.
Spezielle Verarbeitungsroutinen auf den Zielrechnern in Form von Perl- oder Shell-Skripten bergen aufgrund ihrer Komplexitaet haeufig unbeabsichtigte Moeglichkeiten, Sicherungssysteme zu unterlaufen.
Die aus Programmfehlern und einer falschen Installation resultierenden Sicherheitsloecher sind in der Regel nur schwer erkennbar. Auch laesst sich kaum eine entsprechende Vorsorge treffen. Fuer den Netzwerkadministrator bleibt nur der Rat, sich in den diesbezueglichen Foren des Internet (CERT, Netnews, Mailing- Listen) mit den aktuellen Informationen zu versorgen, um im Einzelfall schnell benachrichtigt zu werden und angemessen reagieren zu koennen.
Die vielfaeltigen Moeglichkeiten, die Abschirmung von lokalen Netzen zu unterwandern, machen zweckmaessige Sicherheitsmassnahmen, abgestuft nach den jeweiligen Anforderungen und Sicherheitsbeduerfnissen, dringend erforderlich. Im Internet werden die Sicherheitssysteme eines lokalen Netzes unter dem Namen Firewall zusammengefasst. Hierunter sind all diejenigen Systeme zu verstehen, die aufgrund von zusaetzlichen Filter- und Kontrollfunktionen den Datenzu- und -abfluss eines lokalen Netzes steuern beziehungsweise ueberwachen.
Zentralisierung von Sicherungsmassnahmen, Abschirmung des lokalen Netzes, Protokollierung, Ueberwachung des Datenflusses zwischen LAN und WAN sowie die transparente und dedizierte Nutzung von Internet-Diensten gehoeren zu den wesentlichen Aufgaben eines Firewall-Systems.
Der Aufbau eines solchen sollte durch die Devise "Alles nicht explizit Erlaubte ist verboten" bestimmt sein.
Diese Vorgehensweise wird von den meisten Firewall-Systemen unterstuetzt und foerdert eine von Beginn an hoechstmoegliche Sicherheit. Bekannte Standarddienste koennen sukzessive freigeschaltet werden, und neue, eventuell mit Vorsicht zu beobachtende Dienste auf Anfrage lassen sich Benutzergruppen quasi "unter Aufsicht" zur Erprobung bereitstellen.
Der umgekehrte Weg ist natuerlich ebenfalls vorstellbar. Allerdings wird sich ein nach der Devise "Alles nicht explizit Verbotene ist erlaubt" administriertes Netz aufgrund der grossen Freiheiten fuer die Benutzer und der Vielfalt an Anwendungen im Internet nur sehr schwer beherrschen lassen.
Firewall-Systeme sind grob in drei Typen unterteilbar:
- Firewall mit Screening Router Das interne Netz wird durch den Vermittlungsknoten geschuetzt, der das Routing zum Internet uebernimmt, den Screening Router. Diese einfachste Auspraegung eines Firewall-Systems laesst sich mit einem relativ geringen Aufwand installieren, da lediglich der fuer die Aussenanbindung zustaendige Router in einen Screening Router mittels geeigneter Zugriffslisten respektive geeigneter Firewall-Routing-Software verwandelt werden muss.
- Multifunktionale Router-Systeme sind in der Regel mit Software zum Filtern und Protokollieren der Datenstroeme zwischen internem Netz und Internet ausgeruestet.
Haeufig kommt aber auch ein herkoemmliches Endgeraet als Internet- Router zum Einsatz, welches dann mit spezieller Firewall-Software ausgestattet werden muss, um die neben der reinen Paketweiterleitung anfallenden zusaetzlichen Aufgaben zu uebernehmen.
- Der Screening Router wird zur zentralen Komponente des Firewalls. Sollten die Sicherheitsbarrieren des Routers ueberwunden werden, so ist das hinter dem Router befindliche LAN dem Eindringling schutzlos ausgeliefert.
Mit Hilfe von Zugriffslisten
(Access List) kann vom Administrator sehr genau festgelegt werden, welche IP-Verbindungen erlaubt sind und welche unterbunden werden sollen. Aus sicherheitspolitischen Gruenden folgt die Auswertung einer solchen Zugriffsliste durch den Screening Router der Devise, dass alle nicht explizit erwaehnten Verbindungsmoeglichkeiten als nicht erlaubte Verbindungen anzusehen sind.
Zugriffslisten vom Screening Router verglichen
Die Zugriffslisten werden vom Screening Router grundsaetzlich nach der Wegewahl-Entscheidung, aber noch vor der tatsaechlichen Auslieferung mit den Protokollinformationen des Pakets verglichen.
Ein Eintrag einer Zugriffsliste besteht in der Regel aus der gewuenschten Aktion, bezogen auf eine definierte Verbindung, also die Erlaubnis oder das Verbot fuer die Weitervermittlung eines Pakets, sowie aus den Parametern, an denen der Screening Router die entsprechenden Pakete erkennen kann. Neben der Quell- und Ziel-IP-Adresse werden die Port-Nummern verwendet, um einzelne Dienste freizuschalten oder zu sperren. Der Einsatz von Platzhaltern (Wildcards) ist ebenfalls vorgesehen, etwa um die gesamte Kommunikation in einer Richtung (zumeist von aussen nach innen) zu unterbinden.
Die vom CERT (Computer Emergency Response Team) herausgegebenen Empfehlungen fuer unbedingt zu sperrende Dienste und regelmaessige Lektuere der einschlaegigen Mailing-Listen und Newsgroups sind im Zusammenhang mit der Pflege der Zugriffslisten besonders hervorzuheben.
Da das Firewall-System in dieser Variante nur aus einer Systemkomponente besteht, sollte der Screening Router besonderen zusaetzlichen Sicherungsmassnahmen auf Systemebene unterliegen. Neben einer stark eingeschraenkten Anzahl von Benutzern, die per Netz beziehungsweise ueberhaupt Zugriff auf den Router haben duerfen, sollte er ausserdem vor direktem physikalischem Zugriff geschuetzt werden. (Haeufig beziehen Router ihre Konfigurationsdateien von Netzwerk-Servern innerhalb des abzuschirmenden Netzes. Fuer diese Netzwerk-Server gelten die genannten Zugriffssicherungen entsprechend.)
Das in der ersten Variante beschriebene Sicherungssystem wird durch einen Relay-Host erweitert, der die Ueberwachung von Login- Versuchen und die Autorisierung berechtigter Zugriffsversuche uebernimmt. Externe Verbindungswuensche werden grundsaetzlich vom Screening Router an diesen Relay-Host weitergegeben. Je nach Sicherheitsanforderungen kann dem internen Benutzer ein direkter Durchgriff auf das WAN gestattet oder aber, als sicherere Alternative, grundsaetzlich fuer beide Richtungen der Relay-Host als Zwischenstation erzwungen werden. Erreicht wird dieses Verhalten wiederum durch Konfiguration der Zugriffslisten des Screening Routers.
Die Zentralisierung der Autorisierungsverwaltung fuer externe Zugriffe ist ein positiver Nebeneffekt, der den administrativen Aufwand beherrschbar macht und die Vergabe interner Zustaendigkeitsbereiche fuer lokale Autorisierungsprozesse weiterhin ermoeglicht. Saemtliche Zugriffe von aussen auf das zu sichernde Netz muessen ueber den Relay-Host laufen; dieser fungiert dabei als kontrollierende und gegebenenfalls auch protokollierende Zwischenstation.
Diese dritte Variante ermoeglicht eine Abschirmung, die allen bekannten Anforderungen genuegt, und stellt momentan die hoechste Sicherheitsstufe im Bereich der Firewall-Systeme dar. Dem Firewall-System werden hierfuer zwei weitere Komponenten hinzugefuegt: ein sogenanntes Application Level Gateway und ein weiterer Router, der sogenannte Internal Router. Das Application Level Gateway uebernimmt in Kooperation mit dem Screening Router die Ueberwachung des Datenflusses zwischen internem Netz und Internet, haeufig unter Verwendung speziell gesicherter Versionen der Kommunikationsanwendungen.
Folge dieser Strategie ist es, dass die Anwender gezwungen werden, fuer den Zugriff auf Internet-Ressourcen die auf dem Application Level Gateway verfuegbaren Anwendungen zu nutzen.
Der Internal Router verbindet das zu sichernde Netz mit der Firewall-Zone respektive den Endgeraeten, die die Firewall- Funktionalitaet erbringen. Eine Verbindung zwischen dem inneren Netz und dem Internet kann nur ueber die Zwischenstationen Internal Router und Screening Router zustande kommen. Der Internal Router arbeitet ausschliesslich mit statischen Routing-Eintraegen und ermoeglicht daher keine Manipulation an seinen Routing-Eintraegen. Damit fuehren die einzigen Ein- beziehungsweise Ausgaenge des internen LANs ueber den Internal Router. Haeufig werden die Komponenten eines solchen Firewall-Systems in einem - eventuell sogar auf physikalischer Ebene separierten - Firewall-Subnetz zusammengefasst.
Resuemee: An das Internet angeschlossene lokale Netze sind aufgrund der heute verwendeten Protokolle in einem hohen Masse gefaehrdet und koennen nicht 100prozentig gegen unerlaubte Zugriffe geschuetzt werden. Die vollkommene Absicherung eines lokalen Netzes vor Zugriffen aus dem WAN-Bereich ist nur durch eine vollstaendige Isolation desselben zu erreichen.
Das anzustrebende Ziel muss die Absicherung eines Netzes gegen offensichtliche Sicherheitsschwaechen durch die beschriebenen Firewall-Systeme sein. Die heute am Markt befindlichen Loesungen gewaehrleisten einen akzeptablen Sicherheitsstandard und sind hinsichtlich ihrer Konfiguration auch vom "normalen" Netzwerkadministrator beherrschbar.
Einige Anbieter von Firewall-Systemen*
Bellcore
- Pingware: Aufspueren der haeufigsten Sicherheitsloecher; beinhaltet Passwort-Analysator fuer Sicherheitsueberpruefung der Benutzer- Accounts; ausfuehrliches Protokoll der Ueberpruefung.
- Sysguard: Verteiltes Sicherungspaket fuer Unix-Systeme.
- Security Software: Zwei Hauptkomponenten: Security-Manager und Host-Tools; die Host-Tools residieren auf allen zu ueberwachenden Maschinen und berichten/protokollieren sicherheitsrelevante Ereignisse. Der Security-Manager ueberwacht mit Hilfe der Host- Tools die zu Sicherheitsgruppen zusammengefassten Endgeraete.
Leistungsmerkmale: Erkennen von Sicherheitsloechern; Monitoring und Analyse des Systems; Erkennen von unautorisierten Dateiaenderungen; Verwaltung der Sicherheitsparameter.
Checkpoint Technologies Ltd.
- Firewall-1: Paketfilter-Modul; zentrales Kontrollmodul; Endbenutzer- und Anwendungstransparenz; GUI-basierte Oberflaeche (auch Regeldefinition); unterstuetzt u.a. die Internet-Dienste; FTP, Mosaic, Gopher, DNS, NFS.
DEC
- Screend: Firewall-Software zum Aufbau eines Screening-Routers Paketfilter; Steuerung des Datenflusses ueber Zugriffslisten.
- NetSP Secured Network Gateway: Firewall-Programm zur Isolation interner Netzwerke von externen Anwendern; verfuegbar fuer AIX/6000- Plattformen.
Netpartners
- Janus: Application Proxy Firewall-System; komplett installiertes PC-System (HW und SW); Proxies fuer Telnet, FTP, SMTP, HTTP, Gopher, Wais, Whois, Finger, ping; grafische Benutzer- Schnittstelle.
Raptor Systems
- Eagle Network Security Management System: Besteht aus drei Modulen: Eagle Network Isolator
Regelbasiertes Firewall-System zur Abschirmung und Beobachtung der Aussenanbindung; Unix-basierende Software; Verteilung auf zwei Gateway-Maschinen: (IP-Routing und Verbindungsautorisierung), integrierte Selbstschutzmechanismen.
Eaglet Network Partitioner
Unix-basierte Software zur Abschirmung von lokalen Teilnetzen (Abteilungsabschirmung); Kooperation mit Eagle.
Etherguard Security Validator
Modifizierte Telnet- und FTP-Software zur vielfaeltigen Endgeraete- Sicherung.
Sun Microsystems
- Firewall-1 Network Security Center: Lizenzierung des Checkpoint Technology Produktes; Paketfilter-Modul; zentrales Kontrollmodul; Endbenutzer- und Anwendungstransparenz; GUI-basierte Oberflaeche (auch Regeldefinition); unterstuetzt unter anderem die Internet- Dienste; FTP, Mosaic, Gopher, DNS, NFS; verfuegbar fuer Sparc- und Intel-Plattformen unter Solaris 1.x bzw. 2.x.
TIS Trusted Information Systems, Inc.
- Gauntlet: Firewall mit zusaetzlichen Host-Sicherungsmassnahmen; Einsatz von Applikation Gateways (Proxy's); leicht konfigurierbar; Intel-Pentium Plattform unter BSD/386 UNIX; inklusive Source Code, auf Toolkit basierend.
- Internet Firewall Toolkit: Frei verfuegbarer Baukasten zur Erstellung von Firewall-Systemen mit speziell gesichertem Host als zentrale Komponente und Application-Proxy's zur gesicherten Diensterbringung.
*Diese Uebersicht erhebt keinen Anspruch auf Vollstaendigkeit.
* Derk Fischer arbeitet fuer GAI Net Consult GmbH in Berlin.