Der Ausbau der Unternehmensnetze und deren zunehmende Öffnung nach außen für Kunden und Geschäftspartner machen die gesamte IT immer anfälliger für externe Angriffe. Sicherheitsbewusste Firmen tragen dieser erhöhten Gefahrenlage Rechnung, indem sie Firewalls einrichten, die den Zugriff auf Netzwerkressourcen kontrollieren. Diese Produkte sind inzwischen weit verbreitet und verdanken ihren Erfolg dem Umstand, dass sie bei richtiger Konfiguration und in Verbindung mit einer ordnungsgemäß implementierten (und konsequent angewandten) Sicherheitspolitik mehr als 90 Prozent der Netzangriffe abwehren können. Doch auch die Hacker haben dazugelernt und ihre Strategie angepasst, wie Vorkommnisse der letzten Zeit zeigen.
Die neue Generation von Hackern
Während die meisten Firewalls über Schutzmechanismen verfügen, die Attacken in Form von direkten Zugriffsversuchen auf der Netzwerkebene sicher abblocken können, sind sie in der Regel nicht dafür ausgelegt, komplexere und "intelligentere Einbruchsversuche auf der Anwendungsebene zu erkennen oder gar zu verhindern. Clevere Hacker wissen heute, dass es auch andere Wege gibt, um die herkömmlichen Zugriffskontrollmechanismen zu umgehen, als die reine Suche nach offenen "Türen in Firewalls.
Neue Techniken wie Voice over Internet Protocol (VoIP) oder Web-Services bringen auch neue Schwachstellen für die Netzwerksicherheit mit sich. So bereitet es Hackern kaum Schwierigkeiten, legitime Applikationen in einer Art und Weise zu nutzen, dass sie einen Einstieg ins Netzwerk ermöglichen. Von besonderem Interesse für Hacker sind dabei Services wie HTTP (TCP Port 80) und HTTPS (TCP Port 443), die den Datenstrom in vielen Netzwerken ungefiltert passieren lassen, ohne diesen dabei auf potenziell schädliche Inhalte zu prüfen. Die Zugangskontrollmechanismen vieler Firewalls sind schlicht überfordert, wenn es darum geht, gute von bösen Zugriffen auf diese Services zu unterscheiden. Über Web-Frontends in Web-Shops können sich Hacker so Zugang zu den Backend-Datenbankservern verschaffen und damit ins Allerheiligste der gesamten Unternehmensverwaltung vordringen. Dann ist es problemlos möglich, Kundendaten auszuspionieren und Kreditkartennummern für betrügerische Zwecke abzufragen. Über VoIP lassen sich Gesprächsverbindungen (Telefonate, Web-Meetings) abhören und nutzen, um Daten entweder in das oder aus dem Netz zu transportieren.
Die Möglichkeiten für die Hacker sind vielfältig. Zu ihrem "Programm" gehören Denial-of-Service-Attacken, bei denen Netzwerkressourcen wie Server oder Telefonanlagen mit der Fülle von Zugriffen bis zur Überlastung überschwemmt werden und daher nicht mehr für die legitimen Nutzer zur Verfügung stehen. Hierzu zählen weiter der vorgetäuschte Administrator-Zugriff auf Server oder Clients, der Zugriff auf Backend-Datenbanken und die Installation von Trojanern, die Sicherheitsmechanismen umgehen und den Zugang auf Applikationen erlauben. Auch die Installation von Tools zur Protokollanalyse auf Servern mit dem Zweck, um gezielt Benutzer-IDs und Passworte abzufangen, sind Teil des Hacker-Repertoires.
Die erkennbare Verlagerung der Hacker-Strategie auf die Anwendungsebene macht es daher erforderlich, dass die Firewalls nicht nur Zugriffskontrollfunktionen und Schutz auf der Netzwerkebene bieten. Vielmehr müssen sie auch genügend Kenntnisse über Applikationen besitzen, um auf dieser Ebene ebenfalls Attacken und unbefugte Zugriffe zu verhindern.
Unternehmen haben dabei theoretisch die Option, ihre vorhandenen Firewalls durch zusätzliche Sicherheitsprodukte aufzuwerten. Erfahrungsgemäß ist dies in der Praxis jedoch eher problematisch: Zum einen entstehen durch den Erwerb zusätzlicher Lösungen Mehrkosten, die nicht zu unterschätzen sind. Zum anderen bergen Produkte verschiedener Anbieter immer das Risiko von Inkompatibilitäten. Diese können selbst bei einer erfolgreichen Installation dazu führen, dass zulässige Zugriffe verhindert werden.
Produktmix meist problematisch
Um die Sicherheit auf Applikationsebene zu gewährleisten, muss eine angemessene Firewall-Lösung vier Verteidigungsstrategien abdecken. Die erste, grundlegende Anforderung besteht darin, dass sie die Konformität der Übertragungsvorgänge mit den Protokoll-Standards verifiziert. Jede Abweichung von den definierten Normen kann ein Indiz für unzulässige Zugriffsversuche sein. Alle Übertragungen, die nicht strikt den festgelegten Abläufen für Protokolle oder Softwarelösungen folgen, müssen genau untersucht werden, bevor sie ins Netz durchgelassen werden. Nur so lassen sich Gefahren für geschäftskritische Anwendungen ausschließen. Ebenso wichtig ist - zweitens - eine Überprüfung dahingehend, ob die Daten innerhalb der Protokolle dem erwarteten Nutzungsmuster entsprechen. Auch hier gilt jede Abweichung als verdächtig und bedarf einer eingehenden Kontrolle.
Eine dritte Strategie ist die Fähigkeit, den Transport schädlicher Daten durch Programme zu begrenzen. Selbst Kommunikationsvorgänge, die äußerlich normgerecht sind, können das System schädigende Daten transportieren. Daher muss ein Sicherheits-Gateway geeignete Mechanismen vorsehen, die es Anwendungen nur in begrenztem Umfang ermöglichen, potenziell schädliche Daten oder Anweisungen in das interne Netz einzuschleusen. Die vierte Strategie schließlich muss durch Zugangskontrollen und Legitimierungsprüfungen dafür sorgen, dass die Nutzer nur zulässige Anwendungen verwenden, die keine unzulässigen und potenziell schädlichen Operationen im Netzwerk durchführen.
Gefahrenpotenzial eher steigend
Jede Sicherheitspolitik muss der Erkenntnis Rechnung tragen, dass die Gefahren im Internet ständig größer werden. Tatsächlich nutzen heute über die Hälfte aller vom FBI und vom SANS Institute registrierten 20 größten Internet-Gefahren Schwachstellen in Softwareanwendungen wie Web- und E-Mail-Programmen aus (www.sans.org/top20/). Die Internet-Sicherheitsexperten von Computer Emergency Response Team (CERT), eines mit Mitteln der US-Regierung geförderten Forschungs- und Entwicklungszentrums der Carnegie Mellon University, registrierten allein im Jahre 2002 über 80000 solcher Vorfälle, und es kann davon ausgegangen werden, dass die Tendenz eher steigend ist. Eine ganzheitliche und flexible, der aktuellen Gefahrenlage optimal angepasste Firewall-Lösung mit modernster Technologie ist daher ein absolutes Muss für Unternehmen. (ave)
*Michael von Dellingshausen ist Channel Manager bei Check Point in Hallbergmoos bei München.