Die Schutzmechanismen von Firewalls sind mittlerweile bekannt. Sie filtern IP-Pakete nach vorgegebenen Kriterien, überwachen und regeln den Zugriff auf Internet-Anwendungen von interner und externer Seite und schirmen so das interne Netz nach außen ab. Ihr Sicherheitslevel variiert, je nachdem auf welchen Schichten des OSI-Modells sie aufsetzen. Am empfehlenswertesten ist in der Regel eine Firewall-Variante, die auf Applikationsebene schützt und bei der eine physikalische Trennung von LAN und Internet erfolgt, die also nach dem Dual-Homed-Host-Prinzip arbeitet.
Der Datenverkehr zwischen der Firewall und dem Internet läuft dabei über eine andere Schnittstelle als die Kommunikation zwischen Firewall und LAN. Sämtliche ein- und ausgehenden IP-Pakete durchlaufen dieses Software-Interface (Proxy) und werden innerhalb der Firewall modifiziert. Kommen beim Datentransfer noch Verschlüsselungs- und Authentizierungsverfahren zum Einsatz, läßt sich die Internet-Anbindung mit kalkulierbarem Risko realisieren.
Voraussetzung ist allerdings eine fehlerfreie Konfiguration der Firewall. Das ist nicht immer gegeben. Auch wenn die von Spezialisten vorgenommene Anfangsinstallation keine Sicherheitslücken gelassen hat, kann dies einige Wochen nach Inbetriebnahme bereits der Fall sein.
So muß eine lebendige Systemumgebung ständig angepaßt werden. Daß damit auch Veränderungen in der Firewall-Konfiguration einhergehen, wird angesichts permanenter Arbeitsüberlastung der Verantwortlichen leicht übersehen. Mögliche Gefahrenquellen in Firewalls sind:
Als "Source Porting" wird die (unberechtigte) Einwahl in das interne Netz über Source-Ports bezeichnet. Will sich ein Client von einem externen FTP-Server eine Datei herunterladen, schickt er zu dessen Port 21 eine Anforderung. Über seinen Port 20 baut der Server dann eine Verbindung zum FTP-Client auf und überträgt die Datei.
Firewalls, die auf Applikationsebene schützen, erlauben den Verbindungsaufbau des externen Rechners über Port 20 in der Regel nur, wenn der interne Rechner vorher den entsprechenden Get-Befehl versandt hat. IP-Filter erkennen diese Kausalität jedoch nicht und gestatten generell die Einwahl über Port 20.
Modifiziert ein Eindringling Telnet derart, daß die Einwahl von diesem Port aus erfolgt, kann er Zugang zum Netzwerk und zu diversen Diensten erhalten. Die Aufgabe des Netzadministrators ist es somit, festzustellen, ob über den Source-Port 20 der Verbindungsaufbau mit dem Netz möglich ist.
Beim "Source Routing" handelt es sich um eine Option des IP-Protokolls, mit dem sich die Routing-Strecke eines Datenpakets festlegen läßt. Vor allem Router-basierte Firewalls, die sich auf das Filtern von IP-Paketen beschränken, können in ihrer Schutzwirkung deutlich beeinträchtigt werden, da sich mit Source Routing viele Filterregeln übergehen lassen. Der fremde Rechner wird als interner Rechner definiert und Daten sind so einfach an der Firewall vorbeizuschleusen.
Die Krux beim Source Routing liegt darin, daß einige Unix-Hosts diese Möglichkeit im Kernel implementiert haben und sie sich nicht ausschalten läßt. Bei der Auswahl des Firewall-Systems ist deshalb auf Blockiermechanismen für Source-Routing zu achten.
Manipulationsmöglichkeiten ergeben sich auch mit Hilfe von Socks. Die Bibliothek von Firewalls, die auf Applikationsebene schützen, wird meist durch fehlerhafte Konfiguration zur Gefahrenquelle. Socks registriert die erlaubten Dienste. Die zum Abhalten unterwünschter Besucher benötigten Eingaben werden jedoch beim Einrichten gerne vergessen.
Ist der Socks-Port erst einmal konfiguriert, kommt man diesem Versäumnis nur schwer auf die Spur. Die Zusammenarbeit zwischen den Internet-Diensten und der Firewall läuft augenscheinlich problemlos, und sollte sich je ein Eindringling auf diese Weise Zugang zum Netz verschaffen, besteht die große Wahrscheinlichkeit, daß diese Attacke unbemerkt bleibt.
Eine beliebte Einbruchsvariante ist auch das "IP-Spoofing" - das Fälschen von IP-Headern. Der Hacker gibt seinen Rechner C als Rechner A aus und erhält über dessen Login-Berechtigung Zugang zu Rechner B. IP-Spoofing wurde 1989 erstmals beschrieben, zog aber erst 1995 durch den Hacker Kevin Mitnick die Aufmerksamkeit auf sich. Vor allem die einfacheren oder selbstgestrickten Firewalls haben mit dem Erkennen derart gefälschter IP-Pakete Schwierigkeiten. Die komplexeren Systeme wie "Borderware" und - richtig konfiguriert - "Firewall-1" schützen vor IP-Spoofing.
Informationen über das interne Netzwerk lassen sich auch durch RPC-Scans beschaffen. Über den Portmapper läßt sich herausfinden, welche Ports die Remote Procedure Calls (RPCs) wie NIS belegen. Der Zugriff auf den Portmapper kann zwar blockiert werden. Bei manchen Filter-basierten Firewalls beschränkt sich die Blockierung allerdings auf den Port Nummer 111.
Als weitere Schutzmaßnahme belegen die RPCs die Ports nach dem Zufallsprinzip. An sich dürften sich die RPCs von Hackern deshalb nur schwer aufspüren lassen. Doch sucht ein einbruchswilliger Computerspezialist die Ports direkt nach den RPC-Diensten ab, läßt sich die Sicherheitsvorrichtung umgehen.
Das "Stealth Scanning" stellt die Schutzwirkung von Firewalls auf eine harte Probe. Mit Hilfe dieser Technik soll nicht versucht werden, eine feste Verbindung aufzubauen. Vielmehr zwingen Datenpakete, die auf niedrigem Level mit der Schnittstelle eines Rechners kommunzieren, den Computer zu einer Reaktion. Je nachdem wie diese ausfällt, kann der Hacker schnell erkennen, welche Ports aktiv oder inaktiv sind.
Zum Vorteil für den Initiator lösen Programme wie Satan-Detektoren und "tcp-wrappers" bei diesen Aktivitäten keinen Alarm aus. Weiß der Einbrecher, welche Ports aktiv sind, kann er die darauf liegenden Services erkennen oder an Informatiomen über das verwendete Betriebssystem gelangen. Firewalls weisen zwar einige dieser Pakete zurück, doch die Hacker-Gemeinde ist findig und nutzt immer neue Varianten.
Als Fallstricke für die Netzsicherheit können sich auch wesentlich banalere Dinge erweisen, etwa vom Hersteller mitgelieferte und nicht geänderte Standardpaßwörter. Bei einem für ein Unternehmen durchgeführten Penetrationstest gelang es dem Münchner Security-Spezialisten Articon Information Systems, ein System des Auftraggebers mit Hilfe von Standardpaßwörtern zum Stillstand zu bringen. Die Netzadminstratoren hatten über die Jahre hinweg das Kennwort nicht geändert.
Ebenso bedrohen anfällige Versionen von Netzdiensten die Sicherheit. Das Programm "Sendmail" wird in dem Zusammenhang gern als warnendes Beispiel hervorgehoben. Programmierfehler in alten Versionen ermöglichen es hier, daß Unberechtigte schreibend auf nicht vorgesehene Systemdateien zugreifen können. Bei Telnet-Verbindungen, die einem Benutzer via Internet die Einwahl in einen entfernten Host ermöglichen, gehen Username und Paßwort sogar unverschlüsselt über die Leitung.
In bezug auf das World Wide Web warnt die IBM beispielsweise vor anfälligen CGI-Programmen (CGI = Common Gateway Interface). Gemeint sind hier in erster Linie Programme, die auf den mit der populären Web-Server-Freeware "NCSA HTTPD 1.5A-Export" und "Apache HTTPD 1.0.3" ausgelieferten oder daraus abgeleiteten CGI-Bin-Quellcode für CGI-Scripts basieren.
Bei CGI handelt es sich um ein Protokoll, das die Kommunikation zwischen einem Web-Server und auf einem anderen Server liegenden Applikationen (Mail, Datenbankzugriff etc.) ermöglicht. Auf Web-Seiten angebrachte Buttons, die der Interaktion des Benutzers mit dem Server dienen, sind zum Beispiel in der Regel mit CGI-Scripts hinterlegt. Arbeitet ein Unternehmen mit anfälligen CGI-Scripts, kann sich ein Hacker Root-Berechtigung verschaffen und sämtliche Dateien auf dem Host lesen, modifizieren oder gar löschen.
Das World Wide Web betreffen auch die bislang noch schwer lösbaren Probleme durch Java-Applets, die das Einschleusen trojanischer Pferde (versteckte Viren) erlauben. Auch Programme, die vom Empfangsrechner spezifische Informationen wie Paßwörter abziehen, lassen sich über Java vom Firewall-System unbemerkt auf Web-Clients bringen. Nur bei wenigen Firewalls lassen sich die Proxies so definieren, daß sie Java-Applets herausfiltern.
Werden derartige Sicherheitslücken nicht gestopft, gefährdet ein Internet-Anschluß tatsächlich die internen Informationen. Eine kleine Hilfe bieten den Mitarbeitern in den Unternehmen die Cert-Advisories. Dabei handelt es sich um Mitteilungen der Sicherheitsorganisation Cert, die sich über einen Listserv-Dienst abonnieren lassen (Sicherheitsbulletin vom deutschen Cert: http://www.cert.dfn.de/infoserv/dsb).
Ein wichtiges Kriterium für die Auswahl einer Firewall ist aus diesem Grund aber auch die Regelmäßigkeit der Updates - allerdings sollte die Firewall schon vom Konzept her so zukunftsträchtig angelegt sein, daß nicht für jede frisch erkannte Gefahr sofort ein Update erforderlich ist. Angesichts der Personalknappheit und des mangelnden Know-hows in vielen IT-Abteilungen ist zudem auf eine einfache Konfiguration Wert zu legen.
Doch nicht nur von externer Seite droht die Gefahr. Die meisten Angriffe auf firmeninterne Informationen erfolgen von Mitarbeitern. "Rund 85 Prozent aller Hacker sitzen in der eigenen Firma", gibt sich der auf Computerkriminalität spezialisierte US-Staatsanwalt Frank Clark in einem Gespräch mit der CW-Schwesterpublikation "Computerworld" überzeugt. Meist seien es schlecht bezahlte oder anderweitig frustrierte Mitarbeiter.
Auch ehemalige Beschäftigte lassen sich in die Riege potentieller Datenspione einordnen. Während bei scheidenden Mitarbeitern ein strenges Auge auf die Abgabe der Firmenausweise geworfen wird, bleiben Paßworte und Zugangsberechtigungen zu Daten allzu häufig ungelöscht. Über Telnet wäre es beispielsweise für manchen ein leichtes, sich via Internet in die Rechner seines ehemaligen Arbeitgebers einzuwählen.
Somit gilt es, das Netz sowohl nach innen als auch nach außen abzuschotten. Selbst bei der aufmerksamsten Sicherheitspolitik dürfte es den Spezialisten im Unternehmen jedoch unmöglich sein, sämtliche Gefahrenquellen sofort zu entdecken und einzudämmen. Tools wie die Freeware "Satan" (erhältlich über diverse FTP-Server) oder das kommerzielle Produkt "Internet Scanner" erleichtern dem Administrator die Arbeit erheblich. Sie scannen TCP/IP-Netze nach Angriffspunkten ab.
Popularität hat diese Softwarekategorie, Netzwerk-Scanner oder Security-Audit-Tools genannt, im Frühjahr letzten Jahres erhalten, als sich die Internet-Gemeinde in Satan-Befürworter und Satan-Gegner spaltete. Satan steht für Security Administrator Tool for Analyzing Networks, was letztlich nichts anders bedeutet, als daß die Public-Domain-Software wie ein elektronischer Hacker nach Lücken im Netz sucht und anschließend einen Bericht erstellt.
Voraussetzung für den Einsatz von Satan ist Perl 5.0 in Verbindung mit C-Compilern. Die Netzwerk-Checks erfolgen über Perl-Scripts, die sich den individuellen Bedürfnissen anpassen lassen. Bedienung und Konfiguration sind über HTML-Seiten vorzunehmen, auch die Dokumentation ist im HTML-Format.
Während die Entwickler ihre guten Absichten betonten, mit Satan ein Werkzeug zum Schutz der Netze bereitzustellen, befürchteten die Gegner, daß Einbrechern ihre Attacken damit noch leichter fallen würden. Mittlerweile hat sich die Aufregung um Satan gelegt und die Zahl der entsprechenden Programme vergrößert. Neben der Freeware mit dem teuflischen Namen und dem Internet-Scanner sind auch von Bellcore und der Qualix Group Security-Audit-Tools erhältlich.
"Pingware" von Bellcore zeichnet sich US-Tests zufolge durch eine einfache Konfiguration über eine grafische Benutzeroberfläche aus, erkennt aber nur rund 30 Sicherheitslücken. Mit mehr Funktionsfähigkeit ist hier "Netprobe" ausgestattet. Die Software der Qualix Group Inc. stöbert nach Anbieterangaben 85 Eintrittsmöglichkeiten auf. Jedoch schnitt sie in einem Vergleichstest der US-Zeitschrift PC Week beim Reporting und der Benutzerfreundlichkeit schlechter ab als die Bellcore-Variante. In der Gesamtbewertung liegt Netprobe auch hinter dem "Internet Scanner" der Internet Security Systems Inc. zurück, der über 120 Gefahrenstellen entdeckt. (Der Testbericht ist im WWW unter http://www.zdnet.com/pcweek/netweek/0205/tdaem.html erhältlich.)
Die kommerziellen Programme unterscheiden sich von der Public-Domain-Software in erster Linie durch die laufenden Updates. Außerdem haben die Hersteller Sicherheitsmaßnahmen implementiert, die verhindern sollen, daß die Software in falsche Hände fällt. Qualix vertraut auf die Verschlüsselung, um sicherzustellen, daß sich nur ein bestimmtes Netzwerk überprüfen läßt. Internet Security Systems gibt sein Produkt nur für vorher festgelegte IP-Nummern frei.
Security-Audit-Tools Infos und Bezugsquellen
Internet Scanner: http://www.artinet.de
Satan: ftp://ftp.cert.dfn.de/pub/tools/net/satan
Pingware: http://www.bellcore.com
Netprobe: http://www.qualix.com
Kurz und bündig
Firewalls sollen den unternehmenseigenen Computersystemen bei Internet-Verbindungen Sicherheit erhalten. Doch leicht entpuppt sich dies als Illusion. Angesichts der sich permanent verändernden Bedingungen in einer DV-Umgebung ist es notwendig, das Verteidigungssystem ständig auf Lücken zu untersuchen und anzupassen. Source Porting, Source Routing, Socks, IP-Spoofing, direktes RPC-Scanning und Stealth Scanning sind häufige Angriffsvarianten, die hier beschrieben sind. Die Autorin stellt auch einige Produkte vor, die Firewall-Einrichtungen automatisch auf Einbruchsmöglichkeiten durchsuchen.
*Stefanie Schneider ist als freie Fachjournalistin in München tätig.