Gegen Internet-Attacken ist kein wirksames Kraut gewachsen

Firewall-Systeme kaufen Hackern den Schneid ab

15.11.1996

"Jeder, der eine Internet-Verbindung unkontrolliert, das heißt ohne Firewall, ins Unternehmen legt, ist verrückt." Mit diesen drastischen Worten warnte der Sankt Gallener Berater Rudolf Baer kürzlich auf einem Oracle-Symposium Administratoren davor, die im Internet lauernden Gefahren auf die leichte Schulter zu nehmen.

In der Tat ist das Angriffspotential aus dem Web vielfältig und nicht zu unterschätzen. Leidvolle Erfahrungen mußten in jüngster Vergangenheit mehrere Internet-Service-Provider (ISPs) machen, deren Server durch das "TCP SYN Flooding" lahmgelegt wurden. Bei dieser sogenannten Denial-of-Service-Attacke mißbraucht der Hacker eine Eigenschaft von TCP - nämlich den Verbindungswunsch des Senders erst durch ein "Acknowledgement" des Adressaten zu bestätigten. Diesen Moment wartet der Angreifer, der sich unter einer anonymen IP-Adresse einwählt, ab und unterbricht dann den Prozeß der Bestätigung. Damit wird eine halboffene TCP-Connection erzeugt, über die der Hacker den Server permanent mit Anfragen flutet und für die weitere Nutzung blockiert.

Fälle wie diese sind nur die Spitze des Eisberges und werden bekannt, weil es sich um prominente Geschädigte handelt. Opfer kann aber jedes Unternehmen werden, denn Hacken hat sich schon fast zum Volkssport entwickelt. Das Programm für das genannte Beispiel "TCP SYN Flooding" war zum Zeitpunkt der ISP-Attacken für jedermann über Mailing-Listen, FTP-Server und das WWW abzurufen oder in Hacker-Magazinen wie "FRAC", "2600" etc. schwarz auf weiß nachzulesen.

Längst konzentrieren sich die Online-Eindringlinge nicht mehr nur auf bekannte Unternehmen oder Branchengrößen, sondern starten mit Hilfe automatisierter Tools den flächendeckenden Angriff. Glück im Unglück haben dann noch die Companies, in deren Netze die Hacker nur aus persönlichem Ehrgeiz eindringen, ohne aber größeren Schaden anzurichten. Pech hingegen für diejenigen, die Opfer einer Cracker-Attacke werden. Cracker, die kriminelle Spezies der Hacker, spionieren Unternehmen aus und begehen mit den erschlichenen Informationen längst keine Kavaliersdelikte mehr.

3000 Online-Überfälle wurden 1995 dem Computer Emergency Response Team (CERT) weltweit gemeldet. Damit nahm die Zahl der Delikte im Vergleich zu den Vorjahren linear zu. Zwar stieg die Anzahl von Internet-Hosts im Vergleich dazu exponentiell von rund einer Million im Jahr 1993 auf zirka sieben Millionen Ende 1995, daraus jedoch mehr Sicherheit abzuleiten wäre ein Trugschluß.

Die Dunkelziffer der Attacken liegt um ein Vielfaches höher. Nach Ansicht von Detlef Weidenhammer, Geschäftsführer der GAI Netconsult, Berlin, bemerken viele Unternehmen die Attacken gar nicht oder verschweigen sie.

Schweigen ist nicht immer Gold: Würden mehr Systemeingriffe publik, könnten die Hersteller von Firewall-Lösungen stärker von den Erkenntnissen profitieren und ihre Produkte entsprechend verbessern. Noch schlimmer ist jedoch, sich überhaupt nicht zu schützen. Firmen, die ihre Netze zum Internet nicht absichern, handeln in der Tat grob fahrlässig.

Eine Untersuchung des Computer Security Institute in San Franzisko, das 30 Online-Einbruchsfälle genau analysierte, ergab, daß den Unternehmen im Durchschnitt pro Attacke ein Schaden von 80000 bis 100000 Dollar entstand. "Sicherheit rechnet sich eben erst, wenn man einen konkreten Schadensfall erlitten hat", erklärt Berater Weidenhammer den Grund, weshalb manche IT-Entscheider lieber mit dem Feuer spielen.

Indizien dafür, daß die Gefahr aus dem Internet in Unternehmen unterschätzt wird, liefert auch eine Umfrage der COMPUTERWOCHE. Von 43 befragten Firmen mit mehr als 500 Mitarbeitern und einer WAN-Anbindung ans Internet gaben 17 - also gut ein Drittel - zu, keine Firewall einzusetzen. Natürlich ist diese Zahl nicht repräsentativ, läßt aber doch den Schluß auf bewußt in Kauf genommene Sicherheitslücken zu.

Durch diesen Leichtsinn werden extern operierenden Hackern Tür und Tor zum Company Network weit geöffnet. Eine Firewall erschwert den Angreifern zumindest den illegalen Zugriff oder kann ihn ganz verhindern. Einen Persilschein für absolute Sicherheit können die Hersteller jedoch nicht ausstellen.

Jon McCown, Analyst für Netzsicherheit bei der National Computer Security Association (NCSA), einer US-Organisation, die Firewall-Systeme zertifiziert, warnt vor blindem Vertrauen der Anwender in ungetestete Sicherheitslösungen. "Selbst die beste Firewall ist eine Bedrohung für das Unternehmen, wenn sie falsch konfiguriert ist und ihre Funktionalität überschätzt wird", gibt der Spezialist zu bedenken.

"Sicherheit kann nicht einfach nur hinzugekauft, sondern muß auch sinnvoll ins Unternehmensnetz integriert werden", appellierte Urs Osann, Leiter der Hauptabteilung EDV-Systementwicklung und Betrieb bei der Schweizerischen Bankgesellschaft, Zürich, anläßlich des Oracle-Symposiums an die Besucher. Er wies dabei vor allem darauf hin, daß die Gefahr nicht nur von außen über die WAN-Anbindung droht, sondern auch intern. "Jeder, der eingestellt wird, ist ein potentieller Hacker", provozierte der Experte bewußt.

Eine Studie der Data Processing Management Association von 1994 untermauert die Aussage des Eidgenossen. 81 Prozent der Sicherheitsverletzungen , so die Erhebung, wurden von Angestellten begangen, 13 Prozent von externen Angreifern und sechs Prozent von ehemaligen Beschäftigten. Mittlerweile, glaubt Berater Weidenhammer, hat sich der Anteil externer Aggressionen erhöht, wenngleich weiterhin interne Attentäter das größte Risiko bergen. Der Berliner empfielt deshalb, sensible Rechnerbereiche als Security-Domänen zu definieren und intern ebenfalls mit Hilfe von Firewalls abzuschotten.

Egal, ob es sich um Angriffe aus dem Unternehmenskreis oder der Außenwelt handelt, in beiden Fällen operieren die Hacker äußerst vielseitig. Laut Weidenhammer basieren die meisten erfolgreichen Überfälle auf schlecht gesicherten Paßwörtern. Ist diese Hürde erst einmal genommen, droht allen übrigen Systemen sowie Paßwort-Dateien und User-Accounts Gefahr. Online-Piraten können dann die erweiterten Zugriffsrechte weidlich ausnutzen, Sniffer-Programme installieren oder Terminal-Hijacking begehen, das heißt Sessions ganz übernehmen oder protokollieren.

Die Berichterstattung über die Online-Unterwelt hat allerdings, wie der Consultant meint, zu einer Schärfung des Sicherheitsbewußtseins in den Unternehmen geführt. Durch die Verbindung zum Internet seien auch interne Sicherheitsmängel aufgedeckt worden und viele IT-Manager jetzt gewillt, mit ihren Altlasten im LAN aufzuräumen. Die Bereitschaft, in Security zu investieren, hat, so die Erfahrung des Beraters, in letzter Zeit zugenommen.

Ein Patentrezept für die Installation von Sicherheitslösungen gibt es jedoch nicht. "Das beste Firewall-System als solches existiert nicht, sondern muß unternehmensspezifisch angepaßt werden", dämpft auch der Berliner allzu euphorische Erwartungen der Käufer. Fatal ist es seiner Meinung nach, wenn sich Firmen ohne Sicherheitskonzept Hals über Kopf in das Abenteuer Internet, Intranet und Firewall stürzen.

Aus seiner Beratertätigkeit weiß Weidenhammer zu berichten, daß viele Betriebe ihr Vorgehen in der falschen Reihenfolge planen, ihren Kommunikationsbedarf oft nicht richtig kennen, die Sicherheit im LAN außer acht lassen, die Durchsetzung von Restriktionen scheuen. Der Berater rät allen Unternehmen daher, vor der Implementierung unbedingt ein Sicherheitskonzept zu entwerfen (siehe Abbildung 1).

Abhängig von den Ergebnissen der Bedarfs- und Kommunikationsanalyse muß dann die Sicherheitszone zwischen internem und externem Netz adäquat ausgewählt werden. Grund genug, die unterschiedlichen Firewall-Typen einmal näher zu betrachten. Wichtig ist zuvor jedoch, nochmals zu betonen, daß eine Firewall kein Allheilmittel gegen das gesamte Angriffsspektrum sein kann.

Viren-Scanning von über das Netz transportierten ausführbaren Dateien und Archiven sollte zum Beispiel als zusätzlicher Schutz installiert werden. Hier empfiehlt sich, so der Fachtenor, ein separater Server, um die Firewall nicht zusätzlich durch die Suche nach Komprimierungsverfahren, die Dekomprimierung und das eigentliche Scanning zu belasten.

Fehlanzeige in Sachen Sicherheit heißt es auch beim Download von Java-Applets, Active-X-Controls und anderen direkt ausführbaren Programmen sowie bei Postscript-Dateien, E-Mails, Word-Makros oder JPEG-Bildern, in denen sich allesamt Viren verstecken lassen. Gegen diese Angriffsmethode ist auch durch eine Firewall, die im Prinzip keine Datenpaketinhalte, sondern nur IP-Adressen überprüft, kein Kraut gewachsen.

Im wesentlichen werden bei Firewalls zwei Grundtypen unterschieden: Zum einen der Paketfilter, zum anderen das Application Level Gateway (ALG). Während der Paketfilter lediglich auf Routing-Ebene die IP-Pakete filtert (siehe Abbildung 2), realisiert die Gateway-Lösung auf der Anwendungsschicht eine verbindungsorientierte Prüfung (siehe Abbildung 3). Zu diesem Zweck nutzt das ALG sogenannte Proxy-Services, die mit den spezifischen Netzdiensten Telnet, FTP, SMTP, HTTP und NNTP korrespondieren. Außerdem verfügen manche ALGs über das Feature Auditing, das heißt sie können Aktivitäten überwachen und bestimmte Vorgänge auch aufzeichnen.

Im Vergleich zum Paketfilter bietet das ALG in der Regel mehr Schutz, allerdings geht dieser Vorteil zu Lasten der Geschwindigkeit. Ein Manko der Proxy-Gateways ist ferner, daß über die fünf genannten Spezialdienste hinaus kaum weitere angeboten werden. "Bei Spezialanwendungen wie SAP R/3 oder Audiodiensten sieht es sehr düster aus", beurteilt Weidenhammer das Proxy-Angebot der Hersteller.

Als Variante zum klassischen ALG vermarkten einige Anbieter eine generische Proxy-Applikation, die das Durchschleusen aller Dienste erlaubt. Allerdings büßen Kunden mit dieser Lösung den eigentlichen Vorteil eines ALG ein, weil der generische Proxy-Service beim Prüfen der Daten keine Kenntnisse von applikationsspezifischen Protokollen hat.

Anwendern, die ein Sammelsurium von Diensten auf ihrem Netz fahren, für die es keine spezifischen Proxy-Entwicklungen gibt, rät Consultant Weidenhammer, von generischen Firewall-Komponenten die Finger zu lassen. Statt dessen sollten sie, so seine Empfehlung, den Einsatz eines sogenannten erweiterten Paketfilters erwägen. Dabei handelt es sich um eine hybride Lösung, die nicht nur Datenpakete unter dem Aspekt der Adressierung filtert, sondern darüber hinaus teilweise auch in die Anwendungsebene reicht. Das bedeutet, sie kennt bestimmte Charakteristika von Applikationen und prägt sich den Kontext von Verbindungen ein.

Doppelt gemoppelt hält besser

Keine dieser drei genannten Firewall-Typen stellt für sich alleine das Nonplusultra an Sicherheit dar. Je nachdem, wie sensibel die bedrohten Daten sind, muß jedes Unternehmen individuell abschätzen, welche Maßnahmen es gegen ungebetene Gäste ergreift. Nach Ansicht von Weidenhammer ist ein doppelter Schutz momentan der sicherste Weg. Dabei werden nach außen wie innen Router dem ALG vorgeschaltet und außerdem die ein- und ausgehenden Daten von externen Servern (zum Beispiel Web, Mail, News, Access, DNS etc.) ebenfalls von der Firewall kontrolliert.

Natürlich hat die Sicherheit auch ihren Preis. Über den Daumen gepeilt kostet eine Firewall, abhängig von Konfiguration, Funktionalität und Komfort, zwischen 40000 und 250000 Mark. Derzeit tummeln sich nach Schätzung von Experten rund 50 Hersteller am Markt, wovon aber noch keiner eine marktbeherrschende Stellung erobert hat. Der Kunde hat also die Qual der Wahl - aber: "Eine Firewall kauft man eben nicht so einfach wie Word oder Excel", betont Weidenhammer die Bedeutung der Entscheidung.