Seit der Entwicklung des ersten grafischen Browsers "Mosaic" durch die amerikanische National Computer Security Association (NCSA) im Jahr 1993 ist ein nahezu explosionsartiger Anstieg der Benutzer- und Anbieterzahlen im Internet zu verzeichnen. In kürzester Zeit setzte sich das neue Medium, das vorher vor allem im universitären Umfeld genutzt wurde, in Industrie, Wirtschaft und bei Endverbrauchern durch. Dabei wird das Internet zunehmend nicht nur als Plattform zur Eigenrepräsentation und Werbung mit Hilfe von WWW-Seiten genutzt, sondern mehr und mehr auch in die IT-Landschaft von Unternehmen und Behörden integriert.
E-Commerce, Internet-Zugang für die Mitarbeiter oder auch die Anbindung von Außenstellen erfordern Schnittstellen zwischen dem Firmennetz und dem Internet. Bei der Entwicklung entsprechender Technologien und Protokolle standen Funktionalität, Vielseitigkeit und Leistungssteigerung im Vordergrund, die Sicherheit der Daten und der beteiligten Rechnersysteme wurde häufig als nebensächlich angesehen. Eine Gefährdung hingegen existiert nicht nur für Daten, die über das Internet übertragen werden, sondern auch für das Firmennetz mit den angeschlossenen Rechnern und den darauf gespeicherten Daten.
Um Hacker und potentielle Datendiebe vom eigenen Netz fernzuhalten, bietet sich der Einsatz einer Internet-Firewall beziehungsweise eines Sicherheits-Gateways an. Diese Kombination aus verschiedenen Soft- und Hardwarekomponenten kanalisiert den gesamten Verkehr zwischen Internet und Firmennetz. Der Datenstrom kann so analysiert und nach bestimmten Regeln weitergeleitet oder abgelehnt werden. Firewalls werden jedoch auch innerhalb eines Netzes verwendet, um Abteilungen voneinander zu trennen. Allerdings wird ein Internet-Zugang nicht einfach durch die Beschaffung einer Firewall sicher. Vielmehr müssen Auswahl und Konfiguration in das IT-Sicherheitskonzept integriert werden.
Grob lassen sich Firewalls in zwei Gruppen unterteilen: Paketfilter und Application-Gateways. Paketfilter nutzen die Tatsache aus, daß die einzelnen Dienste des Internet an sogenannte Ports gebunden sind. So nutzen WWW-Verbindungen üblicherweise den Port 80. Für eine Filterentscheidung sind neben den Portnummern auch die IP-Adressen der beteiligten Rechner nutzbar. Die meisten heutigen Router bieten diese Funktionalitäten. Moderne Weiterentwicklungen der Paketfilter (Statefull Inspection) bewerten auch den Status der Verbindung: Handelt es sich um einen Verbindungsaufbau oder um eine bereits existierende Verbindung? Sie behalten dazu eine kurze Historie der vorangegangenen Pakete im Speicher. Der Inhalt der Übertragung läßt sich mit Paketfiltern jedoch nicht untersuchen, da sie die eigentlichen Protokolle, etwa HTTP oder FTP, nicht "verstehen".
Application-Gateways wiederum kontrollieren den Inhalt der Datenpakete auf Anwendungs-ebene. Sie können unter anderem Programme nach Viren durchforsten oder aus WWW-Seiten aktive Inhalte wie Java-Applets oder Active-X-Controls entfernen. Dazu benötigen sie für die einzelnen Dienste Proxy-Prozesse, die die Anfragen der Rechner im LAN an die Internet-Rechner weiterleiten und die Datenpakete untersuchen. Da die Analyse des Datenverkehrs zwischen dem Internet und dem LAN Rechenleistung beansprucht, muß diese Aufgabe von einem entsprechend dimensionierten Computer übernommen werden. Im Gegensatz zu Paketfiltern erlauben Application-Gateways eine Eingrenzung der während einer Verbindung erlaubten Operationen.
Um auch bei Ausfall einer Komponente (zum Beispiel durch einen Konfigurationsfehler) ein Eindringen in das LAN zu verhindern, empfiehlt das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) eine mehrstufige Firewall-Anordnung. Sinnvoll ist hier ein Application-Gateway, das sowohl zum Internet als auch zum LAN mit einem zusätzlichen Paketfilter geschützt wird. Der symmetrische Aufbau bietet auch einen gewissen Schutz gegen Angreifer aus dem eigenen Netz. Internet-Server sollten dabei an eine oder mehrere weitere Netzwerkkarten angeschlossen werden, so daß sie durch das Application-Gateway gesichert werden und andererseits trotzdem nicht direkt im LAN stehen. Sie können mit dem internen Netz nur über das Application-Gateway und die inneren Paketfilter kommunizieren. Es ist außerdem sinnvoll, nicht in allen Komponenten das gleiche Betriebssystem zu wählen, damit ein potentielles Sicherheitsloch einem Angreifer keinen Durchmarsch ermöglicht.
Sicherheit ist zudem nicht statisch. Mit der Anschaffung und sinnvollen Konfiguration einer geeigneten Firewall allein läßt sich ein Firmennetz nicht dauerhaft gegen die Risiken des Internet absichern. Neben der regelmäßigen, möglichst zeitnahen Kontrolle der Protokolldaten ist es erforderlich, daß das Administrationspersonal sich laufend über die ständig neu auftretenden Sicherheitslücken und Angriffsszenarien informiert und relevante Patches in das System einpflegt. Auch sollte man die eigene Sicherheitspolitik und die Konfiguration der Firewall immer wieder überdenken. Ein Beispiel aus der jüngeren Vergangenheit sind die aktiven Inhalte in WWW-Seiten.
Vorsicht vor Active X, Java und Javascript
Mit Active X, Java und Javascript sind zahlreiche Risiken verbunden, die teilweise auf Konzeptionsfehler, aber auch auf fehlerhafte Implementierungen zurückzuführen sind (siehe Kasten "Ausführbare Inhalte"). Lautet die Konsequenz daraus, daß aktive Inhalte im LAN nicht zugelassen werden sollen, können diese bereits in einem Application-Gateway herausgefiltert werden - eine Funktionalität, die erst seit kurzer Zeit angeboten wird und in vielen Firewalls auch heute noch nicht zuverlässig genug arbeitet.
Damit eine Firewall ihrer Aufgabe überhaupt gerecht werden kann, darf es keine ungeschützten Wege in das Firmennetz geben. Modems am Arbeitsplatz verbieten sich daher von selbst. Wartungszugänge oder RAS-Einwahlknoten (Remote Access Server) schaffen häufig einen ungewollten "Bypass". Auch diese Kommunikationsbeziehungen müssen also in das Sicherheitskonzept integriert und über sichere Verbindungen an das lokale Netz angebunden werden.
Firewall-Konfiguration in der Boxengasse
Die Konzeption und Konfiguration eines zuverlässigen Sicherheits-Gateways ist keineswegs trivial. Zahlreiche Fehlerquellen können die Sicherheit stark beeinträchtigen. Daher ist eine unabhängige Überprüfung der Internet-Anbindung und der eingestellten Filterregeln in regelmäßigen Abständen, mindestens aber bei Veränderungen der Filterregeln, unerläßlich. Derartige "Security-Audits" können eine Überprüfung der Konfiguration aller beteiligten Systeme, des Sicherheitskonzepts und der Notfallpläne beinhalten.
Sinnvoll ist es, die Firewall-Anordnung auch einem Penetrationstest zu unterziehen. Dabei werden Black-box-Test und White-box-Test unterschieden. Während der "Angreifer" beim Black-box-Test lediglich die Informationen erhält, die auch ein realer Angreifer aus dem Internet hätte (beispielsweise die IP-Adresse), wird er beim White-box-Test ausführlich über die Anbindung informiert. Hier sollte dann auch jede einzelne Komponente der Firewall-Anordnung untersucht werden. So können zum Beispiel nicht (mehr) benötigte Genehmigungen, die auf einem Application-Gateway gesetzt sind, entdeckt werden - auch wenn sie kein direktes Sicherheitsloch darstellen, weil sie durch einen vorgeschalteten Paketfilter geblockt werden. Einem tatsächlichen Angreifer werden so möglichst viele Hürden in den Weg gestellt. Die Chance, einen Angriff zu erkennen, bevor schwerer Schaden entsteht, wird dadurch deutlich erhöht.
Firewall-Fragen
Folgende Punkte sollten rechtzeitig vor der Realisierung eines Internet-Anschlusses und vor der Beschaffung eines konkreten Firewall-Produkts geklärt werden:
-Was soll geschützt werden?
-Welche Dienste sind für wen erforderlich?
-Wer administriert die Firewall?
-Welche Verbindungsdaten werden protokolliert, und wer wertet diese Daten wie häufig aus?
-Welcher Datendurchsatz ist zu erwarten?
Ausführbare Inhalte
Dynamische, ausführbare Inhalte wie Java-Applets oder Active-X-Controls machen das Web-Leben bunter und bieten vielfältige Einsatzmöglichkeiten im elektronischen Handel oder bei Infodiensten. Beispiele sind Banking-Applets oder Börsenticker. Anwendern ist dabei meist nicht bewußt, welche Programme unsichtbar im Hintergrund ablaufen, wenn sie sich durch Internet-Seiten klicken. Durch die Hintertür holen sie so möglicherweise Angreifer ins Haus. Konventionelle Abwehrmechanismen wie Firewalls bieten hier nur einen begrenzten Schutz. Marie-Louise Schütt von der Neurotec Hochtechnologie GmbH in Friedrichshafen faßt Risiken und Abwehrstrategien zusammen.
Potentielle Risiken:
-Denial of Service
-Angriffe auf lokale Daten
-Zugriffe auf netzwerkweite Ressourcen (gesamtes Intranet, nicht nur ein lokaler Rechner ist betroffen)
-Mißbrauch vorhandener Ressourcen (Versenden von Spam-Mail)
-Datenspionage (allgemeine Firmendaten oder beispielsweise Kreditkartendaten)
Bei den Abwehrstrategien für ausführbare Inhalte werden vertrauensbasierte Maßnahmen (Trust-based Verfahren) wie Vertrauenslisten und Zertifikate sowie laufzeitbasierte Verfahren (Sandboxing, Remote Execution) unterschieden.
I) Trust-based Verfahren (eingesetzt bei Java und Active-X-Technologien)
1) Listen mit vertrauenswürdigen Applets, Web-Seiten, Controls. Nachteil: unvollständige Listen, fehlende Aktualität, mangelnde Flexibilität.
2) Zertifikate (digitale Stempel, um Authentizität und Echtheit von Dokumenten zu garantieren. Einsatz von asymmetrischen Verschlüsselungsverfahren). Nachteil: uneinheitliche Implementierung der Hersteller. Netscape- und Microsoft-Verfahren sind inkompatibel (Mehrkosten und unnötiger Zeitaufwand durch die Anwendung unterschiedlicher Zertifikate).
Allgemeiner Nachteil der Trust-based-Verfahren: Vertrauen ist gut, Kontrolle wäre besser. Trotz Zertifikat bleibt ein Restrisiko, da die Funktionalität der Applets beziehungsweise Controls im unklaren bleibt.
II) Laufzeitbasierte Verfahren (Einsatz bei Java-Applets, Active X unterstützt keine Laufzeitbeschränkung)
Dem Applet wird dabei vor und während der Laufzeit ein Kontrollmechanismus auferlegt.
1) Sandboxing:
Das Applet wird in einem sicheren, abgeschlossenen Kontext auf dem Zielrechner ausgeführt (virtueller Käfig). Zugriff auf Ressourcen wird dabei verwehrt. Es handelt sich in der Theorie um ein abgeschlossenes System, im Zusammenhang mit vertrauensbasierten Maßnahmen sind mehr oder weniger kontrollierte "Ausbrüche" möglich.
2) Remote Execution
Es ist theoretisch möglich, daß ein Applet auf einem vom Intranet getrennten Rechner ausgeführt wird. Den Clients wird dann ausschließlich die grafische Wiedergabe des Applets übertragen. Das Verfahren ist allerdings unkomfortabel, da der Anwender keine eigene Umgebung hat.
Nachteil von Laufzeitverfahren: Beschränkungen treffen alle Applets, also auch die "ungefährlichen". Sämtliche Applets sind in ihrem Funktionsumfang enorm eingeschränkt.
Als mögliche und oft praktizierte Lösung bietet sich eine Kopplung von Sandboxing und Trust-based-Verfahren an. Im Regelfall können vorhandene Maßnahmen ausreichen, da die Risiken noch überschaubar sind. Zukünftig werden sich aber durch die steigende Verbreitung von Anwendungen auf Basis ausführbarer Inhalte (vor allem im E-Commerce) höhere Risikopotentiale ergeben.
Angeklickt
Firewalls lassen sich grundsätzlich in Paketfilter und Application-Gateways einteilen. Ideal ist eine mehrstufige Firewall-Anordnung aus einem Application-Gateway, das sowohl zum Internet als auch zum LAN mit einem zusätzlichen Paketfilter geschützt wird. Neue Gefahren, beispielsweise durch aktive Inhalte wie Active-X-Controls, erfordern dabei eine ständige Überprüfung der Sicherheitspolitik und der Firewall-Konfiguration. Keinesfalls aber darf es ungeschützte Wege ins Firmennetz geben.
*Stefan Wolf ist Referent im Referat V 7, Sicherheit im Internet und Intranet, im Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn.