Internet im Unternehmen/IP-Adressierung und Firewalls richtig eingesetzt Von internen TCP/IP-Netzen zur weltweiten Kommunikation

14.04.1995

Viele Unternehmen verwenden im internen LAN bereits IP-Adressen, die allerdings oftmals nicht registriert sind. Wollen sie eine Internet-Anbindung, muessen zumindest in der Kommunikation nach draussen legale Adressen verwendet werden. Snoopy* beschreibt aus seiner Praxis, was in bezug auf das Einrichten und Verwalten von IP-Adressen und Firewalls zu beachten ist.

In der ganzen Welt mehren sich die Initiativen, mittelstaendische Unternehmen mit Hilfe einer sogenannten Datenautobahn miteinander zu verbinden. Besonders Bayern hat hier mit einem Projekt "Bayerische Datenautobahn" eine Vorreiterrolle uebernommen. Diese und andere Entwicklungen werden profunden Einfluss auf die Firmenkulturen haben. Unternehmen werden sich oeffnen und mit potentiellen Konkurrenten und Kooperationspartnern kommunizieren - also eine Abkehr vom gaengigen Prinzip, die Dinge fuer sich zu behalten.

Zentrale Administration ist die beste Loesung

Den Firmen stellen sich, vom Einfluss der Informationsgesellschaft auf ihre Arbeitsweise einmal abgesehen, ganz profane technische Fragen. Etwa: Wie komme ich an das Internet, oder woher bekomme ich eine Internet-Adresse? Das Internet wird meist als Synonym fuer die Datenautobahn gesehen. Es kommt dieser Idee auch recht nahe und hat ausserdem den Vorteil, dass es bereits existiert und funktioniert.

In den meisten Faellen sind die Unternehmen schon Anwender der Internet-Protokolle, meist im eigenen LAN, die oft auf TCP/IP basieren. Ein Anschluss an das Internet bedeutet haeufig nicht mehr, als diese Protokolle ueber WANs mit anderen Maschinen weltweit zu benutzen. Der erste Schritt hierfuer ist es, eine weltweit einzigartige Internet-Adresse zu beantragen und einzurichten.

Auch innerhalb einer Firma sollten Internet-Adressen nur zentral verwaltet werden, sonst nehmen die administrativen Probleme ueberhand: Es kommt zu doppelt vergebenen Adressen etc. Auch ein Anschluss an das Internet ist bei einer zentralen Administration viel einfacher.

Im Normalfall muss sich ein Unternehmen an einen kommerziellen Anbieter fuer Internet-Dienste wenden. Hier bietet sich ein sogenannter Service-Provider an, der einen Point of presence (POP) in geografischer Naehe unterhaelt. Dorthin lohnt sich unter Umstaenden eine Standleitung. Sie ist kostenguenstig, volumenunabhaengig und sicher, da sie nicht angewaehlt werden kann. Der Internet-Provider teilt dem Unternehmen dann eine Internet- Adresse zu. In der Regel handelt es sich um eine Klasse-C-Adresse, weil Klasse-A- und Klasse-B-Adressen bereits alle vergeben sind.

Die meisten Firmen haben sich ihre internen Internet-Adressen willkuerlich ausgesucht. Nun bietet sich die Moeglichkeit, mehrere Klasse-C-Adressen zu beantragen und die internen Netze umzustellen. Dies ist in den meisten Faellen aufgrund des Arbeitsaufwands nicht praktikabel, aber es haette Vorteile, weil es die Konfiguration des Internet-Zugangs erleichtert. Die meisten Unternehmen braeuchten drei Klasse-C-Adressen; jede Klasse-C- Adresse erlaubt die Adressierung von bis zu 254 Maschinen. Man nimmt also je nach Zahl der Rechner im lokalen Netz zwei, drei oder vier Klasse-C-Adressen. Eine davon reserviert man sich fuer den Zugang zum Internet.

Zwischen den internen (illegalen, willkuerlichen oder legalen, zugeteilten) Adressen und der Klasse-C-Adresse fuer die Aussenwelt ist eine Verbindung herzustellen. Dies wird mit Hilfe eines Routers realisiert, der als Internet-Gateway fungiert.

Er leitet Datenpakete aus dem Inhouse-Netz an die Aussenwelt weiter und umgekehrt. Die Maschinen im LAN bekommen dann als sogenannte Default-Route den Internet-Gateway eingetragen. Die Default-Route bedeutet, dass der Netzwerkcode des Rechners alle Pakete, fuer die er keine andere Route hat, dorthin leitet. Somit werden alle Pakete, die nicht in die bekannten Routen im lokalen Netz gehoeren, an den Internet-Provider weitergeleitet, und die internen Rechner haben so einen Zugang zum Internet.

Es nuetzt allerdings wenig, wenn die Maschinen den Paketen den Weg in die Aussenwelt bahnen. Die Antwortpakete muessen auch zum Zielrechner zurueckfinden.

Hier kommen nun, wenn man hausintern illegale Adressen benutzt, Probleme auf. Es erschwert die Benutzung fuer den einzelnen Anwender, der sich erst auf dem Internet-Gateway einloggen muss, wenn er Dienste wie FTP, Telnet und WWW in Anspruch nehmen will. Der Grund ist, dass nur die legale Internet-Adresse des Gateways nach aussen sichtbar sein darf. Alle illegalen, internen Internet- Adressen muessen verborgen bleiben. Deshalb ist es um einiges einfacher und angenehmer, alle Rechner mit legalen Internet- Adressen zu versehen, die auch nach aussen hin sichtbar sein duerfen - dann muss niemand mehr Klimmzuege ueber den Gateway machen.

Firewall-Systeme dienen als Minimalschutz

Beim ersten Szenario muss der Router so konfiguriert werden, dass er auf keinen Fall Routing-Informationen ueber das illegale Hausnetz in die Aussenwelt propagiert. Dies laesst sich erreichen, indem man zum Beispiel bei Cisco-Routern das Interface zur Aussenwelt als "passiv" deklariert. Der Router verschickt dann auf dieser Schnittstelle keine RIP- oder IGRP-Pakete (Routing Information Protocol; Interior Gateway Routing Protocol) mehr.

Im zweiten, bequemeren Fall, kann der Router diese Pakete schicken, was allerdings aus Kostengruenden nicht immer sinnvoll ist. Der Internet-Betreiber traegt sowieso die Routen zum Netz statisch in die globalen Internet-Tabellen ein. Somit ist es strenggenommen nicht noetig, selbst Routing-Informationen in die Welt zu posaunen.

Ein weiteres Problem ist der Zugriffsschutz. Das Internet hat keinen zentralisierten Betreiber, und entsprechend fuehlt sich niemand dafuer zustaendig, die Netzteilnehmer zu schuetzen. Es ist also nicht die Aufgabe des Staates oder der Polizei, sondern eines jeden selbst, seine Maschinen abzusichern. Hierbei laesst sich ein beliebiger Aufwand treiben. Man sollte sich allerdings immer vor Augen halten, dass es niemals eine 100prozentige Sicherheit geben wird. Cracker nutzen zum Teil noch unbekannte Software-Bugs aus, und dagegen gibt es keinen Schutz.

Ausserdem existieren zwei Philosophien: Man kann seine Systeme recht offen fahren - dann besteht fuer die Cracker keine fachliche Herausforderung; man signalisiert quasi: "Bei mir gibt es nichts Interessantes zu holen." Wer seine Haustuere aber mit allen moeglichen Schloessern versieht, der signalisiert, dass das Haus wohl etwas Schuetzenswertes, sprich: Teures beherbergt - und ein guter Dieb bricht dann letztlich durch das offene Klofenster ein.

Allerdings bin ich der Meinung, dass man schon ein Minimum tun muss, um nicht heftig gebissen zu werden. Ich habe keine Lust, dafuer geradezustehen, wenn jemand sensible Personaldaten abzockt oder alle Maschinen und damit den Betrieb lahmlegt. Als Minimalschutz empfehle ich daher die Einrichtung eines sogenannten Firewall- Rechners, der die Netzzugriffe von aussen ueberwacht und protokolliert. Firewall entspricht dem deutschen Begriff der Brandschutztuer: Ein Brand sollte nur bis zu dieser abgehaerteten Tuer kommen und sich auf der anderen Seite nicht weiter ausbreiten koennen. Ein Cracker sollte unter Umstaenden auf die Firewall- Maschine gelangen aber nicht weiter in das Inhouse-Netz eindringen koennen.

Bei der Auswahl eines solchen Firewalls empfiehlt sich eine nach Moeglichkeit populaere Architektur, etwa ein Sparc-System von Sun mit SunOS oder ein PC mit Linux oder NetBSD Unix. Eine gute Firewall ist ohne Public-Domain-Software nicht machbar: Gerade im Sicherheitsbereich ist man auf solche Programme, die weltweit von vielen Sicherheitsexperten gepflegt werden, angewiesen. Der Pluspunkt von Linux und anderen PD-Unix-Clones ist, dass sie in Source-Form vorliegen und so das Einrichten von Sicherheits- Features, zum Beispiel das Abstellen von IP-Source-Routing, enorm erleichtern.

Eine populaere Architektur hat den Vorteil, dass die Sicherheitsloecher wohlbekannt und auch gestopft sind. Tauchen neue Probleme auf, entsteht durch die Masse der Anwender ein enormer Druck, sie zu beseitigen. Zu guter Letzt kompiliert Public-Domain- Software am besten auf weitverbreiteten Systemen und ist auf vielen verschiedenen Plattformen getestet und portiert.

Ein Firewall laesst sich also als abgehaertete Maschine bezeichnen. Auf ihr sollte man saemtliche nicht benoetigten Netzwerkdienste wie Yellow Pages/NIS und NFS abstellen. Ferner muss das System mit entsprechender Software ausgestattet werden - am besten aus dem Public Domain, wer will, kann auch bei den Herstellern gegen teures Geld kompilierte PD-Software kaufen. Diese wird dann konfiguriert und angepasst, wobei die Kompilierung am trivialsten ist. Die Konfiguration und andere Arbeiten verschlingen den Loewenanteil. Das liegt vor allen Dingen daran, dass die Integration einer bestehenden Umgebung zu beruecksichtigen ist. Hier geraet man schnell in zutiefst politische Fahrwasser.

Eine Firewall muss uebrigens nicht in einem eigenen, dem Hausnetz vorgelagerten LAN, auch demilitarisierte Zone oder kurz DMZ genannt, untergebracht werden. Durch subtile Konfiguration des Routers und des Firewalls laesst sich letzterer im gleichen geschuetzten internen LAN betreiben wie der Router und der Internet-Anschluss.

Die Firewall-Software bietet eine Vielfalt von Funktionen, etwa die Ueberpruefung von Netzzugriffen. So koennen fuer Zugriffe aus verschiedenen Netzen unterschiedliche Privilegien konfiguriert werden. Unsere Geschaeftsaussenstellen koennen zum Beispiel mehr auf unser Netz durchgreifen als etwa Internet-Benutzer aus uns unbekannten Netzen.

Auch Mails muessen durch einen Filter

Die Firewall-Software stellt auch einen Schutzschirm zwischen dem Internet und unserem Mail-System dar, auf dem "Sendmail" in der neuesten Version laeuft. Letzteres ist trotz allem immer wieder ein notorisches Sicherheitsloch. Aus diesem Grund wird es durch eine Filterschicht auf dem Firewall-Rechner simuliert, die Nachrichten akzeptiert. Sie werden erst nach einer Ueberpruefung an den Mail- Server zum Zustellen weitergeleitet. Zudem werden abgehaertete Versionen der populaersten Dienste (FTP, Telnet, X-Windows etc.) via Firewall zur Verfuegung gestellt, um ihre Benutzung in einer sicheren Art und Weise zu ermoeglichen.

Das Internet ist durch den Einsatz von Routern und Firewalls in bezug auf Sicherheitsaspekte durchaus beherrschbar und sehr nuetzlich. Know-how in puncto Konfiguration und Anpassung eines Internet-Anschlusses laesst sich unter anderem durch den Besuch von Kursen, wie sie auch Ixtrain anbietet, aneignen.

Mehr Sorgen bereitet mir die Thematik, dass die IP-Adressen ausgehen, weil die Bytes nicht mehr ausreichen. Hier sind zur Zeit mehrere Alternativen fuer Erweiterungen im Gespraech, etwa 64-Bit- Adressen. An die Schwierigkeiten bei der Umstellung und den Aufwand, der in absehbarer Zeit betrieben werden muss, um all die Millionen an das Internet angeschlossenen Maschinen (und jener Millionen, die nicht am Internet sind) umzustellen, wage ich nur in meinen bizzarsten Science-fiction-Traeumen zu denken.

* Snoopy ist der matlich eingetragene Kuenstlername des System- und Netzwerkverwalters der Muenchner Ixos GmbH.