Grundsätzlich stellt jeder an das Internet angeschlossene Rechner einen möglichen Angriffspunkt für Einbruchsversuche dar. Eine besondere Herausforderung bedeutet dabei gerade für kleinere und zum Teil auch mittlere Unternehmen die Tatsache, dass sie kaum über entsprechend erfahrenes Sicherheitspersonal verfügen. Gerade im regionalen Bereich greifen laut Gartner solche Unternehmen gerne auf kleinere lokale Provider zurück, die jedoch nicht immer über entsprechende Sicherheitseinrichtungen verfügen.
Firewalls stellen eine zentrale Technologie im Kampf gegen unerwünschte Eindringlinge dar, denn sie überwachen alle Verbindungen in andere Netze. Dabei prüfen sie die Anfragen ins Internet genauso wie aus dem Netz kommende Datenpakete.
Die Firewall blockiert dabei die "undichte" Stelle zwischen Internet-Zugang und LAN auf der Basis eigens definierter Regeln, die im einfachsten Fall zunächst die sichere und die unsichere Seite kennzeichnen. Oft kommen noch weitere Unterteilungen wie Demilitarisierte Zonen (DMZ) hinzu. Grundsätzlich wird nur solchen Verbindungen eine Freigabe erteilt, für die eine entsprechende Freigaberegel vorliegt. Der gesamte Datenverkehr muss die zentrale Firewall passieren. Nachdem diese jedes einzelne Datenpaket genau zu untersuchen hat, ist dieser Engpass jedoch nicht besonders durchsatzstark.
Um den administrativen Aufwand zu begrenzen, arbeiten viele Firewalls auch mit Jokern, die einen bestimmten Host oder spezielle Dienste pauschal freigeben. Oft kann eine Firewall auch noch zusätzlich mit einem ContentFilter und einem Virenscanner kombiniert werden. Diverse Hersteller haben jedoch zusätzlich Virtual-Private-Network-(VPN-)Funktionen in ihre Firewall-Produkte eingebaut. Doch stellen diese eine weitere Herausforderung dar. Denn die für ein VPN notwendigen Verschlüsselungsprozeduren sind nicht nur sehr aufwändig, sondern belasten den Firewall-Prozessor noch mehr und verringern den Datendurchsatz weiter.
Doch eine Firewall ist kein Allheilmittel. Nicht alles, was von den Programmierern auf der als "sicher" definierten Seite ausgeht, ist auch tatsächlich sicher. Ein PC könnte mit einer ISDN-Karte und einer entsprechenden Software ausgestattet sein. So wäre ein Zugriff von außen natürlich möglich. Die interne Sicherheit wird aber auch häufig durch das eigene Personal gefährdet. Statistisch betrachtet gehen zwei von drei Attacken auf das Konto von Mitarbeitern - ob sie nun wissentlich oder unwissentlich agieren. Beispielsweise könnten Kopien auf Disketten oder anderen Datenträgern nach außen gelangen.
Eine alternative Methode, sich vor fremden Zugriffen von der Internet-Seite her zu schützen, ist das Dynamic Network Adress Translation (NAT). Dabei werden auf der Seite des LAN private Adressen vergeben, die nur lokale Gültigkeit haben und daher im Internet nicht transportiert werden.
Network Adress Translation
Damit sich nun eine bestimmte Website aus dem Internet aufrufen lässt, tauscht ein Router die Quelladresse des Rechners und den Port der Verbindung, der die Seite anzeigen soll, gegen eine offizielle Adresse ein. Kommt nun die gewünschte Information wieder zurück, ersetzt der Router die offizielle Adresse wieder gegen die ursprüngliche des aufrufenden Rechners. Da dieser Vorgang nur von innen nach außen funktioniert, muss die Verbindung immer von innen geöffnet werden. Pakete, die nicht von Unternehmensnetzseite initiierten Verbindungen kommen, werden verworfen.
Je intensiver ein Unternehmen mit seinen Kunden, Niederlassungen, Partnern oder Geschäftsfreunden kommuniziert, desto stärker beansprucht er eine zentrale Firewall. Auf dem Markt sind für solche Fälle Clusterlösungen (das heißt Lösungen auf der Basis von Firewall-Verbänden) in verschiedenen Preis- und Leistungsklassen erhältlich. Für Unternehmen mit weniger hohen Sicherheitsanforderungen gibt es zum Teil sehr günstige hochverfügbare Firewall-Cluster auf Paketfilterebene. Komplexere Angriffe auf Applikationsebene erfassen diese allerdings nicht.
Experten empfehlen hingegen bei höheren Sicherheitsanforderungen Firewalls auf der Anwendungsebene oder mehrstufige Systeme, in denen Paketfilter und Application-Level-Gateways hintereinander geschaltet werden. Diese Methoden haben allerdings den Nachteil, dass Anwender mit ansteigender Sicherheit zum Teil Einbußen in Sachen Geschwindigkeit und einfacher Nutzbarkeit hinnehmen müssen.
Beim Firewall-Clustering werden prinzipiell mehrere Systeme parallel geschaltet. Das soll einem möglichen Ausfall der zentralen Firewall entgegenwirken. Hier erfolgt in der Regel ein Zugriff auf die Cluster-Funktionen des Betriebssystems der jeweiligen Firewall. Dies bedeutet aber gleichzeitig, dass der Administrator die jeweiligen Plattformrestriktionen beachten muss. So kann man bei Unix-basierenden Firewalls auf vielfältigste Betriebssystem-immanente Clusterfunktionen zurückgreifen. Voraussetzung dafür ist jedoch, dass der Hersteller in der Kernel-Version seiner Firewall diese wichtige Eigenschaft integriert hat. Insgesamt sind Unix-gestützte Lösungen zwar komplizierter zu managen, die Möglichkeiten zur Schaltung einer Vielzahl von Clustern sind jedoch enorm. Bei Windows NT hingegen können derzeit ohne Zusatzsoftware nur zwei Firewalls integriert werden.
Austausch von Statuspaketen
Das Firewall-Clustering basiert jedoch unabhängig vom jeweiligen Betriebssystem immer auf demselben Prinzip. Die jeweiligen Mitglieder im Clusterverbund kommunizieren regelmäßig durch den Austausch von Statuspaketen miteinander. Dadurch bleiben sie nicht nur laufend über die Auslastung der anderen Cluster im Bilde, sondern decken auch deren eventuelle Fehler oder ausgefallene Links im LAN auf. Die meisten Cluster greifen außerdem auf Load-Balancing zurück, um den anfallenden Datenverkehr möglichst effizient zu verteilen. Dadurch lässt sich der Durchsatz erheblich steigern.
Daneben ist Cluster-Software auch für den Konfigurationsbereich zuständig. Dank der übergreifenden Verständigung muss immer nur eine Komponente konfiguriert werden. Diese überträgt Änderungen dann jeweils automatisch und in kürzester Zeit auf alle beteiligten Knoten. Jedoch sollten natürlich auch die entsprechenden Mechanismen zur Konfliktauflösung implementiert sein.
Bis heute sind Firewall-Cluster kaum herstellerübergreifend realisierbar. Dies mag einerseits daran liegen, dass der komplette Statusaustausch zwischen mehreren Firewalls für die Überprüfung von VPN-Verbindungen noch nicht standardisiert ist. Andererseits liegt der Grund darin, dass jede Firewall in gleicher Weise auf dieselben Regeln reagieren muss, um die Daten einheitlich zu bearbeiten. Künftig soll diese Aufgabe zwar durch Verzeichnisdienste zentral gemanagt werden, derzeit haben jedoch nur wenige Unternehmen solche überhaupt aufgebaut. Außerdem verstehen viele Firewalls das zur Abfrage der Rechte beim Verzeichnisdienst notwendige LDAP-Protokoll (LDAP = Leightweight Directory Access Protocol) noch nicht. So ist der Administrator auf die zentrale Management-Oberfläche angewiesen, um die Regelwerke entsprechend einstellen zu können.
Last, but not least ist derzeit auch aus dem Grund vom Einsatz nicht homogener Cluster abzuraten, weil sich hier im Vergleich zum System-Management noch kein Konzept durchgesetzt hat, das sicherheitsrelevante Ereignisse intelligent einstuft und logisch miteinander verknüpft. Bereits jetzt wird jedoch intensiv an diesem Problem gearbeitet, und mittelfristig ist mit einer entsprechenden Lösung zu rechnen.
*Utz Wilke ist Leiter Produkt-Management bei der Easynet DV GmbH in Bad Bramstedt.
Wie funktioniert Dynamic NAT?
Auf der LAN-Seite wird ein Paket empfangen:
1. In der Umsetzungstabelle wird nach Quell-Adresse und Port gesucht.
2a. Falls gefunden: Merke den Umsetzungsport aus der Tabelle.
2b. Falls nicht gefunden: Erzeuge einen Eintrag in der Tabelle, merke Port.
3. Ersetze Quelladresse und Port.
Auf der WAN-Seite wird ein Paket empfangen:
1. Suche Zielport in der Umsetzungstabelle.
2. Falls gefunden, ersetze Zieladresse und Port mit Einträgen aus der Tabelle.
3. Falls nicht gefunden, wird das Paket verworfen.
Referenzen:
RFC 3022 Traditional IP Network Address Translator (Traditional NAT),
RFC 1918 - Address Allocation for Private Internets.