Firewall

Vorwort

Wer sich ans Internet anschließt, muß selbst für die Sicherheit seines Computers und der darauf gespeicherten Daten sorgen. Gegen die vielfältigen Risiken kann man sich auf verschiedene Arten schützen:

1. Schaffung eines Zugangs über physikalisch vom internen Netz (dem Verwaltungs- oder Produktionsnetz mit den zu schützenden Daten und Ressourcen) abgetrennte Rechner, z. B. Einzelplatzcomputer, oder
2. Aufbau einer Firewall als Filter zwischen dem internen Netz und dem Internet.

In diesem Text wird die zweite Variante erörtert, die für den einzelnen Mitarbeiter, der das Internet nutzen möchte, komfortabler ist, aber zur Gewährleistung einer angemessenen Sicherheit des internen Netzes ein hohes Maß an Know-how und Aufwand bei der Planung, bei der Implementierung und beim Betrieb erfordert.

Was ist eine Firewall?

Eine Firewall (deutsch: Brandschutzmauer) ist ein System aus Hard- und Software, das an einem Punkt zwischen zwei Netzen installiert ist und nur zugelassene Kommunikation hindurch läßt. Unzulässige Aktionen werden abgewiesen, erkannte Mißbrauchsversuche lassen sich protokollieren. Damit eignen sich Firewall-Systeme dazu, die vorher definierten Anforderungen bezüglich der Sicherheit (Security Policy) weitgehend technisch zu erzwingen. Häufig werden Firewalls zur Absicherung beim Anschluß ans Internet eingesetzt, vor dessen Gefahren das interne Netz geschützt werden soll.

1. Firewall-Technologien

Eine Firewall kann auf verschiedenen Technologien beruhen:

Paketfilter sind IT-Systeme mit besonderer Software, die die Informationen (IP-Pakete) auf der Transportebene filtern, d.h. nach vorgegebenen Regeln entweder weiterleiten oder abfangen. Die Regeln können anhand der Quell- oder Zieladresse sowie des Quell- oder Zielports, der typisch für den jeweiligen Internet-Dienst ist, arbeiten. Viele Router lassen sich auch als Paketfilter nutzen. Im Gegensatz zu den statischen Paketfiltern haben dynamische Paketfilter keinen festen Regelsatz, sondern die Firewall kann ihn als Reaktion auf bestimmte Ereignisse modifizieren.

Ein Application Level Gateway ist ein speziell konfigurierbarer Rechner, der die Informationen auf der Anwendungsebene filtert und gemäß vorgegebener Regeln Verbindungen erlauben oder verbieten kann. Für jeden Dienst (Telnet, FTP usw.), der erlaubt werden soll, führt man Security Proxys ein. Diese Proxys steuern den Zugriff auf diese Dienste und knüpfen ggf. weitere Bedingungen an ihre Nutzung. So bestehen beispielsweise die Möglichkeiten einer ausführlichen Protokollierung und einer benutzerbezogenen Authentisierung für die unterschiedlichen Dienste.

Die verschiedenen Technologien lassen sich auch kombinieren, um die jeweiligen Vorteile ausnutzen zu können.

2. Firewall-Anordnungen

Bei rein zentralen Firewall-Lösungen bildet die Firewall die einzige Schnittstelle zwischen dem zu schützenden Netz und dem Internet. Im internen Netz besteht ein einheitliches Sicherheitsniveau, Differenzierungen sind nicht möglich. Die Verbindungen innerhalb dieses Netzes werden nicht durch die Firewall kontrolliert.

Sobald Teilnetze mit höheren Sicherheitsanforderungen identifiziert werden können, müssen diese mit eigenen Firewall-Systemen abgeschottet werden. Daraus ergibt sich eine gestaffelte Firewall-Lösung (kaskadierte Anordnung) als Kombination zentraler und dezentraler Komponenten. Ebenso werden Server, die auch Dienste für Nutzer aus dem äußeren Netz zur Verfügung stellen wie WWW-Angebote oder E-Mail, häufig hinter einer Firewall in der sogenannten entmilitarisierten Zone (DMZ, Demilitarized Zone) eingerichtet, von der das interne Netz durch eine weitere Firewall abgeschottet ist. Dies hat den Vorteil, daß das lokale Netz auch dann noch geschützt ist, wenn ein Angreifer bis zum WWW-Server o.ä. gelangt.

3. Zusätzliche Funktionen von Firewalls

Für bestimmte Dienste ist eine Authentisierung möglich, die z. B. mit Paßwörtern (auch zeitabhängigen oder Einmalpaßwörtern) oder Challenge-Response-Verfahren realisiert werden kann.

Möchte man eine Verschlüsselung an der Firewall nutzen, sollte man auf die gesetzlichen Rahmenbedingungen achten, denen der Hersteller und der Lieferant unterliegen. So werden beispielsweise Produkte aus den USA nur mit reduzierter Schlüssellänge oder mit Key Recovery (die verwendeten geheimen Schlüssel lassen sich bei Bedarf wiederherstellen) ausgeliefert.

Programme für eine Inhaltskontrolle (Content Filtering) untersuchen die Daten auf bösartige Funktionen, z. B. Viren, oder filtern mißliebige Inhalte (z. B. WWW-Seiten) aufgrund von vorgegebenen Adressen, Wörtern oder Einstufungen (Ratings).

Setzt man im internen Netz reservierte IP-Adressen ein, die im Internet ungültig sind, können diese durch Network Address Translation (NAT) in offizielle Adressen des Internet umgewandelt werden und umgekehrt, so daß sich die interne Netzstruktur gegenüber dem Internet verbergen läßt.

Sicherer Anschluß ans Internet

1. Schritte zum Aufbau einer Firewall

Vor der eigentlichen Realisierung muß unbedingt ein Konzept erstellt werden, aus dem die Anforderungen an das System und die Rahmenbedingungen hervorgehen. Zunächst sollte man informell den geplanten Zugang ("was ist erlaubt", "was ist verboten") und mögliche Sicherheitsmaßnahmen beschreiben. Daraus resultiert zum einen die Kommunikationsanalyse, aus der der Bedarf für eine Internet-Nutzung - differenziert nach Diensten, Rechnern und Nutzern - hervorgeht; zum anderen ergibt sich daraus die Security Policy (Sicherheitspolitik, Sicherheitsrichtlinien) für die Firewall, die in das Sicherheitskonzept der gesamten Organisation passen muß. Es bietet sich an, die Ergebnisse in einer Zugriffsmatrix darzustellen, die einen Überblick darüber gibt, welche Datenflüsse zulässig sein sollen. Aus dieser Zugriffsmatrix läßt sich der Regelsatz für die Firewall ableiten.

Die Standardregel bei der Konfiguration von Firewalls sollte immer lauten: "Alles, was nicht ausdrücklich erlaubt ist, ist verboten." Mit diesem restriktiven Ansatz setzt man sich weniger Sicherheitsrisiken aus.

Es ist wichtig, während des Aufbaus der Firewall beginnend bei der Konzeption eine intensive Diskussion mit allen Beteiligten (Entscheidungsträger, Systemadministration, Betriebs- bzw. Personalrat, Revision, Datenschutzbeauftragter, aber auch den Nutzern selbst) zu führen, damit Ergebnisse und Ziele von allen Seiten verstanden und vertreten werden. Außerdem sind aus Gründen der Revisionssicherheit alle Phasen des Installationsprozesses umfassend zu dokumentieren.

Bei der Auswahl der Firewall sollte man darauf achten, daß sie bedienfreundlich ist, damit keine Fehlkonfigurationen zu Sicherheitslücken führen. Auch sollte das System transparent und einfach aufgebaut sein. Es gibt Firewalls, die zertifiziert wurden, z. B. nach den IT-Sicherheitskriterien oder nach den weniger detaillierten und aussagekräftigen Firewall-Kriterien der National Computer Security Association (NCSA), einem US-amerikanischen Verein von Anwendern sowie Hard- und Softwareherstellern. Solche Sicherheitszertifikate können Anhaltspunkte für die Einstufung der Sicherheit geben. Daneben sollte man Tests von Firewall-Systemen, wie sie beispielsweise in einigen Computerzeitschriften veröffentlicht werden, in bezug auf eigene Anforderungen auswerten.

Folgende Grundsätze sollten beim Einsatz einer Firewall eingehalten werden:

• Jede Kommunikation zwischen dem internen Netz und dem Internet muß über die Firewall als einzige Schnittstelle ablaufen.

• Die Firewall darf nicht für weitere Aufgaben genutzt werden. Es dürfen nur die erforderlichen Dienste verfügbar sein.

• Die Administration der Firewall muß über einen gesicherten Zugang erfolgen.

• Die Firewall baut auf einer definierten Security Policy auf und setzt die dort festgelegten Maßnahmen um. Dafür werden die zugelassenen Verbindungen nach IP-Adresse, Dienst, Zeit, Richtung und Benutzer getrennt festgeschrieben.

• Für Konzeption, Aufbau und Betrieb einer Firewall muß geeignetes und geschultes Personal (Firewall-Administrator und Vertretung) zur Verfügung stehen. Zur Firewall-Administration müssen genügend Ressourcen (Zeit und Geld) eingeplant werden.

• Die Benutzer des internen Netzes sollten durch den Einsatz der Firewall möglichst wenig bei der Nutzung des Internet eingeschränkt werden.

2. Überprüfen der Sicherheit

Nicht nur die korrekte Installation, sondern auch der Betrieb einer Firewall kann arbeitsintensiv sein, da zu gewährleisten ist, daß Angriffe verhindert und Angriffsversuche erkannt werden. Eine Firewall kann keine 100%ige Sicherheit garantieren. Mit der Zeit nimmt in der Regel die Sicherheit ab, z. B. durch Entdeckung von Fehlern, Herausbildung neuer Angriffsformen oder auch Verbesserung der Systemausstattung von Angreifern. Daher sollten die Systemadministratoren ständig die Diskussion um Sicherheitslücken verfolgen und die Systeme aktualisieren.

Auch sollte regelmäßig geprüft werden, ob neue Zugänge zum Internet unter Umgehung der Firewall geschaffen und ob die Filterregeln korrekt umgesetzt werden. Daneben müssen die Integrität der eingesetzten Software und das Verhalten der Firewall im Fehlerfall oder bei Systemabsturz getestet werden.

Automatisierte Prüfwerkzeuge helfen beim Test der Sicherheit einer Firewall. Zum Beispiel können Penetrationstests durchgeführt werden, die darauf abzielen, die Firewall entgegen der vorgegebenen Security Policy zu überwinden oder sie selbst zu kompromittieren. So können Portscanner alle Ports im System ausprobieren und auf Sicherheitslücken abklopfen.

3. Wieviel Sicherheit ist möglich?

Generell läßt sich keine 100%ige Sicherheit für die IT-Systeme erreichen, wenn sie ans Internet angeschlossen werden. 

Mit einer Firewall als ein Baustein im Bereich der Sicherheitsmaßnahmen läßt sich jedoch bei entsprechender Konfiguration und Pflege ein recht hoher Grad an Sicherheit erreichen.

Am gefährlichsten ist allerdings der nicht genügend durchdachte Aufbau einer Firewall, da dann allein durch die Existenz dieses Systems ein nur trügerisches Gefühl der Sicherheit entsteht.

Die Stärke der Firewall hängt von vielen Faktoren ab, z. B. von der Konzeption und Umsetzung der Security Policy, von der technischen Realisierung und von der Wartung und Pflege des Systems.

Firewalls können nicht gegen Angriffe schützen, die nicht durch die Firewall gehen. Solche Umgehungsmöglichkeiten können z. B. weitergegebene Datenträger oder zusätzliche Netzzugänge neben der Firewall sein. Außerdem können sie nicht dagegen schützen, daß sensible Informationen von Mitarbeitern (unbedacht) herausgegeben werden, beispielsweise per Telefon oder Fax. Darüber hinaus können maliziöse Programme wie Computerviren über E-Mail-Attachments oder beim Surfen im WWW über Active-X-Komponenten o.ä. eingeschleust werden. Eine automatische Erkennung dieser bösartigen Software ist an dem zentralen Netzübergang nicht völlig zuverlässig möglich, sondern es sind in jedem Fall an den einzelnen Arbeitsplätzen Sicherheitsmaßnahmen wie z. B. der Einsatz von Virenschutzprogrammen zu treffen.

Experten empfehlen als derzeit sicherstes Konzept die Firewall-Anordnung "Screened Subnet" (Sandwich-System) bestehend aus einem Application Level Gateway und je einem vor- und nachgeschalteten Paketfilter, wobei die einzelnen Komponenten auf unabhängiger Hardware installiert und nach Möglichkeit von verschiedenen Herstellern sein sollten. Setzt man hierbei dynamische statt statische Paketfilter ein, gewinnt man Flexibilität in bezug auf die Anzahl der Dienste, die abgesichert angeboten werden können.

(Zur Sicherheit der verschiedenen Firewall-Technologien:

sind nur geeignet für Dienste, die feste Portnummern verwenden und verbindungsorientiert arbeiten, so daß sich der Initiator der Verbindung ermitteln läßt (ACK-Bit nicht gesetzt), d.h. für TCP-Pakete. Bei der verbindungslosen Kommunikation mit UDP-Paketen ist jedes Paket logisch als Verbindungsaufbau zu sehen. Darüber hinaus sind UDP-Dienste häufig nicht an feste Portnummern gebunden. Daher reicht die Sicherheit eines Paketfilter nur für solche UDP-Dienste aus, bei denen (bei entsprechender Konfiguration) kein Schaden angerichtet wird. So kann ein Paketfilter aus Sicherheitssicht genüügen, wenn man sich beispielsweise auf Telnet, SMTP und DNS beschränkt. Doch gerade die meist gewünschte Web-Nutzung mit HTTP läßt sich allein mit einem Paketfilter nicht ausreichend sichern. Auch sind mit Paketfiltern keine benutzerbezogene Dienstfreischaltungen möglich. Mit dynamischen Paketfiltern können auch Dienste verwaltet werden, die nicht feste Ports nutzen oder nicht verbindungsorientiert sind (UDP).
Ein Application Level Gateway sollte nicht als alleinige Technologie eingesetzt werden, da sie ohne zusätzlichen Schutz sowohl von außen als auch von innen direkt angreifbar ist. Darüber hinaus kann in der Regel nicht unterschieden werden, über welche Netzschnittstelle einzelne Pakete angekommen sind, so daß kein Schutz gegen IP-Spoofing besteht.)

Was sonst noch zu berücksichtigen ist

Um das interne Netz abzusichern, kann es erforderlich sein, eine Firewall zu installieren. Eine solche Sicherungspflicht kann sich beispielsweise aus § 9 BDSG oder den Landesdatenschutzgesetzen ergeben, wenn personenbezogene Daten zu schützen sind.

Eine Protokollierung an der Firewall ist zulässig, sofern die Daten einer Abrechnung der Telekommunikation dienen oder wenn es sich auf einen Angriff auf das System handelt. Eine Verwendung der Protokolldaten für andere Zwecke ist nicht erlaubt.

Inhaltskontrollen können einen Eingriff in das Fernmeldegeheimnis darstellen. Werden Mechanismen zum Content Filtering eingesetzt, beispielsweise um sicherheitskritische Inhalte wie Viren aus E-Mail-Nachrichten auszusondern, sollte möglichst automatisiert kontrolliert werden, um den Eingriff gering zu halten.

Firewalls sind immer mitbestimmungspflichtig. In einer Betriebs- oder Dienstvereinbarung sollten die Einzelheiten zu den Kontrollmaßnahmen wie Filtern oder Protokollierung festgeschrieben werden. Am besten werden außer dem Betriebs- bzw. Personalrat auch der interne Datenschutzbeauftragte und die Revision von Anfang an beim Einrichten einer Firewall einbezogen.

Was kann eine Firewall nicht für mich tun ?

Eine Desktop Firewall benutzen heisst nicht automatisch Schutz. Eine Firewall kann nichts ausrichten, solange der Benutzer keine Ahnung von den zu erstellenden Regeln hat.
Zwar gibt es bei einigen Programmen die Option der automatischen Regelerstellung, welche aber in den meisten Fällen zu grosszügig oder fehlerhaft erfolgt.

Copyright © 2004 -2006 by Stefan Reiser . Alle Rechte vorbehalten.