Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

05.01.1996 - 

Abwehrsysteme im Vergleich

Firewalls allein schuetzen das Netz vor Eindringlingen nicht

Mit dem immensen Wachstum der Internet-Nutzung hat auch das Interesse am Thema Sicherheit zugenommen. Viele Firmen bemerken Attacken gar nicht oder verschweigen sie, um Imageverlusten vorzubeugen. Verlaessliche Statistiken lassen sich also kaum erstellen. Ein Indiz fuer die sich verstaerkende Problematik sind die Zahlen des Computer Emergency Response Team (CERT), einer Organisation, die weltweit fuer die Koordination der Abwehr von Sicherheitsbedrohungen verantwortlich zeichnet.

Die wirkliche Zahl der UEbergriffe ist vermutlich weitaus hoeher als in der Grafik angegeben. Die Kombination aus immer intensiverer Internet-Nutzung und steigender (absoluter) Zahl von kriminellen Aktivitaeten laesst den Markt fuer Sicherheitsloesungen, insbesondere fuer Internet-Firewalls, boomen.

Interessante Erkenntnisse ueber den aktuellen Stand erbrachte eine kuerzlich vorgestellte Studie des Computer Security Institute (CSI) in den USA, bei der 320 Antworten von Fortune-500-Firmen, Universitaeten und Behoerden ausgewertet wurden. Die meisten der Befragten - naemlich 78 Prozent - haben schon Verbindung zum Internet. Die Haelfte davon erlauben allen Benutzern die Verwendung von risikobehafteten Anwendungen wie FTP und World Wide Web (WWW). Immerhin verwenden bereits 48 Prozent der auskunftgebenden Organisationen Firewall-Systeme - ein Indiz dafuer, dass man sich schon fruehzeitig mit diesem Thema beschaeftigte. Diese Zahl wird in Europa vermutlich deutlich niedriger liegen, insbesondere bei den vielen kleineren Firmen, die sich in den letzten Jahren an das Internet angeschlossen haben.

Wie die CSI-Studie ferner ergab, werden vielfach noch selbstentwickelte Loesungen oder Filter auf Routern als Firewall eingesetzt. Lediglich das Produkt "ANS Interlock" kommt unter den kommerziellen Firewall-Loesungen mit 14 Prozent auf eine zweistellige Anwendungsrate, die uebrigen Nennungen verteilen sich auf eine Vielzahl von unterschiedlichen Anbietern.

Bei der Auswahl eines Firewall-Systems stellt sich zunaechst die Frage nach der zu verwendenden Architektur. Diese Entscheidung sollte erst nach einer eingehenden Sicherheitsanalyse des Unternehmens erfolgen, da sich die angebotenen Loesungen sowohl in der Komplexitaet, der Absicherung als auch im Preis meist deutlich unterscheiden. Die am Markt erhaeltlichen Firewall-Systeme entsprechen haeufig dem Typus Packet-Filter oder Application Level Gateway.

Packet-Filter - sogenannte Network Level Firewalls - stellen die einfachste Form der Vorbeugung dar. Sie analysieren die Datenpakete und werten IP-Adressen und Port-Nummern aus. Abhaengig von den aktivierten Zugangsregeln werden Dienste oder bestimmte Verbindungen erlaubt oder verboten. Die Konfiguration der Filterregeln ist zumeist kompliziert und eine haeufig auszumachende Fehlerquelle. Gegen einige Angriffsstrategien wie zum Beispiel Address Spoofing (Vortaeuschen vertrauenswuerdiger Adressen) bieten Packet-Filter keinen ausreichenden Schutz. Fehlende Management-Funktionen wie Monitoring oder Auditing fuehren dazu, dass Packet-Filter in sicherheitsbeduerftigen Umgebungen kaum allein eingesetzt werden.

Application Level Gateways hingegen arbeiten auf der Anwendungsebene und erlauben, nach vorgegebenen Kriterien Verbindungen zwischen internem und externem Netz zu kontrollieren. Sie sind deshalb anwendungsspezifisch, das heisst, fuer jede gewuenschte Anwendung muss auf solch einem Firewall ein entsprechendes Gateway implementiert werden. Dies ist zwar aufwendig, bietet aber den groesstmoeglichen Schutz vor externen Angriffen.

Firewalls vom Typ Application Level Gateway haben sich am Markt bei Anwendern weitgehend durchgesetzt, die erhoehte Sicherheitsanforderungen erfuellen muessen. Packet-Filter werden ebenfalls haeufig verwendet, da sie sich auf bereits vorhandenen Routern konfigurieren lassen und preisguenstig beschafft werden koennen.

Ein Vergleich von Firewall-Systemen ist schwer. Zwar lassen sich die Produkteigenschaften gegenueberstellen, die gebotene Absicherung wird damit jedoch nicht messbar. Hinzu kommt die immense Beweglichkeit des Marktes, der fast staendig erweiterte oder neue Produkte hervorbringt. Um dieses Problem anzugehen, hat das National Institute of Standards and Technology (NIST) in den USA einen Report veroeffentlicht, der anhand von 14 Empfehlungen unterschiedliche Firewall-Technologien bewertet. Die vorrangig zu beachtenden Kriterien werden in dem Kasten auf Seite 15 genannt.

Transparente Nutzung von Internet-Diensten: Wichtig fuer die Akzeptanz bei den Anwendern ist die Weiterverwendung der aus dem lokalen Netz gewohnten Anwendungen. Es sollten keine Modifikationen notwendig sein und fuer alle gaengigen TCP/IP-Anwendungen auf dem Firewall gesicherte Proxy-Server existieren. Diese stellen die Verbindung zum gewuenschten externen Ziel her, ohne dass der Benutzer die Existenz des Firewall bemerkt. Wenn es die Sicherheitspolitik erfordert, sollten aber auch Beschraenkungen bezueglich Rechnern, Diensten, Zielen sowie Nutzungszeiten konfiguriert werden koennen.

Sichere Plattform: Um neben der Firewall-Software ein vollstaendig sicheres System zu bilden, muss auch das Betriebssystem hohen Sicherheitsanforderungen genuegen. Komplexere Unix-Systeme verleiten leicht zu Administrationsfehlern, beinhalten oft Schwachstellen und koennen bei jedem Update neue hinzubekommen, wie dies in der Vergangenheit bereits geschehen ist. Insbesondere die Verwendung von User Accounts auf dem Firewall kann bei unsachgemaesser Pflege ein grosses Sicherheitsrisiko darstellen.

Authentisierung bei externen Zugaengen: Der zumeist geforderte externe Zugang ueber Telnet und FTP stellt eines der groessten Sicherheitsprobleme dar und muss deshalb besonders geschuetzt werden. Hierzu sollten starke Authentisierungsverfahren wie One-time-Passwoerter und Challenge-response-Verfahren verwendet werden. Problematisch ist jedoch zumeist, dass bereits vorhandene Loesungen oft ausserhalb der USA nicht angeboten werden (Exportbeschraenkung).

Address Translation: Ein gutes Firewall-System verdeckt aus Sicherheitsgruenden die interne Struktur des lokalen Netzes vollkommen. Die einzigen extern bekannten IP-Adressen sind die des Firewall und eventuell die von oeffentlichen Servern. Damit koennen insbesondere auch private (nichtregistrierte) IP-Adressen verwendet werden!

Gesicherte Server: Als besondere Funktionalitaet bieten einige Firewalls die Integration von neu implementierten, sicheren Servern auf dem Firewall-System. Damit werden zusaetzliche Rechner eingespart, und vor allem besonders unsichere Anwendungen wie zum Beispiel "Sendmail" koennen ersetzt werden. Die Server sollten streng voneinander getrennt sein, so dass selbst bei Versagen der Sicherung eines Servers die anderen Server geschuetzt bleiben. Besonders interessant ist hierbei die Verwendung von Domainname-Servern (intern/extern) sowie eines Mail-Servers, da diese die gesicherte Verbindung zur Aussenwelt aufrechterhalten.

Logging und Alarme: Bei allen Verbindungsaufbauten und Server-Aktivitaeten muessen Logeintraege generiert werden. Diese Informationen koennen auf dem Firewall-System selbst oder auch auf einem Rechner im internen Netz abgelegt werden. Die Auswertung sollte online am Bildschirm oder offline durch die Verwendung von entsprechenden Routinen moeglich sein. Einbruchsversuche (Probes) in den Firewall von interner oder externer Seite muessen protokolliert werden und diese Alarme als E-Mail oder an Konsolendrucker zu verschicken sein.

Administration: Der Firewall sollte eine einfach zu bedienende Benutzer-Schnittstelle fuer Konfiguration und Kontrolle besitzen. Damit koennen die Zugangsregeln, die Server und auch die gewuenschten Alarme eingerichtet werden, ohne dass detaillierte Kenntnisse ueber Port-Nummern oder das Verhalten bestimmter Anwendungen vorliegen muessen.

Von den Produkten der zur Zeit rund 40 Anbieter sollen nachstehend in alphabetischer Reihenfolge die wichtigsten in Deutschland angebotenen Systeme kurz vorgestellt werden. Kurze Informationen zu weiteren wichtigen Firewall-Systemen koennen Sie der nebenstehenden Tabelle entnehmen.

"Blackhole" von Milkyway Networks: Blackhole ist ein Application Level Gateway und stellt eine Vielzahl wichtiger Funktionen zur Verfuegung. Darunter sind besonders die moegliche Verschluesselung zwischen Firewalls und die Gleichbehandlung von internem und externem Netz bezueglich der Authentisierung von Nutzern hervorzuheben. Die damit aber verbundene Pflege von Accounts auf dem Firewall kann sehr aufwendig werden und zu Sicherheitsproblemen fuehren.

"Borderware Firewall" von Border Network Technologies (Reseller: Articon, Muenchen, und GAI Netconsult, Berlin): Der Borderware Firewall Server vereint die Funktionen eines Packet-Filters und eines Application Level Gateways. Als Plattform wird ein PC (486/Pentium) unter einem modifizierten BSD-Unix verwendet. Neben dem Schutz eines lokalen Netzes vor externem Zugriff stellt Borderware auch Server-Funktionalitaet fuer Anwendungen wie E-Mail, DNS, News, WWW und AFTP zur Verfuegung. Der Borderware Server ist fuer interne Nutzer transparent, das heisst, er bietet ihnen ohne AEnderung an der verwendeten Software die konfigurierbare Benutzung gewohnter Dienste wie Telnet, FTP oder E-Mail. Externe Nutzer erhalten erst nach dem Durchlaufen strenger Authentisierungsverfahren Zugang zum lokalen Netz.

"Cyberguard" von Harris Computer Systems: Cyberguard vereint in sich die Typen Packet-Filter sowie Application Level Gateway und verwendet als Besonderheit ein B1-zertifiziertes Betriebssystem als Grundlage. Mit einem High Performance Model werden hohe Datendurchsaetze realisiert. Bei besonderen Anforderungen an die Ausfallsicherheit kann eine Fail-over-Konfiguration eingesetzt werden.

"Firewall-1" von Checkpoint Software Technologies (Reseller: The Bristol Group, Moerfelden-Walldorf, sowie Sun): Firewall-1 ist ein weit verbreiteter Vertreter des Typs Packet-Filter, der durch die Anreicherung mit detaillierten Kenntnissen einzelner Anwendungsprotokolle wie ein Application Level Gateway wirkt. Hinzu kommen eine sehr gut gelungene Benutzeroberflaeche und vielfaeltige Audit-Moeglichkeiten, die eine einfache Bedienung ermoeglichen. Eine strenge Authentisierung kann durch die Benutzung von Secure-IDs erzwungen werden. Report-Erstellung, Alarmierung und Monitoring sind ebenfalls hervorzuheben.

"Gauntlet" von Trusted Information Systems: Gauntlet ist ein hard- und softwarebasiertes Firewall-System vom Typ Application Level Gateway. Hervorgegangen aus dem populaeren Public-domain FWTK (Firewall Toolkit), wird die Software in Source-Form zur Verfuegung gestellt. Sie laeuft unter Unix, wobei vorwiegend PC-Systeme mit BSD-Unix sowie von Sun mit Sun-OS oder Solaris benutzt werden. Server-Funktionalitaet wird nicht zur Verfuegung gestellt. Der Gauntlet-Firewall ist fuer die Benutzer des lokalen Netzes transparent. Fuer eine strenge Authentisierung wird eine Vielfalt von Verfahren angeboten.

"NetSP" von IBM: NetSP ist eine Mischung aus Packet-Filter und Application Level Gateway (nur Telnet und FTP). Als Plattform dient jeder RS/6000-Rechner unter AIX. Das Gateway ist nicht voll transparent, jeder Benutzer aus dem lokalen Netz muss sich zunaechst darauf einloggen, um nach erfolgter Authentisierung eine Verbindung nach aussen herzustellen. Die Konfiguration ist aufwendig und nicht ohne spezielle Kenntnisse durchzufuehren.

"Norman Firewall" von Norman Data Defense: Vom Typ her ein Packet-Filter, bietet der Norman Firewall als Besonderheit eine Virenkontrolle an. Dabei werden von externer Seite empfangene Daten auf Virenbefall geprueft. Ob dies bei den vielfaeltigen Moeglichkeiten der Verschluesselung von Daten auch immer funktioniert und die Performance ausreichend ist, erscheint zumindest fraglich. Norman benutzt als Plattform ein B1-zertifiziertes Betriebssystem.

"Seal" von DEC (neu: "Digitals Firewall Service"): Seal (Screening External Access Link) ist die Loesung, die DECs eigenes Netzwerk Easynet seit Jahren erfolgreich abgesichert hat. Sie wird auch kommerziell zusammen mit einem Beratungsservice angeboten. Als Plattform werden bis zu drei DEC-Alpha-Rechner jeweils mit Digital-Unix verwendet. Seal ist eine Mischung von Packet-Filter und Application Level Gateway, bietet aber fuer die Benutzer keine voll transparente Handhabung, da auf dem Gateway eine Anmeldung noetig ist.

Beim Test auf Session Lost ergaben sich interessanterweise ebenfalls grosse Unterschiede. Die beiden zuletzt genannten Systeme schnitten auch hier besonders gut ab, waehrend zum Beispiel der Digital Firewall for Unix deutliche Abstriche machen musste. Festzuhalten bleibt damit, dass zwar grosse Unterschiede zwischen den angebotenen Firewalls bezueglich der Performance bestehen, aber zumindest fuer die heute gaengigen Bandbreiten im WAN- und LAN-Bereich Loesungen existieren. Fuer deutlich hoehere Anforderungen muss man aber noch auf entsprechende Weiterentwicklungen warten.

Die Einfuehrung eines Firewall-Systems ist immer ein Kompromiss zwischen Sicherheitsbeduerfnissen und flexiblem Angebot von Dienstleistungen fuer die Benutzer. Zu beachten sind natuerlich auch immer die Kosten, die nicht nur der Firewall selbst durch Hard- und Software verursacht, sondern es muessen auch die Ausgaben fuer Installation, Wartung, Schulung und laufende Administration beruecksichtigt werden.

Mit dem alleinigen Einsatz eines Firewall sind die Anforderungen an eine gesicherte lokale Netzumgebung aber noch lange nicht erfuellt. Wie auch die eingangs erwaehnte CSI-Studie zeigte, wurden 30 Prozent aller Sicherheitsverletzungen noch nach der Installation des Firewall registriert. Das ist ein sicheres Indiz dafuer, dass ein Firewall seine volle Wirksamkeit nur entfalten kann, wenn er durch eine sauber definierte und korrekt eingehaltene Sicherheitspolitik unterstuetzt wird.*Detlef Weidenhammer ist Abteilungsleiter im Hahn-Meitner-Institut, Berlin.