Firewall-Konzepte: Sicher ist nicht immer sicher

25.04.1997
MÜNCHEN: Die rasante Ausbreitung des Internets sowie das Aufkommen von Intranets stellen eine Vielzahl neuer Anforderungen an den Handel und die Systemintegratoren. Mit Internet und Intranets verfolgen die Unternehmen das Ziel, möglichst vielen Endanwendern möglichst viele Informationen zur Verfügung zu stellen - aber eben nicht jedem alles. Ein umfassendes und gemeinsam mit dem Kunden erarbeitetes Sicherheitskonzept auf Basis von Firewalls sollte laut Gerhard Unger* daher wesentlicher Bestandteil eines jeden Internet/Intranet-Projektes sein. Doch Firewall ist nicht gleich Firewall. Es gibt sehr unterschiedliche Design-Konzepte, die sich vor allem im Grad der Sicherheit, den sie bieten können, und natürlich auch im Preis unterscheidenDie erste Generation von Firewalls bestand im wesentlichen aus Filterungs-Mechanismen, die im Router implementiert wurden. Solche Firewalls sind sehr einfach zu realisieren, da die Möglichkeiten zur Paketfilterung bei jedem handelsüblichen Router inhärent sind. Die Paketfilterung dient dem Zweck, unerwünschte Datenpakete herauszufiltern und nur die erwünschten weiterzuleiten. Die Paketfilterung ist noch heute integraler Bestandteil jeder Firewall-Lösung; allein ist sie jedoch nicht ausreichend, um einen wirklichen Schutz vor unautorisierten Zugriffen zu bieten. Reine Filterlösungen werfen nämlich eine Reihe von Problemen auf.

MÜNCHEN: Die rasante Ausbreitung des Internets sowie das Aufkommen von Intranets stellen eine Vielzahl neuer Anforderungen an den Handel und die Systemintegratoren. Mit Internet und Intranets verfolgen die Unternehmen das Ziel, möglichst vielen Endanwendern möglichst viele Informationen zur Verfügung zu stellen - aber eben nicht jedem alles. Ein umfassendes und gemeinsam mit dem Kunden erarbeitetes Sicherheitskonzept auf Basis von Firewalls sollte laut Gerhard Unger* daher wesentlicher Bestandteil eines jeden Internet/Intranet-Projektes sein. Doch Firewall ist nicht gleich Firewall. Es gibt sehr unterschiedliche Design-Konzepte, die sich vor allem im Grad der Sicherheit, den sie bieten können, und natürlich auch im Preis unterscheidenDie erste Generation von Firewalls bestand im wesentlichen aus Filterungs-Mechanismen, die im Router implementiert wurden. Solche Firewalls sind sehr einfach zu realisieren, da die Möglichkeiten zur Paketfilterung bei jedem handelsüblichen Router inhärent sind. Die Paketfilterung dient dem Zweck, unerwünschte Datenpakete herauszufiltern und nur die erwünschten weiterzuleiten. Die Paketfilterung ist noch heute integraler Bestandteil jeder Firewall-Lösung; allein ist sie jedoch nicht ausreichend, um einen wirklichen Schutz vor unautorisierten Zugriffen zu bieten. Reine Filterlösungen werfen nämlich eine Reihe von Problemen auf.

Das erste Problem besteht darin, daß manche Netzwerkprotokolle das Netzwerk selbst für den externen Zugriff öffnen. Eines dieser Protokolle ist das weit verbreitete File Transfer Protocol (FTP).

Verwendet ein interner Anwender FTP, um Dateien an einen externen Empfänger zu übertragen, so öffnet FTP automatisch einen Kanal, über den der externe Server mit dem internen kommunizieren kann. Diese Verbindung von außen nach innen ist Bestandteil des FTP-Protokolls und bleibt auch dann offen für externe Zugriffe, wenn auf dem Router ein Paketfilter aktiv ist.

Ein weiteres Problem der Paketfilterung ist bedingt durch die aufwendige Installation und Konfiguration der Filter. Die Komplexität dieses Vorgangs läßt auch bei erfahrenen Netzwerkverwaltern sehr viel Raum für menschliche Fehler, die dann in Sicherheitslücken resultieren können. Verstärkt wird dieses Problem, wenn unterschiedliche Protokolle eingesetzt werden, da für jedes Protokoll entsprechende Filter installiert werden müssen.

Eine Firewall nach dem reinen Router-Modell kann insbesondere dann nicht wirksam werden, wenn ein Hacker seine wahre Identität verschleiert und eine falsche IP-Adresse benutzt. Das hört sich schwieriger an als es ist, denn alle Header-Informationen einschließlich der Adressen werden im Internet im Klartext übertragen und können sehr einfach "abgehört" werden.

Kundenspezifische Lösungen

Um eine umfassendere Sicherheit zu gewährleisten, sind viele Unternehmen dazu übergegangen, die Paketfilterung um spezifische Lösungen zu erweitern, die genau auf ihren Sicherheitsbedarf und ihre DV-Umgebung zugeschnitten sind. Solche Lösungen sind typischerweise deutlich sicherer als reine Router-Lösungen, aber auch erheblich teurer. Als kostengünstigere Alternative bieten sich Firewall Toolkits an, die teilweise kostenlos aus dem Internet heruntergeladen werden können. Diese Do-it-yourself-Lösungen eröffnen Anwendern die Möglichkeit, nach dem Baukastenprinzip eigene Firewalls zu entwickeln. Allerdings erfordert auch dieser Ansatz noch eine sehr umfangreiche Programmierung. Zudem ist das Do-it-yourself-Verfahren sehr fehleranfällig und erfordert in jedem Fall einen Netzwerkverwalter, der weitgehende Erfahrung im Security-Bereich besitzt.

OS Shields

Am weitesten verbreitet sind heute die sogenannten OS Shields. Dies sind Off-the-shelf-Produkte, die auf einem vorhandenen Betriebssystem wie Unix oder Windows NT aufsetzen und vergleichsweise einfach und schnell implementiert werden können. Sie beinhalten auch Paketfilter oder arbeiten mit einem Router zusammen, der die Paketfilterung übernimmt. OS Shields installieren anwendungsspezifische Proxies, die protokollunabhängig alle Daten und Kommandos überwachen, um das interne Netzwerk zu sichern. Typischerweise besitzen solche Firewalls spezifisch konfigurierbare Kernel-Parameter, mit denen sowohl Sicherheitslevel als auch Geschwindigkeit optimiert werden können.

Schwächen von OS Shields

Das wesentliche Manko dieser Firewall-Lösungen ist die Tatsache, daß der Firewall-Administrator keinerlei Zugriff auf den Source Code des zugrundeliegenden Betriebssystems hat und ihm der Kernel verschlossen bleibt. Eine solche Lösung ist daher sehr stark von der Sicherheit des jeweiligen Betriebssystems abhängig. Und werden auftretende Sicherheitsprobleme des Betriebssystems von dessen Hersteller nicht unverzüglich gelöst, dann muß ein OS Shield nicht nur das interne Netzwerk vor dem externen schützen, sondern auch noch die Firewall vor ihrer eigenen Maschine.

Ein typisches Beispiel für diese Problematik ist die Entwicklung einer Windows NT-basierten Firewall. Der Hersteller dieser Firewall hat typischerweise keinen Zugriff auf den Source Code von Windows NT und muß seine Software-Tools daher so entwickeln, daß sie auf dem Betriebssystem aufsetzen. Diese Tools müssen den Anwender sowohl vor dem Internet als auch vor Windows NT schützen, da sich innerhalb des unzugänglichen Betriebssystems einige unbekannte Sicherheitslücken verstecken können. Für den Entwickler und erst recht für den Händler ist dabei nicht einmal ersichtlich, wo solche Lücken möglicherweise bestehen könnten - Hacker finden sie meist schneller.

Secure OS Firewalls

Das höchste Maß an Sicherheit bieten die sogenannten Secure OS Firewalls, die als Off-the-Shelf-Produkte zudem relativ preisgünstig und sehr einfach zu implementieren sind. Diese Firewalls umgehen die Probleme der OS Shields, da sie kein darunterliegendes Betriebssystem benötigen, sondern selbst als Betriebssystem konzipiert sind. Hersteller, die solche Firewalls anbieten, lizenzieren typischerweise den Source Code eines Betriebssystems - hier bietet sich vor allem Unix an - und haben so direkten Zugriff auf den Kernel. Das versetzt sie in die Lage, das Betriebssystem von allen Komponenten zu befreien, die für eine lauffähige Firewall nicht benötigt werden und die Sicherheit beeinträchtigen können, etwa die gesamte Benutzerverwaltung. Zudem können sie den Kernel um zusätzliche Sicherheits-Features erweitern, ohne auf einen anderen Hersteller angewiesen zu sein.

Secure OS Firewalls können jeden Server und jedes Subsystem im Netz schützen und ermöglichen so eine Komplettlösung ohne Sicherheitslücken. Selbst wenn ein Eindringling einen Server knacken sollte - etwa einen WWW Server -, befindet er sich anschließend in einer kontrollierten Umgebung und kann das interne Netzwerk hinter der Firewall nicht kompromittieren. Secure OS Firewalls verwenden Paketfilter sowie Gateways auf Anwendungs- und Verbindungsebene, um das Netzwerk effektiv zu schützen.

Ein weiterer wesentlicher Vorteil dieser Firewall-Lösungen ist die einfache Implementierung. Da eine Secure OS Firewall ihr eigenes Betriebssystem ist, muß sie nicht aufwendig an eine bestehende Umgebung angepaßt werden, sondern kann ohne jeden Programmieraufwand installiert werden. Damit können auch technisch weniger versierte Mitarbeiter die Firewall implementieren und verwalten.

Dual-homed und tri-homed

Sowohl OS Shields als auch Secure OS Firewalls werden meist als dual-homed Firewall implementiert; daß heißt die Firewall ist Bestandteil sowohl des externen als auch des internen Netzwerkes und bildet den einzigen Übergang zwischen diesen Netzen (siehe Abb. 1). Vor allem für Unternehmen, die auch selbst Inhalte im Internet anbieten möchten, ist jedoch eine tri-homed Firewall zu empfehlen, die neben dem internen und dem externen Netzwerk noch ein drittes Segment unterstützt. In diesem Segment können gesicherte öffentliche Server installiert werden (siehe Abb. 2), die durch komplette Firewalls vom internen wie vom externen Netz getrennt sind. Selbst wenn jemand einen der Server in diesem dritten Segment kompromittieren sollte, bleibt das kritische interne Netz geschützt.

Virtual Private Networks (VPN)

Das offene Konzept des Internet bietet sich natürlich auch dafür an, die Kommunikation zwischen mehreren Niederlassungen oder zwischen Kunden und Lieferanten über das Netz der Netze abzuwickeln. Die Vertraulichkeit der hierbei übertragenen Daten erfordert jedoch zwingend den Aufbau eines sogenannten Virtual Private Networks (VPN). Ein solches VPN besteht aus Verbindungen zwischen örtlich getrennten und jeweils durch eine Firewall geschützten Netzwerken, über die ausschließlich verschlüsselte Daten gesendet werden. Auf diese Weise lassen sich private Netzwerke über das Internet betreiben, ohne daß unautorisierte Benutzer "mithören" können.

*Gerhard Unger ist Director Central and Eastern Europe der Secure Computing Corp. in München.

Zur Startseite