MÜNCHEN: Immer mehr Unternehmen gehen dazu über, ihre internen Netzwerke mit Hilfe von Firewalls gegen unbefugte Zugriffe von außen zu schützen, Doch nicht immer erfüllt die installierte Firewall die Erwartungen. Es gibt eine ganze Reihe von Lösungen, die unterschiedliche Sicherheitsstufen bieten. Schon vor der Auswahl einer Firewall sollten die Verantwortlichen daher eine möglichst genaue Vorstellung von den potentiellen Bedrohungen sowie den notwendigenSicherheits-Features entwickeln, meint Gerhard Unger *.
Die erste Generation von Firewalls, die auch heute noch vielfach zum Einsatz kommt, besteht im wesentlichen aus Filtermechanismen, die im Router implementiert werden. Solche Firewalls sind sehr einfach zu realisieren, da die Möglichkeiten zur Paketfilterung eine Grundfunktion jedes handelsüblichen Routers ist.
Die Paketfilterung dient dem Zweck, unerwünschte Datenpakete herauszufischen und nur die erwünschten weiterzuleiten. Dafür liest der Router den Header eines jeden Datenpakets und vergleicht die darin enthaltenen Informationen mit seinen intern gespeicherten Mustern, um zu entscheiden, ob das Paket zulässig ist oder nicht. Verglichen werden dabei beispielsweise die IP-Adresse, die Portnummer, IP-Flags oder andere Netzwerk-Charakteristika.
Firewall als OS-Shield
Eine Firewall nach dem reinen Router-Modell kann insbesondere dann nicht wirksam werden, wenn ein Hacker seine wahre Identität verschleiert und eine falsche IP-Adresse benutzt. Das hört sich schwieriger an, als es ist, denn alle Header-Informationen einschließlich der Adressen werden im Internet im Klartext übertragen und können sehr einfach "abgehört" werden.
Um eine umfassendere Sicherheit zu gewährleisten, sind viele Unternehmen dazu übergegangen, die Paketfilterung um spezifische Lösungen zu erweitern, die genau auf ihren Sicherheitsbedarf und ihre DV-Umgebung zugeschnitten sind. Da intern meist die notwendige Erfahrung fehlt, werden hierfür in der Regel spezialisierte externe Berater und Entwickler eingeschaltet. Solche Lösungen sind typischerweise deutlich sicherer als reine Router-Lösungen, aber auch erheblich teurer.
Die meisten der heute verfügbaren Firewalls arbeiten als OS-Shields - sind also Softwareprodukte, die auf einem vorhandenen Betriebssystem aufsetzen. Dabei handelt es sich um Off-the-shelf-Produkte, die vergleichsweise einfach und schnell implementiert werden können. Sie beinhalten in aller Regel auch Paketfilter oder arbeiten mit einem Router zusammen, der die Paketfilterung übernimmt. Einige Hersteller sind mittlerweile auch dazu übergegangen, solche OS-Shields direkt im Router zu implementieren. OS-Shields bieten eine Vielzahl von Sicherheitsmechanismen und sind meist kostengünstiger als kundenspezifische Lösungen. Allerdings können OS Shields nur soviel Sicherheit bieten, wie es das darunterliegende Betriebssystem zuläßt - Sicherheitslücken im Betriebssystem können sie nicht schließen.
Integrieren statt Ergänzen
Ein Weg zur Lösung dieser potentiellen Schwachstelle ist die Verschmelzung des Betriebssystems mit der Firewall. Eines der ersten Produkte dieser Art ist "Secure Zone" von Secure Computing. Hier dient das integrierte Betriebssystem lediglich als Plattform für die Firewall - unter Sicherheitsaspekten kritische Komponenten wie beispielsweise eine User-Verwaltung können daher entfallen.
Secure Zone ist eine umfassende, Netzwerk-basierende Sicherheitslösung, die ein innovatives, intuitives und einfach zu verwaltendes Interface mit umfassenden Funktionen für die Sicherheit kombiniert. Das Tool ermöglicht Unternehmen flexible Kontrolle über die neuesten Internet-Services, um Geschäftsabläufe so effektiv wie möglich zu gestalten. VPNs (Virtual Private Networks) werden wie Encrypted Virtual Interfaces behandelt, so daß geschäftsspezifische Anwendungen besser kontrolliert werden können. Außerdem verbessert SecureZone das VPN durch die Erfüllung eines neuen Modells zur Verwaltung von Sicherheitsanforderungen: sogenannte Regions. Mit deren Hilfe können Administratoren Netzwerke und VPNs in logische Gruppen unterteilen. Dadurch werden Sicherheitsanforderungen auf Unternehmensebene leichter verwaltet, der Zeitaufwand für die Administration und letztlich die Total Cost of Ownership reduziert. So kann ein Unternehmen verschiedene Sicherheitsstufen für unterschiedliche Bereiche des Netzwerks und Anwender mit externem Zugriff festlegen.
Die Type-enforcement-Technologie teilt die gesamte Firewall in Domänen und Dateitypen auf. Eine Domäne enthält die Beschreibung, wie eine Applikation zu behandeln ist, die einzig und allein innerhalb ihrer Domäne läuft. Type Enforcement bewahrt dabei sowohl die Integrität der Daten als auch der Applikation. Außerdem wird die Einhaltung von Zugriffsregeln erzwungen, die nicht verändert werden können.
Um von geeigneten Synergien zu profitieren, hat Secure Computing enge Kooperationsverträge mit Unternehmen wie Sun Professional Services, Netscape, Symantec und Siemens abgeschlossen. Im Rahmen der Partnerschaft mit Netscape wurde unter anderem eine gemeinsame Anpassung für Netscapes Directory-Server durchgeführt.
Intuitiv und einfach zu bedienen, soll "Secure Zone" letztendlich auch die Total Cost of Ownership senken.
* Gerhard Unger ist Director Central and Eastern Europe bei der Secure Computing GmbH in München.