Von der Software bis zum Komplettsystem

Auf dieser Seite werden folgende Punkte erläutert:

Die Aufgabe ist eigentlich klar: Firewalls sollen einen geschützten Innenbereich, zum Beispiel ein Firmennetz, vom unsicheren Außenbereich, zum Beispiel dem Internet, abschirmen. Die Wege zu diesem Ziel sind jedoch recht verschieden.

Eine Firewall kann grundsätzlich aus Hard- und Softwarekomponenten oder ausschließlich aus Software bestehen. Systeme, die proprietäre Hardware verwenden, nutzen oft auch spezielle Betriebssysteme und sind meist teurer. In diese Gruppe gehören Bigfire von BIODATA, Kryptowall von KRYPTOKOM oder Norman Firewall von NORMAN DATA DEFENSE, aber auch die verbreitete und relativ günstige CISCO PIX.

Andere Hersteller bauen Firewall Komponenten in Standardgeräte ein. ASCEND und 3COM liefern beispielsweise eine Firewall-Software als Dreingabe zu ihren Routern.

Schließlich gibt es Firewall-Software, die auf Standard-Hardware, also Rechnern unter Unix, Windows oder Windows NT läuft. Hierzu gehören beispielsweise die Systeme des Marktführers CHECKPOINT und Software von SECURE COMPUTING oder TIS und CISCOS Einsteigerlösung Centri.

Application Gateways: Kein ausreichender Schutz für Netzdienste

Einfache Paketfilter arbeiten in der Regel auf den Ebenen 2 bis 4 eines Netzwerkes entsprechend dem siebenstufigen ISO/OSI-Modell. Ihre wichtigste Aufgabe besteht darin, die herein- und hinausgehenden IP-Pakete zu untersuchen. Festgestellt und protokolliert werden Quell- und Zieladresse, bestimmte Transportbefehle, Portnummern und mehr. Normalerweise kann der Administrator des Systems Filterregeln festlegen, nach denen die Pakete durchgelassen oder abgewiesen werden. Am sichersten ist es dabei, jeden erlaubten Kommunikationsvorgang genau zu spezifizieren und alles andere zu verbieten.

Eine Variante sind dynamische Paketfilter, die besonders bei der Sicherung von verbindungsloser Protokollen wie UDP wichtig sind. Sie passen selbsttätig ihre Filterregeln an, indem sie zum Beispiel nur Antwortpakete durchlassen, die an denselben Port gerichtet sind, von dem vorher die Anfrage ausgegangen war.

Eine andere Spielart ist der benutzerorientierte Filter, bei dem die Verbindungen nicht Ports sondern Verbindungen zugeordnet werden. Benutzer können so auf bestimmte Dienste beschränkt werden. Weiter registrieren und speichern Paketfilter Angriffe und Verstöße gegen Filterregeln.

Ein Nachteil der üblichen Paketfilter ist, daß sie Daten nicht oberhalb der Transportebene filtern. Protokolle wie FTP und HTTP passieren in der Regel ungestört. Diesem Problem rücken zustandsorientierte Paketfilter (stateful packetfilter) zu Leibe. Die Technik wurde von Marktführer CHECKPOINT entwickelt, der sie in seinem Hauptprodukt Firewall-1 einsetzt. Derartige Filter interpretieren auch Pakete höherer Ebenen und halten Statusinformationen von allen Kommunikationsvorgängen fest, die dort stattfinden. Dafür analysieren sie die Kommunikation weniger tiefgehend als Proxies (siehe unten). Sie sind schnell an neue Dienste anpaßbar und können theoretisch auch mit anderen Protokollfamilien als TCP/IP arbeiten.

Eine Stufe sicherer ist das sogenannte Application Gateway. Zu unterscheiden sind Single-homed und Dual- oder multi-homed Application Gateway. Dual-homed bedeutet, daß die Maschine, auf der das Gateway läuft, über zwei Netzwerkkarten verfügt, die Daten also über zwei unterschiedliche Schnittstellen ins System und wieder aus ihm herauslaufen. Das dual-homed Application Gateway und natürlich auch alle Varianten, die über mehr als zwei Netzwerkkarten verfügen, entkoppeln das zu schützenden Netz komplett von der Außenwelt.

Auf dem Application Gateway wird für jeden Dienst (E-Mail, HTTP, FTP ... ), der geschützt werden soll, ein sogenannter Proxy installiert. Die Proxies betrachten jeweils nur das Protokoll oder den Dienst, auf den sie spezialisiert sind und erreichen daher eine sehr große Analysetiefe. Erst, wenn die Daten den Proxy erfolgreich passiert haben, werden sie an ihren wirklichen Adressaten im geschützten Netz weitergereicht. Der Einsatz von Proxies ist mit oder ohne Authentisierung der Benutzer möglich; das bedeutet natürlich größere Sicherheit. Proxies gibt es für alle wichtigen Netzdienste und für die Authentisierung selbst. Kombiniert werden können diese »Stellvertreter« mit einer Adressübersetzung (Address Translation), so daß die externen Nutzer nie die interne Adresse eines Nutzers oder eines Dienstes erfahren. Kombiniert ein Application Gateway mehrere Sicherheitsmechanismen, etwa Authentisierung und Proxies, bezeichnet man ihn auch als Bastion Host.

Eine Variante des Proxies ist der sogenannte Circuit Level Proxy (auch Port-Relay oder Plug-Gateway), der auf der Netzwerkebene arbeitet, um Dienste, für die kein Application Level Proxy verfügbar ist, durchzuschleusen. Hierbei wird die Kommunikation über einen definierten Port auf eine einzige IP Adresse geführt und dort kontrolliert.

Durch die Filterung einzelner Dienste garantiert ein Application Gateway relativ hohe Sicherheit. Sein Einsatz wird dann empfohlen, wenn die Nutzer im zu schützenden Netz aufs Internet zugreifen, da sich die Internetdienste wie HTTP über Paketfilter nur ungenügend sichern lassen. Der Preis dafür ist allerdings ein Geschwindigkeitsverlust, und natürlich kostet eine solche Lösung auch mehr als ein einzelner Paketfilter.

Schließlich hat jede Firewall eine Verwaltungssoftware, die entweder in eines der großen Managementsysteme integrierbar ist (zum Beispiel in HP OpenView oder IBM Netview) oder aber selbständig betrieben wird. Sie ermöglicht die Definition von Rechten, die Zugangskontrolle der Administratoren und die Aufzeichnung aller sicherheitsrelevanten Ereignisse.

Ein Applications Gateway allein ist aber immer noch eine Sollbruchstelle (Single Point of Failure): Wer den Gateway-Rechner überwunden hat, dem stellt sich nichts mehr entgegen. Die größtmögliche Sicherheit läßt sich nur realisieren, wenn mehrere Elemente kombiniert werden.

Besonders wichtig ist folgende Konstruktion: Einem Application Gateway werden Paketfilter vor und nachgeschaltet, bevor externe Anwender ins geschützte Netz gelangen. Diese Konstruktion bezeichnet man als Screened Subnet oder Demilitarisierte Zone. Natürlich lassen sich mehrere Screened Subnets in einem Netzwerk errichten.

Nur die Kombination mehrerer Elemente erhöht Sicherheit

Öffentlich zugängliche Internet Server können innerhalb des Screened Subnet eingerichtet werden, so daß die externen Nutzer des Internet-Angebots nicht in das wirkliche Firmennetz gelangen.

Manche Lösungen kombinieren Paketfilter und Application Gateway in einem Gehäuse, etwa TIS Gauntlet. Trotzdem ist eine logische und sogar physikalische Trennung möglich. Spezialisten raten aber dazu, stets Komponenten unterschiedlicher Hersteller zu kombinieren, um größtmögliche Sicherheit zu garantieren. In Zukunft werden wahrscheinlich neben Verschlüsselung und paßwortgestützten Authentisierungsmechanismen vermehrt Smart Cards zum Zugriffsschutz eingesetzt werden.

Außerdem gibt es bereits erste Programme auf dem Markt, die wiederum der Überwachung des Geschehens auf der Firewall dienen. Ein Beispiel hierfür ist Webtrends für Firewalls und VPNS vom gleichnamigen Hersteller WEBTRENDS. Das knapp 2.000 Mark teure Tool arbeitet mit den wichtigsten Firewalls zusammen und liefert Daten über Bandbreitenausnutzung, Sicherheitrisiken, E-Mail-Verkehr und anderes mehr. Auch den Geschwindigkeitsengpässen rücken die Techniker zu Leibe. Das amerikanische Unternehmen BERKELEY SYSTEMS hat beispielsweise die Software von Firewall-Marktführer CHECKPOINT als ASIC-Hardware realisiert und in die Produktpalette der Layer-3-Switches eingebaut. Der Firewall Accelerator Agent erzielt damit einen Durchsatz von 40 Gbit/s und damit tausendmal schneller als bisherige Systeme.