vasquez.akademie.netzwerk |
Von der Software bis zum Komplettsystem
Auf dieser Seite werden folgende Punkte erläutert:
Die Aufgabe ist eigentlich klar: Firewalls sollen einen geschützten Innenbereich, zum Beispiel ein Firmennetz, vom unsicheren Außenbereich, zum Beispiel dem Internet, abschirmen. Die Wege zu diesem Ziel sind jedoch recht verschieden. Eine Firewall kann grundsätzlich aus Hard- und Softwarekomponenten oder ausschließlich aus Software bestehen. Systeme, die proprietäre Hardware verwenden, nutzen oft auch spezielle Betriebssysteme und sind meist teurer. In diese Gruppe gehören Bigfire von BIODATA, Kryptowall von KRYPTOKOM oder Norman Firewall von NORMAN DATA DEFENSE, aber auch die verbreitete und relativ günstige CISCO PIX. Andere Hersteller bauen Firewall Komponenten in Standardgeräte ein. ASCEND und 3COM liefern beispielsweise eine Firewall-Software als Dreingabe zu ihren Routern. Schließlich gibt es Firewall-Software, die auf Standard-Hardware, also Rechnern unter Unix, Windows oder Windows NT läuft. Hierzu gehören beispielsweise die Systeme des Marktführers CHECKPOINT und Software von SECURE COMPUTING oder TIS und CISCOS Einsteigerlösung Centri.
Application
Gateways: Kein ausreichender Schutz für Netzdienste Eine Variante sind dynamische Paketfilter, die besonders bei der Sicherung von verbindungsloser Protokollen wie UDP wichtig sind. Sie passen selbsttätig ihre Filterregeln an, indem sie zum Beispiel nur Antwortpakete durchlassen, die an denselben Port gerichtet sind, von dem vorher die Anfrage ausgegangen war. Eine andere Spielart ist der benutzerorientierte Filter, bei dem die Verbindungen nicht Ports sondern Verbindungen zugeordnet werden. Benutzer können so auf bestimmte Dienste beschränkt werden. Weiter registrieren und speichern Paketfilter Angriffe und Verstöße gegen Filterregeln.Ein Nachteil der üblichen Paketfilter ist, daß sie Daten nicht oberhalb der Transportebene filtern. Protokolle wie FTP und HTTP passieren in der Regel ungestört. Diesem Problem rücken zustandsorientierte Paketfilter (stateful packetfilter) zu Leibe. Die Technik wurde von Marktführer CHECKPOINT entwickelt, der sie in seinem Hauptprodukt Firewall-1 einsetzt. Derartige Filter interpretieren auch Pakete höherer Ebenen und halten Statusinformationen von allen Kommunikationsvorgängen fest, die dort stattfinden. Dafür analysieren sie die Kommunikation weniger tiefgehend als Proxies (siehe unten). Sie sind schnell an neue Dienste anpaßbar und können theoretisch auch mit anderen Protokollfamilien als TCP/IP arbeiten. Eine Stufe sicherer ist das
sogenannte Application Gateway. Zu unterscheiden sind Single-homed und Dual- oder
multi-homed Application Gateway. Dual-homed bedeutet, daß die Maschine, auf der das
Gateway läuft, über zwei Netzwerkkarten verfügt, die Daten also über zwei
unterschiedliche Schnittstellen ins System und wieder aus ihm herauslaufen. Das dual-homed
Application Gateway und natürlich auch alle Varianten, die über mehr als zwei
Netzwerkkarten verfügen, entkoppeln das zu schützenden Netz komplett von der Außenwelt.
Eine Variante des Proxies ist der sogenannte Circuit Level Proxy (auch Port-Relay oder Plug-Gateway), der auf der Netzwerkebene arbeitet, um Dienste, für die kein Application Level Proxy verfügbar ist, durchzuschleusen. Hierbei wird die Kommunikation über einen definierten Port auf eine einzige IP Adresse geführt und dort kontrolliert. Durch die Filterung einzelner Dienste garantiert ein Application Gateway relativ hohe Sicherheit. Sein Einsatz wird dann empfohlen, wenn die Nutzer im zu schützenden Netz aufs Internet zugreifen, da sich die Internetdienste wie HTTP über Paketfilter nur ungenügend sichern lassen. Der Preis dafür ist allerdings ein Geschwindigkeitsverlust, und natürlich kostet eine solche Lösung auch mehr als ein einzelner Paketfilter. Schließlich hat jede Firewall eine Verwaltungssoftware, die entweder in eines der großen Managementsysteme integrierbar ist (zum Beispiel in HP OpenView oder IBM Netview) oder aber selbständig betrieben wird. Sie ermöglicht die Definition von Rechten, die Zugangskontrolle der Administratoren und die Aufzeichnung aller sicherheitsrelevanten Ereignisse. Ein Applications Gateway allein ist aber immer noch eine Sollbruchstelle (Single Point of Failure): Wer den Gateway-Rechner überwunden hat, dem stellt sich nichts mehr entgegen. Die größtmögliche Sicherheit läßt sich nur realisieren, wenn mehrere Elemente kombiniert werden. Besonders wichtig ist folgende Konstruktion: Einem Application Gateway werden Paketfilter vor und nachgeschaltet, bevor externe Anwender ins geschützte Netz gelangen. Diese Konstruktion bezeichnet man als Screened Subnet oder Demilitarisierte Zone. Natürlich lassen sich mehrere Screened Subnets in einem Netzwerk errichten.
Nur die Kombination mehrerer Elemente erhöht Sicherheit Öffentlich zugängliche Internet Server können innerhalb des Screened Subnet eingerichtet werden, so daß die externen Nutzer des Internet-Angebots nicht in das wirkliche Firmennetz gelangen. Manche Lösungen kombinieren Paketfilter und Application Gateway in einem Gehäuse, etwa TIS Gauntlet. Trotzdem ist eine logische und sogar physikalische Trennung möglich. Spezialisten raten aber dazu, stets Komponenten unterschiedlicher Hersteller zu kombinieren, um größtmögliche Sicherheit zu garantieren. In Zukunft werden wahrscheinlich neben Verschlüsselung und paßwortgestützten Authentisierungsmechanismen vermehrt Smart Cards zum Zugriffsschutz eingesetzt werden. Außerdem gibt es bereits
erste Programme auf dem Markt, die wiederum der Überwachung des Geschehens auf der
Firewall dienen. Ein Beispiel hierfür ist Webtrends für Firewalls und VPNS vom
gleichnamigen Hersteller WEBTRENDS. Das knapp 2.000 Mark teure Tool arbeitet mit den
wichtigsten Firewalls zusammen und liefert Daten über Bandbreitenausnutzung,
Sicherheitrisiken, E-Mail-Verkehr und anderes mehr. Auch den Geschwindigkeitsengpässen
rücken die Techniker zu Leibe. Das amerikanische Unternehmen BERKELEY SYSTEMS hat
beispielsweise die Software von Firewall-Marktführer CHECKPOINT als ASIC-Hardware
realisiert und in die Produktpalette der Layer-3-Switches eingebaut. Der Firewall
Accelerator Agent erzielt damit einen Durchsatz von 40 Gbit/s und damit tausendmal
schneller als bisherige Systeme.
|