Hochschule Merseburg (FH)

Transkript

1 Hochschule Merseburg (FH) Seminararbeit Zum Thema: Bearbeitet von: Wolfgang Christ Betreut von: Prof. Karsten Hartmann Prof. Uwe Heuert

2 1 Einleitung Firewallarten Desktop-Firewall Externe Firewalls Techniken von Firewalls Erscheinungsformen Desktop Firewall externe Firewalls Verfahren Paketfilter Statefull Inspection Application Layer Filter (Content Filter) Screened Gateway Verhaltensweisen Der Lochtrick Brauche ich eine Firewall? Gibt es ein optimales Konzept? Quellen...21 Seite 2 von 21

3 1 Einleitung Auf jedem Computer werden vom Anwender Informationen gespeichert und vorgehalten, welche vor Zugriff von außen geschützt sein müssen. Ist der Rechner ohne Verbindung zur Außenwelt, besteht nur bei physikalischem Zugriff eine Gefahr der Ausspionierung. Da im Rahmen der modernen Kommunikationswelt immer mehr Rechner miteinander verbunden werden, muss die Kommunikation selber sowie die Kommunikationsschnittstellen vor unbefugtem Zugriff geschützt werden. Hierbei ist zu beachten, dass sowohl der Zugriff von innen nach außen wie auch der Zugriff von außen nach innen reglementiert werden muss, um ein Sicherheitskonzept umzusetzen. Dies wird innerhalb von Rechnernetzen durch Firewalls realisiert. Dies ist notwendig, da Informationen mittlerweile zu einem handelbarem Gut geworden sind, und aufgrund der möglichen Gewinnspanne viel kriminelle Energie verfügbar ist. Def.: Eine Firewall ist ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, um ein Sicherheitskonzept umzusetzen. 1 Demgegenüber steht die folgende Definition, welche sich aber nicht mit der vorher genannten ausschließt: Def.: Eine Firewall stellt in erster Linie ein sorgfältig geplantes, Standortbezogenes Sicherheitskonzept zur Trennung von Netzwerkbereichen dar und nimmt in zweiter Linie Bezug auf ein ständig zu pflegendes System (inklusive Firewallsoftware), welches dabei helfen soll, das Sicherheitskonzept zu realisieren. 2 1 Wikipedia, Firewall, ( ) 2 Hackerbord, Firewall, ( ) Seite 3 von 21

4 Mit dieser Seminararbeit möchte ich die gängigen Techniken von Firewalls vorstellen sowie die momentan auf dem Markt verfügbaren Arten von Firewalls aufführen, vergleichen, ihre Vor- und Nachteile aufzulisten und eine Empfehlung für einen optimalen Einsatz abgeben. Seite 4 von 21

5 2 Firewallarten Im allgemeinen Sprachgebrauch wird zwischen Hardware und Software Firewalls unterschieden. Dies ist aber eine nicht technische Definition, welche aus technischer Sicht sinnlos ist, da hierbei keine Unterscheidung möglich ist. Jede Firewall ist ein Konzept und besteht aus einem Stück Software welche auf Hardware ausgeführt wird. Entscheidend ist hierbei der Installationsort der Firewall: Wird die Firewall auf dem zu schützendem Rechner selber betrieben, so bezeichnen wird diese als Desktop- Firewall, andernfalls wird sie extern betrieben und wir bezeichnen diese als externe Firewall Def.: Als Desktop- oder Personal-Firewall wird eine lokal auf dem Computer installierte Firewallsoftware bezeichnet. Sie versucht Programme auf dem Computer davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren und verhindert im günstigstem Fall bösartige oder ungewollte Zugriffe auf den Computer von außen. 3 Def.: Eine externe Firewall, auch Hardwarefirewall genannt, verhindert ebenfalls bösartige oder ungewollte Zugriffe auf das System von außen, kann aber einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren Desktop-Firewall 3 Hackerbord, Firewall, ( ) 4 Hackerbord, Firewall, ( ) Seite 5 von 21

6 Eine Desktop-Firewall ist eine rein Softwarebasierende Lösung, welche auf dem zu schützendem Computer selber installiert ist, und dort den ein und ausgehenden Datenstrom des Rechners filtert. Aufgrund dieses Konstruktionsprinzips ist der Nutzen einer solchen Firewall sehr umstritten. So wird zum Beispiel in der Newsgroup de.comp.security.firewall der Nutzen bezweifelt, es wird sogar eine negative Schutzwirkung proklamiert, da der Nutzer mit einer installierten Desktop-Firewall höhere Risiken eingeht als ohne. Demgegenüber wurde eine Desktop-Firewall vom Bundesamt für Sicherheit in der Informationstechnik als empfohlene Maßnahme für alle Nutzer aufgeführt. 5 Somit ist eine solche Firewall nicht dafür gedacht, den Verkehr zwischen mehreren Netzen zu kontrollieren, sondern bestimmten Verkehr nicht in den lokalen Rechner hineinzulassen oder hinauszulassen 6 Zusätzlich kann eine Desktop-Firewall als einzige auch Programme filtern, d.h. es kann einzelne Programme vom Netzwerkverkehr ausschließen (z.b. Firefox darf, Internet Explorer nicht). Die größten Kritikpunkte an einer Desktop-Firewall sind: - wird die Firewall gehackt, so wird dadurch bereits vollständiger Zugriff auf das zu schützende System gegeben. - Durch Schadsoftware kann die installierte Desktop-Firewall kompromittiert werden, ohne das der Anwender dies merkt und er sich immer noch geschützt fühlt. 2.2 Externe Firewalls 5 Technische Schutzmaßnahmen Personal Firewall, ( ) 6 Wikipedia, Firewall, ( ) Seite 6 von 21

7 Eine externe Firewall wird wie der Name es bereits ausführt außerhalb des zu schützendem Netzwerksegments eingerichtet, genauer an den Schnittstellen zum abzugrenzendem Segment, [Def]. Eine solche externe Firewall dient dabei als Verbindungspunkt zwischen dem zu schützendem Netzwerksegment (trusted) und dem nicht Vertrauenswürdigenden Netzwerk (untrusted). Häufig kommen noch ein bis mehrere demilitarisierte Zonen (DMZ) hinzu, in derer die von beiden Netzwerksegmenten erreichbare Netzwerkkomponenten (Server) untergebracht sind. Dabei unterliegt der Datenverkehr zwischen den einzelnen Zonen strengen Regeln und wird von der Firewall überwacht. Durch die Möglichkeit der Verteilung von bereitgestellten Diensten in unterschiedliche DMZ wird der Schaden bei Kompromittierung einer DMZ begrenzt. Bei externen Firewalls wird zwischen Host - Firewalls und Netzwerk - Firewalls unterschieden, dabei ist eine Netzwerk - Firewall ein Produkt aus Hardware und Software, welches genau für diesen Zweck konstruiert wurde, und eine Host - Firewall ist nur ein normaler Computer, welcher mit einer nur-firewall-funktion Software betrieben wird (z.b. Coyote Linux). Seite 7 von 21

8 3 Techniken von Firewalls Eine Firewall egal welchen Typs setzt verschiedene Techniken ein, um Ihre Funktion zu erfüllen. Dabei wird zwischen verschiedenen Erscheinungsformen gegenüber den beteiligten Kommunikationspartnern und den verwendeten Verfahren zur Kommunikationskontrolle unterschieden. 3.1 Erscheinungsformen Bei den möglichen Erscheinungsformen einer Firewall wird grundsätzlich unterschieden, ob es sich um eine Desktop Firewall oder eine externe Firewall handelt Desktop Firewall Eine Desktop Firewall installiert sich innerhalb des OSI - Referenzmodells, indem diese sich in den Datenstrom zwischen betriebssystemeigene Komponenten schaltet und diese Komponenten ggf. durch eigene ersetzt. Daher ist eine solche Firewall für alle beteiligten Kommunikationspartner immer unsichtbar, von extern wie auch von intern externe Firewalls Externe Firewalls beherrschen 3 verschiedene Erscheinungsformen zwischen denen der Anwender bei der Konfiguration je nach verwendetem Modell entscheiden kann, sofern diese unterstützt werden. Router Modus Eine Firewall im Router Modus verbindet mindestens zwei verschie- Seite 8 von 21

9 dene Netzwerksegmente wie ein Router miteinander, mit den Unterschied, dass die Pakete nicht einfach nur weitergeroutet werden, sondern mit verschiedenen Verfahren analysiert werden, und gegebenenfalls die Übertragung stört. An dieser Stelle seinen beispielhaft Verfahren wie zum Beispiel unterbrechen, ICMP Nachrichten und Störpakete genannt. Eine solch konfigurierte Firewall ist für alle beteiligten Kommunikationspartner also unsichtbar. Der gravierende Nachteil dieser Erscheinungsform ist aber die Tatsache, dass die Netzwerkstruktur offen gelegt wird. Es wird als Zieladresse der einzelnen Pakete die echte Zieladresse benötigt, d.h. ein eventuell vorhandener Hacker kennt die echte Adresse seines Opfers. Proxy Modus Da bei einer Firewall im Router Modus Quelle und Ziel sich gegenseitig adressieren, und daher die Netzwerkstruktur offen gelegt wird, besteht die Möglichkeit eine Firewall in einem Proxy Modus zu konfigurieren, so dass alle beteiligten Kommunikationspartner nur mit der Firewall sprechen. Damit bleibt für den Empfänger und Absender der einzelnen Pakete der Kommunikationspartner die Firewall, das eigentliche Ziel und die Quelle kennen sich gegenseitig nicht und bleiben einander gegenüber verborgen. Damit lassen sich Techniken wie NAT (Network Adress Translation) und PAT (Port Adress Translation) realisieren. Der Nachteil dieser Technik ist, dass die einzelnen Kommunikationspartner gegebenenfalls neu konfiguriert werden müssen. Es kein Plug n Play möglich. Im Falle von nur ausgehender Kommunikation Seite 9 von 21

10 ist eine im Proxy - Modus arbeitende Firewall meiner Meinung nach als Arbeits-Beschaffungs-Maßnahme für Administratoren zu sehen. transparenter Proxy Die Konfiguration als transparenter Proxy bietet die Möglichkeit die genanten Varianten Router, und Proxy - Modus zu kombinieren. Dies bedeutet, dass die Firewall sich für die Kommunikationspartner innerhalb des vertrauenswürdigen Netzwerksegmentes wie ein Router verhält, nach außen hin, dem nicht vertrauenswürdigen Netzwerksegment, aber wie ein Proxy. Die Vorteile diese Konfigurationsmöglichkeit sind, dass Techniken wie NAT und PAT eingesetzt werden können, und dass für die ausgehende Kommunikation des vertrauenswürdigen Netzwerksegments fast kein administrativer Aufwand nötig ist. 3.2 Verfahren Um die eingestellten Regeln und Ziele zu erreichen wendet eine Firewall verschiedene Verfahren um den Datenverkehr zu überwachen an. Die gebräuchlichsten sollen nun an dieser Stelle vorgestellt werden Paketfilter Ein Paketfilter ist die einfachste Form der Überwachung der Datenströme. Dabei werden alle ein und ausgehenden Pakete untersucht, und die Headerinformationen der OSI Schichten 3 (Vermittlungsschicht) und 4 (Transportschicht) ausgewertet. Die relevanten Headerinformationen sind Quelladresse Seite 10 von 21

11 Quellport Zieladresse Zielport TCP Flags Für die Firewall selber sind nun ausschließlich statische Filterregeln definiert, anhand derer die Firewall über das weitere fortbestehen und die Behandlung des entsprechenden Paketes entscheidet. Der offensichtliche Nachteil eines solchen Paketfilters ist der, dass jedes ein- und ausgehende Paket analysiert werden muss, und für jede logische Verbindung mittels TCP und UDP eine Regel vorhanden sein muss. Da die Pakete aber einzeln betrachtet werden, muss für jede Verbindung eine Regel für die Datenpakete von Alice zu Bob und eine Regel für die Antwortpakete von Bob zu Alice vorhanden sein. Ein weiterer Nachteil ist, dass im oben genanntem Fall aufgrund der Verbindungslosen Betrachtung der Datenpakete, Datenpakete von Bob zu Alice die Firewall passieren, ohne dass Alice vorher eine Verbindung (TCP Shakehand) aufgebaut haben muss. Schlimmer wird dieses Manko dann, wenn die Kommunikation für einen großen, möglicherweise auch unbeschränkten, Kreis von möglichen Kommunikationspartnern freigegeben werden muss. Zum Beispiel soll ein Arbeitsplatz im trusted Segment mit allen möglichen Kommunikationspartern um untrusted Segment auf dem im http Protokoll definiertem Port kommunizieren können. Der Vorteil eines Paketfilters ist der, dass dieser sehr schnell ist, und nur geringe Hardwareanforderungen an die Firewall stellt. Seite 11 von 21

12 3.2.2 Statefull Inspection Die Methode der Statefull Inspection ist eine Erweiterung des einfachen Paketfilters um den momentanen und gewünschten Zustand einer Verbindung als zusätzliches Filterkriterium. Insbesondere steht hier die Information von welcher Kommunikationspartei die Verbindung aufgebaut wurde zur Verfügung. Zum Beispiel: Es wird eine Regel definiert: Alice darf mit Bob sprechen Wenn nun Alice mit Bob spricht, darf Bob Alice antworten, versucht aber Bob mit Alice zu sprechen, ohne dass Alice dies angefordert hat, so wird dies unterbunden. Es werden also anstatt einzelner Datenpakete logische Datenströme erlaubt. Dieses Verfahren funktioniert auch bei Verwendung des Verbindungslosen Protokolls UDP, hier wird aus dem ersten gesendeten Datenpaket ein Verbindungsaufbau ähnlich TCP angenommen. Eine solche Firewall ist viel einfacher zu konfigurieren. Zum Beispiel soll ein Arbeitsplatz hinter einer Firewall die Möglichkeit haben, mittels des Protokolls http Webseiten von beliebigen Servern abzurufen. Hier muss in den Filterregeln nur definiert werden, dass Alice mit allen sprechen darf, es besteht im Gegensatz zum einfachen Paketfilter nicht die Möglichkeit, dass aus dem nicht vertrauenswürdigem Bereich Datenpakete über dem im http Protokoll definierten Port, Alice erreichen, ohne, dass Alice vorher mit dem Absender einer Verbindung aufgebaut hat. Allerdings besitzt die Firma Check Point Software Technologies Ltd. auf diese Technik ein gültiges Patent (US Patent # 5,606,668). Seite 12 von 21

13 3.2.3 Application Layer Filter (Content Filter) Ein Application Layer Filter bietet die Möglichkeit der Nutzdatenauswertung und arbeitet auf der OSI Schicht 7 (Anwendungsschicht). Zusätzlich bietet ein solcher Filter die Möglichkeit der Integration von Proxys für einen Einsatz von NAT und/oder PAT und ist die anspruchvollste Form eines Filters an eine Firewall. Da alle Datenpakete in der Firewall bis Layer 7 vor der Analyse wieder zusammengesetzt werden müssen, benötigt ein solcher Filter höhere Hardwareanforderungen um die Geschwindigkeit eines Paketfilters zu erreichen. Des Weiteren muss die Firewall dafür alle verwendeten Protokolle unterstützen, und zur Konfiguration ist ein ungleich höherer administrativer Aufwand nötig. Einer der Vorteile eines Application Layer Filters ist, dass verbindungsgebundene Pakete automatisch erkannt, und entsprechend der vorhandenen Regeln behandelt werden können. So kann zum Beispiel bei dem Dateiübertragungsprotokoll FTP der Datenport dynamisch bei Bedarf durch Analyse des Paketinhaltes automatisch freigeschalten werden. Ein weiterer Vorteil ist die Möglichkeit der Nutzdatenanalyse um z.b. bestimmte Inhalte herauszufiltern und gegebenenfalls die Kommunikation zu unterbrechen. Beispiele hierfür wären z.b. ActiveX und JavaScript aus HTML, vertrauliche Firmeninformationen und einfach unerwünschter Inhalt. Dabei ist aber zu beachten, dass die Aufgabenstellung gegebenenfalls sehr komplex ist, und von daher unter Umständen nicht technisch abbildbar ist. Zusätzlich erhöht dies den notwendigen Rechenaufwand, was u.u. höhere Hardwareanforderungen begründet und/oder gegebenenfalls zu einer Absenkung der Bitrate führt (Flaschenhals). Solche Filter werden im allgemeinem mittels eines Proxys ungesetzt. D.h. die Daten werden vollständig empfangen, untersucht und erst nach Abschluss der Analyse an den eigentlichen Empfänger weitergeleitet. Seite 13 von 21

14 Zusätzlich bietet die Umsetzung mittels eines Proxys durch die vollständige Zwischenspeicherung die Möglichkeit zur Integration weiterer Komponenten (z.b. Virenscanner). Allerdings bestehen hier sehr große Unterschiede bei den einzelnen Firewall Produkten bei der Art und Anzahl der unterstützten Protokolle, Erweiterungsmöglichkeiten und Integrationsmöglichkeiten von Fremdprodukten. Allgemein lässt sich die Aussage treffen, dass ein solcher Filter zwar im Vergleich zu einem Paketfilter sehr langsam, dafür aber wesentlich gründlicher ist Screened Gateway Ein Screened Gateway ist eine Kombination aus einem Paketfilter und einem Appliaction Layer Filter um die Vorteile beider Verfahren, die Schnelligkeit des Paketfilters und die Gründlichkeit des Application Layer Filters, miteinander zu kombinieren. Die zugrunde liegende Idee ist die, dass um den durch einen Application Layer Filter zu analysierenden Datenverkehr zu minimieren dieser erst durch einen schnellen Paketfilter überprüft wird. Damit werden die Ressourcen der Firewall dafür verwendet, nur sinnvolle, erlaubte Datenströme aufwändig bis zur Anwendungsschicht zusammenzusetzen und zu analysieren. Nach dem Application Layer Filter ist ebenfalls wieder ein Paketfilter vorhanden, damit auch aus dem in Gegenrichtung passierendem Datenverkehr vor der aufwändigen Analyse alle grob erkennbaren nicht erwünschten Daten ausgefiltert werden können. Seite 14 von 21

15 3.2.5 Verhaltensweisen Zu klären ist nun, wie sich eine Firewall am sinnvollsten verhalten soll, wenn unerwünschte, verbotene, Datenpakete diese erreichen. Zur Auswahl stehen zwei Möglichkeiten: Drop Reject Dabei bedeutet Drop, dass die betreffenden Datenpakete kommentarlos verworfen werden, und Reject, dass die betreffenden Datenpakete zurückgeschickt werden. Im Normalfall wird ein Verbindungsversuch bei TCP auf einem nicht genutztem Port mit einer ICMP Kontrollnachricht Rechner erreichbar, Port ungenutzt beantwortet. Wenn die Firewall die Pakete eines solchen Verbindungsversuches kommentarlos schluckt, und der Router des Providers auf ein Ping nicht mit einem ICMP Paket Ziel unerreichbar antwortet, weis der Absender, dass das Ziel vorhanden ist und der Port gefiltert wird. Besser wäre es alle unerlaubten Datenpakete mit ICMP Kontrollnachrichten zu beantworten. Damit wäre der Zielhost obwohl er Daten zurückliefert für den Absender unsichtbar. Fast alle Desktop Firewalls verwenden nur drop und kein reject. Seite 15 von 21

16 4 Der Lochtrick An dieser Stelle möchte ich anhand eines kleines Beispiels zeigen, wie eine Anwendung (z.b. Skype) eine Firewall mit einem Paketfilter (Statefull Inspection) überwinden kann. Ausgangssituation sind zwei voneinander getrennte Arbeitsplätze, welche sich hinter jeweils einer Firewall befinden, die ausgehenden UDP Datenverkehr erlaubt. Beide Rechner haben eine erlaubte permanente TCP- Verbindung zu einem zentralen Server Alice möchte Bob nun anrufen, und dies wird Bob mittels des zentralen Servers über die bestehende Verbindung nun mitgeteilt. 7 Grafik mit freundlicher Genehmigung der ct - Redaktion (ct 17/2006, Der Lochtrick, S. 142ff) Seite 16 von 21

17 2. Bob schickt daraufhin ein UDP Paket zu Alice (die Adresse hat er soeben erhalten), die Firewall von Alice verwirft das Paket, da es zu keiner bestehenden Verbindung gehört, er hat ein Loch gebohrt 3. Daraufhin teilt Bob nun Alice mittels des zentralen Servers die eigene verwendete Portnummer mit. Alice wiederum schickt seine Datenpakete nun direkt zu Bob, und die Firewall von Bob interpretiert diese Datenpakete nun als Antwort auf das versendete Paket von Bob an Alice und lässt diese durch. Der Vorgang ist nur sehr vereinfacht dargestellt und sehr stark von den konkreten Eigenschaften der lokalen Firewall anhängig und funktioniert auch hinter einem einfachen NAT Router. Das Verfahren hat es bereits zu einem Quasistandard gebracht, und ist besser unter dem Namen UDP hole punching bekannt. Eine Weiterentwicklung dieses Verfahrens wird in der RFC 3489 beschrieben: Simple Traversal of UDP through NAT (STUN) Seite 17 von 21

18 Eine Möglichkeit der Abhilfe ist, allen ausgehenden UDP Verkehr blockieren. 8 8 ct, 17/2006 S Seite 18 von 21

19 5 Brauche ich eine Firewall? Abschließend wäre noch die Frage zu klären, ob der Anwnder eine Firewall braucht. Eigentlich sollte man als Aussage in der Art treffen können: Nein, nicht wirklich notwendig, denn da bei einem normalem Arbeitsplatz keine Serverdienste angeboten werden, alle eigenen Port geschlossen sein sollten und alle Anfragen mit hier ist nichts beantwortet werden sollten. Werden auf einem Host aber Serverdienste angeboten, dann existieren offene Ports, diese dienen dabei als Angriffspunkt, denn ein solcher Dienst kann Fehler im Programm haben, welche genutzt werden könnten, und ein solcher Dienst könnte ohne Authentifizierung arbeiten. An dieser Stelle sei darauf hingewiesen, dass ein normaler Arbeitsplatz mit aktivierten Windows Netzwerkfreigaben bereits Serverdienste anbietet. Daher sollte mindestens eine Desktop Firewall installiert werden, und zusätzlich eine externe Firewall. Aber an dieser Stelle möchte ich darauf hinweisen, dass eine Firewall nur dann guten Schutz bietet, wenn diese auf korrekt konfiguriert ist und der Anwender trotz aktivierter Firewall Vorsicht walten lässt, denn eine solche blockt kein absichtliches herunterladen von Schadsoftware. Das heißt zusätzlicher Schutz in Form einer Firewall und Virenscanner, ist nötig. 9 9 Sven Rautenberg, Seite 19 von 21

20 6 Gibt es ein optimales Konzept? Diese Frage kann ganz kurz und knapp mit nein beantwortet werden, da eine Firewall immer ein Konzept ist, dieses kann, da es immer auf den individuellen Einzelfall ankommt, nicht einfach nur kopiert werden, sondern muss immer an die jeweilige Situation und Einsatzumgebung angepasst werden. Seite 20 von 21

21 7 Quellen wikipedia.org (en, de) Artikel (Abrufdatum :00) o Firewall (networking) (en) o Stateless firewall (en) o Statefull firewall (en) o TCP Wrapper (en) o Netfilter / iptables (en) o Application firewall (en) o Network layer firewall (en) o Application layer firewall (en) o Personal firewall (en) o Personal Firewall (de) o Diskussion:Firewall (de) Newsgroup de.comp.security.firewall ct 17/2006 S. 142 S Seite 21 von 21

22 Studiengang: Informatik Vorlesung: Anwendung Rechnernetze Hochschule Merseburg (FH) Merseburg, 29. November

23 Agenda 1 Einleitung 2 Arten von Firewalls 3 Techniken von Firewalls 4 Überwinden von Firewalls 5 Brauche ich eine Firewall? 6 Das optimale Konzept? 7 Quellen / Fragen 2

24 1 Einleitung Warum brauchen wir eine Firewall? Immer weiter fortschreitende Vernetzung von einzelnen Rechnernetzen Informationen sind handelbares Gut, gefragt und müssen geschützt werden aufgrund der Gewinnspanne ist viel kriminelle Energie verfügbar (z.b. Wirtschaftsspionage) Angebot und Nachfrage 3

25 1 Einleitung Was ist eine Firewall? Def.: Eine Firewall ist ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, um ein Sicherheitskonzept umzusetzen. [1] [1] Wikipedia, Firewall, ( ) Def.: Eine Firewall stellt in erster Linie ein sorgfältig geplantes, Standortbezogenes Sicherheitskonzept zur Trennung von Netzwerkbereichen dar und nimmt in zweiter Linie Bezug auf ein ständig zu pflegendes System (inklusive Firewallsoftware), welches dabei helfen soll, das Sicherheitskonzept zu realisieren. [2] [2] Hackerbord, Firewall, ( ) 4

26 1 Einleitung Warum ich das Thema verfehlen werde: Eine Firewall ist ein Konzept, muss daher für jeden Anwendungszweck individuell erstellt werden, und diese sind daher nicht allgemein vergleichbar, höchstens übertragbar Daher Beschränkung auf Arten und Techniken 5

27 Agenda 1 Einleitung 2 Arten von Firewalls 3 Techniken von Firewalls 4 Überwinden von Firewalls 5 Brauche ich eine Firewall? 6 Das optimale Konzept? 7 Quellen / Fragen 6

28 2 Arten von Firewalls Illusion Software- / Hardwarefirewall? Im allgemeinem Sprachgebrauch wird im Normalfall immer zwischen Software- und Hardwarefirewall unterschieden. ABER: Eine Firewall ist immer ein Konzept, welches die Verwendung von Software, ausgeführt auf Hardware, an der Schnittstelle von mindestens zwei Rechnernetzen vorsieht. Gemeint ist die Unterscheidung nach Installationsort: Betrieb auf einem zu schützendem Rechner: Desktop-Firewall od. Personal-Firewall Betrieb echt zwischen 2 Netzwerksegmenten: externe Firewall 7

29 2 Arten von Firewalls Desktop-Firewall (I/II) - Eigenschaften rein Softwarebasierende Lösung auf dem zu schützendem Computer selbst installiert Konstruktionsprinzip umstritten (negative Schutzwirkung) laut BSI empfohlene Sicherheitsmaßnahme für Internetnutzer Kontrolliert nicht den Netzwerkverkehr zwischen verschiedenen Netzen, sondern nur ein- & ausgehenden Datenverkehr des einzelnen Computers kann als einzige auch Programme filtern, d.h. es kann einzelne Programme vom Netzwerkverkehr ausschließen (z.b. Firefox darf, aber der IE nicht) 8

30 2 Arten von Firewalls Desktop-Firewall (II/II) Kritikpunkte Die größten Kritikpunkte sind: wird die Firewall gehackt, so wird dadurch bereits vollständiger Zugriff auf das zu schützende System gegeben. Durch Schadsoftware kann die installierte Desktop-Firewall kompromittiert werden, ohne das der Anwender dies merkt und er sich immer noch geschützt fühlt. 9

31 2 Arten von Firewalls externe Firewall (I/III) - Eigenschaften wird außerhalb des zu schützendem Netzwerksegments eingerichtet, genauer an den Schnittstellen zum abzugrenzendem Segment, [Def]. dient dabei als Verbindungspunkt zwischen dem zu schützendem Netzwerksegment (Trusted) und dem nicht Vertrauenswürdigenden Netzwerk (Untrusted). Häufig kommen noch ein bis mehrere demilitarisierte Zonen (DMZ) hinzu, in derer die von beiden Netzwerksegmenten erreichbaren Netzwerkkomponenten (Server) untergebracht sind. 10

32 2 Arten von Firewalls externe Firewall (II/III) - Eigenschaften Datenverkehr zwischen den einzelnen Zonen unterliegt strengen Regeln und wird von der Firewall überwacht. Durch die Möglichkeit der Verteilung von bereitgestellten Diensten in unterschiedliche DMZ ist der Schaden bei einer Kompromittierung einer DMZ begrenzt. 11

33 2 Arten von Firewalls externe Firewall (III/III) - Unterscheidung Es wird zwischen Host-Firewalls und Netzwerk-Firewalls unterschieden Netzwerk-Firewall Produkt aus HW & SW genau für diesen Zweck Host-Firewall normaler PC mit einer speziellen nur-firewall-funktion (überlicherweise Linux, z.b. Coyote Linux ) 12

34 Agenda 1 Einleitung 2 Arten von Firewalls 3 Techniken von Firewalls 4 Überwinden von Firewalls 5 Brauche ich eine Firewall? 6 Das optimale Konzept? 7 Quellen / Fragen 13

35 3 Techniken von Firewalls Erscheinungsformen Desktop-Firewalls externe Firewalls Router-Modus Proxy-Modus transparenter Proxy 14

36 3 Techniken von Firewalls Erscheinungsformen - Desktop-Firewalls Eine Desktop-Firewall installiert sich innerhalb des OSI-Referenz-Modells, indem sie sich in den Datenstrom zwischen Betriebssystemeigenen Komponenten schaltet und diese Komponenten ggf. durch eigene ersetzt. Daher ist eine solche Firewall immer unsichtbar, von extern wie auch von intern. 15

37 3 Techniken von Firewalls Erscheinungsformen - externe Firewalls - Router-Modus Eine Firewall im Router-Modus verbindet zwei Netzwerksegmente wie ein Router miteinander, mit dem Unterschied, dass die Firewall die einzelnen Pakete analysiert und die Übertragung ggf. stört. (Unterbrechen, ICMP, Störpakete, ) Die Firewall ist für die beteiligten Netzwerkkomponenten also unsichtbar. Nachteil: Netzwerkstruktur wird offen gelegt 16

38 3 Techniken von Firewalls Erscheinungsformen - externe Firewalls - Proxy-Modus Da im Router-Modus Quelle und Ziel sich gegenseitig adressieren, und daher die Netzwerkstruktur offen gelegt wird, besteht die Möglichkeit die Firewall in einem Proxy-Modus laufen zu lassen, so dass alle Kommunikationspartner nur mit der Firewall sprechen, das eigentliche Ziel aber im verborgenem bleibt. wird für nötig für NAT (Networt Adress Translation) und PAT (Port Adress Translation) benötigt. Nachteil: die einzelnen Kommunikationspartner (Quelle und Ziel) müssen ggf. neu konfiguriert werden. 17

39 3 Techniken von Firewalls Erscheinungsformen - externe Firewalls - transparenter Proxy Im Falle von nur ausgehender Kommunikation ist eine im Proxy-Modus arbeitende Firewall ähnlich einer Arbeits-Beschaffungs-Maßnahme für Administratoren zu sehen. => Kombination aus Router- und Firewall-Modus Vorteile: NAT und PAT möglich kaum administrativer Aufwand 18

40 3 Techniken von Firewalls Verfahren Paketfilter Statefull Inspection Application Layer Filter (Content Filter) Screened Gateway Verhaltensweisen 19

41 3 Techniken von Firewalls Verfahren - Paketfilter Eine Paketfilter Firewall untersucht jedes Paket, und wertet die Headerinformationen (Quelladresse, Zieladresse, Quellport, Zielport, TCP-Flags) aus. Ausgewertet werden die Header Informationen der OSI-Schichten 3 (Vermittlungsschicht) und 4 (Transportschicht) Aufgrund von statischen Filterregeln wird über die Zukunft des Paketes entschieden. Nachteil: Jedes Paket muss analysiert werden. d.h. für jede Verbindung muss eine Regel für Alice -> Bob und Bob -> Alice vorhanden sein. 20

42 3 Techniken von Firewalls Verfahren -Statefull Inspection Erweiterung des Paketfilters Zustand einer Verbindung ist zusätzliches Filterkriterium Vorteil: nur eine Regel notwendig: Alice darf mit Bob sprechen Wenn Alice mit Bob spricht, darf Bob Alice antworten Es wird ein logischer Datenstrom erlaubt funktioniert auch bei UDP Nachteil: Gültiges Patent der Firma Check Point Software Technologies Ltd. (US Patent # 5,606,668) 21

43 3 Techniken von Firewalls Verfahren - Application Layer Filter Ein Application Layer Filter arbeitet auf der OSI Schicht 7 (Anwendungsschicht). Möglichkeit der Nutzdatenauswertung (Content Filter) Möglichkeit der Integration von Proxys für einen Einsatz von NAT/PAT Nachteile: höherer administrativer Aufwand Protokolle müssen unterstützt werden höhere Hardwareanforderungen, da alle Pakete bis Layer 7 vor der Analyse zusammengesetzt werden müssen Vorteile: Erkennungsmöglichkeit für Verbindungsgebundene Pakete (dyn. Portregeln) (automatisches Freischalten weiterer Ports durch Analyse des Paketinhaltes, z.b. bei FTP) 22