Firewalls. 1. Grundgedanke

Transkript

1 Firewalls 1. Grundgedanke Grundlagen zu Firewalls Protokolle in Netzwerken Dienste in Netzwerken Wovor kann Firewall schützen, wovor nicht Prinzipien von Firewalls Paketfilter Firewall Stateful Inspections NAT Application Layer Firewall Proxys Hardware und Software Firewall Netzwerk Firewall Host Firewall Paketfilter Content Filter Firewallumgebungen DMZ Bastion Host Dual Bastion Host Proxies Grundgedanke Im Umgang mit Computern in Netzwerken und Internet muss man sich zwangsläufig mit dem Thema Sicherheit auseinander setzen. Die Frage nach Sicherheit, zieht sofort die Gegenfrage "Wogegen?" nach sich. Diese Ausarbeitung beschäftigt sich mit dem Thema Sicherheit die Firewalls bieten können, und auf welchen verschiedenen Wegen sie diese versuchen zu erreichen. Per Definition ist eine Firewall (Feuermauer oder Feuerwand) ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen Netzwerken beschränkt, mit dem Ziel die Sicherheit des Netzwerkes zu erhöhen. Rund um das Thema Firewall existieren viele Begriffe, die teilweise richtig sind, aber sehr oft nur die halbe Wahrheit vermitteln. Umgangssprachlich ist mit einer Firewall häufig die Software gemeint welche den Datenverkehr zwischen den getrennten Bereichen kontrolliert und regelt. Man muss also zwischen dem (Sicherheits-)Konzept Firewall und der konkreten Realisierung der Firewall unterscheiden. Das Sicherheitskonzept beschreibt Regeln, welche Informationen die Firewall passieren dürfen und welche nicht. Realisiert wird das Konzept durch eine Software, die auf einer (oftmals speziellen) Hardware läuft. Die Hardware ist dabei für das Empfangen und Senden der einzelnen Datenpakete zuständig (somit eigentlich kein sicherndes Element) und die Software regelt den Datenverkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?) Dabei hat eine Firewall zwei wesentliche Aufgaben zu erfüllen: Zum einen soll sie ungewollten Datenverkehr von externen Computersystemen zu einem geschützten Bereich verhindern, zum anderen soll ungewollter Datenverkehr von dem geschützten Bereich auf externe

2 Computersysteme unterbunden werden. Es ist also eine Software, die den Datenverkehr zur Trennung von Netzwerkbereichen nach bestimmten Kriterien filtern soll. Dabei gibt es eine Reihe von Angriffsmöglichkeiten auf ein Netzwerk oder Computer. Bedingt durch den offenen Charakter der Protokolle, den Mechanismen der Datenübertragung wie Routing, Protokollschwächen traditioneller Internet Dienste oder fehlendes Verantwortungsbewusstsein der Administratoren und User im Umgang mit Computern und Netzwerken. Firewalls sind dabei keine allumfassende Lösung die absolute Sicherheit bieten! Der Begriff Sicherheit bezieht sich auf ein bestimmtes Szenario und eine Firewall ist entweder gegenüber genau diesem Szenario sicher oder eben nicht. Auf alle möglichen Bedrohungsszenarien vorbereitet zu sein, ist nicht möglich, es ist nur möglich ein gewisses Maß an Sicherheit zu bieten. Ziel einer Firewall ist es also, auf bestimmte Szenarien zu reagieren und damit die Sicherheit zu erhöhen. 2.0 Grundlagen zu Firewalls Um verstehen zu können wie eine Firewall arbeitet, ist es wichtig zu verstehen welche Bedingungen in einem Netzwerk vorhanden sind, und was es eigentlich zu Schützen gibt. Hier wird nun kurz vorgestellt, wie grundlegend die Kommunikation in Netzwerken über Protokolle organisiert und ausgeführt wird, und was die Dienste darstellen die es zu Schützen gilt. Das führt dann zur Frage welche Aufgaben eine Firewall übernehmen kann, um Sicherheit zu gewährleisten, und bei welchen Aufgaben eine Firewall nicht helfen kann. 2.1 Protokolle in Netzwerken Um die Arbeitsweise einer Firewall verstehen zu können, muss man zunächst wissen, wie Computer im Internet untereinander Daten austauschen. Die Grundlage des Datenaustausches in allen Arten von Netzen bildet das Internet Protokoll, kurz IP. Dieses Protokoll teilt die zu verschickenden Daten in Pakete ein, gibt den Paketen im Header Informationen über Absender und Empfänger sowie Informationen über die Größe des Paketes mit, und schickt die Pakete dann dem Empfänger. Das TCP (Transmission Control Protocol) ergänzt das IP. TCP stellt Verbindungen zwischen zwei Computern her, über die dann zusammen mit IP Datenpakete ausgetauscht werden können. Außerdem kontrolliert TCP ob die Daten unversehrt und in richtiger Reihenfolge beim Empfänger angekommen sind. Im Allgemeinen spricht man bei der Zusammenarbeit von TCP und IP bei einer Datenübertragung zusammengefasst von einer TCP/IP Verbindung. Diese Art der Übertragung stellt die am häufigsten verwendete Art der Datenübertragung in heutigen Netzwerken und dem Internet dar. Es gibt noch zwei weitere häufig verwendete Protokolle, die eine wichtige Rolle spielen: das ICMP (Internet Control Message Protocol) ist für das versenden von Kontrollmitteilungen zwischen Computern in einem Netzwerk zuständig. Das einfachste Beispiel ist das Senden eines Pings. Wird ein Ping an einen Computer gesendet schickt dieser eine Antwort über den Erhalt des Ping

3 Paketes über das ICMP Protokoll zurück. das UDP (User Datagram Protocol) dient ähnlich wie das TCP dem Transport von Daten über das IP. Mit Hilfe eines mathematischen Verfahrens, der Checksum (Prüfsumme) eines Paketes, stellt das Protokoll sicher, dass die Datenpakete unversehrt beim Empfänger ankommen. Die Reihenfolge der Datenpakete, und ob Pakete doppelt ankommen, wird nicht von UDP überprüft. UDP hat seinen nutzen in einer sehr schnellen Datenübertragung, ist aber unzuverlässiger als TCP. Die richtige Reihenfolge der Pakete am Empfänger muss durch eigene Vorkehrungen außerhalb von UDP sichergestellt werden. Alle diese Protokolle haben Informationen in ihren Headern gespeichert, die dann von Firewalls anhand von Filterregeln analysiert werden und die Firewall entscheidet ob ein Paket durchgelassen wird oder nicht. 2.2 Dienste in Netzwerken Jeder Computer der an einem Netzwerk angeschlossen ist kann auf Dienste anderer Computer zugreifen, und stellt auch selbst Dienste in dieses Netzwerk. Einfachstes Beispiel ist das Aufrufen einer Webseite aus dem Internet. Ein Client stellt eine Anfrage an einen Webserver-Dienst eines Servers im Internet und bekommt als Antwort den Quellcode einer mit Browsern darstellbaren Webseite zurück. Wenn man von einem Dienst spricht meint man also Programme, die mit einem festgelegten Verfahren untereinander Daten austauschen. Der bekannteste Dienst ist das eben schon gezeigte HTTP (Hypertext Transfer Protocol), mit dem man Webseiten aufrufen kann. Die Daten werden bis auf Ausnahmen auf Grundlage des im Internet häufig genutzten Protokolls TCP/IP übertragen. Jedem Dienst im Internet liegt eine Anwendung zugrunde, die diesen Dienst zur Verfügung stellt. Damit die Informationen nicht an der falschen Stelle landen nutzen die Protokolle im Internet Ports zum Adressieren von Datenpaketen an eine Anwendung. Ein Webserver erwartet z.b. alle Informationen am Port 80, ein SMTP Server für den Mail-Versand verwendet den Port 25. Geht eine Anforderung an einen anderen Port antwortet der jeweilige Dienst nicht, da ihn die Anfrage nicht erreicht. Firma Name Computer Port

4 Dies ist vergleichbar mit den Mitarbeitern einer Firma. Wenn ich einen Brief an einen speziellen Mitarbeiter schicken möchte, muss ich den Brief erst an die Firma schicken (über Straße und Hausnummer). Je nach dem Namen an den der Brief adressiert ist, wird der Brief in der Firma an den Mitarbeiter weitergereicht. Das selbe machen Ports, sie legen fest welcher Dienst unter welchem Namen zu erreichen ist, und reichen die Pakete an den gewünschten Dienst weiter. Ist mein Brief an einen falschen Namen adressiert, wird ihn der Mitarbeiter der ihn bekommen soll auch nicht erhalten. Vielleicht erreicht mein Brief dadurch auch einen falschen Mitarbeiter, der diesen dann mit dem Vermerk Nicht verstanden zurück schicken wird. Genau nach dem Prinzip funktioniert die Adressierung von Paketen über Ports an bestimmte Anwendungen, wie z.b. http zum Übertragen von Informationen im WWW Mail Versand über SMTP FTP zum Übertragen von Dateien Telnet oder SSH für den Zugriff auf die Kommandozeile eines entfernten Computers DNS zum Übersetzen von lesbaren Internet Adressen in die entsprechenden IP Adressen 2.3 Wovor kann Firewall schützen, wovor nicht In Netzwerken können eine Reihe von Sicherheitsproblemen auftreten, eine Firewall kann nur einem Teil davon entgegenwirken, einem anderen Teil dagegen steht eine Firewall machtlos gegenüber. Eine Firewall analysiert und beschränkt den Datenaustausch zwischen Netzwerken oder einzelnen Computern. Dabei kann eine Firewall nach einem festgelegten Schema von Filtern entscheiden ob ein Paket eines Datenstroms verworfen oder weitergeleitet wird. Das befähigt eine Firewall dazu Anfragen an bestimmte Dienste auf einem Computer zu verweigern und nur bestimmte Bereiche an Ziel- oder Quelladressen passieren zu lassen. So ist es z.b. möglich, unerwünschte Zugriffe auf einzelne Dienste zu verhindern. Durch das Filtern und Verwerfen bestimmter Portnummern werden unerwünschte Anfragen an bestimmte Dienste nicht weitergeleitet. Bei Paketfiltern an den Schnittstellen zwischen Netzwerken können so Anfragen an bestimmte Dienste zugelassen oder verweigert werden. Komplexere Firewallsysteme sind auch in der Lage den Datenstrom zu analysieren und damit z.b. das Versenden von vertraulichen Dokumenten einer Firma zu verhindern. Dies ist aber auch sehr leicht wieder zu umgehen. Meist reicht es aus, das Dokument in ein ZIP-Archiv zu packen um einen sogenannten Content-Filter zu umgehen. Deswegen bietet deren Einsatz nur einen sehr bedingten Zugewinn an Sicherheit. Oft ist es so, dass eine Sicherheitslücke in einem Netzwerkdienst die Basis dafür liefern kann, um über die normalen Zugriffsfunktionen hinaus Aktionen auf dem Rechner auszuführen. Wenn Anfragen an diesen Dienst erlaubt sein sollen, ist es nicht möglich mit einer Firewall zu verhindern, dass Sicherheitslücken in diesem Dienst ausgenutzt und missbraucht werden.

5 Eine Firewall bietet auch keinen Schutz gegen Trojaner oder Viren die man sich durch das unbedachte Öffnen von Dateien einfängt. Selbst mit der fortgeschrittensten Paketfilterung und Proxy-Software ist ein Virenschutz durch eine Firewall praktisch nicht machbar. Dafür müsste die Firewall erkennen, dass ein Paket Teil eines Programms ist und eine Änderung durch einen Virus erfolgt ist. Erschwerend kommt hinzu, dass Programme zum Transport meist verpackt und auch komprimiert werden. Software, die per oder Usenet- News verschickt wird, wird meist auf eine von mehreren Arten in das ASCII- Format umgewandelt und ist so nicht mehr zu erkennen. Ein weiteres Problem sind verantwortungslose Konfiguration von Diensten durch User und Administratoren. Eine Firewall bietet keinen Schutz vor unsicher konfigurierten Diensten (z.b. schwache Passwörter) Durch die offene Auslegung der Netzwerkprotokolle ist das Vortäuschen und Abhören von Verbindungen auch ein Sicherheitsproblem. Das Abhören und heraus Angeln von vertraulichen Informationen aus einem Datenstrom (Sniffing) sowie das Manipulieren von Paketen durch z.b. falsche Angaben der Quelladresse sind Probleme die eine Firewall nicht lösen kann. Eine Firewall ist nur in der Lage nach einem bestimmten Satz von Regeln auf den Datenstrom an bestimmten Knotenpunkten Einfluss zu nehmen. Dabei werden die Pakete analysiert und nach bestimmten Kriterien verworfen oder durchgelassen. Die Filter können sich auf alle sieben Schichten des OSI-Models beziehen und nur vorhersehbare Angriffe abwehren. Somit ist die Sicherheit, die eine Firewall bietet, immer nur so gut wie die Konfiguration ihrer Regeln ist. 3.0 Prinzipien von Firewalls Auch wenn es unzählige Arten und Mischformen von Firewalls im praktischen Einsatz gibt, basieren alle Firewalls auf einer Reihe von Prinzipien, die nun im folgenden dargestellt werden. 3.1 Paketfilter Firewall Wenn Daten in einem Netz versendet werden dann werden diese von dem sendenden Host in Datenpakete verpackt und versendet. Jedes Paket, welches den Paketfilter passieren will, wird nach verschiedenen Kriterien in seinem Header untersucht. Anhand der in jedem Paketheader vorhanden Daten, wie Absender- und Empfänger-Adresse, entscheidet der Paketfilter aufgrund von Filterregeln was mit diesem Paket geschieht. Ein unzulässiges Paket, welches den Filter nicht passieren darf, kann entweder ignoriert (DENY oder DROP genannt), an den Absender zurückgeschickt werden, mit der Bemerkung, dass der Zugriff unzulässig war (REJECT) oder weitergeleitet werden (FORWARD oder PERMIT). Die Filterregeln einer Paketfilter-Firewall beziehen sich auf Informationen im Header der Pakete in der dritten und vierten Schicht des OSI Models (Vermittlungsschicht und Transportschicht). Auf dieser Ebene sind Informationen von IP und TCP/UDP/ICMP vorhanden, mögliche Filter können sich z.b. auf Internetadressen des Quell- und des Zielrechners,auf den Quelloder Zielport oder auf protokollspezifische Informationen wie den TCP- Steuerbits beziehen.

6 Dabei kann ein Paketfilter nach zwei Prinzipien aufgebaut werden. Entweder es werden alle Anfragen geblockt, außer sie sind durch Filterregeln explizit erlaubt. Oder es werden alle Anfragen zulassen und nur explizit durch Regeln verbotene Pakete werden gestoppt. In der Praxis ist das erste Vorgehen zu empfehlen, weil das Vergessen einer Regel nicht zu einer Verschlechterung der Sicherheit führt. Wird beim zweiten Vorgehen eine Regel vergessen ist ein Dienst erreichbar, der es eigentlich nicht sein sollte Stateful Inspections Stateful Inspections (zustandsgesteuerte Filterung) ist eine Methode zum erweitern der Funktionalität eines Paketfilters. Ziel ist es, Pakete nicht nur einzeln zu betrachten und zu analysieren, sondern Pakete einem logischen Datenstrom zuzuordnen und alle Anfragen sowie Rückantworten eines Datenstroms zu erlauben. Eine SIF (Stateful Inspection Firewall) merkt sich den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und erstellt für alle Rückantworten eines zusammenhängenden logischen Datenstroms dynamisch die nötigen Regeln. Im OSI-Layer 7 (Anwendungsschicht) findet eine kurze Inspektion statt, um eine Art Statustabelle aller Netzwerkpakete erstellen zu können. Dadurch erkennt diese Firewall Zusammenhänge zwischen TCP- und UDP-Paketen und ist genau wie die Application-Layer-Firewall in der Lage, dynamische Regeln zu erstellen, welche bestimmte Ports automatisch freischalten, sobald eine entsprechende Anforderung aus dem internen Netz nach außen kommt. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. Die Firma Checkpoint Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben NAT NAT (Network Address Translation) ist ein Sammelbegriff für Verfahren, um automatisiert Adressinformationen in Datenpaketen durch andere zu ersetzen, und stellt damit eine Erweiterung von Paketfiltern dar. Es beschreibt eine Technik, welche durch die Knappheit öffentlicher IPv4- Adressen und die Tendenz, private Subnetze über Einwahlverbindungen mit dem Internet zu verbinden, entstanden ist. Die einfachste Lösung des Problems beschränkter IP-Adressen war die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse. Dabei werden Port- und IP-Informationen eines LANs durch eine im Internet noch freie IP Adresse ersetzt und vom NAT eine Tabelle dieser Umsetzungen erstellt um die Rückantworten wieder an den passenden Computer im LAN zu senden. NAT setzt kein Sicherheitskonzept durch, sondern hat seine Existenzberechtigung durch die IP-Knappheit von Ipv4. Die bevorstehende Umstellung auf Ipv6 mit ausreichend IP-Adressen wird so den Einsatz von NAT überflüssig machen.

7 3.2 Application Layer Firewall Dies ist eine Firewall, welche auf Schicht 7 (Applikationsschicht) des OSI- Modells arbeitet. Deshalb kann die Firewall mit Hilfe eines Content-Filters die Nutzdaten auswerten oder nicht erwünschte Anwendungsprotokolle (zum Beispiel peer-to-peer, VoIP) blockieren. Eine ALF (auch Application Level Gateway / ALG genannt), ist in der Lage, in die Pakete hinein zu sehen (Content Filter). Das ermöglicht es, zusammenhängende Pakete auf ihren Inhalt hin untersuchen zu können (z.b. SMTP-Virenscanner, http-filter, ftp-verbindungs- und Befehlsfilter, etc.). Content Filter Prog Da diese Firewall sämtliche Netzwerkpakete aufwendig bis zum OSI-Layer 7 zusammensetzen muss, sind die Hardwareanforderungen hier ungleich höher, als bei Paketfiltern. Dafür ist sie jedoch in der Lage, verbindungsgebundene Pakete zu erkennen und somit dynamische Portregeln zu erstellen, welche bestimmte Ports automatisch freischalten, wenn die Anforderung aus dem internen Netz heraus kommt (bei einigen Protokollen ginge das nicht, ohne in die Pakete hineinzusehen). Dieses Vorgehen bietet jedoch den nicht zu unterschätzenden Nachteil, dass sich der Administrator sehr gut mit den zu überprüfenden Diensten auskennen muss, um vernünftige Regeln für die Paketinhalte erstellen zu können. Eine ALF ist also wesentlich schwerer zu Administrieren, als eine Paketfilter-Firewall. Die Aufgabe einer Application Level Firewall besteht nicht darin, bestimmten Applikationen den Zugriff zum Netz zu gewähren oder zu verbieten. Dieser Aufgabe kann zumindest eine externe ALF auch nur sehr bedingt gerecht werden. Der Name Application wurde lediglich aus dem Application Layer der OSI-Schicht 7 abgeleitet. Die Funktionalität, Zugriffregeln für Applikationen zu erstellen, gehört in der Regel zu den erweiterten Funktionalitäten einer Desktop Firewall und basiert auch dort auf einer Prozesskontrolle, welche nichts mit dem Firewallmodul zu tun hat. 3.3 Proxys Proxys können auf allen Schichten des OSI-Modells arbeiten, und so analysen

8 verschiedenster Art ermöglichen. Die meisten Application-Layer-Firewalls setzen integrierte Proxys ein. Ein Proxy baut stellvertretend (daher auch der Name: Proxy = Stellvertreter) für die LAN-Clients die Verbindung zu Servern im Internet auf. Von außen sind nur die IP-Adresse und die Ports des Proxys sichtbar. Die Struktur des LANs ist damit aus dem Internet nicht erkennbar. Die Pakete werden dabei manipuliert. Die Clients fordern Webinhalte direkt beim Proxy an. Dieser holt sie bei Bedarf aus dem Internet oder direkt aus seinem Cache (Zwischenspeicher). Da die Inhalte dabei vollständig auf dem Proxy zwischengespeichert werden, können sie entsprechend analysiert werden, zum Beispiel durch Virenscanner und Content-Filter. Application Level Firewall Proxy Paketfilter Firewall 4.0 Hardware und Software Firewall Netzwerk und Host Firewall werden umgangssprachlich auch als Hardware und Software Firewalls bezeichnet. Die Hardware-Firewall, bezeichnet ein externes Gerät, die Software-Firewall ist ein Synonym für Personal Firewall die auf einen Rechner implementiert ist. Grundlegend unterscheidet man Hardware und Software Firewall aus nicht technischer Sicht, da die Software einer Software Firewall auf einer Hardwarekomponente innerhalb eines lokalem Rechners ausgeführt werden muss. 4.1 Netzwerk Firewall Die Firewall Software arbeitet auf einer Externen Hardware. Diese Hardware stellt eine Verbindung zwischen Netzwerken her. Kommunikations Anfragen Treffen in erster Linie auf die Netzwerk Firewall. Die auf ihr installierten verschiedenen Softwarekomponenten analysieren und Filtern dann entsprechende Datenpakete heraus. Werden diese dann für sicher befunden, wird die dazugehörige Anfrage nicht unterbrochen und die Netzwerk Firewall leitet diese stellvertretend für das Quellsystem an das entsprechende Zielsystem weiter.

9 WAN Firewall LAN Eine Netzwerk Firewall kann in zwei Erscheinungen auftreten. Die unsichtbare, in der die Firewall unsichtbar zwischen zwei zu verbindenden Netzwerken liegt oder die Sichtbare, in welcher die Firewall als Vermittlungsstelle zwischen den Netzwerken gelegt wird. Die unsichtbare Verbindung wird auch als Router Modus bezeichnet, die sichtbare als Proxy Modus. Die Hardware auf der die Netzwerk Firewall Software installiert ist besitzt in der Regel drei Netzwerkschnittstellen, an denen die zu trennenden Netze angeschlossen sind. Diese Netzwerkschnittstellen werden aus Gründen der Sicherheit gewählt, damit gewährleistet ist, das nur solche Pakete in das Netz weiter geleitet werden die die Firewall Software als gültig anerkannt hat und die sie dann passieren dürfen. Man unterscheidet hier drei Netzwerkzonen: WAN 1. externe Netz (WAN) 2. DMZ 3. Interne Netz (LAN) DMZ LAN Vorteil einer solchen Firewall ist es das sie grundsätzlich ungewollte Zugriffe von außen auf das System blockiert. Durch die eigene Hardware sind Dienste vom internen Netz nicht angreifbar, da sie nur die Dienste anbietet die auf ihr zur Verfügung stehen. Da durch ergibt sich auch das sie keinerlei Befugnisse auf dem lokalem Netz hat.

10 Einige Hardware Firewalls besitzen ihr eigenes Betriebssystem welches weniger Dienste als ein standart Betriebssystem anbietet. Daraus folgt das ein Angriff der durch Sicherheitslücken im standart Betriebssystemen auftritt mit einer eigenen speziel für die Netzwerk Firewall konstruierten Betriebssystem minimiert wird. Somit gilt diese Firewall auch als sicherer gegenüber anderen Firewalls. 4.2 Host Firewall Bei einer Host Firewall handelt es sich um eine Firewall Software die auf einem lokalem Rechner installiert wurde und von dort den Zugriffe von außen auf das lokale System kontrolliert. Die Host Firewall fängt ein und ausgehende Kommunikation ab und untersucht diese auf bestimmte Regeln. Diese Regeln kontrollieren die Firewallaktivitäten, die wiederum dann entscheidet ob eine Kommunikation hergestellt oder unterbrochen wird. So wird bestimmter Verkehr nicht in und aus dem Rechner zugelassen. In Erscheinung tritt sie als unsichtbare Firewall, da sie aus Sicht des Zielsystems hinter dem Netzwerkadapter des Quellsystems liegt. Es findet keine Änderung der Netzwerkadressen statt wie dies bei einer Netzwerk Firewall möglich ist noch wird der Kommunikationsweg zum Zielsystem verändert. WAN LAN Vorteil dieser Firewall sind allgemein der Schutz von außen auf das Lokale System und das bestimmte Kommunikationen von innen und außen blockiert werden können. Nachteile einer Host Firewall sind das andere lokal ausgeführte Programme die möglichkeit haben die Firewall zu manipulieren ohne das der Anwender es mitbekommt. Einige eingeschleuste Programme können die Firewall zu ihren gunsten je nach bedarf aktivieren und deaktivieren. Da eine Host Firewall direkt auf einem lokalem Rechner installiert ist, ist sie auch abhängig von den auftretenden Sicherheitslücken des Betriebssystems Personal Firewalls Die Personal Firewall ist auf dem zu schützenden Rechner lokal installiert. Sie verhindert den ein und ausgehenden Datenverkehr zwischen einem geschützten Rechner und einem externen Netz. Sodas der Rechner vor gefahren oder ungewollten Zugriffen aus dem Netz geschützt ist. Bei dem

11 externen Netz kann es sich hierbei um das Internet oder um ein lokales Netz handeln. Die Komponenten einer Personal Firewall sind Paketfilter Anwendungsfilter Lernmodus Der Hauptbestandteil einer Personal Firewall ist der Paketfilter, der nach bestimmten Regeln ein- und ausgehende Datenpakete blockieren kann. Der Anwendungsfilter in einer Personal Firewall hat die Eigenschaft einzelne Programme von einer Kommunikation ausschließen zu können. Des weiteren ist es möglich die Anwendungen in die Regeln des Paketfilters einfließen zu lassen sodass anwendungsspezifisch gefiltert werden kann. Das heißt bestimmten Anwendungen wird eine bestimmte Kommunikation gestattet, die anderen Anwendungen verwehrt bleibt. Häufig verfügen Personal Firewall über einen so genannten Lernmodus, welcher die Regeln für Paketfilter und Anwendungsfilter durch Interaktion mit dem einem Benutzer festgelegen kann. Visuell betrachtet erscheint ein Dialogfenster auf dem Bildschirm sobald Datenverkehr auftritt für den es noch keine Regel gibt. Daraufhin kann nun der Benutzer entscheiden ob er diesen Verkehr zulässt oder blockiert. Aus der daraus folgenden Antwort des Benutzers wird eine neue Regel erstellt. Da eine Personal Firewall zwischen dem externen Netz und der internen Software, die auf dem Rechner installiert ist, filtert ergeben sich einige Nachteile. Wenn ein Angriff von Hackerseite auf die Firewall Software gestartet wird hat dieser automatisch Zugang zu dem zu schützenden System. Es gibt auch so genannte Schadsoftware die versucht die Filterung durch die Firewall zu umgehen. Sie versucht dies indem sie den Dienst der Firewall beendet. Häufig gelangen sie als Trojanisches Pferd auf den Rechner und werden nichts ahnend ausgeführt. Vor der Ausführung eines Trojanischen Pferdes ist man durch die Firewall nicht geschützt. Die häufigsten Fehler werden jedoch durch fehlerhafte Software oder durch eine falsche Konfiguration der Firewall Software verursacht. Meistens sind auch schwache Passwörter ein gutes Angriffsziel um die Firewall zu umgehen. Der Vorteil einer Personal Firewall ist, das sie unerwünschte Zugriff auf Dienste filtert, die der Benutzer selber nicht beenden kann oder möchte, oder von denen er gar nicht bemerkt hat, dass sie laufen Paketfilter Paketfilter haben ihren Sitz zwischen logischen oder physikalischen Netzwerken, dort überwachen und kontrollieren sie den Netzwerkverkehr. Sie analysieren Pakete und entscheiden ob diese verworfen oder weitergeleitet werden. Wenn ein Paket verworfen wird kann eine Meldung zurück an den Sender geschickt werden mit dem Vermerk das dieses Paket blockiert wurde. statischer Paketfilter

12 Dieser Paketfilter arbeitet zustandslos, das heißt das Filterregeln unabhängig von bisher eingetroffenen Paketen auf jedes Paket angewandt werden. dynamische Paketfilterung Sie sind zustandsabhängig, das heißt wenn Pakete nach außen Versand werden, dann werden passende Filterregeln für die Rückantwort gesetzt. Eine eintreffende Antwort wird durch diese gesetzten Filterregel erlaubt. Anderen Paketen ist es nicht gestattet die Firewall zu passieren, da keine passenden Filterregeln vorhanden sind. Die Filterregeln werden nach einer gewissen Zeit gelöscht um ungewollten Zugriff zu vermeiden Content Filter Ein Content Filter überprüft die Inhalte der einzelnen Pakete und filtert diese gegebenfalls heraus. Sie nimmt dabei Bezug auf den Textlichen und Bildlichen Inhalt, falls unerwünschte Dinge auftreten werden diese gefiltert und das Paket wird weiter geleitet. Er hat die Möglichkeit die übertragenen Daten durch das Zusammensetzten der dazugehörigen Pakete zu analysieren. Aufgaben können sein: - herrausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten - Filtern/Kennzeichnen von Spam-Mails - Löschen von Viren-Mails 5.0 Firewallumgebungen Darunter sind Anordnungen wie die Firewallkomponenten eingesetzt werden zu verstehen. 5.1 DMZ Die Demilitarisierte Zone ist ein Subnetz das zwischen dem äußerem und zu schützenden Netz liegt, bietet so kontrollierten Zugriff auf ein internes System. Es beinhaltet Dienste für das äußere Netz, die jedoch keine Zugriff auf das innere Netz bieten und dient zum Transport von Daten aus dem LAN zum WAN und umgekehrt. An beiden Seiten wird sie zusätzlich durch Paketfiltern geschützt, wodurch alle angeschlossenen Rechner in einem geschützten Bereich liegen. In ihrem Gebiet sind Proxies angesiedelt, die wiederum den

13 Datenverkehr absichern. WAN Bastion Host LAN DMZ 5.2 Bastion Host Server der in der DMZ angesiedelt ist, er bietet Dienste des äußeren Netzes an. Eine Verbindung zwischen den Netzen kann nur über den Bastion Host entstehen. Ein äußerer Filter leitet Pakete vom und zum Bastion Host. Daraus folgt das er die erste Station für Angriffe darstellt. Für eine gute Funktionalität muss er immer auf den neuesten Stand sein, dazu kommt das alle nicht benötigten Dienste abgeschaltet werden und benötigte Dienste vor Missbrauch geschützt werden müssen. Ein Proxy kann zusätzlich installiert werden, hierbei ist dann die Konfiguration der Filter sehr Wichtig, ansonsten kann der Proxy übergangen werden und der Bastion Host verliert seine Funktion. WAN Bastion Host LAN DMZ Dual Bastion Host Hier wird die DMZ aufgeteilt und der Bastion Host besitzt zwei Netzwerkschnittstellen. Er wird von zwei Paketfiltern umschlossen, dem inneren und äußeren. Die Filter arbeiten wie beim Bastion Host. Wenn man dann das Routing komplett unterbindet, entstehen Verbindungen nur noch über den Proxy. Dadurch kann die größtmögliche Sicherheit erreicht werden.

14 WAN LAN DMZ 5.3 Proxies Ein Proxy ist ein so genannter Stellvertreter, da er statt eines Client die Verbindung zum Server aufbaut. Der Proxy ist für den Client jedoch unsichtbar, das heißt der Client bekommt nicht mit das Stellvertretend für ihn eine Verbindung aufgebaut wird. Von Serverseite sieht es so aus als ob er mit Proxy Kommuniziert, das heißt der Proxy stellt stellvertretenden für den Server die Verbindung zum Client her. Ein Proxy kann die Inhalte eines Datenstroms nach verschiedenen Kriterien Filtern und analysieren. Server Sichtweise Client Sichtweise Reelle Verbindung Reelle Verbindung Transparenter Proxy Dieser Proxy ist für den Anwender transparent. Er fängt Verbindungen vom Client ausgehend zum Server an der Firewall ab und leitet diese auf lokal Proxy um. Generischer Proxy Dieser Proxy arbeitet Dienst unabhängig und kennt keine übertragenen Inhalte. Er stellt ausschließlich eine Verbindung zwischen Client und Proxy und zwischen Server und Proxy her. Angesiedelt ist er zwischen Paketfiltern und applikationsspezifischen Proxies. Daher kann er übertragene Inhalte nicht bewerten und verfügt über keine Informationen des Anwendungsprotokolls. Applikationsspezifischer Proxy

15 Sie kennt dienstspezifische Protokolle und trift Entscheidungen aufgrund der übertragene Inhalte. Wurde speziell auf bestimmte Anwendungen zugeschnitten und schränkt somit die Funktionen einer Anwendung ein. Quellen Das Firewall Buch: Wolfgang Barth, Grundlagen, Aufbau und Btrieb sicherer Netzwerke mit Linux Internet Sicherheit: Kai Fuhrberg, Browser, Firewalls und Verschlüsselung