Firewallsysteme (1) - Technische Grundlagen

Transkript

1 Firewallsysteme (1) - Technische Grundlagen Stefan Widmaier (widmaier@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München WS 2002 (Version 10. Februar 2003) Zusammenfassung Dieses Papier behandelt die grundlegenden Techniken von Firewallsystemen und vergleicht deren Wirkungsweise und Leistungsfähigkeit anhand des FTP Protokolls und verschiedener Angriffe, denen Rechnernetze, die Anschluss zum Internet haben, ausgesetzt sind. 1

2 Inhaltsverzeichnis 1 Einleitung 2 2 Grundlagen ISO-OSI Modell Protokolle der Vermittlungsschicht: ARP, IP, ICMP Protokolle der Transportschicht: TCP, UDP Applikationsschicht Protokolle was ist ein Gateway Definition von Firewalls, Techniken Definition Packet Filter Dynamischer Packet Filter oder Stateful Filter Proxy oder auch Circuit-Relay Application Gateway/Application Proxy Vergleich der Techniken Angriffe Denial of Service Angriffe auf Firewalls Angriffe auf Applikationen Mails mit Virus- oder Backdoorsoftware Topologien, Einsatzszenarien 12 6 Zusammenfassung 13 Abbildungen 15 Bibliography 16 1

3 1 Einleitung Aufgrund zunehmender Vernetzung und wirtschaftlicher Trends wird es für Privatpersonen und speziell Unternehmen sehr wichtig eine Verbindung zum globalen Kommunikationsnetz, dem Internet zu haben. Allerdings bleibt dies nicht ohne Nachteile, denn durch globale Erreichbarkeit und die enormen Datenmengen und Nutzerzahlen fällt es potentiellen Angreifern leicht unentdeckt zu bleiben. Häufig sind grosse Teile einer Firma vernetzt, und es besteht überall die Gefahr eines Angriffs. Um die dort verarbeiteten sensitive Daten zu schützen, müssen Mechanismen integriert werden, die ein solches Firmennetz vor Fremdzugriffen abschotten. Auch ein Privatanwender ist nicht gefeit vor Attacken, die Ansprche sind in diesem Fall aber andere, denn es muss meistens nur ein einzelner Rechner oder ein kleines Netz geschtzt werden. Ein Hard oder Softwaremechanismus, der durch Analyse und Beschränkung des Datenverkehrs die Sicherung eines Netzes erreicht, wird allgemein Firewall genannt. Ziele von Firewalls sind: Schutz jeglicher Daten, seien es intern verschickte oder auf Servern im Intranet gespeicherte. Zugriffskontrolle, Reglementierung der Netznutzung: starke Beschränkung des Zugriffs auf das lokale Netz von außen, reglementierter Zugriff auf das Internet von innen. Überwachung des Netzverkehrs sowohl des ankommenden, als auch des Verkehrs im Intranet Transparenz: die Firewall soll in einigen Fällen für den User nicht sichtbar sein und den normalen Arbeitsablauf in keiner Hinsicht stören, keine Wartezeiten verursachen, keine nötigen Verbindungen verbieten etc. 2 Grundlagen In diesem Abschnitt werden einige Protokolle mit ihren für Firewalls wichtigen Eigenschaften dargestellt. 2.1 ISO-OSI Modell Abbildung 1: Das OSI Schichtenmodell zur Netzwerkkommunikation mit für Firewalls wichtigen Protokollen 2

4 2.2 Protokolle der Vermittlungsschicht: ARP, IP, ICMP Adress Resolution Protocol: ARP bildet IP- auf Mac-Adressen ab. Für eine Verbindung zwischen zwei direkt verbundenen Rechnern fragt der Sender ins Netz, wer denn unter der Zieladresse zu erreichen ist. Der entsprechende Zielrechner Antwortet mit einer Nachricht, die seine MAC (Hardwareadresse seiner Netzwerkkarte) enthält. Der Sender schickt nach deren Erhalt eine Quittung mit seiner MAC Adresse. Danach findet der Datenverkehr zwischen diesen beiden Macadressen statt. Für ein Datenpaket ist also immer erkennbar an welche MAC Adresse es geschickt wurde, damit kann eine Firewall auch nach dieser Filtern und Missbrauch einiger Dienste z.b. DHCP verhindern. Internet Protocol: IP ist das Vermittlungsprotokoll im Internet. Eine Adresse (in IPv4) besteht aus 32bit und ist Datagrammorientiert. Router sind die Vermittler bei diesem Datenverkehr, sie verwalten sogenannte Routingtabellen nach denen sie entscheiden an welchen direkt erreichbaren Router sie ein Paket weiterleiten sollen, damit es letztendlich an seinem Bestimmungsort ankommt. Firewalls haben häufig selbst Routingfunktionalität, durch nicht Weiterleiten (Routen) einer Nachricht können Anfragen einzelner IP Adressen geblockt werden. Internet Control Message Protocol: ICMP hat die Aufgabe, Status- Kontroll- und Fehlermeldungen für IP zu transportieren. Router benutzen dieses Protokoll um miteinander zu kommunizieren, einem Client wird z.b. per destination-unreachable mitgeteilt, dass das angeforderte Ziel nicht zu erreichen ist. 2.3 Protokolle der Transportschicht: TCP, UDP Transmission Control Protocol: TCP verschickt Daten in Paketen und ist verbindungsorientiert. Es baut eine Punkt zu Punkt Verbindung auf und nach dem Datenverkehr wieder ab. Der Aufbau läuft nach dem sogenannten 3 Way Handshake Verfahren, der Verbindungsabbau durch beidseitigen 2 Way Handshake. Abbildung 2: Der TCP Verbindungsaufbau mit 3 Way Handshake Bei einer Verbindungsanfrage schickt der Sender ein TCP-Paket mit gesetztem SYN- Flag. Der Empfänger antwortet, wenn er eine Verbindung engehen will, mit einem SYN-ACK Paket, worauf der Anfragende mit einer positiven oder negativen Quittung antworten kann (ACK). Bei erfolgreichem Verbindungsaufbau findet danach beidseitiger (full duplex) Datenverkehr statt. TCP Pakete sind also entweder Teil eines Verbindungsauf-/Abbaus, oder lassen sich eindeutig einer Punk zu Punkt Verbindung zuordnen. Ein Stateful Filter nutzt diese Eigenschaft aus (siehe folgendes Kapitel). 3

5 TCP adressiert Pakete auf Ports, es gibt also (2 16 = 65536) Verbindungspunkte, die bei einer Verbindung ansprechbar sind. Dies erleichtert die Identifikation von Diensten, die auf festgelegten Ports kommunizieren. Einer TCP Dateneinheit sieht man auf diesem Wege an von welchem Dienst sie kommt bzw an welchen sie gerichtet ist. Folgende Informationen des TCP-Headers werden von Firewalls genutzt: Zielport, sowie den Ursprungsport StatusBits oder Flags, die anzeigen ob ein TCP Packet eine Verbindungsanfrage, ein Verbindungsabbruch, eine Quittung etc. ist Eine Sequenznummer, anhand derer der Empfänger die erhaltenen Pakete wieder in die richtige Reihenfolge bringen kann Des weiteren sichert TCP, dass ein Packet auch wirklich ankommt. Zu diesem Zweck schickt der Empfänger immer wieder eine Quittung über den Erhalt der Pakete, wenn der Sender nach einer bestimmten Zeit keine solche Quittung erhalten hat sendet er das/die Pakete ein weiteres mal. Es gibt bei einer TCP Datenübertragung Kommunikation in beide Richtungen (full duplex): neben den Nutzdaten enthalten TCP-pakete auch immer die Quittungen für den Erhalt von Paketen des Partners in der Punkt zu Punkt Verbindung. TCP produziert für die Sicherung der Datenübertragung einiges an Overhead und ist somit langsamer als UDP. User Datagramm Protocol: UDP ist ein verbindungsloses und zustandsloses Protokoll. Es findet kein Verbindungsaufbau statt, der Sender schickt seine Pakete auf gut Glück zum Empfänger. UDP hat keinerlei Sequenznummern (Reihenfolgesicherung) und schickt keine Quittungen. Fehlende Sicherungsmechanismen erhöhen die Performanz, somit ist UDP wesentlich schneller als TCP. UDP basiert wie TCP auf IP und hat genau wie dieses Portnummern, der Header enthält also Sende- und Zielport des Pakets. 4

6 2.4 Applikationsschicht Protokolle Auf der siebten OSI-Schicht gibt es zahlreiche Protokolle (HTTP, SMTP,...). Hier wird genauer auf die Funktionsweise von FTP eingegangen. File Transfer Protocol: FTP hat zwei Betriebsarten: active und passive mode. Für Active Mode stellt der FTP-server zwei Ports zur Verfügung: den Command Port: 21 und den Data Port: 20. Wenn ein Client eine Verbindung zum FTP Server haben will stellt er eine Anfrage an den Command Port des Servers und teilt dabei den Port mit, auf dem auf eine Verbindung wartet (listen). Der Server verbindet dann von sich aus, von Port 20 (data) zum mitgeteilten Listenport des Clients. Es sieht also für die Firewall so aus als würde jemand von Außen eine Verbindung eingehen wollen (3), dies wird meistens verhindert. Abbildung 3: Der FTP Verbindungsaufbau im active Mode In passive Mode stellt der Client eine Anfrage und der Server teilt diesem einen Port mit auf dem er auf eine Verbindung wartet, nun ist es am Client eine Verbindung aufzubauen, eben zu jenem abgesprochenen Port. In diesem Fall ist der Client Initiator der Verbindung und diese wird von der Firewall durchgelassen werden (3). [Ribak01] Abbildung 4: Der FTP Verbindungsaufbau im passive Mode 5

7 2.4.2 was ist ein Gateway In den Folgenden Kapiteln werden oft die Begriffe Router und Gateway verwendet werden. Ein Router arbeitet ausschliesslich auf Schicht 3 OSI, und vermittelt so IP Pakete zb durchs Internet. Ein Host, der Verbindung zu zwei verschiedenen Netzen hat, wird als Gateway bezeichnet, wenn Verbindungen, die über diesen Rechner laufen, auf Applikations-Ebene realisiert werden. Ein Dual Homed Gateway ist ein Gateway mit zwei separaten Netzwerkinterfaces (Netzwerkkarten), Firewalls können auch nach MAC-Adressen filtern und so erkennen an welcher Karte ein Packet ankommt. 3 Definition von Firewalls, Techniken 3.1 Definition Firewall ist ein sehr weiter Begriff, der unterschiedlich definiert wird. Man kann einen umfassenden Sicherungsmechanismus eines großen Firmennetzes mit einigen Zusatzfunktionen als auch einen einfachen Paketfilter einer Personal Firewall als Firewall (oder Brandschutzmauer, wie es eingedeutscht genannt wird) ansehen. Prinzipiell besteht ein Firewallsystem (FWS) aus HW- und SW-Komponenten, die ein gesichertes und ein ungesichertes Netzwerk miteinander verbinden. Es sollen Angriffe von außen verhindert, und gleichzeitig bestimmte Verbindungen von innen nach außen stattfinden können. Enstehungszeit der Verschiedenen Techniken: Packet Filter: 1983 Circuit Relay: 1989 Application Level FW: 1991 Stateful Packetfilter: Packet Filter Ein Packetfilter ist ein relativ einfaches Programm, das den kompletten ein- und ausgehenden Netzverkehr eines Rechners bis zur 2., 3. oder 4. OSI Schicht analysiert. Es werden ungültige Pakete geblockt wie z.b.: Frags, viel zu kleine Pakete, die aufgrund ihrer Größe nicht einmal die vollständige Headerinformation beinhalten können; alle Flags auf 1; alle Flags auf 0; Pakete die das SYN- (Verbindungsaufbauwunsch) und gleichzeitig das FIN-Flag (Verbindungsabbauwunsch) aktiviert haben. Ein Packetfilter entscheidet über sogenannte Filterregeln ob er eine Dateneinheit, ein IP oder TCP/UDP Packet, passieren lässt. Er kann den Paketfluss nach einigen Kriterien filtern wie zb: Netzwerkinterface das diese Nachricht empfangen hat Sender IP-Adresse IP Adresse des Empfängers Nachrichtentyp: TCP, UDP, ICMP, etc. Ursprungsport der Nachricht Zielport Ein Packetfilter muss eine Filtertabelle mit zahlreichen Filterregeln verwalten, die jeweils verbieten oder erlauben eine Dateneinheit mit oben genannten Eigenschaften durchzulassen. Entsprechend gibt es bei der Auswertung/Entscheidungsfindung zwei Vorgehensweisen [Ellermann02]: 6

8 Deny-Filter: Alles was nicht ausdrücklich verboten ist, ist erlaubt. Pakete, die keiner Filterregel entsprechen werden durchgelassen. Es werden also nur Deny-Regeln erstellt, eben für bestimmte Dienste (deamons), die feste Ports verwenden aber von außen nicht erreichbar sein sollen. Dadurch kann aber die Anzahl der Filterregeln sehr groß werden. Alle Pakete müssen, bevor sie die Packetfilter passieren dürfen, erst mit allen Filterregeln verglichen werden. Nicht zulässige Pakete müssen nur bis zu der Regel verglichen werden, die sie herausfiltert. Zu bedenken ist, daß fast alle Pakete, die vom Router übertragen werden sollen, zulässige Benutzeraktivität darstellen. Daher ist es unökonomisch, gerade diese mit den höchsten Performanzeinbußen zu bestrafen. Gefährdete Dienste, die dynamische Ports verwenden, sind kritisch, denn man kann nicht alle Ports blocken aber sollte auch diesen Dienst nicht beliebig erreichbar lassen. Diese Probleme werden mit Pass-Filtern umgangen. Pass-Filter: Alles was nicht ausdrücklich erlaubt ist, ist verboten. Es werden nur Pass-Filterregeln erstellt, z.b. für Dienste die von außen erreichbar sein dürfen. Pakete, die keiner Filterregel entsprechen werden fallen gelassen. Nur für solche, die nicht erlaubt sind, müssen alle Filterregeln geprüft werden. Sinnvollerweise werden die Regeln nach der Häufigkeit der Pakete sortiert. Die erste angegebene Regel sollte dabei auf die meisten Pakete zutreffen, damit für diese nur eine Regel überprüft werden muss. Vor- und Nachteile: Packetfilter sind wegen ihres einfachen Aufbaus und ihrer einfachen Vorgehensweise schnell und verringern die Performanz eines Internetzugangs nur geringfügig, wenn das interne Netz (im Vergleich zu Ethernet) nur schmalbandig am Internet angebunden ist. Packetfilter sind einfach zu konfigurieren, wenn entschieden ist welche Dienste erreichbar sein sollen, wird der Regelsatz erstellt. Ein Packetfilter könnte praktischerweise einen wahrscheinlich vorhandenen Router erweitern, dann wäre nicht einmal die Hardware nötig. Ein User wird einen solchen Packetfilter nicht bemerken, außer er macht etwas anderes als vorgesehen, also erlaubt ist. Bei sehr langen Filterlisten kann es allerdings zu Performanzproblemen kommen. Des weiteren sind die Filterregeln statisch, falls ein Dienst hinzugefügt, entfernt oder neue Clientsoftware zum Einsatz kommen soll müssen die Regeln geändert werden. Ein Packetfilter ist zustandslos kennt keine Verbindungen und kann auch nicht absichern ob über einen bestimmten Port auch wirklich die Kommunikation mit dem entsprechenden Deamon läuft. Somit lassen sich Packetfilter mit dem Tunneln von Daten über erlaubte Ports einfach umgehen. 3.3 Dynamischer Packet Filter oder Stateful Filter Diese Art von Packetfilter verwaltet zusätzlich eine Verbindungstabelle. Jede eingegangene Verbindung wird ein Eintrag in dieser Tabelle gemacht. Bei TCP läuft der Verbindungsaufbau über 3-Way Handshake, der Eintrag in der Tabelle bleibt also so lange bestehen bis der Verbindungsabbau erfolgt ist. Bei UDP gelten alle Packets mit selben Senderdaten (IP, Port) als Verbindung, da es keinen expliziten Verbindungsabbau und -aufbau gibt, wird der entsprechende Eintrag nach einem Timeout gelöscht. Für jedes weitere Packet sucht der Filter die entsprechende Verbindung; falls ein Eintrag existiert wird das Packet durchgelassen, ohne dass darauf die normalen Filterregeln angewendet wurden. Ein Packet, das nicht zu einer Verbindung gehört wird normal gefiltert, falls es passieren darf, wird ein neuer Eintrag in die Verbindungstabelle geschrieben, im anderen Fall wird es normal weggeworfen. Vor- und Nachteile: Es wird Mehraufwand betrieben um die Verbindungstabelle zu verwalten, die Filterung wird aber beschleunigt, da für bereits bewilligte Verbindungen keine Filterregeln mehr angewendet werden. Der Packetfilter hat einen besseren Überblick und kann lesbarere Logdateien schreiben. 7

9 Allerdings kommt es durch die Verbindungstabelle zu neuen Schwachstellen, die ausgenutzt werden können. Ein Angreiffer kann zum Bespiel die Firewall mit ACK TCP Paketen sehr verlangsamen oder ganz lahm legen. Für jedes ACK muss in der Tabelle nach der entsprechenden Verbindung gesucht werden, da es aber keine gibt -es wurde vorher kein SYN gesendet- werden jedes mal alles Regeln durchlaufen. Bei großer Anzahl von ACK Paketen, deshalb heißt der Angriff auch ACK-flooding, wird die Firewall und damit der Zugang zum Netz überlastet (Denial of Service). 3.4 Proxy oder auch Circuit-Relay Ein Proxy oder ein Relay sind Vermittler im Datenverkehr (Proxy z.dt. Vermittler) zwischen Intranet und Internet. Die Arbeitsplatzrechner kennen den Server mit Proxyfunktionalität als einzigen Server im Internet. Alle Anfragen von Intranetrechnern macht der Proxy stellvertretend für diese, von außen ist also nur der Proxy sichtbar oder ansprechbar. Nach diesem Prinzip sind keine Direktverbindungen vom LAN ins Internet und umgekehrt möglich. Wird der Proxy als Dual Homed Gateway realisiert, unterstützt das die Trennung der beiden Netze, allerdings hängt dann die ganze Netzlast und vor allem die ganze Sicherheit an diesem Relay. Grundsätzlich besteht ein Proxy immer aus 2 Komponenten: dem Proxyserver und dem Proxyclient. Nach außen hin ist das nur erkennbar, weil der Proxy sowohl als Server als auch als normaler Client handeln kann. Die Komponente Proxyserver fungiert als Server für die Rechner des zu schützenden Netzes, die Komponente Proxyclient erhält die zwischengespeicherten Anfragen und reicht diese stellvertretend an Server im Internet weiter. Für die Realisierung gibt es 2 Möglichkeiten: Spezieller Proxy: Es wird für jede Applikation, sei es HTTP, FTP, telnet oder SSH, ein eigener Proxy programmiert, der die speziellen Anfragen auf Ebene 7 interpretieren kann. Für die Anwendung sieht der Proxy dann aus wie der Server des entsprechenden Dienstes. Die Server im äußeren Netz sehen den Proxy als Client, der eine spezielle Anfrage macht. Abbildung 5: Der Aufbau eines Proxys Bei Mail und Netnews, die keine Interaktion erfordern und nach dem SStore and ForwardPrinzip funktionieren, ist dies einfach: die entsprechenden Server werden auf dem Firewall installiert. Der Firewall dient dann als Mail- und Netnews- Server.[Ellermann02] Allgemein benötigen Applikationen bei dienstspeziefischen Proxies keine Änderung ihrer Funktionalität, was auch selten möglich ist. 8

10 Generischer Proxy (SOCKSv5): Socks ist im Prinzip ein Protokoll, dass keiner genauen Layer im OSI-Modell zugeordnet ist. Es kapselt, meistens Pakete der Transportlayer, in einen eigenen Header und ermöglicht so einige zusätzliche Funktionen: Es können alle TCP und UDP basierten Dienste über diesen Proxy genutzt werden Userauthentifizierung Verschlüsselung Socks ist für Forschungszwecke als Framework benutzbar und weiterentwicklungsfähig. Allerdings muss eine Applikation das SOCKS Protokoll beherrschen um einen Proxy mit voller Funktionalität nutzen zu können. Falls die nicht der Fall ist, entfällt die Kapselung und damit Verschlüsselung. Bei einer grossen Anzahl von Usern kann Caching von Inhalten sehr effektiv sein, zb Object Caching bei einem HTTP-Proxy. Mehrfache Anfragen nach der gleichen Internetseite können direkt aus dem Cache beantwortet werden ohne erneut Daten zu übertragen. Allerdings ist ein Proxy aufwändiger als Packetfilter und benötigt mehr Rechenleistung und Speicher. 3.5 Application Gateway/Application Proxy Packetfilter und SOCKS-Proxy haben den Nachteil, dass sie nicht wissen was in den Paketen steht, die sie filtern. Application Gateways analysieren die Kommunikation bis zur Applikaitonsebene und können so aus diesem Kontext heraus entscheiden. Ein Application Gateway ist ein umfangreiches auf Proxy-Technik basierendes System. Ein Gateway spielt also wieder die Vermittlerrolle in der Kommunikation. Innerhalb des Proxy wird der Netzverkehr analysiert. Die Kommunikation zwischen den beiden Komponenten Proxyserver und Proxyclient findet auf Applikationsebene statt und wird von der erweiterten Filtern überwacht [Cisco02]. Da ein ein solcher Filter auf Applikationsebene operiert, weiss er wesentlich mehr. Hier wird eine Verbindungstabelle verwaltet, die wesentlich komplexer ist als die des Stateful Filter, da mehr Daten zur Verfügung stehen beziehungsweise verarbeitet werden müssen. Es werden nur gültige Anfragen und Antworten weitergeleitet sowie Verbindungen zugelassen zb nur Datenverkehr auf abgesprochenen Ports. (siehe passive FTP [Ribak01]) Abbildung 6: Der Aufbau eines Application Gateway 9

11 Es kann also nach den folgenden Kriterien gefiltert werden: Eigenschaften, die schon ein Packetfilter kennt ausschließen von bestimmten Protokollen und dadurch Applikationen, die diese benutzen Protokollinterne Daten. z.b. HTTP: URLs (URL Filtering), FTP: Folgeverbindungen auf abgesprochenen Ports Usern, wenn diese authentifiziert sind z.b. bei Socks Vor- und Nachteile: Application Gateways ermöglichen die detaillierte Überwachung von Kommunikationsbeziehungen (Audit). Aus diesem Grund eignen sich Application Gateways sehr gut mit einem Intrusion Detection System (IDS) kombiniert zu werden, dies wird in der Praxis auch sehr häufig realisiert. Anwendungen auf den Clients bedürfen bei speziellen Proxies keiner Anpassung, sogar dynamische Portvergabe ist möglich. Beim generischen Proxy ist es allerdings erforderlich, dass der Client das entsprechende SOCKS-Protokoll unterstützt, dafür bietet es weitere Möglichkeiten wie Authentifizierung und Verschlüsselung. Dynamische Ports sind auch hier möglich. Der Verwaltungstechnische Aufwand steigt allerdings aufgrund des hohen Abstraktionsgrades stark an. Die Verwaltung einer Verbindungstabelle wird aufwändiger und komplexer je mehr Applikationen unterstützt werden. Es entsteht ein hoher Bedarf an Rechenleistung, genaue, kontextabhängige Filterung ist zeitaufwändig und die Vermittlung dadurch langsamer. Application Gateways sind durch ihre hohe Komplexität evtl. störanfälliger. 3.6 Vergleich der Techniken Die gegenläufigen Ziele Qualität der Sicherung und betriebener Aufwand, sind nicht gleichzeitig beliebig gut zu erfüllen. Wieviel Schutz ist nötig, wieviel ist sinnvoll? Der Packetfilter ist die schnellste und preiswerteste Alternative -es gibt zahlreiche Open- Source Lösungen- schützt aber bei weitem am wenigsten. Wegen seines einfachen Aufbaus benötigt ein PacktFilter wenig Rechneleistung und kann z.b. auf vorhandener Hardware wie einem Router installiert werden. Das Konfigurieren ist einfach, allerdings erfordern neue Anwendungen Änderungen in den Filterregeln. Verbesserung Stateful Filter: Es wird Mehraufwand betrieben um mit einer Verbindungstabelle weiteren (erlaubten) Verkehr schneller filtern zu können. Immer noch geringer aber besserer Schutz als rein PacketFilter. Ein Statful Filter erzeugt aber neue Gefahren: ACK Flood. Ein Proxy (zu dt. Vermittler) benötigt dagegen mehr Rechenleistung und Speicher. Die Proxytechnik hat aber den großen Vorteil, dass das interne Netz komplett abgeschottet ist und keine direkten Verbindungen möglich sind. Keiner der Rechner im LAN ist nach außen hin sichtbar. Allerdings muss für diese Technik entweder die Software angepasst oder ein spezielles Proxy-Programm entwickelt werden. Ein Application Gateway betreibt einen noch höheren Aufwand bei der Kontrolle des Netzverkehrs, und erreicht dabei mehr Sicherheit als die anderen Techniken. Es kann größtmögliche Transparenz bieten oder auch sehr restriktiv handeln, in dem es User zur Athentifizierung zwingt. Der erhöhte Aufwand bei der Filterung äussert sich durch größeren Bedarf an Rechenleistung bzw. Infrastruktur. Ein Applicationgateway erfordert hohen Konfigurationsaufwand kann dann aber für nahezu beliebige Applikationen genutzt werden. 10

12 4 Angriffe Dieses Kapitel zeigt einige, teilweise bereits veraltete Angriffe auf Netze, Arbeitsplatzrechner und Firewalls auf. 4.1 Denial of Service Ping of Death: (1997) Ein übergroßes ICMP Packet (Echo Reply oder landläufig auch Ping ) wird an das Opfer geschickt, mit dem Ziel bestimmte Applikationen und/oder das Betriebssystem zu verlangsamen oder sogar zum Absturz zu bringen. Ein Packet mit einer Größe von über kbyte kann nur mit Hilfe von Packetsegmenting erzeugt werden. Prinzipiell ist solches Packet ungültig und sollte verworfen werden. Allerdings haben einige Programme bzw. Betriebssysteme fehlerhafte Implementierungen und deren TCP/IP Stack lässt sich mit solch einem Angriff zum Overflow bringen. Einige ältere Betriebssysteme wie Windows 95 und WinNT, sowie Solaris 2.5 können so zum Absturz gebracht werden. SYN-Flooding: Der Zielrechner (HTTP, FTP-Server oder ähnliches) wird mit zahlreichen Verbindungsanfragen bombardiert, die eine Zeit lang gespeichert werden müssen. Bei entsprechend großer Menge von Anfragen oder fehlendem Timeout verbrauchen die halboffenen Verbindungen zu viel Speicher, der Server wird instabil und kommt in DoS-Zustand. Abhilfe: Timeout, authentification Header ACK-Flood bei Stateful Filter: ähnlich wie SYN Flood; die Firewall muss für jedes ACK in der Verbindungstabelle nachschauen, und kann so bei vielen Nachrichten in DoS Zustand kommen. Distributed DoS, Smurfing: Eine Firewall kann vor DistributetDoS nicht schützen. Ziel des Angriffs ist unter anderem die komplette zur Verfügung stehende Bandbreite eines Anschlusses mit Packeten zuzustopfen. Selbst wenn eine Firewall mit einer derartigen Flut fertig werden könnte, könnte sie Dateneinheiten erst verwerfen, wenn diese schon übertragen sind. Bei Smurfing wird ein ICMP-echo-request Packet mit einer gefälschten Source-IP- Adresse (die des Opfers) in eine Reihe von Netzen an die Broadcast-IP geschickt (diese ist zb bei einem Netz mit Subnetzmaske : ). Der Angreifer nutzt also Router als Verstärker oder Multiplikator der Nachrichtenmenge. Alle Angesprochenen Rechner, also alle aller Subnetze, und das sind in der Regel sehr viele, reagieren darauf mit einem ICMP-echo-reply und schicken diese Nachricht an die Source-IP also das Opfer. Dieses wird regelrecht überflutet. Durch blocken der Broadcast IP-Adresse und filtern von außen kommender ICMP Pakete, die als Sourceadresse eine des zu schützenden (internen) Netzes haben, kann zumindest Smurfing, das das eigene Netz ausnutzt, gestoppt werden. Komplett verhindern ließe sich dieser Angriff nur, wenn alle Router zu Subnetzen ICMP Broadcasting blocken. 4.2 Angriffe auf Firewalls Beziehungsweise Angriffe, die eine Firewall umgehen sollen. Session Hijacking: Session Hijacking ist ein schwieriger Angriff der darauf abzielt, eine bestehende Datenverbindung zu übernehmen. Damit unterläuft der Angreifer Sicherungsmechanismen z.b. Stateful Filter, der ja Packets nur bei Verbindungsaufbau kontrolliert. Spoofing/Redirectangriffe Normalerweise dienen ICMP-Redirect Messages dazu ungünstiges Routing zu vermeiden. (zb stellt ein Router fest, dass er ein Packet aus 11

13 einem Subnetz bekommt, dies aber laut seinem Routingtable wieder über einen weiteren Begrenzungsrouter hineinschickt, kann er an den Router, von dem er das Packet erhielt eine redirect Nachricht mit der IP-Adresse des zweiten Begrenzungsrouters senden. Wenn dieser redirecting zur Verfügung stellt, schreibt er seinen Routingtable um und somit wird unnötiger Traffic Verhindert.) Leider kann dies ein Angreifer auch missbrauchen, den Datenstrom über seinen Rechner umleiten und mittels eines Sniffers Passwörter oder ähnliches ausspionieren. Lösung: Ein GatewayFirewall sollte keine Packets von außen ins Intranet lassen, die eine SourceAdresse aus dem inneren Netz haben. Ebenso sollten keine Packets von innen durchgelassen werden, die ein äußere Adresse im Header haben. (nicht möglich bei NAT oder Proxytechnik) 4.3 Angriffe auf Applikationen Internet Information Server: IIS ist anfällig für Buffer Overflow bei einer speziellen Anfrage auf Port 80. Ein anderer Webserver würde diese Anfrage als ungültig verwerfen. Der Virus Code Red konnte sich so ohne Mails sehr effektiv verbreiten. Inetdeamon (inetd): Indem man inetd ein UDP Packet schickt, das seine IP Adresse als Source und Destination hat, kommt er in DoS-Zustand. Er beantwortet die ankommende Anfrage, da aber die Source seine eigene IP enthält schickt er den Reply wieder an sich selbst. Der Deamon ist dann nur noch damit beschäftigt sich selbst zu antworten und legt das System lahm. Apache: Ein Bug im Webserver ermöglicht es eine shell mit root-rechten zu öffnen oder das System zu überlasten indem zahlreiche Unterprozesse erzeugt werden. SQL: Der Wurm SQL-Slammer nutzt eine Sicherheitslücke im MS SQL-Server 2000 um sich im System einzuschleichen. Er verbraucht dann die gesamte Bandbreite des Internetzugangs um sich weiterzuverbreiten. Slammer stellt eine Anfrage auf Port 1434, dies kann durch eine einfache Regel des Packetfilters vereitelt werden. Analysten schätzen den angerichteten Schaden auf über 1 Milliarde US$. 4.4 Mails mit Virus- oder Backdoorsoftware Die Sicherheitslücke ist hier der User. Abhilfe: Mailfilter oder Virenscanner. Eine Application Level Firewall kann nicht auch noch den Inhalt von Mails überprüfen, also ist dies nur praktikabel mit einem separaten Mailserver. Verbreitung von Viren durch Fehler in Anwendungen: z.b.: Code Red, der einen Bug im IIS von MS nutzte. Code Red stellt eine Anfrage auf Port80 (HTTP) des Zielrechners, dort wird wegen des Bugs ein Buffer Overflow provoziert, und der Wurm kann sich von dort weiterverbreiten. Andere HTTP-Server würden eine solche Anfrage als ungültig fallen lassen. 5 Topologien, Einsatzszenarien Firewalls kommen in verschiedensten Arten von Netzen zum Einsatz. Der folgende Abschnitt soll einen kurzen Überblick in einige Einsatzszenarien geben. Personal Firewall: Eine Personal Firewall ist eine Softwarefirewall, die auf einem Einzelplatzrechner installiert wird. Die Techniken reichen von einfachen Packetfiltern über Stateful Filter bis hin zu Firewalls, die die Zugehörigkeit von Packten zu Applikationen erfassen und IDS integriert haben. Die Schwierigkeiten bei diesen Firewalls bestehen darin, dass sie einerseits für einen Anfänger leicht zu benutzen sein sollen, ihm gleichzeitig dabei eine möglichst hohe Sicherheit geben und andererseits einem Profi ausreichend Möglichkeiten für eine präzise Konfiguration bieten sollen. 12

14 Gateway mit Firewall: Gateways können neben Firewalldiensten auch einige zusätzliche Aufgaben erfüllen, die für einen Privatanwender sehr effizient/praktisch sind. Netwok Address Translation (NAT) oder wie es die Linuxgemeinde nennt: IP Masquerading. Ein Gatewayrechner (meistens Dual Homed) ist Online, an diesen können mehrere Clients im LAN angeschlossen werden. Wenn Anfragen ins Internet geschickt werden sollen wird im Gateway gespeichert welcher Rechner die Verbindung aufbauen will, er ersetzt die LAN-IP Adresse des anfragenden durch seine eigene und schickt die neue Anfrage weiter. Daher stammt auch der Name Network Adress Translation oder IP Masquerading, weil die LAN IPs maskiert also nicht sichtbar nach außen sind. Der Gateway ist ähnlich wie bei Proxytechnik ein Vermittler im Datenverkehr. Bei einer Antwort schickt der Gateway anhand der gespeicherten Anfragen die Daten zurück zum entsprechenden Client ins LAN. Diese Konstellation bietet sogar ein wenig Sicherheit, da nach außen hin nur der Router sichtbar ist und nur schwer erkennbar, ob ich dahinter mehrere Clients befinden (vergleiche Proxy). Problematisch ist diese Technik nur bei einigen Sonderfällen: Falls eine Verbindungsanfrage von außen kommt kann diese nicht weitergeleitet werden, denn es gibt keinen Eintrag in der Anfragentabelle, der Gateway weiß nicht an wen die Anfrage gerichtet ist, denn sie enthält seine eigene IP. In diesem Fall bedient man sich des IP-forwarding. Es handelt sich um feste Regeln, die Verbindungen zu bestimmten Ports des Gateways eine Client-IP im LAN zuweisen. Dieser Port ist dann bei Anfragen von außen nur für diesen Client benutzbar und kann für keine Datenkommunikation mit anderen Rechnern in diesem LAN dienen, denn die entsprechende Anfrage wird ja sofort zum festgelegten Client weitergeleitet. Zu Komplikationen kann es hier wieder kommen, wenn mehrere Clients im LAN auf dem gleichen Port Verbindungsanfragen entgegen nehmen wollen (z.b. HTTPS Port:443 Webinterface OnlineBank). IP-Forwarding hebt auch den Vorteil der Masquierung zumindest teilweise auf, da ja über/auf diesem Port ein anderer Rechner hinter dem Gateway erreichbar ist. Mailserver mit Spamschutz und Virenfilter Virtual Private Network (VPN) z.b. für sicheren Datenaustausch URL Filtering: Falls Internetadressen gesperrt oder nur bestimmte zugelassen werden sollen. Große Netze: Große Netze zb Firmennetze sind wesentlich komplexer als ein häusliches LAN. Meistens besteht ein größeres Intranet selbst wieder aus einigen Subnetzen, die verschiedene Sicherheitsanforderungen haben. So werden Teile dieses Netzes, z.b. eine DMZ (Demilitarisierte Zone) gar nicht oder nur schwach (Packetfilter) geschützt, sondern befinden sich direkt hinter dem Begrenzungsrouter zum Internet. Ein Teil eines Firmennetzes, an dem alle Arbeitsplatzrechner und z.b. Fileserver angeschlossen sind bedarf mehr Sicherung, da hier firmeninterne Daten verarbeitet werden. So sind oft mehrere Firewalls entsprechend der Performanz und Sicherheitsanforderungen vorhanden. Bastion: Eine Bastion NetzüberwachungsFirewall. Sie ist nicht als Dual Homed Gateway realisiert, und besteht aus Firewall und Intrusion Detection System (IDS). Andere Aufgaben: Einige Projekte betreiben mehrere Application Gateways und nutzen diese für Load Balancing. 13

15 6 Zusammenfassung Für den Schutz von Daten auf einzelnen Rechnern, in LANs oder innerhalb großer Firmennetzwerke sind die vielfältigen Arten von Firewalls gut geeignet. Sie schließen unnötige Lücken und versuchen, spezielle Angriffe auf Applikationen und Ausnutzung von Bugs zu unterbinden. Allerdings kann der Schutz im Regelfall nur für Standards und bekannte Angriffstechniken gewährleistet sein. Gezielte Angriffe auf eine individuelle und untypische Sicherheitslücke oder auf Bugs in neu erschienener Software können nicht in jedem Fall verereitelt werden. Darüber hinaus besteht auch immer ein Risikofaktor, der vom User ausgeht. Denn auch eine Firewall kann nicht vor fahrlässigem Umgang mit Daten oder unsachgemäßer Nutzung durch den Anwender schützen. Eine 100 prozentige Sicherheit kann es somit nicht geben. Letztlich findet immer eine Kommunikation zwischen dem Internet und den Rechnern statt und neue Sicherheitslücken tauchen auf. Aus diesem Grund sind Hochsicherheitsnetze gar nicht erst an das Internet angebunden. Welche Firewall nun für welches Netz bzw. welchen User am besten geeignet ist, richtet sich nach den jeweiligen Bedürfnissen. Für eine Privatperson oder eine kleine Firma mit wenig Sicherheitsanspruch lohnt sich kein ausgeklügeltes Application Gateway. Hier sind Software-Firewalls auf PaketFilter-Basis ausreichend, da vor allem geringe Kosten und ein geringer Aufwand anfallen. Große Firmen nehmen hohe Kosten und den Aufwand, einen Administrator zur Konfiguration und Wartung der Firewall zu beschäftigen, eher in Kauf, denn der Verlust von wichtigen Daten oder der Ausfall der Systeme wäre in diesem Fall teurer. Kombinationen der verschiedenen Techniken ermöglichen spezielle Lösungen für die individuellen Ansprüche einer Firma und bieten dabei einen bestmöglichen Schutz. 14

16 Abbildungsverzeichnis 1 Das OSI Schichtenmodell zur Netzwerkkommunikation mit für Firewalls wichtigen Protokollen Der TCP Verbindungsaufbau mit 3 Way Handshake Der FTP Verbindungsaufbau im active Mode Der FTP Verbindungsaufbau im passive Mode Der Aufbau eines Proxys Der Aufbau eines Application Gateway

17 Literatur [Ellermann02] Uwe Ellermann, Firewalls - Klassifikation und Bewertung DFN-CERT; Zentrum für sichere Netzdienste GmbH, 2002 [Romanofski01] Ernest Romanofski, A Comparison of Packet Filtering Vs Application Level Firewall Technology level.php The SANS Institute, 28.März 2001 [Cisco02] Cisco Systems, Inc., Evolution of the Firewall Industry Cisco Systems, Inc., 28.September 2002 [Fung99] King Pong Fung, SOCKS5-based Firewall Support For UDP based Application csrchang/msc/billy.pdf The Hong Kong Polytechnic University, Juni 1999 [Ribak01] Jay Ribak, Active FTP vs. Passive FTP, a Definitive Explanation [Leech96] Marcus Leech, SOCKS Protocol Version 5 Network Working Group,