Auswahl von Firewall-Produkten

Transkript

1 THEMENSCHWERPUNKT SICHERHEIT IN NETZEN Auswahl von Firewall-Produkten Mit Sicherheitsprodukten zu geschützten Firmennetzen Berthold Wesseler Können Nutzer von Firewall-Produkten ruhig schlafen? Zumindest ruhiger als Ignoranten der elektronischen Brandmauern. Doch ob eine Firewall die Erwartungen an die Datensicherung erfüllt, hängt neben den Produkteigenschaften auch vom Einsatzszenario ab. In einer Marktübersicht werden Herstellerangaben zusammengefaßt und Wege zu den Anbietern geebnet. Gesamtergebnis einer Evaluierung von Firewall- Produkten marktführender Hersteller (Erfüllungsgrad der Anforderungen in Prozent) (Quelle: META Group, DETECON, DeTeSystem, DTAG) Berthold Wesseler ist freier Journalist in Brühl Nach dem Kauf von Firewalls darf sich niemand in falscher Sicherheit wiegen. Denn damit beginnt erst die eigentliche Arbeit beim Aufbau elektronischer Schutzwälle um das Unternehmensnetz, erklärt Sicherheitsexperte Detlef Weidenhammer. Dabei geht es darum, die Firewall in das Netz der Mail-, Groupware- und Web- Server sowie der Applikationssysteme zu integrieren und die notwendigen Security Policies zu implementieren, die dann auch ständig weiter gepflegt und angepaßt werden müssen. Politikerschelte Das kann schnell zur Sisyphusarbeit werden, wenn das Fundament fehlt, auf dem die Brandmauer gezogen werden sollte. Also zahlt es sich aus, auch schon vor dem Kauf der Firewall Arbeit zu investieren, insbesondere in den Aufbau einer unternehmensweit gültigen und auch praktizierten Sicherheitspolitik. Ihr Fehlen ist nach den im zweijährigen Turnus durchgeführten Sicherheitsstudien der Zeitschrift KES aber immer noch das größte Hemmnis bei der Verbesserung der IT-Sicherheit. Neben dem sich darin manifestierenden Mangel an Sicherheitsbewußtsein fehlt es nach der Erfahrung von Insidern wie Dr. Franz-Joachim Kauffels aber häufig auch an kompetenten Mitarbeitern und am Geld, um die seiner Meinung nach unverzichtbaren Vorarbeiten durchzuführen: Eine Risikoanalyse, die daraus abgeleitete Definition von Sicherungsbereichen (z.b. Vertrieb, Entwicklung, FiBu, Personal) und der für sie erforderlichen Sicherheitsstufen und schließlich eine Feinabstimmung der Sicherheitsprofile auf alle Ressourcen und Personen. In diese Sicherheitsstrategie kann dann die Kaufentscheidung der Firewall eingebettet werden, denn erst daraus läßt sich der Anforderungskatalog der Produkteigenschaften ableiten. Auch die Berater der META Group sind der Ansicht, daß der Ausgangspunkt aller Implementierungsprojekte zur Erhöhung der Unternehmenssicherheit die Analyse des Ist-Zustandes und die Aufstellung von verbindlichen Regeln auf verschiedenen Ebenen sein muß. Wichtig sei es, die Komplexität zu reduzieren, d.h. das Unternehmen als Ganzes in überschaubare Einheiten sogenannte Domänen aufzuteilen. Ob dies auf geographischer, technologischer oder organisatorischer Ebene gemacht wird, bleibt letztlich zweitrangig. Wichtig ist, daß es pro Domäne einen Verantwortlichen gibt, der für Enterprise Security verantwortlich ist und die Integration der Sicherheitsmechanismen in die Geschäftsprozesse und die IuK-Systeme seiner Domäne vorantreibt. Klassifizierungshilfen Bei der Klassifizierung der Sicherheitseinrichtungen und beim Auffinden re- Das Thema in Kürze Bevor es an die Hardware-Auswahl geht, sollten in einer Sicherheitskonzeption Prioritäten markiert und Grundanforderungen für den Einsatz von Firewall-Systemen beachtet werden. Ist ein Anforderungskatalog erstellt, muß sich der Anwender entscheiden, auf welcher Schicht des ISO-7-Schichtenmodells ein Firewall-System eingesetzt werden soll. Neben den Produkteigenschaften sollten Fragen des Supports in den Vergleich einfließen. 22 NET 10/99

2 levanter Hersteller können die einschlägigen Bunten Bücher des US- Verteidigungsministeriums (z.b. das Orange Book) einen Anhaltspunkt liefern. In Deutschland hat das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI, das sogenannte IT-Grundschutzhandbuch herausgegeben und auf der Homepage auch eine Firewallstudie publiziert, die allerdings bereits von 1997 datiert. Derartige Werke sind für Fachleute wie Kauffels umstritten, weil ihnen die Betrachtung dynamischer Komponenten völlig fehlt und Sicherheit im Grundanforderungen an Firewall-Systeme Jeglicher Datenverkehr von innen nach außen (und umgekehrt) läuft über die Firewall. Nur autorisierter Verkehr darf die Firewall passieren. Welcher Verkehr autorisiert ist, wird in einer Sicherheitspolitik definiert. Die Firewall selbst ist gegen Angriffe weitestgehend resistent. Daher darf nach Möglichkeit nur fehlerfreie Software eingesetzt werden. Da jedes Programm aber potentiell Sicherheitslücken enthalten kann, dürfen nur die unbedingt notwendigen Programme auf der Firewall installiert werden. Dies bedeutet insbesondere, daß auf der Firewall weder graphische Oberflächen zur Verfügung stehen, noch daß gewöhnliche Benutzer Login-Möglichkeiten dort haben. Alles was nicht ausdrücklich erlaubt ist, wird von der Firewall abgewiesen. Die Firewall darf nur über einen vertrauenswürdigen Pfad administrierbar sein. Quelle: BSI-Studie Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall wesentlichen als die Sicherheit der ruhenden Daten betrachtet wird. Das läßt aber gerade die Netze und die darin reisenden Daten außer acht. Solche Kriterienkataloge und Studien können (wie auch unsere Marktübersicht) also letztlich nur Anhaltspunkte für die Planung geben. Anforderungskatalog erstellen Ein aus der Sicherheitsstrategie abgeleiteter, klipp und klar formulierter Anforderungskatalog steht am Anfang des Auswahlprozesses, denn oftmals fängt die Begriffsverwirrung schon beim Produktnamen Firewall an. Damit wird heutzutage eine Vielzahl äußerst unterschiedlicher Produkte benannt. In den Herstellerverzeichnissen der einschlägigen Messen CeBIT, Systems, Exponet und InternetWorld tummeln sich weit über hundert Firmen, die entsprechende Produkte an den Kunden bringen wollen von der israelischen Hightech-Schmiede über das kleine, aber feine Softwarehaus bis zu Weltkonzernen wie Nokia oder IBM. Oft verbirgt sich hinter einer großen Adresse das innovative Produkt eines frisch gestarteten Spezialisten nur in anderer Verpackung. Die Flut der Produkte, die oftmals nur in unterschiedlicher Verpackung oder in unwesentlichen Variationen daherkommen, erschwert die Auswahl erheblich. Da hilft die Definition der beiden Autoren der vom BSI in Auftrag gegebenen Studie Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall, Andreas Bonnard und Christian Wolff vom Fachzentrum Sicherheit der Zentralabteilung Technik der Siemens AG in München. Danach ist eine Firewall eine Schutzmaßnahme, um den Übergang zwischen zwei Rechnernetzen abzusichern. Durch technische und administrative Maßnahmen muß zugleich dafür gesorgt werden, daß jede Kommunikation zwischen den beiden Netzen über die Firewall geführt wird, stellen sie die zentrale Forderung jeder Firewall-Installation auf. Ziel dieser Maßnahme ist es im Standardfall, das interne Netz (normalerweise das Netz des Betreibers, der auch die Firewall installiert) vor Angriffen aus dem externen Netz zu schützen sowie unerwünschten Datenabfluß vom internen in das externe Netz zu verhindern. Bypässe unterbinden Unter hat man Zugriff auf den Firewall Buyer`s Guide von ICSA, einem Unternehmen der Gartner Group, das nach aufwendigen Prüfungen im eigenen Labor Produktzertifikate vergibt. Gibt es Schleichwege in die geschützten Bereiche, ist die Firewall nicht mehr als eine Augenwischerei. Extern steht dabei im allgemeinen für die Kommunikationszugänge in den WAN-Bereich. Extern können bei Intranets auch die weniger geschützten Bereiche innerhalb eines internen Netzes sein, beispielsweise die häufig von Außendienstmitarbeitern und Kunden besuchte Vertriebsabteilung, die sich schlecht schützen läßt. Auch ein Testnetz kann durch eine Firewall vom inneren Netz abgeschirmt werden. Der Schutz des inneren Netzes wird erreicht, indem unsichere Dienste durch die Firewall (sowohl von außen nach innen als auch umgekehrt, falls gewünscht) oder aber durch zusätzliche Maßnahmen abgesichert werden (z.b. Verschlüsselung). Zugriffskontrolle und Auditing sorgen zusätzlich dafür, daß das Prinzip der minimalen Rechte durchgesetzt wird und Angriffe durch entsprechende Protokollierung erkannt werden. NET 10/99 23

3 Sicherheit auf verschiedenen Ebenen Selbst dort, wo Check Point nicht draufsteht, ist häufig die Firewall-1 des marktführenden Unternehmens drin (Foto: Check Point) Die Firewall kann dabei auf den unterschiedlichsten Ebenen des ISO-7- Schichtenmodells arbeiten. Als unterste Schicht ist dabei Vermittlungsschicht mit dem IP-Protokoll sinnvoll. Ist der Zugriff von außen auf das Intranet nicht zulässig, kann so mit einfachen Mitteln sehr preiswert ein wirksamer Basisschutz installiert werden, indem einfach aufgrund der bekannten MAC- und IP-Adresse der Zugriff erlaubt oder gesperrt wird. Ähnlich funktioniert das Prinzip auf der Schicht 4 mit dem TCP-Protokoll, auf Basis der TCP-Portnummer. Man spricht in diesen Fällen von Paketfiltern. Anfällig werden diese Paketfilter immer dann, wenn auch nur einigen wenigen Benutzeradressen der Zugriff aus dem externen auf das interne Netz erlaubt wird. Das führt z.b. zu den berüchtigten Spoofing- Angriffen, bei denen der Firewall eine autorisierte Quelladresse vorgespiegelt wird. Da heute aber der Zugriff auf das Internet gang und gäbe ist, sind Paketfilter, die üblicherweise bereits standardmäßig auf Routern oder ähnlichen Netzkomponenten installiert werden, vor allem zur Aufteilung des internen Netzes bzw. zur Schaffung virtueller Netze nützlich. Dabei ist der Unterschied zwischen simplen statischen Paketfiltern (die nur den Verkehr zwischen fest vorgegebenen Adreßpaaren kontrollieren) und aufwendigeren dynamischen Filtern zu beachten, die den Socket gesendeter Datenpakete speichern und auf dieser Basis auch die sogenannten UDP- Dienste wie NFS oder RPC kontrollieren können, die keinen festen TCP- Port verwenden. Strenger als der Paketfilter arbeitet das Circuit-Relay, das die Relation zwischen TCP/IP-Endeinrichtungen als Basis der Schutzdefinition verwendet. Dazu wird festgelegt, wer mit wem, wie, wann und mit welchen Parametern kommunizieren darf. Es eignet sich hervorragend für Netze, in denen Benutzer sich ohne weitere Einschränkungen im Internet bewegen dürfen, jedoch nur bedingt, wenn Benutzer sich aus dem externen Netz in das interne Netze einschalten dürfen. Denn gegen gezielte Angriffe auf Anwendungen, zum Beispiel durch das Erzeugen offener Verbindungen, ist ein Circuit-Relay machtlos. Außerdem kann es ganz erheblich auf die Performance drücken. Dennoch: Für die Definition der Benutzerrechte im Intranet ist es ideal geeignet, da ein unbemerktes Durchbrechen der Abschottung von innen nur mit erheblichem Aufwand möglich und daher eher unwahrscheinlich ist. Die aufwendigste, aber auch sicherste Implementierung einer Firewall bilden die sogenannten Application Gateways, die ihre Kontrollen auf Anwendungsebene durchführen. Aufgrund der daraus resultierenden Leistungseinbuße (längere Antwortzeiten!) scheint es für die interne Organisation zu aufwendig, liefert aber für die Abschottung nach außen ein hohes Maß an Sicherheit und eine Plattform zur Implementierung weiterer Sicherheitsmechanismen, wie zum Beispiel die Verschlüsselung. Der Proxy als Vorkoster Ein Application Gateway sorgt für Sicherheit, indem es für die zu schützende Anwendung einen Proxy genannten vertrauenswürdigen Stellvertreter vorschaltet, mit dem jeder Anwender aus dem externen Netz zunächst verbunden wird. Der Proxy hat keine andere Aufgabe, als die schutzwürdigen Interna (z.b. IP- oder TCP-Adressen und andere Parameter) zu verbergen. Im schlimmsten Fall sollte ein Angreifer den Proxy zerstören können, beraubt sich aber damit der Brücke ins interne Netz. Die neue Generation dieser Gateways kontrolliert nicht nur statisch die eingehenden Anfragen, sondern wertet auch dynamisch die Verhaltensmuster von Sessions und Verbindungen aus. Für den Fall der Fälle kann zusätzlich auch ein Monitor eingesetzt werden, der den Datenverkehr zwischen externem Besucher und Proxy analysiert und bei Auffälligkeiten eingreift. Für solche und ähnliche Aufgaben gibt es mittlerweile eine ganze Reihe sogenannter Intrusion Detection Systeme aber das ist ein anderes Thema. Alle Typen von Firewalls lassen sich auch noch in unterschiedlichster Art und Weise implementieren, wobei je nach Sicherheitsanforderung ein abgestufter Einsatz von Routern, Firewalls und auch Remote Access-Servern in Betracht kommt. Die sicherste aber auch aufwendigste Form der Implementierung ist die als Dual Bastion Host, die dem Umstand Rechnung trägt, daß eine Firewall ja auch aus dem internen Netz heraus angegriffen werden könnte. Dabei wird das Gateway an beiden Anschlüssen, zum internen und zum externen Netz, über Paketfilter geschützt, wobei der gesamte Datenverkehr zwischen beiden Netze alle drei Hürden überwinden muß. Auf gute Noten in der Produkt-Evaluierung der META Group kam auch Axent mit Raptor (Foto: Axent) 24 NET 10/99

4 Allein diese grobe Klassifizierung hilft bei der Produktauswahl noch wenig weiter. Dazu ist die Zahl und Unterschiedlichkeit der Produkte einfach zu groß. Erschwerend kommt hinzu: Marktführende Hersteller in dem Sinne, daß sie auf wirklich große Installationszahlen verweisen könnten, gibt es noch nicht und damit auch keine üblichen Installationsverfahren im Sinne von Kochrezepten, die man übernehmen könnte. Deshalb bleibt eine Firewall auf absehbare Zeit eine höchst firmenspezifische Komponente, deren Auswahl und Einsatz sorgfältig geplant werden muß. Firewall-Fallunterscheidungen Die Rolle der Firewall als Single Point of Failure und auch als potentieller Engpaß steht konträr zur Forderung von Sicherheitsexperten wie Weidenhammer, daß sie für die User möglichst unsichtbar bleibt, abgesehen von etwaigen Kontrollen auf Benutzerebene. Das heißt: Gefordert ist eine Skalierbarkeit der Performance, eventuell sogar durch Lastverteilung in einem Firewall-Verbund, und eine hohe Ausfallsicherheit durch redundante Auslegung und variable Backup-Konzepte. Hier unterscheiden sich die Produkte prinzipiell, die teilweise als Box und teilweise als Software-Paket daherkommen. Stellt sich bei einer Box immer die Frage nach der Erweiterbarkeit und auch nach den Anschlußmöglichkeiten, gilt es bei bei den Software-Paketen auf die Wahl der Serverplattform zu achten. Denn die Firewall ist nur so sicher wie der Server, auf dem sie läuft und gerade Unix- und Windows-NT-Betriebssysteme sind ja für ihre weithin bekannten Sicherheitslücken berüchtigt. Die Wahl einer Standardplattform als Basis erleichtert jedoch später die Ergänzung weiterer Sicherheitspakete auf dem System. Nicht zu unterschätzen sind Probleme, die man sich durch eine umständliche Administration einhandeln kann. Ohne einfache Konfiguration und Kontrolle der Firewall wird die Sicherheit auf Dauer nicht zu gewährleisten sein; auch aus diesem Grunde spielt die Integrationsmöglichkeit in eventuell schon vorhandene System- und Netzmanagement-Suites eine entscheidende Rolle, aus denen beispielsweise Benutzerprofile oder Konfigurationsdaten übernommen werden können und über die eine zentrale Alarmierung erfolgen kann. Die Spreu vom Weizen unter den Firewalls trennt sich schließlich bei der Authentisierung der externen Zugänge sowie bei den übrigen Kernfunktionen Überwachung, Logging und Alarmierung. Und nicht zu vergessen: Nur die vollständige Verdeckung der internen Adressen und sonstigen Informationen über interne Ressourcen sorgt für Sicherheit, also die konsequente Umsetzung wirklich aller internen Adressen. Aufpassen muß man beim Einsatz der häufig mit der Firewall einhergehenden Verschlüsselungssysteme, denn hier fehlen Standards. Zudem erweisen sie sich als leistungsschwach oder proprietär im schlimmsten Fall beides. Es kann also durchaus passieren, daß die Verschlüsselung nur dann funktioniert, wenn ausschließlich Systeme eines Herstellers eingesetzt werden. Mehr als eine Hardware-Frage Angesichts dieser mehr als bunten Vielfalt des Marktes empfiehlt die ME- TA Group in ihrem Firewall Evaluation Report 1999, bei der Herstellerauswahl neben den reinen Produkt- Features auch Fragen des Produkt- Supports, der Verfügbarkeit von Professional Services und des Verbreitungsgrades zu stellen. Dazu kommt noch, daß es insbesondere bei indirekt vertreibenden Herstellern von entscheidender Bedeutung ist, daß bei der Auswahl des entsprechenden Händlers bzw. Systemhauses oder Systemintegrators die gleichen Maßstäbe angelegt werden. Dieser Untersuchungsbericht wurde von der META Group Deutschland in Zusammenarbeit mit der DETECON, der DeTeSystem und der Deutschen Telekom AG erstellt. Der Aufwand für die Evaluierung lag bei zwei Mannjahren, ein Maß für den Detaillierungsgrad dieser Untersuchungen. Alle Ergebnisse wurden anhand von realen Messungen gewonnen, basieren also Blick auf die Bedienoberfläche von Gauntlet (Quelle: Network Associates) nicht auf Herstellerangaben. Die Firewalls wurden anhand von ca. 300 Kriterien in 15 Gruppen bewertet. Entsprechend der Vielzahl der Entscheidungsfaktoren, die selbst diese aufwendige Studie wohl nicht komplett widerspiegelt, können die Ergebnisse des Auswahlprozesses je nach Firma stark unterschiedlich ausfallen, da natürlich auch Faktoren wie Anzahl der Standorte, Anzahl der User usw. Einfluß auf das zu wählende Produkt haben. Diese produktexternen Faktoren scheinen umso wichtiger, als beim Vergleich der Bewertung der fünf Firewall-Anbieter durch die Anwender mit dem Feature-Vergleich der META Group deutliche Unterschiede auffallen. So schneiden Check Point und Axent bei der reinen Produktevaluation am besten ab, aber trotzdem wird die Leistungsfähigkeit der beiden Unternehmen von den Anwendern doch recht unterschiedlich eingeschätzt. Hier zahlt sich die marktführende Stellung von Check Point aus. Im Vergleich dazu wird Cisco im reinen Produktvergleich mit PIX als schlechtester Anbieter bewertet, hingegen bewerten die Anwender die generelle Leistungsfähigkeit von Cisco recht positiv. Im übrigen waren die AltaVista Firewall 98 und Sun Microsystems Sun- Screen EFS in die Studie einbezogen. Andere Quellen zählen neben Check Point, Cisco und Axent die Firmen Network Associates (mit Gauntlet), Secure Computing (mit SideWinder) sowie die Aachener Firma Krypto- Kom neuerdings zu Utimaco gehörig (mit KryptoWall) auch zu den führenden Anbietern in Deutschland. (bac) NET 10/99 25

5 Hersteller 1) Produkt Server-Plattform/ Informationen im Internet Betriebssystem 3COM PathBuilder S500, NETBuilder proprietär AltaVista 2) Firewall 98 NT, Tru64 Unix Ascend Communications 3) Pipeline Router Plus proprietär Axent Raptor Firewall Solaris, NT, HP-Unix Biodata Information Technology BIGfire+ Office, Enterprise, VPN proprietär BorderWare Technologies Firewall Server V6 FreeBSD Bull NetWall AIX Check Point Software Technologies Firewall-1, VPN-1 Solaris, NT, HP-Unix, AIX www3.checkpoint.com Cisco Systems PIX 515, PIX 520, proprietär, IOS IOS Firewall Feature Set Com21 Office Cable Modem proprietär Computer Associates Unicenter TNG Network Security Solaris, NT Options, GuardIT CyberGuard Firewall for NT and UnixWare NT, UnixWare esoft IPAD Proprietär Elron Software Elron Firewall NT GenNet Technology WebGuard Solaris Genua GeNuGate BSD Global Technology GNAT Box proprietär IBM enetwork Firewall, Firewall for AIX NT, AIX firewall ID-Pro SiteConnection Box Linux Internet Devices 4) Ft. Knox proprietär Internet Dynamics Conclave NT Kryptokom 5) KryptoWALL Unix-basierter Application Gateway Lucent Technologies Lucent Managed Firewall Firewall: Lucent INFERNO (proprietär), Management: NT, Solaris Matranet M>Wall 4 NT, Solaris Spark 2.6, Unix BSDI Intel MCI Worldcom Interlock Solaris Advanced Networks Milkyway Networks SecurIT Firewall Sun OS Netguard Guardian NT NetScreen Technologies NetScreen proprietär Network-1 Security Solutions CyberwallPLUS NT Network Associates Gauntlet NT tns/gauntlet.asp Nokia VPN200, IP300, IP400, IP600 IPSO (Unix-Derivat) Norman Firewall for NT NT Nortel Networks BaySecure proprietär Novell Border Manager Netware Secure Computing Sidewinder, SecureZone BSD, proprietär Shiva Corporation InfoCrypt proprietär Signal 9 ConSeal PC-Firewall NT, Windows 95/98 Sonic Systems SonicWALL proprietär Sun Microsystems SunScreen EFS proprietär Technologie Interceptor Firewall Appliance BSDI WatchGuard LiveSecurity System proprietär 1) Neben den eigenen Niederlassungen in Deutschland vertreiben die Hersteller ihre Produkte über Distributoren und Lösungsanbieter. Meist sind die Partnerfirmen über die Internet-Präsenz der Hersteller abrufbar 2) AltaVista, früher zu Compaq gehörig, wurde 8/99 von Axent übernommen 3) jetzt bei Lucent Technologies 4) Unternehmen wurde von Alcatel übernommen 5) Von Utimaco übernommen Anbieterübersicht Firewalls. Alle Angaben beruhen auf Mitteilungen der Hersteller/Anbieter. 26 NET 10/99