Einführung in die Firewall - Technologie

Transkript

1 Einführung in die Firewall - Technologie??1999 Robert A. Kovacs i

2 Inhaltsverzeichnis 1. WAS IST EIN FIREWALL 1 2. PAKETFILTER 3 3. GATEWAYS Circuit Level Gateway Application Level Gateway Bastion Host Plazieren des Bastion Hosts im Netz Innerer Router Äußerer Router 9 4. PROXIES Vorteile von Proxy Diensten Nachteile von Proxy Diensten 13??1999 Robert A. Kovacs ii

3 1. Was ist ein Firewall Im Grunde stellt derfirewalls eine sehr effektive Methode zur Netzwerkabsicherung dar. In einem Gebäude dient eine Brandmauer (Firewall) dazu, das Übergreifen des Feuers von einem Gebäudeteil auf einen anderen zu verhindern. Im Prinzip verfolgt ein Firewall einen ähnlichen Zweck: Er verhindert, daß die Gefahren der Außenwelt auf das interne Netzwerk übergreifen. In der Praxis ähnelt ein Firewall eher einem Burggraben als einer Brandmauer in einem modernen Gebäude. Er hat mehrere Aufgaben: Er gewährt Personen nur an einem streng kontrollierten Punkt Zutritt. Er hält Angreifer davon ab, anderen Schutzvorrichtungen zu nahe zu kommen. Er sorgt dafür, daß man die Burg nur an einem einzigen Punkt verlassen kann. Wie die nachfolgende Abbildung 1 zeigt, wird ein Firewall meist an einer Stelle eingerichtet, an der das interne Netzwerk an die Außenwelt angeschlossen wird.??1999 Robert A. Kovacs 1

4 A U S S E N - W E L T F I R E W A L L I n t e r n e s N e t z w e r k Abbildung 1: Ein Firewall trennt in der Regel das interne Netzwerk von der feindlichen Außenwelt Alle von der Außenwelt eintreffenden oder von dem internen Netzwerk ausgehenden Informationen passieren den Firewall. Dies bietet dem Firewall die Möglichkeit sicherzustellen, daß dieser Datenverkehr zulässig ist. Zulässig bedeutet für den Firewall, daß Aktionen wie , File Transfer, Login auf ferne Rechner sowie alle interaktiven Aktionen zwischen bestimmten Systemen der Sicherheitspolitik des Standortes entsprechen. Hiermit wird ein zentraler Aspekt des gesamten Sicherungssystems angesprochen. Die firmenspezifische Sicherheitspolitik bestimmt wesentlich die physikalische Implementierung sowie die systemtechnische Konfiguration der Firewall Lösung.??1999 Robert A. Kovacs 2

5 2. Paketfilter Paketfilterung ist ein Netzwerk Sicherungsmechanismus, der überprüft, welche Daten an ein Netzwerk und aus einem Netzwerk weitergereicht werden dürfen. Um Informationen in einem Netzwerk weitergeben zu können, müssen sie in kleine Portionen zerlegt und als solche einzeln verschickt werden. In einem IP Netzwerk erfolgt der Datenaustausch zwischen Systemen in Form von Paketen. Da Router als Basiseinheit für die Verbindung von IP Netzwerken zuständig sind, stellen sie eine geeignete Plattform für die Paketfilterung dar. Ein Paketfilter ist die verbreitetste und unkomplizierteste Variante eines Firewalls. Jedes IP Paket enthält Informationen über die Adressen des Ausgangs und Zielrechners und die dienstspezifischen Portadressen. Paketfilter können anhand dieser Informationen entscheiden, ob die Pakete transportiert werden dürfen oder nicht. Übliche Regeln werden z.b. "Erlaube Dateitransport über FTP nur zu Rechner A" oder "Erlaube interaktive Logins über Telnet nur von innen nach außen". Bei komplexeren Regeln wird die Paketfilterung allerdings sehr schnell unübersichtlich und damit schwierig zu erweitern und zu pflegen. Um den Router mit Paketfilterung einzurichten, ist eine genaue Auflistung der zulässigen bzw. gefilterten IP Pakete unumgänglich und bedarf einer Studie der Kommunikationswege sowie der Dienste, die zugelassen bzw. zurückgewiesen werden sollen. Hinsichtlich der Paketfilterung sind einige Grundregeln zu beachten: Regeln sollen möglichst einfach aufzustellen sein Die Paketfilterung ist an sich schon nicht einfach einzurichten und wird durch die Eigenheiten der verschiedenen Protokolle weiter verkompliziert. Daher sollte das Paketfiltersystem durch seine Implementation nicht noch weitere Schwierigkeiten bereiten. Hierunter ist zu verstehen, daß derartige Implementierungen nicht in Frage kommen, die Pakete einfach als unstrukturierte Bitfolgen auffassen, so daß die Regeln anhand von Offset und Status bestimmter Bits in den Paket Headern festzulegen sind.??1999 Robert A. Kovacs 3

6 Regeln sollten zu beliebigen Header oder Meta Informationen aufzustellen sein Regeln müssen zu allen Header Informationen oder Meta Informationen aufgestellt werden können, die zu einem Paket vorhanden sind. Header Informationen sind unter anderem:? IP Quell und IP Zieladresse? IP Optionen? Protokoll, z.b. TCP, UDP oder ICMP? ICMP Nachrichtentyp? Bei TCP Paketen Angaben über den Verbindungsaufbau (ACK Bit) Ähnliche Informationen gibt es auch für andere Protokolle, die gegebenenfalls gefiltert werden sollen. Zu den Meta Informationen eines Pakets gehören alle Informationen über das Paket, die dem Router bekannt sind, aber nicht in den Headern selbst stehen. Regeln sollten in der vorgegebenen Reihenfolge angewandt werden Das Paketfiltersystem sollte die Regeln in der definierten Reihenfolge anwenden. Dabei ist es naheliegend, daß der Router die Regeln in derselben Reihenfolge abarbeitet, in der sie in der Router Konfiguration festgelegt wurden. Leider wählen manche Produkte nicht diesen Weg, sondern ordnen Regeln um oder vermischen sie, um sie effizienter anwenden zu können. Dies verursacht verschiedene Probleme:? Wenn die Regeln umgeordnet werden, wird es schwierig nachzuvollziehen, wie sich der Router bei einem bestimmten Regelsatz verhält.? Es ist äußerst schwer zu testen, ob das Mischen oder Umordnen der Regelsätze irgendwelche Ungereimtheiten oder Fehler aufweist. Somit gibt es aber so gut wie keine Chance herauszufinden, wie das System einen bestimmten Satz von Filtern abarbeitet.? Am Gravierendsten ist, daß durch das Umordnen der Regeln Regelsätze mit anderen Auswirkungen entstehen können.??1999 Robert A. Kovacs 4

7 3. Gateways 3.1 Circuit Level Gateway Bei den Circuit Level Gateways handelt es sich vom IP Filtering abgesehen um die einfachste Form von Firewalls. Sie ordnen Pakete bestehenden TCP Verbindungen zu, wobei berücksichtigt wird, ob die Verbindung erlaubt ist. Das System läßt sich auf verschiedene Weise konfigurieren. Im Idealfall fängt es herausgehende Pakete ab, tauscht die IP Adresse des Senderechners gegen seine eigene externe IP Adresse aus. Auch eingehende Pakete laufen über die Firewall, die diese an den internen Rechner weiterleitet. Für Unternehmen bietet die Adreßumsetzung den Vorteil, daß sie ihre inoffiziellen bzw. privaten IP Adressen weiterverwenden können, da nur die Firewall eine offizielle IP Adresse benötigt. Zum einen muß die interne IP Struktur für die Internet Kommunikation nicht umgestellt werden, zum anderen kann die Adreßumsetzung auch Bestandteil der eigenen Sicherheits Policy sein. Aufgaben der Firewall: Address Translation interne Adresse: offizielle Adresse: Quelle Quelle Ziel Ziel Quelle Quelle Ziel Ziel INTERNET Firewall Abbildung 2: IP Adreßumsetzung im Firewall??1999 Robert A. Kovacs 5

8 3.2 Application Level Gateway Die Application Level Gateways arbeiten nicht nur auf Basis des TCP/IP Protokolls, vielmehr werden hier die Sicherungsmechanismen auf Applikationsebene gesetzt. Zumeist handelt es sich hierbei um einen Host, der als Betriebssystem ein UNIX Derivat nutzt, sicherheitsspezifisch konfiguriert wird und dessen administrative Komplexität reduziert wird. Dieser Rechner wird auch als Bastion Host bezeichnet und ist der einzige Host, der vom Internet erreichbar ist.??1999 Robert A. Kovacs 6

9 Das Application Level Gateway muß folgende Aufgaben erfüllen können: Übermitteln von Diensten wie SMTP, DNS, NNTP, WWW, FTP und Telnet. Durchführung von Diensten wie Anonymous FTP und öffentlicher WWW Server Das Mitprotokollieren des Netzverkehrs zwischen dem LAN und dem Internet Mit Hilfe des zweiten Netzwerkinterface softwaremäßig IP Pakete zwischen LAN und dem Internet filtern. Durch als Proxies bezeichnete Schnittstellenprogramme gehen die Application Level Gateways mehr auf die Eigenheiten der Anwendungen ein und ermöglichen eine wesentlich höhere Kontrolle über die versandten Daten. Durch diese den Firewalls eigenen Schnittstellenprogramme werden die Netze stärker entkoppelt, da sie den Datenfluß vom Internet ins LAN durchtrennen. 3.3 Bastion Host Jeder Außenstehende ob Freund oder Feind muß normalerweise erst eine Verbindung zum Bastion Host aufbauen, bevor er auf ein System bzw. einen Dienst innerhalb der Firewall zugreifen kann. Somit ist ein Bastion Host bereits durch die Tatsache gefährdet, daß seine Existenz im Internet bekannt ist. Die Sicherheitsvorkehrungen beim Aufbau und bei der Verwaltung der Firewall müssen sich deshalb besonders auf den Bastion Host konzentrieren. Dies ist nicht nur während der Aufbauphase, sondern auch bei laufendem Betrieb erforderlich. 3.4 Plazieren des Bastion Hosts im Netz Der Bastion Host sollte in einem Netz plaziert werden, das keine vertraulichen Daten übermittelt. Am besten eignet sich hierfür ein eigenständiges Subnetz. Die meisten Ethernet und Token Ring Schnittstellen können alle Pakete aus dem Netzwerk abfangen, an das sie angeschlossen sind (promiscuous mode). Sie können somit nicht nur die Pakete sehen, die an ihren Rechner gerichtet sind.??1999 Robert A. Kovacs 7

10 Diese Möglichkeit ist zur Netzwerkanalyse, zum Testen und zur Fehlersuche durch Programme recht hilfreich. Leider kann sie auch von einem Eindringling mißbraucht werden, um den gesamten in einem Netzsegment stattfindenden Verkehr zu beobachten. Dieser Verkehr besteht z.t. aus Telnet, FTP oder rlogin Sitzungen, aus denen Login Namen und Paßwörter angefangen werden können. Darüber hinaus kann er vertrauliche , NFS Zugriffe auf sensitive Daten usw. enthalten. Eine Lösung für dieses Problem besteht darin, den Bastion Host nicht in ein internes Netz, sondern wie oben angedeutet in ein Grenznetz zu stellen. Dieses Grenznetz wird sowohl nach innen wie auch nach außen durch einen entsprechenden Router begrenzt. Alles, was der Bastion Host in einem Grenznetz zu sehen bekommt, sind Pakete an ihn oder von ihm bzw. ins oder vom Internet. I N T E R N E T Äußerer Router Grenznetz Innerer Router Bastion- Host Internes Netzwerk Abbildung 3: Architektur mit Grenznetz, Bastion Host, Innerem und Äußerem Router??1999 Robert A. Kovacs 8

11 3.4.1 Innerer Router Um ein hohes Maß an Sicherheit zu erreichen, wird das Grenznetz durch einen inneren Router mit Paketfilterung vom internen Netz getrennt werden. Dieser Router übernimmt einen Großteil der bei der Firewall anfallenden Paketfilterung. Er gestattet, daß nur ausgewählte Dienste aus dem internen Netz ins Internet hinausgehen. Die Dienste, die der innere Router zwischen dem Bastion Host im Grenznetz selbst und dem internen Netz erlaubt, sind nicht zwangsläufig dieselben Dienste, die er zwischen dem Internet und dem internen Netz gestattet. So sollte man zwischen dem Bastion Host und dem internen Netz nur solche Dienste gestatten, die auch wirklich benötigt werden, wie z.b. SMTP (damit der Bastion Host eingehende weiterleiten kann), DNS ( damit der Bastion Host, abhängig von der internen Konfiguration, auf Fragen interner Rechner antworten kann) etc. Selbst diese Dienste sollten nach Möglichkeit weitgehend begrenzt werden, so daß sie nur von oder zu bestimmten internen Rechnern zugelassen werden. Gewisse Schutzmechanismen können ausschließlich durch Router mit Paketfilterung bereitgestellt werden und dies auch nur, wenn sie an bestimmten Stellen im Netzwerk eingesetzt sind. Beispielsweise ist es sinnvoll, alle Pakete mit internen Quelladressen zurückzuweisen. Damit sind jene Pakete gemeint, die vorgeben, von einem internen Rechner zu stammen, obwohl sie in Wahrheit von außen kommen. Solche Pakete gehören für gewöhnlich zu Angriffen von Adreßmogeleien. Im Zuge solcher Attacken erweckt ein Angreifer den Anschein, er agiere von einem netzinternen Rechner aus. Nur ein Router mit Paketfilterung, der sich am Rand des Netzes befindet, kann dies entscheiden. Nur dort per Definition an der Grenze zwischen innen und außen ist der Router in der Lage, solche Pakete anhand der Quell adresse zu erkennen Äußerer Router Theoretisch schützt der äußere Router das Grenznetz sowie das interne Netz vor der feindlichen Außenwelt. Die für die Paketfilterung aufgestellten Regeln zum Schutz der internen Rechner sollten auf dem inneren und äußeren Router im Grunde identisch sein. Die einzigen Regeln für die Paketfilterung, die sich speziell auf den äußeren Router beziehen, dienen dem Schutz der Rechner und aktiven Komponenten im Grenznetz.??1999 Robert A. Kovacs 9

12 ??1999 Robert A. Kovacs 10 Eine der Sicherungsmaßnahmen die nicht unbedingt so einfach durchführbar ist könnte darin bestehen, Pakete aus dem Internet zu blockieren, die gefälschte Quelladressen enthalten. Diese Pakete behaupten, aus dem internen Netz zu stammen, obwohl sie in Wirklichkeit aus dem Internet kommen.

13 4. Proxies Proxy Systeme bieten Internet Zugang zu einem einzigen oder einigen wenigen Rechnern, erwecken dabei jedoch den Anschein, Zugriff auf alle Rechner zu gewähren. Die Rechner mit Zugriffsmöglichkeiten dienen als Stellvertreter (Proxies) für die Maschinen ohne Zugang, für die sie die gewünschten Aufgaben erledigen. Ein Proxy Server für ein oder mehrere Protokolle läuft auf einem Bastion Host, also einem Rechner, der sowohl mit den Benutzern als auch mit der Außenwelt kommunizieren kann. Das Client Programm des Benutzers wendet sich an den Proxy Server und nicht direkt an den echten Server draußen im Internet. Der Proxy Server sieht sich die Anfragen vom Client an und entscheidet, welche weiter zu reichen und welche zu ignorieren sind. Wird eine Anfrage zugelassen, kontaktiert der Proxy Server stellvertretend für den Client den eigentlichen Server und leitet die darauf folgenden Client Anfragen zu echten Server und dessen Antworten zurück zum Client. Für die Benutzer ist nicht zu unterscheiden, ob sie mit dem Proxy Server oder dem echten Server zu tun haben. Der echte Server hat den Eindruck, mit Benutzern auf dem Rechner zu kommunizieren, auf dem sich der Proxy Server befindet. Er weiß nicht, daß die Benutzer in Wirklichkeit ganz woanders arbeiten. Die folgende Abbildung zeigt den Unterschied zwischen Wirklichkeit und Illusion bei Proxy Systemen.??1999 Robert A. Kovacs 11

14 Realer Server Illusion des realen Servers Bastion-Host Client Realer Server Illusion des Benutzers Benutzer Externer Host Scheinbare Verbindung Tatsächliche Verbindung Abbildung 4: Proxies Wirklichkeit und Illusion Proxy Systeme beugen darüber hinaus Sicherheitsproblemen vor, indem sie keine Benutzer Logins auf dem Bastion Host und Verbindungen nur durch gesteuerte Software zulassen. Da die Proxy Software keine Login von Benutzern erfordert, ist der Host vor den durch mehrere Logins bedingten Zufälligkeiten sicher. Auch kann niemand Software installieren, die ihm einen unkontrollierten Internet Zugang ermöglicht bzw. im Gegenzug Lücken im Sicherheitskonzept eröffnet. Der Proxy fungiert als Kontrollstelle. Ein Proxy Server kann wesentlich mehr, als einfach Anfragen weiter zu reichen. So ist z.b. in der Lage die Daten in einem Cache zu speichern, so daß Anfragen nach denselben Daten nicht jedesmal ins Internet gesendet werden müssen. Dies führt zu einer Reduktion der Kosten wie auch der Wartezeit bei der Internetbenutzung. 4.1 Vorteile von Proxy Diensten Proxies bieten Benutzern direkten Zugriff auf Internet Dienste (siehe oben)??1999 Robert A. Kovacs 12

15 Proxies bieten effektive Möglichkeiten zur Protokollierung Da Proxy Server das zugrunde liegende Protokoll kennen, ermöglichen sie eine besonders effektive Protokollierung. Statt beispielsweise alle übertragenen Daten aufzuzeichnen, protokolliert ein FTP Proxy Server nur die abgesetzten Kommandos und die vom Server empfangenen Antworten. Dadurch fallen die Aufzeichnungen nicht so umfangreich und wesentlich übersichtlicher aus. 4.2 Nachteile von Proxy Diensten Proxy Dienste hinken den normalen bzw. neuen Diensten hinterher Proxy Software ist für ältere und einfachere Dienste wie Telnet und FP weit verbreitet. Stabile Software für neuere und seltenere Dienste ist aber nicht leicht zu finden. Es vergeht meist viel Zeit, bis für einen neu eingeführten Dienst ein entsprechender Proxy verfügbar ist. Somit wird es schwierig, neue Dienste unmittelbar nach ihrer Einführung anzubieten. Proxies erfordern u.u. für jeden Dienst einen eigenen Server Gegebenenfalls wird für jedes Protokoll ein anderer Proxy Server benötigt, da dieser das Protokoll kennen muß, um seinen Aufgaben nachgehen zu können. Der Proxy Server muß schließlich entscheiden, was erlaubt und was verboten ist und sich gegenüber dem echten Server als Client und gegenüber dem Proxy Client als echter Server ausgeben. Es kann sehr mühsam sein, all diese Server zu suchen, zu installieren und zu konfigurieren. Für den Einsatz von Proxies müssen gewöhnlich Clients und/oder Prozeduren geändert werden Außer wenigen, im Hinblick auf den Proxy Einsatz geschriebenen Diensten, machen Proxy Server Änderungen an Clients und/oder Prozeduren erforderlich. Jede Art von Änderung hat gewisse Nachteile. Benutzer können die sofort verfügbaren Tools nicht immer mit den gewohnten Anweisungen verwenden. Auf Grund dieser Änderungen funktionieren Proxy Anwendungen nicht immer so gut wie andere. Nicht selten legen sie Protokollspezifikationen zu frei aus. Für manche Dienste sind keine Proxies möglich Für den Proxy Einsatz muß die Möglichkeit bestehen, den Proxy Server zwischen dem Client und dem eigentlichen Server zu positionieren. Dies ist aber nur dann praktikabel, wenn die Interaktion zwischen den beiden relativ einfach ist. Für einige Dienste, die recht komplizierte und verwickelte Interaktionen aufweisen, wird es voraussichtlich nie einen entsprechenden Proxy Dienst geben.??1999 Robert A. Kovacs 13

16 ??1999 Robert A. Kovacs 14 Proxy Dienste schützen nicht vor Schwächen im Protokoll Als Sicherheitslösung baut der Proxy Einsatz auf der Möglichkeit auf festzustellen, welche Operationen in einem Protokoll sicher sind. Das ist nicht bei allen Protokollen einfach. HTTP ist auf eine effektive Zusammenarbeit mit Proxy Servern eingestellt, aber auch auf schnelle Erweiterbarkeit ausgelegt. Es erreicht dies, indem es Daten überträgt, die später ausgeführt werden sollen. Ein Proxy Server kann unmöglich vor solchen Daten schützen. Es müßte in diesem Fall irgendeine Vorstellung vom Inhalt der weiter zu reichenden Daten haben und daran ermessen, ob sie gefährlich oder harmlos sind.