LAN-Sicherheitskonzept und Aufbau eines Firewall-Systems

Transkript

1 Fachhochschule Aalen Studiengang Elektronik / Technische Informatik LAN-Sicherheitskonzept und Aufbau eines Firewall-Systems Diplomarbeit von Gregor Domhan Betreuer: Prof. Dr.-Ing. Manfred Strahnen Durchgeführt im WS 00/01-1 -

2 Inhalt : Vorwort Allgemeines Angriffsmöglichkeiten in vernetzten Kommuniktaionssystemen Passive Angriffe Aktive Angriffe Ausnützen von Implementierungsfehlern Was kann ein Firewall System nun dagegen tun? Firewall Intensiv Konkrete Arbeitsweise der Firewall gegen Bedrohungen IP-Adressen-Spoofing ICMP-Angriffe Internet-Routing-Angriffe Der Paketfilter Elemente der Firewall Der Paketfilter Netzzugangsebene Netzwerkebene Transportebene Regeln für den Paketfilter Feste Regeln Dynmische Paketfilter Benutzerorientierte Paketfilter Protokollierung von sicherheitsrelevanten Ereignissen Mögliche Formen für die Realisierung eines Paketfilters Realisierung im Router Separate Paketfilter Paketfilter im Microchip Paketfilter mit Masquerading-Funktionalität Anwendungsgebiete eines Paketfilters Das Application Gateway Ansatz Konzept eines Application Gateway Die Proxies Aufbaukonzepte für Firewall-Systeme Ausschließlicher Einsatz eines Paketfilter Ausschließlicher Einsatz eines Application Gateways Single-homed Application Gateway Paketfilter und single-homed Application Gateway Paketfilter und dual-homed Application Gateway Screened Subnet Screened Subnet und ein single-homed Application Gateway Screened Subnet und ein dual-homed Application Gateway Screened Subnet und mehrere dual-homed Application Gateways parallel Anschluß von Dienstservern DNS-Server Internet-Server Intranet-Server Mail-Server Logbuch

3 2.6.1 Ziele der Protokollierung: Wichtige Ereignisse, die protokolliert werden sollten: Auswertung des Logbuches: Schutz der Protokolldaten: Datenschutzaspekte: Verhalten bei Angriffsversuchen Anzeichen für einen Angriff bzw. Angriffsversuch : Vorgehensweise bei einem (vermuteten) Angriff: Protokollierung im Logbuch: Lücken im Logbuch: Ungewöhnliche Login-Zeiten: Ungewöhnliche CPU-Lasten: Ungewöhnliche Plattenkapazität: Falsche Prüfsummen: Geisterhafte Neukonfiguration: Start von Diensten und Daemonen: Systemabstürze: Firewall konkret Das Rechnernetz der Hochschule Ausgangssituation Sicherheitskonzept Notwendge Protokolle: Ports für die Notwendigen Protokolle: Paketfilter Paketfilter Serverstandorte: Zugriffsverfahren: Adressvergabe: Anschluß an das Hochschulnetz: Hardware- und Softwareauswahl Hardwareauswahl Softwareauswahl Aufteilung der Subnetze Installation und Konfiguration Paketfilter Linux-Installation Linux-Kernel Konfiguration und Compilierung Deaktivieren von nicht benötigten Daemonen und Diensten Installation von ipchains Grundlagen und Funktionsweise von ipchains Aufbau der Filterregeln Paketfilter Das Application Gateway Installation des Application Gateway Linux-Kernel Konfiguration und Compilierung Deaktivieren von nicht benötigten Daemonen und Diensten Einstellen der statischen Routen Installation von DeleGate Wichtige DeleGate-Parameter DeleGate HTTP-Proxy DeleGate DNS-Proxy DeleGate POP-Proxy DeleGate SMTP-Proxy DeleGate NNTP-Proxy

4 DeleGate FTP-Proxy Umgang mit Konfigurations-Dateien Remote Administration von DeleGate Client Konfiguration und Benutzung der Proxy-Server DNS-Server Webbrowser Client FTP-Client News-Client Fall-Back-Lösungen Ausfall des Paketfilter Ausfall des Paketfilter Ausfall des Application Gateway Totalausfall Anmerkung Sicherheitsüberprüfung der Paketfilter Paketfilter mit Einzelpaketen testen Allgemeine Tips für die Paketfilter-Entwicklung Portscanner Flushing-Angriff Resultat Sicherheitsüberprüfung des Application Gateways Portscanner Nutzung von Außen Flushing-Angriff Überwachung während des Betriebes Performance des Firewall-Systems Paketfilter: Application Gateway: Parameter für den Application Gateway: Überwachung während des Betriebes: Anhang A.1 Konfigurationsdatei Paketfilter A.2 Ausgabe der Konfiguration des Paketfilter A.3 Konfigurationsdatei der Paketfilter A.4 Ausgabe der Konfiguration des Paketfilter A.5 Probleme mit FTP A6. Konfigurationsdateien für den Application Gateway A.7 Sicherheitsüberprüfung des Paketfilter 1 mit Einzelpaketen A.8 Sicherheitsüberprüfung des Paketfilter 2 mit Einzelpaketen A.9 Zusammenfassung: A.10 Literaturverzeichnis A.11 Abbildungs- und Tabellenverzeichnis A.12 Indexverzeichnis

5 Vorwort Die Informations- und Kommunikationstechnologien sind Schlüsseltechnologien für weite Bereiche unserer Arbeits- und Lebenswelt. In manchen Bereichen unserer Arbeitswelt sind rechnergestützte Informationsquellen bzw. Informationsaustausch eine zwingende Notwendigkeit. Immer mehr zieht der Rechner auch in unser privates Leben ein Stichwort Internet. Aber genauso, wie die Informationstechnolgie in unser Leben eingezogen ist, sind auch die kriminellen Energien gestiegen. Für viele Unternehmen und Institutionen beginnt dadurch eine Gradwanderung zwischen Nutzen und Risiken. Ein Instrument zum Schutz vor Gefahren aus unsicheren Netzen, wie z.b. dem Internet, sind Firewall-Systeme. Allerdings werden unter diesem Begriff Sicherheitslösungen zusammengefaßt, die sich in Technik, Realisierung und Einsatzmöglichkeiten sehr unterscheiden. Diese Diplomarbeit befaßt sich mit der Technik und Realisierung eines solchen Firewall- Systems für den Fachbereich Elektronik/Informatik der Fachhochschule Aalen. Die Aufgabenstellung dabei ist zum ersten, ein an das Fachbereichsnetz angepaßtes Sicherheitskonzept zu erstellen. Als Nächstes wird dann der Hardwareaufbau der Firewall- Rechner sowie die Konfiguration der Rechner auf der Pflichtenliste stehen. Die dritte Aufgabe beschäftigt sich mit der Sicherheitslösung von Stand-Alone-Rechnern, die nicht durch eine Firewall zu schützen sind. Natürlich wird auch der Test der Firewall zum Aufdecken von Sicherheitsmängeln ein Punkt sein. Die Diplomarbeit befaßt sich im speziellen mit dem Fachbereichsnetz E der Fachhochschule Aalen, kann aber genauso für jede andere schützenswerte Institution angewandt werden. Natürlich sind dann die Randbedingungen anders, und an einigen Punkten ist die Konfiguration anders zu wählen

6 1. Allgemeines 1.1 Angriffsmöglichkeiten in vernetzten Kommuniktaionssystemen Die wohl bekannteste Möglichkeit in ein Intranet einzudringen ist über das Internet oder andere Kommunikationsanschlüsse. Also über einen öffentlichen Zugang zum Netz. Das dies jedoch nicht immer der Fall ist, wird in folgendem dargestellt Passive Angriffe Unter passiven Angriffen versteht man das Abhören von Daten, die über einen Kommunikationskanal versendet werden. Unter einem Kommunikationskanal versteht man z.b. ein Computernetzwerk oder auch eine Telefonleitung. Bei passiven Angriffen wird nur der Verkehr, also die übertragenen Daten abgehört. Die Daten werden nicht verändert. Dabei gibt es drei Angriffsmöglichkeiten: - Abhören von Daten: Der Angreifer gelangt an die übertragenen Daten und kann sie für seine Zwecke verwenden (Spionage). Es kann sich dabei um eine reine Dateiübertragung handeln, oder auch um Benutzerdaten. Also z.b. Login-Daten für eine Servereinwahl. Damit ist es dann dem Angreifer möglich, sich mit einer falschen Identität ohne großes Aufsehen zu einem späteren Zeitpunkt in z.b. einen Server einzuloggen. - Abhören des Teilnehmer-Verhaltens: Ein Angreifer kann dadurch erfahren, wer mit wem zu welchen Zeitpunkt kommuniziert. Diese Information kann dann z.b. nach Regelmäßigkeiten untersucht werden. Das kann auch für ganz legale Zwecke verwendet werden. Z.B. kann man damit das Besucherverhalten eine Webservers kontrollieren, also ob jemand regelmäßig eine Seite abruft. - Datenflußanalyse: Selbst wenn der Datenfluß verschlüsselt ist, kann man trotzdem gewisse Informationen, wie z.b. Größenordnungen, Zeitpunkt und Häufigkeit der Datenpakete erfahren. Daurch lassen sich unter Umständen Rückschlüsse auf z.b. Börsen-Transaktionen oder militärische Operationen ziehen Aktive Angriffe Eine andere Form eines Angriffes, neben dem reinen Abhören, sind aktive Angriffe. Unter aktiven Angriffen versteht man das verfälschen des Datenstromes oder des Betriebes der Kommunikation. Aktive Angriffe können z.b. durch Auftrennen eines Kommunikationskanales und Zwischenschalten eines fremden Systems geschehen. Dieses fremde System empfängt dann den ankommenden Datenstrom, manipuliert ihn nach belieben und schickt ihn dann in den ausgehenden Datenkanal. Die Manipulationen können dabei folgende sein : - Informationen wiederholen oder verzögern : Durch Aktionen wie wiederholen oder verzögern kann der Empfänger zu einer falschen Aktion veranlaßt werden. Z.B. Mehrfachübertragung von Geldtransaktionen. - Löschen oder Einfügen von Daten: - 6 -

7 Um z.b. eine Geld-Transaktion zu manipulieren, können Daten gelöscht oder verändert werden. Z.B. anstatt kaufe eine Aktie kaufe keine Aktie. - Verändern von Daten: Der Angreifer greift aktiv in den Datenstrom ein und verändert ihn nach belieben. Das kann z.b. bei Online-Banking verherende Folgen haben, wenn die Kontonummer oder der Geldbetrag verändert wird. - Denial of Service: Unter Denial of Service versteht man den Boykott des Kommunikations-Systems. Durch z.b. einen dauernden Verbindungsaufbau kann ein Server boykottiert werden, so daß keine anderen Daten mehr zu ihm durchdringen können, oder daß der Server sich einfach aufhängt. - Maskerade-Angriff: Wie der Name schon sagt, versucht der Angreifer sich eine falsche Identität aufzusetzen. Er maskiert sich also. Dadurch kann der Angreifer ohne irgendwelche Sicherheitsschranken umgehen zu müssen, Zugriff auf z.b. Datenbankserver haben. - Kommunikationsverbindungen leugnen: Durch das stetige Wachstum des Internets, wird auch immer mehr über das Web online bestellt und gekauft. Wenn nun nicht genau klar ist, von wem die Bestellung oder der Vetragsabschluß kommt, kann auch dies wiederum verherende Folgen haben. Z.B. wenn irgend jemand auf Ihren Namen etwas bestellt oder einkauft. - Trittbrettfahrer: Da immer mehr Unternehmen und Institutionen ihr Intranet absichern, haben es die Angreifer auch immer schwerer in das System einzudringen. Um sich dennoch Zugang zu verschaffen, kann man den Datenverkehr abhören. Sobald dann die Identifikation und Authentifikation abgeschlossen sind, trennt der Angreifer die Verbindung desjenigen, der versucht sich einzuloggen. Dann startet der Angreifer einen Maskerade-Angriff. Er gibt sich also für denjenigen aus, der sich versucht hat einzuloggen Ausnützen von Implementierungsfehlern Rechner sind zwar Maschinen, und von Haus aus sehr fehlertolerant, aber die Programmierung der Rechner erfolgt immer noch durch den Menschen. Der Mensch wird, durch seine Eigenschaft, Fehler zu machen, somit zum Sicherheitsrisiko. D.h. daß der Mensch durch die Programmierung der Maschinen Fehler macht. In Zahlen gesprochen, hat ein heutiges Softwareprojekt laut MIT eine Fehleranzahl von 0,05-0,2 je 1000 Codezeilen. Das hört sich nach wenig an. Ein Beispiel, ein Fehlerniveau von 0,1 würde z.b. pro Tag verlorene Briefe der Post bedeuten! Das ist der Grund, warum man beim Faktor Mensch von einem Sicherheitsrisiko sprechen kann. Heutige Anwendungen habe eine kaum vorstellbare Komplexität in Hinsicht auf die Funktionsvielfalt. Je mehr Funktionen in eine Anwendung implemetiert wurden, desto höher ist auch die Fehleranzahl

8 In der Vergangenheit gab es ein bekanntes Beispiel: Sendmail. Sendmail enthielt Implementierungs- und Designfehler, die es ermöglichten, auf einem entfernten Rechnersystem beliebige privilegierte Kommandos ausführen zu lassen. Mit anderen Worten gesprochen: Durch die Fehler im Anwendungsprogramm Senmail war es einem Angreifer möglich, z.b. Daten zu löschen oder Netzverbindungen aufzubauen. Jeder kann sich denken, daß dies nicht im Sinn der Programmierer war. 1.2 Was kann ein Firewall System nun dagegen tun? Durch die Integration eines Firewall-Systems wird eine Entkopplung des Intranet zum Internet oder jedem anderen öffentlichen Zugang erreicht. Kurz gesprochen besteht eine Firewall aus einem oder mehreren Paketfiltern. Diese habe die Aufgabe, nur diejenigen Datenpakete durchzulassen, die auch benötigt werden. Desweiteren besteht eine Firewall auch aus Stellvertretern, sogenannten Proxies. Die Proxies haben die Aufgabe, daß Anwendungsprogramme wie z.b. Sendmail nicht direkt ansprechbar sind, sondern einen (hoffentlich) sicheren Stellvertreter in der Firewall haben. Dadurch werden Implementierungsfehler im Anwendungsprogramm als Sicherheitsrisiko vermieden

9 2. Firewall Intensiv 2.1 Konkrete Arbeitsweise der Firewall gegen Bedrohungen IP-Adressen-Spoofing IP-Adressen-Spoofing ist identisch mit einem Maskerade-Angriff, jedoch auf IP-Ebene des Netzwerkes. Bei dieser Angriffsart verfälscht der Angreifer die Absender-IP-Adresse der IP- Pakete. Wenn der Angreifer nun auch noch eine IP-Adresse des internen Netzes wählt, dann kann er ohne jegliche Beschränkungen in das Netz eindringen. Die eindeutige Entscheidung, ob der Netzverkehr vom Internet oder Intranet kommt, kann durch die Integration einer Firewall mit dem Sicherheitsdienst Eindeutige Erkennung der Seite im Vorfeld verhindert werden. Die Firewall erkennt nun, daß z.b. ein Angreifer sich mit einer internen IP-Adresse von außen in das Netz einloggen will, und kann dies abwehren ICMP-Angriffe Ein sehr wichtiger Bestandteil des TCP/IP-Protokolls ist das ICMP-Protokoll. ICMP steht für Internet Control Message Protokoll. Es ist ein Protokoll zur Übetragung von Informationsund Fehlermeldungen, das von vielen Tools benutzt wird, um Informationen über ein Internet einzuholen. ICMP-Angriffe können z.b. sein: - Mißbrauch des Kommandos Destination Unreachable : Destination Unreachable steht für Ziel nicht erreichbar. Wenn ein Sender solch ein Kommando erhält, dann bricht er die Verbindung ab, da ja das Ziel nicht erreichbar ist. Angreifer sind dadurch also in der Lage, durch das Senden von falschen Destination Unreachable -Kommandos bestehende TCP/IP- Verbindungen abzubrechen. - Mißbrauch des Kommandos Fragmentation Needed : Das Fragmentation Needed -Kommando veranlaßt den Sender, seine Datenpakete kleiner zu machen bzw. sie zu fragmentieren, also zu zerhacken. Durch diese Fragmentierung kann der Angreifer eine Erhöhung der Netzlast provozieren. - Mißbrauch des Kommandos Source Quench : Mit dem Source Quench -Kommando kann die Übertragungsrate des Rechnersystems des Senders reduziert werden. Dem Angreifer ist es damit möglich, die Kommunikation zu verlangsamen und dadurch zu stören. - Mißbrauch des Redirect -Kommandos: Durch das Redirect -Kommando kann ein Angreifer die Routing-Tabellen der Router des Netzes verändert. Z.B. so, daß alle Pakete über seinen Rechner gehen und er dort dann die Daten lesen, manipulieren oder löschen kann. Durch ein Firewall-System mit ICMP-Rechteverwaltung kann verhindert werden, daß ein Angreifer von außen die oben beschriebenen Angriffe ausführen kann

10 2.1.3 Internet-Routing-Angriffe Der IP-Header des TCP/IP-Protokolls enthält ein Optionenfeld, das für verschiedene Zusatzfunktionen verwendet werden kann. Dabei sind mit Optionen wie Loose Source Routing oder Strict Source Routing eine Manipulation und Veränderung der Route von außen möglich. Durch z.b. Strict Source Routing ist der Angreifer in der Lage, alle zu durchlaufende Verbindungsknoten in einer von ihm vorgegebenen Reihenfolge anzugeben. Der Angreifer hat dann die Möglichkeit die Pakete auf seinem Rechnersystem zu lesen, manipulieren oder löschen. Ein Firewall-System bietet die Möglichkeit, eine Rechteverwaltung der Optionen im IP- Protokoll durchzuführen

11 2.2 Der Paketfilter Elemente der Firewall Der Paketfilter Ein Paketfilter kontrolliert und analysiert den ein- und ausgehenden Datenstrom auf der Netzzugangs-, der Netzwerk- und der Transportebene. Die Analyse wird derart durchgeführt, daß die Datenpakete, die durch das physikalische Kabel übertragen werden, aufgenommen und analysiert werden. Der Paketfilter öffnet jedes einzelne Datenpaket und verifiziert den Inhalt, ob die Daten den definierten Regeln entsprechen. Die Regeln werden so festgelegt, daß nur die absolut notwendige Kommunikation erlaubt ist. Dadurch lassen sich bekannte sicherheitskritische Einstellungen vermeiden. Ein Beispiel wäre die IP-Fragmentierung. Paketfilter werden transparent in das Netzwerk integriert, sie haben also einen Eingangs- und Ausgangs-Port. Die genaue Arbeitsweise eines Paketfilters stellt sich folgendermaßen dar: - Es wird eine Überprüfung vorgenommen, von welcher Seite die Pakete empfangen werden. - Auf der Netzzugangsebene werden der Protokolltyp und die Ziel- und Quell-MAC- Adressen kontrolliert. - In der Netzwerkebene werden die Ziel- und Quell-Adresse und das verwendete Schicht- 4-Protokoll, aber auch das Optionsfeld und Flags überprüft. ICMP-Kommandos werden ebenfalls analysiert. - Auf Transportebene werden die Portnummern (Quell- und Ziel-Port) des UDP/TCP- Protokolls überprüft. Bei TCP findet zusätzlich eine Analyse der Richtung des Verbindungsaufbaus statt. - Es kann auch überprüft werden, ob Datenpakete in einem bestimmten Zeitraum versendet werden dürfen oder nicht. Die entsprechenden Analyse- und Prüfinformationen werden einer Rechteliste entnommen, die bei der Anlyse des Netzwerkes und der Programmierung der Firewall aufgestellt wird. Bei einem Verstoß gegen die aufgestellten Regeln wird dies entsprechend protokolliert und, falls eingerichtet, eine Meldung an den Systemadministrator verschickt. Dadurch wird sichergestellt, daß eine schnelle Reaktion auf das sicherheitsrelevante Ereignis erfolgen kann Netzzugangsebene Auf der Netzzugangsebene wird zunächst eine Überprüfung der Ziel- und Quell-MAC- Adresse auf Korrektheit vorgenommen. Als nächstes wird dann das Datentyp -Feld analysiert. Dadurch wird genau spezifiziert, mit welchen Kommunikationsprotokollen eine Kommunikation mit der nächst höheren Schicht stattfindet. Also z.b. IPX oder IP. Des weiteren wird bei einer IP-Kommunikaton unterbunden, daß mehrere IP-Pakete in einem MAC-Frames enthalten sind Netzwerkebene Auf der Netzwerkebene werden z.b. bei dem IP-Protokoll wieder die Ziel- und Quell-Adresse und das Transportprotokoll überprüft. Dann wird anhand der Ziel- und Quell-Adresse festgelegt, ob eine Kommunikation über den Paketfilter erlaubt ist oder nicht. Im Protokoll

12 Feld wird wiederum analysiert, mit welchem Protokoll eine Verbindung zur nächst höheren Schicht aufgebaut werden darf. Also z.b. TCP oder UDP. Das IP-Option -Feld wird auch analysiert, um z.b. Optionen wie Source-Routing zu erlauben oder nicht. Bei ICMP kann das Type - also das Kommando-Feld überprüft werden. Dadurch können Kommandos wie Echo Request, Echo Reply, Destination Unreachable usw. erlaubt oder verboten werden Transportebene Durch Analyse auf der Transportebene kann eine Überprüfung, im Fall von UDP/TCP, der Portnummern und damit indirekt eine Überprüfung der TCP/IP-Anwendungen erfolgen. Bei TCP/IP gibt es eine Anzahl von fest definierten Ports, den sogenannten Well-Known- Ports. Diese sind eindeutig einer Anwendung, also z.b. Telnet, FTP, HTTP usw. zugeordnet. Es ist deshalb unvermeidlich, daß eine genaue Analyse der notwendigen Ports durchgeführt wird. Jeder weitere nicht benötigte Port ist unbedingt zu sperren. Tranportprotokoll TCP Bei TCP findet durch den Paketfilter eine Überprüfung der Richtung des Verbindungsaufbaus statt. Da TCP ein verbindungsorientiertes Protokoll ist, kann anhand des ACK-Bits im Code Bits -Feld eine Überprüfung des Verbindungsaufbaus stattfinden. Beim Verbindungsaufbau wird von TCP das ACK-Bit = 0 gesetzt. Alle weiteren Pakete einer TCP-Verbindung haben dann ACK=1 gesetzt. Dadurch sind TCP-Pakete durch den Paketfilter kontrollierbar. Transportprotokoll UDP Da UDP ein verbindungsloses Kommunikationsprotokoll ist, werden UDP-Pakete unabhängig voneinander übertragen. Zwischen einem Aufbau einer Verbindung oder den Paketen innerhalb einer UDP-Verbindung wird nicht unterschieden. Beim UDP-Paket werden der Quell- und Ziel-Port durch den Paketfilter analysiert. Anhand der Rechteliste wird dann analysiert, um welche Anwendung es sich handelt (z.b. SNMP, TFTP usw.). Allgemein sollte mit UDP möglichst sparsam umgegangen werden, weil dadurch sonst mehrere Angriffsmöglichkeiten geöffnet werden. Recherchen im Internet haben gezeigt, daß die meisten Angriffs- und Hackertools mit UDP arbeiten

13 2.2.2 Regeln für den Paketfilter Um die Regeln für den Paketfilter aufzustellen, sollte zunächst eine sehr detaillierte Analyse des Netzwerkes und der benötigten Anwendungen bzw. Ports unternommen werden. Für die Implementierung der Filterregelen gibt es zwei Ansätze: 1. Positive Filterregeln: - Es muß genau festgelegt werden, was erlaubt ist. - Alles was nicht erlaubt ist, ist verboten. 2. Negative Filterregeln: - Es ist zunächst alles erlaubt. - Durch spezielle Einträge wird festgelegt, was nicht erlaubt ist. Um eine sichere und sinnvolle Implementierung der Filterregeln zu erzielen, empfiehlt sich die Anwendung der Positiven Filterregeln. Mit der Anwedung der Positiven Filterregelen wird sichergestellt, daß kein Schlupfloch vergessen wurde. Sollte dann nach der ersten Implementierung irgendeine Anwendung nicht oder nur unvollständig funktionieren, ist es einfacher, die bestehenden Regeln zu erweitern Feste Regeln Die Filterregeln werden einmal definiert und implementiert. Wenn dann alles funktioniert, bleiben sie unverändert. Natürlich nur so lange, bis z.b. ein Kommunikationsport nicht mehr benötigt wird, oder ein anderer benötigt wird Dynmische Paketfilter Verbindungslose Kommunikationsverbindungen über z.b. UDP können nicht dahingehend analysiert werden, von wem ein Verbindungdaufbau durchgeführt wird. Dynmische Paket Filter besitzen im Fall der Verwendung des UDP- Kommunikationsprotokolls die Eigenschaft, sich alle nach außen geschickte UDP-Pakete anhand der Quell- und Ziel-IP-Adressen und Ports zu merken. Es ist damit möglich, nur die entsprechenden passenden Antworten der virtuellen Verbindung zu merken. Das bedeutet, daß z.b. nur Antwortpakete für einen bestimmten Zeitraum durchgelassen werden. Es ist damit möglich, einige Anwendungen wie z.b. SNMP sicherer anzubieten Benutzerorientierte Paketfilter Paketfilter arbeiten adressorientiert. D.h. sie orientieren sich an den IP-Adressen der einzelnen Rechner. Es gibt aber auch Paketfilter, die sich an den einzelnen Benutzern orientieren. In diesem Fall wird dann durch eine Identifikation und Authentifikation eine Verbindung zum Benutzer hergestellt. Es ist damit möglich, dem einen Benutzer mehr Ports durch den Paketfilter zu öffnen als einem anderen. Die Identifikation und Authentifikation kann sowohl anhand der IP-Adresse als auch auf der Benutzerebene geschehen. Diese Form des Paketfilter ist bis jetzt leider noch nicht realisiert worden. Verschiedene Hersteller, z.b. die Sinus-Firewall wollen jedoch in eine der zukünftigen Versionen benutzerorientierte Paketfilter implementieren

14 Protokollierung von sicherheitsrelevanten Ereignissen Die meisten Paketfilter bieten die Funktion der Protokollierung an. Mit der Protokollierung lassen sich sicherheitsrelevante Ereignisse protokollieren, um sie bei einem versuchten Angriff zur Schwachstellenanalyse zu verwenden. Für die Protokollierung in einem Logbuch durch den Paketfilter sollten folgende Daten festgehalten bzw. mitprotokolliert werden: - Datum und Uhrzeit des aufgetretenen Ereignisses. - Laufzähler für die fortlaufende Zählung der Ereignisse. Damit kann man sich sehr viel Sucharbeit sparen. - Die Art des sicherheitsrelevanten Ereignisses, das aufgetreten ist. - IP-Adresse und Portnummer. Das kann sehr nützlich sein, um eventuell einen Angriff zurückverfolgen zu können. - Eventuell sollten auch die Informationen des IP-Paketes mitprotokolliert werden. Für das Logbuch gibt es auch verschiedene Modi, wie es betrieben werden kann : Free-Run-Modus: Das Logbuch arbeitet wie eine Endlosschleife. D.h. beim Überlauf wird der älteste Eintrag überschrieben. Es werden so immer nur die aktuellen Ereignisse festgehalten. Es birgt jedoch die Gefahr, daß ein Angreifer sich dadurch unkenntlich machen will, indem er einfach eine Menge an nicht sicherheitsrelevanten Ereignissen erzeugt, um damit seinen eigentlichen Angriff zu verschleiern. Single-Shot-Modus: Bei dieser Art der Protokollierung werden beim Überlauf des Logbuches die neuen Logbucheinträge überschrieben. Die alten Ereignisse bleiben dann erhalten. Dies birgt aber die Gefahr, daß ein Angreifer schon im Vorfeld seines Angriffes den eigentlichen Angriff verschleiern könnte. Block-If-Full: Dieser Modus hat eine sehr hohe sicherheitstechnische Wirkung, jedoch mit einigen Nachteilen. Beim Überlauf des Logbuches wird einfach der Paketfilter zu gemacht. D.h. es kann kein Paket mehr passieren. Natürlich hat es dann ein Angreifer sehr schwer, seine Tat zu verschleiern. Jedoch hat das Ganze den Nachteil, daß nach Möglichkeit immer ein Administrator zur Stelle sein muß, falls das Logbuch voll ist. Es könnte sonst verheerende Folgen haben, wenn z.b. bei einer Nachtschicht das Logbuch voll ist!

15 2.2.3 Mögliche Formen für die Realisierung eines Paketfilters Es gibt verschiedene Möglichkeiten, einen Paketilter zu implementieren und zu realisieren. Es seien hier nur die drei Wichtigsten genannt Realisierung im Router Es gibt einige Router, die einen Paketfilter bereits implementiert haben. Jedoch hat diese Möglichkeit einige entscheidende Nachteile : - Der Tiefengrad ist niedriger als bei dedizierten Paketfiltern. - Router bieten, da sie kein Sicherheitsprodukt sind, nur unzureichende Möglichkeiten der Konfiguration und Administration. - Router bieten meistens nur eine sehr eingeschränkte Protokollierung und Alarmierung über sicherheitsrelevante Ereignisse. - Router sind eigentlich dazu gedacht, ankommende Pakete möglichst schnell an ihren Zielort zu bringen. Wenn dann zusätzlich noch eine Paketfilterfunktion implementiert wird, sinkt die Performance. - Router mit integriertem Paketfilter und ordentlicher Performance sind meistens teurer als eine separate Paketfilterung Separate Paketfilter Separate Paketfilter haben nur eine Aufgabe, Pakete zu filtern. Sie sind deswegen meistens schneller, gründlicher und kostengünstiger als eine Implementierung in einem Router. Weitere Vorteile sind: - Durch separate Paketfilter wird eine saubere Abgrenzung zwischen Kommunikationsund Sicherheitsanforderungen getroffen. - Separate Sicherheitskomponenten sind flexibler als z.b. eine Routerimplementierung. - Es ist eine vollständige Protokollierung und Alarmierung möglich. Nachteil: - Dedizierte Paketfilter sind manchmal teurer als ein Softwareupgrade eines bestehenden Routers Paketfilter im Microchip Es gibt mittlerweile auch einige Lösungen, die direkt in einem Microchip implementiert sind. Die Vorteile liegen klar auf der Hand. Es damit möglich, z.b. die Filterung schon gleich auf der Netzwerkkarte des Application-Gateway zu vollziehen. Jedoch überwiegen die Nachteile noch erheblich. So ist z.b. die Porgrammierung der Filterregeln etwas komplizierter als bei einer Softwarelösung. Genauso ist auch die Protokollierung und Alarmierung nur eingeschränkt möglich

16 Paketfilter mit Masquerading-Funktionalität Paketfilter, die die Masquerading-Funktionalität besitzen, verschleiern die interne Netzwerkstruktur. Anstatt, daß die einzelnen Rechner der internen Nertzwerkes sichtbar sind, wird das komplette interne Netz durch nur eine IP-Adresse repräsentiert. Es ist dadurch auch möglich, daß intern private und extern öffentliche IP-Adressen verwendet werden. Beim IP Masquerading - manchmal auch als PAT (Port and Address Translation) bezeichnet - bildet alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche IP- Adresse ab. Dies geschieht dadurch, daß bei einer existierenden Verbindung zusätzlich zu den Adressen auch die Portnummern ausgetauscht werden. Auf diese Weise benötigt ein gesamtes privates Netz nur eine einzige registrierte öffentliche IP-Adresse. Schutzwirkung: Die Rechner im privaten Netzwerk können nicht aus dem Internet angewählt werden Anwendungsgebiete eines Paketfilters Ein Paketfilter alleine genügt natürlich noch nicht, um ein Intranet vollkommen abzusichern. Es zeigt sich, daß Paketfilter keinen Schutz für Protokolle der oberen Ebenen sind. Es ist z.b. auch möglich, wenn man den Port 25 für SMTP aufmacht, daß dann Implementierungsfehler in den Anwendungen wie Sendmail ausgenützt werden können. Des weiteren ist ein Schutz der inneren Struktur nicht möglich. Ein Angreifer hat also trotz eines Paketfilters die Möglichkeit, die innere Struktur des Netzwerkes zu analysieren. Ein letzter Nachteil ist, daß die Protokollierung nur bis zur Transportebene vollzogen wird. Natürlich haben Paketfilter auch einige Vorteile: - Sie sind transparent. D.h. der Anwender merkt und sieht von dem Paketfilter nichts. - Die Erweiterung für weitere Protokolle ist relativ einfach implementiert. - Flexibel für neue Dienste. - Für verschiedene Protokollfamilien anwendbar (IPX, DECNET, SNA, TCP/IP...). - Leichte Realisierung

17 2.3 Das Application Gateway Das Application Gateway, auch Proxy genannt, zeichnet sich dadurch aus, daß es die Netze sowohl logisch als auch physikalisch entkoppelt. In vielen Firewall-Konzepten ist das Application Gateway das einzige vom unsicheren Netz erreichbare Rechnersystem. Es ist deshalb notwenig, daß das Application Gateway besonders geschützt werden muß. Aus diesem Grund wird es auch als Bastion bezeichnet. Das Application Gateway wird meistens als dual-homed Gateway realisiert. D.h. es besitzt zwei Netzanschlüsse, einen für das sichere Netz, und einen für das unsichere Netz. Damit wird sichergestellt, daß das Application Gateway eine vollständige Kontrolle über alle Pakete hat, die zwischen dem unsicheren und dem sicheren Netz ausgetauscht werden. Es gibt auch Ansätze, das Application Gateway als single-homed, also mit nur einem Netzanschluß, zu realisieren. Jedoch birgt diese Form folgende Schwachstelle: Ein Angreifer könnte durch irgendwelche Mechanismen versuchen, den Application Gateway zu umgehen Ansatz Über die Netzzugangsebene und den TCP/IP-Treiber empfängt das Application Gateway Pakete mit den entsprechenden Ziel- und Quell-Informationen. Also Ziel- und Quell-Ports. Wenn dann über einen bestimmten Port eine Verbindung hergestellt werden soll, dann bekommt dem Application Gateway die Aufgabe zu, einen speziellen Stellvertreter dafür bereitzustellen. Somit ist sichergestellt, daß der Anwender nicht direkt mit dem unsicheren Netz kommuniziert, sondern nur über den Proxy also de Stellvertretern. Die Problematik dabei liegt bei den Proxies. Das Application Gateway muß also für jeden Dienst einen speziellen dafür zugeschnittenen Proxy bereitstellen. Natürlich ergeben sich durch die Spezialisierung entsprechend hohe Sicherheitsanforderungen. Da die Analyse auf der Kommunikationsebene intensiv möglich ist und der Kontext der Anwendungsdaten für den jeweiligen Dienst klar definiert sind, haben Proxies entscheidende Vorteile : Kleine überschaubare Module, die bedingt durch ihre Größe sehr fehlerfrei sind. Implementierungsfehler können dann also zu einem hohen Grad ausgeschlossen werden Konzept eines Application Gateway Für jeden möglichen Dienst, der über das Application Gateway möglich ist, muß ein entsprechender Proxy bereitgestellt werden. Nicht benötigte Dienste, oder Dienste die generell nicht möglich sind, sind nicht durch Proxies auf dem Application Gateway vertreten. Es ist somit möglich diese Dienste in keiner Art und Weise zu verwenden in legaler wie in illegaler Hinsicht. Aus diesem Grund ist es auch unabdingbar, auf dem Application Gateway so wenig wie möglich Software zu installieren und laufen zu lassen. Denn jedes weitere Softwarepaket kann unter Umständen ein Sicherheitsrisiko darstellen

18 Es darf auch unter keinen Umständen eine dynamische Routing-Funktionalität installiert werden. Somit kann sichergestellt werden, daß nicht an den Proxies vorbeigeroutet werden kann. Das Application Gateway besitzt immer eine Verbindung zum Rechnersystem im sicheren Netz. Um dies nicht als Sicherheitsloch zu verwenden, bieten Paketfilter die vorher beschriebene Masquerading-Funktionalität an. Somit wird sichergestellt, daß sogar vor dem Application Gateway das interne Netz verborgen bleibt Die Proxies Proxies gibt es für viele Dienste. Die Funktionsweise sei hier aber nur allgemein dargestellt. 1. Verbindungsaufbau zum Application Gateway: Über das Application Gateway versucht der Benutzer eine Verbindung von seinem Rechnersystem im sicheren Netz zum Ziel-Rechenersystem im unsicheren Netz aufzubauen. Das Application Gateway nimmt nun den Verbindungsaufbauwunsch an, und fordert den Anwender zu Identifikation und Authentifikation auf. 2. Identifikation und Authentifikation: Der Zugreifende gibt nun seine Identifikation ein. Das Application Gteway überprüft nun, ob der Benutzer von seinem Quell-Rechnersystem auf das gewünschte Ziel- Rechnersystem zugreifen darf. Ist dies der Fall, dann verlangt das Application Gateway eine Authentifikation, als z.b. ein Paßwort. Die Indentifikation und Authentifikation kann bei Firewall-Systemen in vielerlei Hinsicht realisiert werden. Z.B. über Chipkarte oder Paßworten die je nach Sicherheitsanforderungen auch verschlüsselt werden können. 3. Verbindungsaufbau: Nach der Identifikation und Authentifikation wird durch den entsprechenden Proxy im Application Gateway eine zweite Verbindung aufgebaut. Nämlich zum gewünschten Ziel-Rechnersystem. In dieser Phase wird auch die NAT (Network Adress Translation) durchgeführt. Der Anwender greift z.b. mit seiner privaten IP- Adresse auf das Application Gateway zu, und das Application Gateway wiederum mit seine offiziellen IP-Adresse auf das gewünschte Ziel-Rechnersystem. 4. Datentransfer: Als vorletzte Phase findet nun der Datentransfer statt. Abhängig vom verwendeten Proxy wird der Datentransfer über den Proxy vom Application Gateway protokolliert und die Pakete auf Korrektheit überwacht. Dies geschieht vollkommen transparent für den Anwender. 5. Verbindungsabbau: Zuletzt wird die Verbindung zum Application Gateway abgebaut. Der Applicaton Gateway baut dann die Verbindung zum Ziel-Rechnersystem ab, und löscht wenn verwendet, den entsprechenden Eintrag aus der Translations-Tabelle

19 Einige Proxies bieten eine sogenannte Control Monitor -Funktionalität. Diese Funktionalität ist nicht bei allen Diensten notwendig. Ein typisches Beispiel ist Telnet. Mit Hilfe des Control Monitors ist es möglich einen kompletten Mitschnitt der Verbindung zu protokollieren. Der Mitschnitt zeichnet dann alle verwendeten Befehle auf. Dadurch ist es möglich, eine Auswertung zu machen. Diese Sicherheitsfunktion hat auch einen nicht zu unterschätzenden Warneffekt. Leider gibt es auch Dienste, für die keine entsprechenden Proxies angeboten werden. In diesem Fall ist abzuwägen, ob dieser Dinest gesperrt wird, oder ob sogenannte Blind- oder Dummy-Proxies verwendet werden. Blind- bzw. Dummy-Proxies haben nur eine Aufgabe, Datenströme die über einen bestimmten Port ankommen, durchzulassen. Es werden durch Blind- oder Dummy-Proxies sehr große Schlupflöcher aufgemacht, deswegen ist von deren Anwendung allgemein abzuraten

20 2.4 Aufbaukonzepte für Firewall-Systeme Für die eigentlich Realisierung der Firewall, also das Zusammenspiel aus Paketfilter und Application Gateway, gibt es viele verschiedene Möglichkeiten. Die wichtigsten seien hier genannt : Ausschließlicher Einsatz eines Paketfilter unsicheres Netz Packet Filter zu schützendes Netz Abbildung 2.1: Ausschließlicher Einsatz eines Paketfilters Der Einsatz von nur einem Paketfilter bietet entscheidende Vorteile, jedoch kann hier noch nicht von einer sicheren Trennung der Netze gesprochen werden. Die Vorteile sind: - Kontrolle und Analyse der MAC-Ziel- und MAC-Quell-Adressen, - Kontrolle und Analyse der IP-Ziel- und IP-Quell-Adressen, - Rechteverwaltung, also welche Quell- und Ziel-Ports für TCP und UDP erlaubt sind, - Optionenverwaltung bei IP-Paketen, - Verwaltung der ICMP-Kommandos, - Protokollauswertung und Protokollierung der Pakete, - Alarmierung, falls unautorisierter Zugriff erfolgt. Der Einsatz von Paketfiltern ist unbedingt zu empfehlen, jedoch nicht ein ausschließlicher Einsatz. Das Sicherheitsrisiko ist für Firmen und öffentliche Institutionen zu hoch

21 2.4.2 Ausschließlicher Einsatz eines Application Gateways unsicheres Netz Application Gateway zu schützendes Netz Abbildung 2.2: Ausschließlicher Einsatz eines Applicaton Gateways Das Application Gateway in diesem Beispiel wird als Dual-homed Gateway verwendet. Dadurch ist es dem Application Gateway möglich eine vollkommene Kontrolle über alle Datenpakete zu haben. Die Vorteile eine Application Gateways sind folgende : - Zugangskontrolle auf Netzwerkebene, d.h. IP-Ziel- und IP-Quell-Adresse werden in den jeweiligen Netzen überprüft, - Zugangskontrolle auf Benutzerebene, - Rechteverwaltung, also mit welchen Protokollen darf welcher Dienst verwendet werden, - Kontrolle auf der Anwendungsebene, - Dienste werden entkoppelt, es werden also risikobelastete Dienste nicht direkt zwischen den Teilnehmern ermöglicht, - Protokollierung der Vorgänge, - Alarmierung, falls nichtautorisierte Zugriffe erfolgen, Die Anwendung eines reinen Application Gateways zur Absicherung empfiehlt sich in nahezu keinem Fall. Eine Ausnahme wäre, den Application Gateway mit entsprechendem Cache- Speicher auszustatten, um damit z.b. HTML-Seiten zwischenzuspeichern. Jedoch kann man dann nicht von einer Absicherung des Netzes sprechen

22 2.4.3 Single-homed Application Gateway unsicheres Netz Application Gateway zu schützendes Netz Abbildung 2.3: Ausschließlicher Einsatz eines single-homed Applicaton Gateways Die Realisierung des Application Gateway als single-homed System ist nur in den seltensten Fällen zu empfehlen. Das Application Gateway verfügt nur über eine Netzwerkschnittstelle über die sowohl der eingehende Datenstrom als auch der ausgehende Datenstrom fließt. Der große Nachteil bei diesem Konzept ist, daß der Application Gateway nicht garantieren kann, daß er alle Daten kontrolliert und analysiert

23 2.4.4 Paketfilter und single-homed Application Gateway unsicheres Netz Packet Filter Application Gateway zu schützendes Netz Abbildung 2.4: Einsatz eines single-homed Applicaton Gateways und eines Paketfilters Die Kombination aus single-homed Application Gateway und Paketfilter bietet den hauptsächlichen Schutz im Paketfilter, während das single-homed Application Gateway optional zusätzlichen Sicherheitsdienst zur Verfügung stellt. Um einen zusätzliche Sicherheit zu gewähren sollte der Paketfilter so konfiguriert werden, daß jedes ausgehende Paket zum zu schützenden Netz hin nur über den Applicaton Gateway geschickt wird. Wenn dies der Fall ist, dann kann das Applicaton Gateway alle Sicherheitsdienste erbringen. unsicheres Netz Application Gateway Packet Filter zu schützendes Netz Abbildung 2.5: Einsatz eines single-homed Applicaton Gateways und eines Paketfilters Eine gespiegelte Konfiguration, also daß der Paketfilter direkt an an das zu schützende Netz, anstatt an das unsichere Netz, angeschlossen ist, ist auf keinen Fall empfehlenswert. Bei dieser Konfiguration könnte sämmtlicher Datenverkehr, welcher aus dem unsicheren Netz kommt, direkt an den Paketfilter geleitet werden und somit das Application Gateway umgehen

24 2.4.5 Paketfilter und dual-homed Application Gateway unsicheres Netz Packet Filter Application Gateway zu schützendes Netz Abbildung 2.6: Einsatz eines dual-homed Applicaton Gateways und eines Paketfilters Das Applicaton Gateway ist in dieser Konfiguration durch den Paketfilter vor dem unsicheren Netz geschützt. Das Zusammenspiel aus Paketfilter und dual-homed Application Gateway ermöglicht es, daß kein Datenpaket in irgendeiner Weise die Firewall umgehen kann. Das Maß an Sicherheit hängt hier in erster Linie von der Konfiguration des Paketfilters ab. unsicheres Netz Application Gateway Packet Filter zu schützendes Netz Abbildung 2.7: Einsatz eines dual-homed Applicaton Gateways und eines Paketfilters Natürlich ist es auch möglich Paketfilter und Application Gateway zu tauschen (Abb. 2.7). Dies hat aber einen Nachteil : Das Application Gateway ist direkt mit dem unsicheren Netz verbunden. Dies erfordert ein Höchstmaß an Widerstandsfähigkeit des Application Gateways gegenüber Angriffen aus dem unsicheren Netz

25 2.4.6 Screened Subnet unsicheres Netz Packet Filter LAN Packet Filter Screened Subnet zu schützendes Netz Abbildung 2.8: Screened Subnet Bei dieser Konstellation handelt es sich um den Einsatz von zwei Paketfiltern. Diese zwei Paketfilter sind jedoch so zusammengeschaltet, daß sich zwischen ihnen ein weiteres Netz bildet. Das sogenannte Screened Subnet. Durch dieses Screened Subnet oder auch Grenznetz wird das zu schützende Netz vollkommen vom unsicheren Netz entkoppelt. Im Screened Subnet wird mit Hilfe von den zwei Paketfiltern für die Kontrolle der Verbindung gesorgt.das Screened Subnet wird auch De-Militarised Zone genannt (DMZ)

26 2.4.7 Screened Subnet und ein single-homed Application Gateway unsicheres Netz Packet Filter Application Gateway Packet Filter zu schützendes Netz Screened Subnet Abbildung 2.9: Screened Subnet und ein single-homed Application Gateway Die Sicherheit in diesem Firewall-Konzept wird vor allem durch die beiden Paketfilter und das Screened Subnet gewährleistet. Das single-homed Application Gateway stellt nur eine zusätzliche Sicherheit da. Die Sicherheit kann noch erhöht werden, wenn der Eingangspaketfilter so konfiguriert ist, daß er alle Daten an das Application Gateway geschickt werden. Weiter ist eine Erhöhung der Sicherheit noch möglich, wenn das Application Gateway seine ausgehenden Daten nur an den Ausgangspaketfilter schickt. Der Einsatz einer solchen Konfiguration ist dann sinnvoll, wenn sowohl das unsichere als auch das zu schützende Netz etwa gleiche Schutzniveaus haben. Also z.b. Verbindungen von Firmen oder Abteilungen untereinander

27 2.4.8 Screened Subnet und ein dual-homed Application Gateway unsicheres Netz Packet Filter Application Gateway Packet Filter Screened Subnet zu schützendes Netz Abbildung 2.10: Screened Subnet und ein dual-homed Application Gateway Diese Konfiguration einer Firewall bietet einen sehr hohen Sicherheitsstandard an und garantiert auch ein Höchstmaß an Sicherheit. Die beiden Paketfilter werden so zusammengeschaltet, daß sich zwischen ihnen ein Screened Subnet bildet. Das Application Gateway, daß sich nun in der DMZ befindet und zwei Netzschnittstellen besitzt, kontrolliert nun jedes Datenpaket. Es ist sichergestellt, daß sich kein Datenpaket am Application Gateway vorbeischleichen kann. Die Vorteile einer solchen High-Security Konstellation sind: - Einfache Regeln, die Anordnung der Elemente ermöglicht eine einfache Definition der Regeln der einzelnen Firewall-Elemente, - Gegenseitiger Schutz, Die Paketfilter sorgen dafür, daß nicht jeder auf das Application Gateway zugreifen kann, - Geschachtelte Sicherheit, es wird nicht jede Sicherheitsanforderung an nur ein System gestellt. Durch den Einsatz von verschiedenen Betriebssystemen läßt sich das Schutzniveau nochmals eröhen. Denn dadurch schließen sich unter Umständen Implementierungsfehler der verschiedenen Betriebssysteme gegenseitig aus. Der Einsatz dieser Firewall eignet sich dann, wenn man wirklich von einem zu schützenden Netz (Firmennetz) und einem unsicheren Netz (Internet) sprechen kann. Das nicht einzuschätzende Sicherheitsniveau des Internets wird somit gesenkt

28 2.4.9 Screened Subnet und mehrere dual-homed Application Gateways parallel unsicheres Netz Packet Filter Application Gateway Application Gateway Packet Filter zu schützendes Netz Screened Subnet Abbildung 2.11: Screened Subnet und mehrere dual-homed Application Gateways parallel Diese Konfiguration bietet den gleichen Schutz und die gleichen Vorteile wie mit nur einem Application Gateway. Weitere Vorteile sind jedoch, daß die Application Gateways entlastet werden. Dies ist sinnvoll bei sehr hohem Datenaufkommen. Der Einsatz dieser Konstellation wird auch verwendet, um Redundanz herzustellen. Wenn also z.b. ein Applicaton Gateway ausfällt, dann kann ein zweiter ohne nennenswerte Verzögerung dessen Aufgaben übernehmen. Dies ist vor allem bei einer 24-Stunden- Verfügbarkeit sinnvoll

29 2.5 Anschluß von Dienstservern Der Anschluß von verschiedenen Dienstservern an ein firewall-gesichertes Netz ist keine leichte Aufgabe. Die grundlegende Frage, die sich stellt, ist: Von welchem Netz soll auf die Dienstserver zugegriffen werden? Wenn die Informationen auf dem Dienstserver von außen zugänglich gemacht werden sollen, dann ist es zwingend, daß der Dienstserver näher zum äußeren unsicheren Netz plaziert wird [1] DNS-Server Ein DNS-Server (Domain Name Service) dient zur Umsetzung von Rechnernamen in IP- Adressen und umgekehrt. Weiterhin stellt er Informationen über im Netz vorhandene Rechnersysteme zur Verfügung. Die Integration eines DNS-Servers in ein Firewall-System erfordert die Berücksichtigung einiger Aspekte. Aus dem unsicheren Netz dürfen nur minimale Informationen über das zu schützende Netz bekannt gegeben werden. Es soll sichergestellt werden, daß die interne Struktur im verborgenen bleibt. Eine sinnvolle Konfiguration sieht folgendermaßen aus: unsicheres Netz interner DNS Server Packet Filter Application Gateway Packet Filter externer DNS Server zu schützendes Netz Abbildung 2.12: Integration von DNS-Servern in ein Firewall-System

30 Wobei hier eine Vereinfachung der Zeichnung vorgenommen wurde. Das Firewall-System mit Screened-Subnet ist vereinfacht dargestellt, da das Firewall-System in den vorherigen Kapiteln ausgiebig erläutert wurde. Packet Filter Filter Application Gateway Packet Filter Filter Packet Filter Application Gateway Packet Filter Screened Subnet Abbildung 2.13: Vereinfachte Darstellung des Firewall-Systems Im unsicheren Netz und im zu schützenden Netz wird jeweils ein DNS-Server installiert. Die IP-Adresse und Namen des zu schützenden Netzes sind nur dem DNS-Server im zu schützenden Netz bekannt. Der DNS-Server im unsicheren Netz darf die Struktur des zu schützenden Netzes nicht kennen. Alle DNS-Anfragen vom zu schützenden Netz werden direkt an den inneren DNS-Server weitergeleitet und aufgelöst. Sollte der interne DNS-Server eine Anfrage nicht auflösen können, so wird die Anfrage transparent über das Application Gateway an den äußeren DNS- Server weitergeleitet. Die Auflösung bekommt der interne DNS-Server vom Application Gateway geliefert. Es wird damit sichergestellt, daß der interne DNS-Server dem äußeren unbekannt bleibt. Ein Angreifer hat nun nicht die Möglichkeit, durch Abfrage des äußeren DNS-Servers die interne Struktur des Rechnernetzes in Erfahrung zu bringen. Eine weitere sichere Möglichkeit der Integration eines DNS-Server in ein Firewall-System ist die Installation des DNS-Dienstes auf dem Application Gateway. Die Auflösung der IP- Adressen und Namen aus dem internen Netz wird dann durch das Application Gateway durchgeführt. Adressen aus dem unsicheren Netz (z.b. Internet) werden dann aus dem zu schützendne Netz heraus vom DNS-Server auf dem Application Gateway aufgelöst

31 2.5.2 Internet-Server Für die Integration von Internet-Servern gibt es verschiedene Möglichkeiten. Drei seien hier erläutert: unsicheres Netz Packet Filter Application Gateway Packet Filter Internet Server zu schützendes Netz Screened Subnet Abbildung 2.14: Anschluß eines Internet-Servers an ein Firewall-System Da die Informationen auf einem Internet-Server öffentlich zugänglich gemacht werden sollen, empfiehlt sich der Anschluß des Servers zwischen dem Application Gateway und dem äußeren Paketfilter. Der Internet-Server befindet sich dann im Screened Subnet. Die zu veröffentlichen Daten werden vom zu schützenden Netz auf den Internet Server zur Abholung gespeichert. Alle Zugriffe auf den Internet Server vom unsicheren Netz aus werden durch den äußeren Paketfilter kontrolliert. Der äußere Paketfilter schützt den Internet Server zusätzlich noch vor Angriffen. Ein Zugriff auf das zu schützende Netz ist durch den Application Gateway und inneren Paketfilter nahezu unmöglich. Bei der Konfiguration des äußeren Paketfilters ist jedoch zu berücksichtigen, daß nur Dienste erlaubt sind, die für seinen Betrieb unbedingt notwendig sind, also z.b. nur Port 80 (HTTP- Protokoll). Bei der Konfiguration des Internet Servers ist zu berücksichtigen, daß es einem Angreifer unmöglich gemacht wird, auf die Betriebssystemebene zuzugreifen. Es ist also darauf zu achten, daß nur die minimal notwendige Software darauf zu installieren ist, und auf dem Serversystem nur lesender Zugriff erlaubt ist. Eine zweite Möglichkeit zur Integration eines Internet Servers in ein Firewall System ist der Anschluß über einen separaten Paketfilter. Man schließt den Internet Server über einen separaten Paketfilter an das unsichere Netz. Durch den Paketfilter kann dann, durch entsprechende Konfiguration, sichergestellt werden, daß der Internet Server genügend abgesichert ist