- PDF Kostenfreier Download

Transkript

1 FACTA UNIVERSITATIS èniçsè Series: Electronics and Energetics vol. 11, No.3è1998è, MODERNE FIREWALLS F íur LANS Thomas Droste and Wolfgang Weber Kurzfassung. In Abhíangigkeit der geforderten Sicherheit in lokalen Netzen muç eine Firewall weitere Aufgaben íubernehmen, um das gefordertes Sicherheitskonzept zu erfíullen. Einfache Paketælterfunktionen der fríuheren dual homed Firewalls werden durch verschiedene ProxyíSysteme, Virenerkennung und der Kopplung verschiedener Intranetze zu einem VPN èvirtual private networkingè ergíanzt. Moderne third generation Firewalls stellen ein Sicherheitsmanagement im Rechnerverbund dar mit Authetiæzierung und kryptographischen Mechanismen íuber z.b. die Implementation der Internet Protokoll Version 6 èipv6è. Neben den Konzepten fíur moderne Firewalls beschreibt dieser Artikel eine weitere Schutzmíoglichkeit des Intranet durch eine Erweiterung der Firewall durch einen zentralen Server innerhalb des Intranet. 1. Einfíuhrung Eine moderne Firewall, die das interne Netz gegen Angriæe schíutzt, wird mittlerweile durch mehrere Funktionen erweitert. Eine gríoçtmíogliche Flexibilitíat in Bezug auf Datenæuç, Sicherheit und Konægurierbarkeit muç durch die geforderte Sicherheitspolitik bei der Einrichtung und Umsetzung eingehalten werden. Die Filterung und Bewertung von Paketen líaçt sich auf mehreren Ebenen im TCPèIPíSchichtenmodell betrachten. Durch die Festlegung und Regeleinbindung von IPíAdressen kann der Datenverkehr von oder zu bestimmten Rechern erlaubt bzw. verboten werden. Eine Selektierung wird direkt durch die Zugehíorigkeit zum internen Netz festgelegt. Alle íubrigen Pakete werden verworfen. Eine Ebene híoher, auf TCPíEbene, kann eine Filterung von InternetíDiensten erfolgen. Dies geschieht íuber Freigabe von Manuscript eingegangen am June 1, Dipl.íIng. Thomas Droste, Wissenschaftlicher Mitarbeiter, Lehrstuhl fíur Datenverarbeitung, Ruhr-Universitíat Bochum, Bochum, BRD, droste@etdv.ruhruni-bochum.de. Prof. Dr.íIng. Wolfgang Weber, Lehrstuhlinhaber des obigen Institutes, weber@etdv.ruhr-uni-bochum.de. 263

2 264 Facta Universitatis ser.: Elect. and Energ. vol. 11, No.3 è1998è Portnummern. Als Nebenbedingung werden weitere Felder im Header íuberpríuft. Um einen selektiven Verbindungsaufbau z.b. via Telnet zu kontrollieren, geníugt es, das AcknowledgeíFlag zu betrachten, um die Richtung des Aufbaus festzustellen und bei Bedarf zu verbieten. Durch sukzessive Anwendung von weiteren Regeln erfolgt die Auswahl íuber erlaubte und verbotene Zugriæe durch die Firewall. Die Bewertung eines Angriæversuches fíur z.b. SpooængíAttacken stellt eine weitere Funktion dar. Dabei híort ein potentieller Angreifer den Datenverkehr ab und sendet IPíPakete mit gefíalschten Paketinhalten. Dadurch kommt es zu einem "IPíStorm" und zu Fehlerpaketen mit falschen Sequenznummern, die von der Firewall erkannt werden míussen. Um den Aufbau des Intranets fíur Auçenstehende zu verschleiern und keinen direkten Zugriæ aus dem Intranet ins Internet zu gestatten, werden ProxyíSysteme eingesetzt. Diese werden zumeist direkt in der Firewall als Dienst gestartet und fungieren durch Austausch der IPíAdresse als Vermittler. Transparente Proxy Systeme greifen aktiv und im Hintergrund in den Datenverkehr ein, d.h. die Umlenkung auf einen ProxyíDienst wird fíur den Anwender nicht ersichtlich. Es existieren zwei Prinzipien von ProxyíSystemen. Das erste, ein Circuit Level Proxy, hat nur eine Filterfunktion auf Basis der in der Firewall festgelegten Sicherheitspolitik integriert. Pakete werden nur weitergeleitet, wenn sie voll der Regelgebung entsprechen. Diese generischen Proxy sind keinem Anwendungsprotokoll zugeordnet und besitzen dadurch keine Kenntnis íuber das Protokoll. Ein neues Protokoll kann jedoch schnell implementiert werden. Das zweite Prinzip, die Application Level Proxy, haben hingegen volle Kenntnisse íuber das jeweilige Anwendungsprotokoll, d.h. jeder Befehl kann analysiert und eventuell abgeblockt werden. Diese dedizierten ProxyíServer sind jeweils einem Anwendungsprotokoll fest zugeordnet. 2. Erweiterte Funktionalitíat Neben der Paketælterung und dem Einsatz als ProxyíSystem líaçt sich eine Firewall mittlerweile als Sicherungskonzept ansehen. Neben den eigentlichen Sicherheitsaufaben gegen unerlaubten Zugriæ ist der Aufbau von VPN eine weitere Funktionalitíatserweiterung. Dadurch wird es míoglich, eine gesicherte Verbindung zwischen verschiedenen Intranetze íuber das Internet aufzubauen èbild 1è. Die normale Kommunikation erfolgt durch den Aufbau eines Tunnels zwischen den einzelnen Intranetzen, dabei wird eine Protokollschachtelung vorgenommen, die das IPv6 in die bislang íubliche IPv4 einbettet oder alternativ den Datenverkehr kontinuierlich anderweitig verschlíusselt. Das Internet fungiert fíur das VPN als ein Art Backbone fíur den verteil-

3 T. Droste and W. Weber: Moderne ærewalls fíur LANs 265 ten Rechnerverbund. Zusíatzlich besteht die Míoglichkeit, verschiedene Verschlíusselungsverfahren anzuwenden. Bei der Ubertragung í von z.b. s íuber das VPN werden diese automatisch und fíur den Anwender vollkommen transparent per PGP èpretty Good Privacyè verschlíusselt. Die Firewalls der beiden Intranetze fíuhren diese Verschlíusselung selbsttíatig durch, wobei durch die íAdresse verschiedene Geheimhaltungsstufen des Inhaltes angegeben werden und dies eine verschieden starke Verschlíusselung zur Folge hat. Die Firewall verwaltet íuber einen Keyserver die verschiedenen Schlíussel und stellt weitere kryptographische Verfahren fíur die Kommunikation bereit. Der Vorteil von VPN íuber das Internet besteht in der Kostenersparnis, da keine zusíatzliche Standleitung zwischen den Intranetzen erforderlich ist und alle Dienste des Internet im Intranet stíandig nutzbar sind. Bild 1. Nutzung des Internet als Backbone fíur VPN. Angehíorigen des Intranetverbundes, die sich auçerhalb des VPN aufhalten, erlangen durch spezielle ClientíSoftware, die ein dynamisches VPN èdvpnè erzeugt, Zugang. Durch den Aufbau eines temporíaren Tunnels und der damit verbundenen Ersetzung des IPíStacks gegen die neue IPv6 erfolgt eine Registrierung im Rechnerverbund. Um eine Authentiæzierung vorzunehmen, werden verschiedene Mechanismen eingesetzt, so z.b. die Authentiæzierung via PiníKodes, íahnlich zum OnlineíBanking. Der Vorteil liegt wiederum in der gesicherten Verbindung von diesmal jedoch jedem beliebigen Internetzugang aus. Die Integration verschiedener Kommunikationspartner stellt mittlerweile eine weitere Anforderung an eine Firewall. Durch Verschlíusselung und Authentiæzierung, die durch die IP Security èipsecè Working Group deæniert worden ist, lassen sich skalierbare Verbindungen íuber das WAN mit Einzelbenutzern, Firmen und Rechnerverbunden herstellen. Unterstíutzen die Kommunikationspartner das IPSec, kann unabhíangig von der eingesetzten Firewall eine authentiæzierte Verbindung hergestellt werden. Mit IPSec líaçt sich somit auch ein VPN auf Basis eines Rechnerbundes aufbauen.

4 266 Facta Universitatis ser.: Elect. and Energ. vol. 11, No.3 è1998è Die Firewall als zentraler Knoten zum Internet trennt mittlerweile nicht nur das Intranet vom Internet, sondern z.t. auch die íoæentlich zugíanglichen Dienste íuber das Security Server Net èssnè von den jeweiligen anderen beiden èbild 2è. Der Vorteil der Trennung liegt in der erhíohten Sicherheit durch doppelten Schutz. Bei einem Angriæ auf den íoæentlichen Bereich des Intranet impliziert dies nicht direkt den Sicherheitsverlust fíur das íubrige interne Netz. Eine physikalische und logische Trennung durch die Firewall schíutzt den jeweilig anderen Bereich. Die Firewall fungiert als doppelte Firewall, da die Sicherheitspolitik nicht nur zwischen Firewall und Intranet bzw. SSN umgesetzt wird, sondern auch zwischen SSN und Intranet. Bild 2. Sicherheitserhíohung durch getrennte und gesicherte Netzsegmente. Die Deænition einer Firewall als Filter ist mittlerweile nicht mehr akzeptabel. Eine Sicherheitsmanagement beschreibt die modernen Firewalls besser. Darunter ist nicht nur die Abblockung am í Ubergang zum internen Netz gemeint, sondern auch weiterreichende Analysemíoglichkeiten auf híoheren Protokollschichten fíur die im internen Netz æieçende Datenpakete. Durch z.b. die í Uberpríufung der SMTPíBefehle in einer mit Hilfe der Application Level Proxy wird eine kritische direkt von der Firewall ausgeæltert. Eine Weiterleitung íuber das Content Vectoring Protocol ècvpè und ein nachfolgender Viruscheck von eingegangenen s an einen Virusscaní Server bietet die Míoglichkeit den Inhalt einer inklusive angefíugter Dateien zu íuberpríufen. Dadurch wird die Sicherheit in Bezug auf Datenin-

5 T. Droste and W. Weber: Moderne ærewalls fíur LANs 267 tegritíat und versteckte Angriæe erhíoht. Fíur andere Dienste èftp, WWW, etc.è lassen sich diese Analysemíoglichkeiten ebenfalls anwenden. Eine weitere Míoglichkeit, den Datenæuç direkt zu beeinæussen, liegt in der Erweiterung der Proxy. Dabei ist speziell der Datenæuç fíur den Informationsaustausch der HTTPíProxy zu betrachten. Optionen fíur die Deaktivierung von z.b. Java Script, Java und AxtiveíX, die durch ihre plattformunabhíangige Implementierung Sicherheitslíucken darstellen kíonnen, und der Viruscheck von herunterladbaren Dateien stellen eine direkte Erweiterung der Proxy dar. Zudem werden bei Bedarf verschiedene Operationen in Logæles festgehalten, um spíatere Analysen durchzufíuhren zu kíonnen. Die Administration und Wartung dieser third generation Firewall erfolgt per Fernadministration íuber das interne Netz. Die Grundkonæguration wird lokal am FirewallíHost eingerichtet, weitere Einstellungen erfolgen íuber gesicherte Verbindungen. An dieser Stelle ist besonders auf Sicherheitsmechanismen hinzuweisen. Neben der Authentiæzierung des Administrators, ist es sinnvoll diese Aufgabe aus dem Intranet durchzufíuhren, um Sicherheitsrisiken durch z.b. SniæeríAttacken zu vermeiden. Die Administration erfolgt mit Hilfe von GUI ègraphical User Interfaceè, dadurch wird eine bessere Visualisierung gewíahrleistet und eine Fehlkonægutation weitgehend ausgeschlossen. Die Regelumsetzung wird von der dahinter liegenden Applikation íubernommen. Die benutzerdeænierte Administration erfolgt z.b. íuber einen Browser mittels dem gesicherten HTTPS via Java oder durch eine eigenstíandige lokale Applikation von einem beliebigen Rechner aus. Die Basisælterfunktionen, die erweiterten Funktionen fíur die ApplicationíServer, das VPN und die Zugriæssteuerung nach Host, Dienst, Verbindungsrichtung und Zeitfenster lassen sich direkt einstellen. Ein weiterer Vorteil liegt besonders bei VPN vor, hierbei kann ein Administrator aus dem anderen Intranet die Administration der Firewall íubernehmen. Im Fall einer Sicherheitsverletzung muç die Firewall eine Alarmmeldung ausgeben. Dies kann íuber verschiedene Wege geschehen und unterschiedliche Aktionen zur Folge haben. Von einer einfachen Zugriæsverletzung durch z.b. Benutzung eines nicht freigegebenen oder existierenden Dienstes bis zu schwerwiegenden Sicherheitsverstíoçen. Die Warnhinweise und Alarmmeldungen kíonnen auf einem Monitor angezeigt und per oder íuber ein SMSí Gateway an den Administrator versendet werden. Durch letzteres kann der Administrator direkt und íuberall erreicht werden und bei Bedarf direkt eingreifen.

6 268 Facta Universitatis ser.: Elect. and Energ. vol. 11, No.3 è1998è 3. Authentiæzierung und Kryptographie Durch Authentiæzierung und Kryptographie auf Paketebene kann eine eindeutige, sichere Identiæzierung stattænden, wobei die Daten zusíatzlich verschlíusselt werden. Durch die Erzeugung von SessioníKeys wird eine Analyse und das Abhíoren des Netzverkehres nahezu unmíoglich. Ein potentieller Angreifer kann den SessioníKey nicht in Echtzeit bzw. endlicher Zeit errechnen und in die damit verbundene Sitzung eingreifen. Durch die Nutzung des neuen IPv6 bzw. des IPSec als standardisiertes Protokoll werden im Authentication Header èahè die abgesendeten Daten authenitæziert und mit Hilfe des Encapsulated Security Payload èepsè die Nutzdaten des Datagramms selbst verschlíusselt. Als Algorithmus zur Verschlíusselung kommen der Data Encryption Standard èdesè, der tripple DES è3desè, Deæneí Hellmann und RSA zum Einsatz. Die Authentiæzierung erfolgt im Sinne der Unveríanderlichkeit der Nutzdaten. Durch HashíFunktionen èmd5, SHAí1è wird ein digitaler Fingerabdruck des Datagrammes erstellt und dieser mittels der obigen Algorithmen verschlíusselt. Der Empfíanger entschlíusselt und príuft das Datagramm und erhíalt die Originaldaten zuríuck. Die Sicherheit einer Firewall híangt auch von der Protokollsicherheit der IPv6 ab. Durch die Sicherungsmechanismen auf Protokollebene wird ein Miçbrauch verringert. Der sichere Austausch von Schlíusseln und Identiækationen muç als Grundvoraussetzung durchgefíuhrt werden. Im internen Netz kann dies íuber einen Keyserver geschehen, um die Daten als authentisch anzusehen. Jede Verschlíusselung und Authentiæzierung beansprucht Zeit und erhíoht das Kommunikationsaufkommen durch zusíatzlich notwendige Daten. Wird eine generelle Verschlíusselung und Veriæzierung durch die Firewall vorgenommen, besteht die Míoglichkeit, diese íuber integrierte Hardware umzuleiten und zu automatisieren. Hierzu existieren bereits schnelle IC, die z.b. den DES Algorithmus oder IDEA als Hardwarerealisierung durchfíuhren und einen hohen Datendurchsatz erreichen. Die Forderung nach einen hohen Datendurchsatz und Ausfallsicherheit impliziert das duplizieren einer Firewall. Eine primíare und eine sekundíare Firewall arbeiten simultan. Je nach Auslastung oder Zuordnung zwischen Internet und VPN kíonnen sich die Firewalls die Aufgaben teilen. Der Nachteil liegt hierbei in zwei míoglichen Angriæspunkten, da zwei Rechner direkt mit dem Internet verbunden sind. Bei der Aufsplittung eines Intranet in zwei oder mehr unabhíangige Teile ist es hingegen sinnvoll, jeweils eine eigene Firewall zu verwenden und eine Kaskadierung von mehreren Firewalls bei weiterer Unterteilung einzurichten.

7 T. Droste and W. Weber: Moderne ærewalls fíur LANs Konzept eines Kommunikationspools íubergreifend auf die gesamte Netzwerktopologie ist es hilfreich, ein Konzept zu entwickeln, welches neben den Sicherungskonzepten auch den internen Datenverkehr und die Administration erleichtert. Werden mittlerweile viele verschiedene Anwendungen auf verschiedenen Systemen beníotigt, ist es sinnvoll, eine zentrale Basisstruktur zu benutzen. Ein zentraler Server im geschíutzten Intranet stellt in einem Rechnerverbund zentrale Dienste fíur z.b. die Sicherheit, Vireníuberpríufung, Installation und Administration bereit. Neben der Sicherheit in Form einer Firewall als Tor zum Internet ændet die Kontrolle des Netzes auch innerhalb statt. Dies gilt nicht nur fíur die Installation von Softwarepatches verschiedener Betriebssysteme oder Anwendungen die zentral installiert werden, sondern vielmehr ist eine verteilte Firewall als Sicherheitsmanagement denkbar. Gleichzeitig laufen auf mehreren Rechnern verschiedene Dienste, die durch eine zentralen Server gesteuert werden. Dieser muç im internen Netz liegen und darf keine direkte Verbindung zum eigentlichen Firewall-Host besitzen, damit er gegen Angriæe von auçen abgesichert ist èbild 3è. Die gestarteten Dienste auf den Arbeitsstationen im Intranet bedienen sich der Informationen aus dem internen, zentralen Server. íubertragene Daten im Intranet werden automatisch auf Viren íuberpríuft, sobald diese zwischen Rechnern íubertragen werden. Unerlaubte Verbindungen in das Internet durch z.b. verbotene Modems kíonnen durch eine stíandige íuberpríufung des internen Netzwerkverkehrs erkannt werden. Der Vorteil der zentralen Datenhaltung von Diensten und Konægurationsdateien liegt in der Homogenitíat des Netzwerkes. Ein Netzwerk kann nur so sicher sein, wie sein schwíachstes Element. Dabei kann eine interne Stíorung oder unerlaubte Verbindung aus dem Internet das Gesamtnetz gefíahrden, ebenso eine veraltete Protokollumsetzung oder ein Betriebssystembug. Durch das zentrale Management und die Verteilung der Dienste besteht die Forderung nach Zuverlíassigkeit und Sicherheit der Einzelanwendungen. Ein gemeinsamer Nenner fíur die Kommunikation dieser Anwendungen in Form eines Standardmechanismus muç eingesetzt werden. Die Ausfallsicherheit des internen Servers ist als unproblematischzubewerten, da die Firewall die eigentliche Hauptaufgabe des Sicherheitskonzeptes íubernimmt. Denkbar bei diesem Konzept ist die Verteilung von Anwendungen auf verschiedenen Rechnern, wobei der zentrale Server als RecoveríServer zur Verfíugung steht, der den Datenverkehr und die íubertragenen Daten mitprotokolliert und temporíar zwischenspeichert. Ein zentrales Management soll den Aufwand minimieren und die Sicherheit maximieren, dabei darf der Einzelrechner in seiner Leistung nicht eingeschríankt werden, ebenso nicht die Geschwindigkeit des Netzwerkverkehrs.

8 270 Facta Universitatis ser.: Elect. and Energ. vol. 11, No.3 è1998è Letztendlich híangt die Sicherheit stark von der Sicherheitspolitik ab. Die Forderung nach der globalen Unterstíutzung der IPv6 ist gerade durch eine Firewall ideal zu líosen, da die Protokollumsetzung bis zur generellen Benutzung im gesamten Internet zumindest das eigene Intranet schíutzt. Bild 3. Zentraler Server im lokalen Netz. LITERATUR 1. Borderware Firewall Server: 2. D.B. Chapman, E.D. Zwicky: Building Internet Firewalls. O'Reilly & Associates Inc., Sebastopol W.R. Cheswick, S.M. Bellovin: Firewalls und Sicherheit im Internet. Addisoní Wesley Publ. Comp., Bonn V. Gupta, S. Glass: Firewall Traversal for Mobile IP: Goals and Requirements. Internet Engineering Task Force èietfè, InternetíDraft M. Hennecke, T. Droste: Sicherheit im Internet í Umsetzung von Firewallí Konzepten. Seminar Datenverarbeitung WS 97è98, Lehrstuhl fíur Datenverarbeitung, RuhríUniversitíaet Bochum, A. Paweletz, T. Droste: Sicherheit im Internet í Mechanismen zum sicheren Datenverkehr. Seminar Datenverarbeitung WS 97è98, Lehrstuhl fíur Datenverarbeitung, RuhríUniversitíaet Bochum, Security Policy: 8. TIS Gauntlet Firewall: