Check Point VPN-1 Power

Transkript

1 Yasushi Kono Check Point VPN-1 Power Das umfassende Handbuch

2 Auf einen Blick 1 Allgemeines zu Internet-Security und Firewalls Die grundlegende Architektur der Check Point-Firewall Installation von Check Point VPN-1 Power Besondere Merkmale der Betriebssysteme SmartConsole Tools und SmartPortal Elementare Regeln und Implied Rules Migration von NG nach NGX Authentication unter Check Point LDAP-Integration Network Address Translation VPN unter Check Point Hochverfügbarkeitslösungen SmartDefense Analyse-Tools Verwaltungstools für die Objektdatenbank Voice over IP: Konfiguration unter Check Point NGX Quality of Service Troubleshooting VPN-1 Pro/Power Backup und Restore Neuerungen von NGX R A RSA SecurID B C Administration der VPN-1 Edge Appliances mit dem SmartCenter Server NGX R Administration von SofaWare Safe@Office Appliances über SofaWare SMP D Check Point Provider E Check Point Integrity F Das ISO-/OSI-Referenzmodell G Literaturhinweise und Tipps H Glossar

3 Inhalt Geleitwort des Fachgutachters Vorwort Über das Buch Allgemeines zu Internet-Security und Firewalls Die Firewall-Technologien im Überblick Der Paketfilter Das Application Layer Gateway Das Circuit Level Gateway Die Stateful Inspection Internet Security ist mehr! IPSec VPN Public Key Infrastructure SSH SSL/TLS Zusammenfassung Die grundlegende Architektur der Check Point-Firewall Secure Internal Communication (SIC) Was ist SIC, und wozu wird sie benötigt? Wie funktioniert SIC? Check Points dreischichtige Architektur Die Architektur der Check Point VPN-1-Software Das Modul CPRID Die Befehle zum Starten und Stoppen der Module und CPShared Das Reinitialisieren des Firewall-Moduls FW Das Reinitialisieren des VPN-Moduls Das Neustarten des CPHA-Moduls Beenden und Starten von SmartPortal Beenden und Starten von QoS Starten und Beenden des Advanced Routing-Moduls Interne Mechanismen bei cprestart Zusammenfassung

4 Inhalt 3 Installation von Check Point VPN-1 Power Ein Wort zur Lizenzierung von Check Point-Produkten Verwaltung von Lizenzen Einige Informationen zu den SKU-Features Die unterstützten Betriebssysteme von Check Point NG und NGX Hardware-Voraussetzung für Check Point NG/NGX Die Appliances der NOKIA IP-Serie Installation unter Windows Härten von Windows Installation des Check Point Security Gateways in einem Distributed Deployment Installation des Check Point SmartCenters in einem Distributed Deployment Standalone Installation Installation unter Solaris Installationstipp für Solaris Installationstipp für Solaris Installation von Check Point VPN-1 Pro/Power auf Solaris Installation unter SecurePlatform Installation des Check Point Security Gateways in einem Distributed Deployment (Konfiguration per Kommandozeile) Installation des Check Point Security Gateways in einem Distributed Deployment (Konfiguration per Web) Installation des SmartCenters in einem Distributed Deployment Standalone Installation unter SecurePlatform Installation unter IPSO Default Policy Zusammenfassung Besondere Merkmale der Betriebssysteme SecurePlatform und SecurePlatform Pro Standard Mode Der Expert Mode Weitere Expert Mode-Befehle

5 Inhalt Erweiterte Expert Mode-Features Zugriff über die WebUI Webzugriff über HTTPS auf SecurePlatform Nokia IPSO Sun Solaris unter SPARC Booten von CD-ROM Mounten einer CD IP Forwarding (Packet Forwarding, Routing) Deinstallation von Check Point unter Solaris Windows 2000 Server/ Windows Server IP Forwarding Deinstallation der Check Point Software unter Windows Zusammenfassung SmartConsole Tools und SmartPortal Was ist SMART? SmartDashboard Die Elemente von SmartDashboard Elemente neben dem Object Tree SmartView Tracker SmartView Monitor SmartLSM Eventia Reporter SmartUpdate SmartPortal Zusammenfassung Elementare Regeln und Implied Rules Notwendige Vorbereitungen Die Anti-Spoofing-Konfiguration der Security Gateways Multicast-Beschränkung bei den Security Gateways Erstellen eines Fremd-Firewall-Objekts Erstellen von sonstigen Host-Objekten Erstellen von Netzwerk-Objekten Das Erstellen von Benutzer-Objekten Die Stealth Rule Die Cleanup Rule

6 Inhalt 6.8 Services unter Check Point Regel für den FTP-Zugriff Regel für den ausgehenden HTTP-Zugriff Implied Rules Control Connections Wann wird eine Regel wirksam? Was passiert, wenn SIC wegbricht? Remote Firewall und SmartCenter Server mit privater IP-Adresse Zusammenfassung Migration von NG nach NGX Allgemeines zur Migration Bevor Sie anfangen Die möglichen Migrationsmethoden Migration der SmartCenter Server von FP3/R54/R55 nach R6x SmartCenter-Upgrade von SecurePlatform R55 auf R6x (Distributed Deployment) SmartCenter-Upgrade mittels»upgrade Tools« SmartCenter Upgrade von SecurePlatform FP3 auf NGX SmartCenter Upgrade unter Windows 2000/2003 von R60 auf R6x > R SmartCenter Upgrade unter Nokia IPSO von R55 auf R Upgrade des Check Point NG SmartCenter nach NGX Management High Availability Upgrade unter SecurePlatform R55 nach R Migration von R54/R55 Security Gateways nach R6x Firewall-Upgrade von SecurePlatform R54/R55 auf R60 mit SmartUpdate Firewall-Upgrade von SecurePlatform R54/R55 auf R60 mit»patch add«-kommandos Cluster-Upgrade von Nokia-VRRP-Cluster von R60 auf R Migration von Nokia IP Clustering von R60 nach R Post-Upgrade Tasks Provider-1 Upgrade MDG-Installation unter Windows Inplace Upgrade auf SecurePlatform

7 Inhalt 7.8 Upgrade eines Provider-1 CMAs auf NGX MDS Zusammenfassung Authentication unter Check Point Client Authentication unter Check Point VPN-1 Pro NGX Sign On Method:»Manual« Sign On Method:»Partially Automatic« Sign On Method:»Fully Automatic« Sign On Method:»Agent Automatic Sign On« Sign On Method:»Single Sign On« User Authentication unter Check Point VPN-1 Pro NGX Session Authentication unter Check Point VPN-1 Pro/ Power NGX Integration von SecurID Authentifizierung mittels RADIUS Server (Beispielkonfiguration unter MS Internet Access Service) Authentifizierung mit TACACS bzw. TACACS Zusammenfassung LDAP-Integration Allgemeines zur LDAP-Integration Was ist LDAP? Was ist eine LDAP-Integration? LDAP-Integration: MS Active Directory Modifikation des bestehenden Active Directory- Schemas Kommunikation über LDAP-SSL LDAP-Integration: Novell NDS/eDirectory LDAP-Integration: Sun ONE Directory Server Zusammenfassung Network Address Translation Hide NAT (Dynamic NAT) Konfiguration von Hide NAT mittels Automatic NAT Hide NAT via Manual NAT Allgemeine Anmerkung zu Hide NAT

8 Inhalt 10.2 Static NAT Allow Bi-Directional NAT Translate Destination on Client Side Automatic ARP Configuration Konfiguration von Static NAT Manual NAT IP Pool NAT Zusammenfassung VPN unter Check Point Phase 1: Aufbau einer IKE SA (Internet Key Exchange Security Association) im Main Mode Der Diffie-Hellman-Algorithmus Phase 1: Aufbau einer IKE SA im Aggressive Mode Phase 2: Aufbau einer IPSec SA Site-to-Site VPN (Domain Based) zwischen zwei Check Point Gateways Site-to-Site VPN zwischen zwei Check Point Security Gateways mit gemeinsamem SmartCenter Server Site-to-Site VPN zwischen zwei Check Point Security Gateways mit jeweils eigenem SmartCenter Advanced Settings VPN Star Community Syntax von»vpn_route.conf« Advanced Settings bei VPN Star Community Traditional Mode versus Simplified Mode Directional VPN bei Site-to-Site VPN Einschränkungen von Directional VPN Konfiguration von Directional VPN Site-to-Site VPN (Route Based) Konfiguration von VTIs Konfiguration von dynamischem Routing Site-to-Site VPN zwischen Check Point VPN-1 Pro/Power und VPN-1 Edge Appliance Site-to-Site VPN zwischen einem Check Point Gateway und einem anderen Gateway Was müssen Sie nun bei der Konfiguration beachten? Phase 1 (IKE SA bzw. ISAKMP SA): Phase 2 (IPSec SA): Reinitialisierung eines bestehenden VPN-Tunnels

9 Inhalt Exkurs: Cisco und OSE Remote Access VPN SecuRemote Definition einer VPN Site Authentifizierung über Certificate Die Client-Information in der Datei userc.c Das SecureClient Packaging Tool SecureClient Grundlegende Konfiguration von Regeln für Remote Access VPN mit SecureClient SecureClient und Office Mode SecureClient und Hub Mode Konvertierung von Traditional Mode in Simplified Mode Steuerung des SecureClient per CLI Directional VPN bei Remote Access VPN Remote Access VPN mit der VPN-1 Edge X-Appliance Zusammenfassung Hochverfügbarkeitslösungen Allgemeines zu Hochverfügbarkeitslösungen Management HA (High Availability) ClusterXL Installation von ClusterXL auf Security Gateways unter MS Windows 2000/ Installation von ClusterXL auf Security Gateways unter SecurePlatform Konfiguration von ClusterXL Lösungen unter Nokia: VRRP Monitored Circuit und IP Clustering Installation auf Nokia IPSO: VRRP Monitored Circuit Installation auf Nokia IPSO: IP Clustering Multiple Entry Point Die Konfiguration von Multiple Entry Point Das Problem des asymmetrischen Routings Bestimmung der verfügbaren Routen mit Hilfe von RIM MEP in Verbindung mit Remote Access VPN ConnectControl

10 Inhalt 12.7 Hochverfügbarkeit von VPN-1 Edge Hochverfügbarkeit bei Provider Installation eines Secondary MDS Managers Hochverfügbarkeit einzelner CMAs Zusammenfassung SmartDefense Die neue Registerkarte»SmartDefense Services« Download Updates Advisories Security Best Practices Die übrige Aufteilung von SmartDefense Download Updates Protection Overview Network Security Application Intelligence Web Intelligence Ein mögliches Szenario SYN Flood & LAND Attack Zusammenfassung Analyse-Tools WireShark Monitoring von Paketen mit»fw monitor« Syntaktische Beispiele für einfache fw monitor- Kommandos Weitere Filterausdrücke Monitoring von SecureClient-Paketen Tcpdump CPInfo Erstellen einer CPInfo-Output-Datei Analyse der CPinfo-Output-Datei Die fw tab-kommandos Lizenz-Analyse mit LicViewer IKEView für die Analyse von IKE/IPsec Das Kommando fw ctl pstat Dimensionierung des Kernel-Speichers Debugging mit»fw ctl debug« Debugging von SecureClient

11 Inhalt Die Daemons»fwd«und»fwm«in den Debug Mode versetzen Zusammenfassung Verwaltungstools für die Objekt-datenbank Änderung einiger Parameter in den Global Properties Network Address Translation Management High Availability Erstellen von Host-Objekten mit dbedit Erstellen von Service-Objekten mit dbedit Beispiele weiterer Modifikationen mit dbedit Excessive Log Grace Period Modifikation der SA-Lifetimes für IKE und IPSec Konfiguration von Mail Alert Anlegen eines Benutzer-Objekts Optimieren von Gateway-Eigenschaften Die grafische Entsprechung zu dbedit: GUIdbedit Zusammenfassung Voice over IP: Konfiguration unter Check Point NGX Die wesentlichen Merkmale von VoIP H H.323 Terminal H.323 Gatekeeper H.323 Gateway Multipoint Control Unit (MCU) Session Initiation Protocol (SIP) Die Komponenten von SIP Die SIP Response Codes Verlauf einer SIP-Kommunikation Vergleich: SIP gegen H Konfiguration von Asterisk als SIP Proxy /etc/asterisk/sip.conf /etc/asterisk/extensions.conf /etc/asterisk/voic .conf Installation und Konfiguration von OnDO SIP Server als SIP Proxy Basiskonfiguration von SIP User Agents Konfiguration von GrandStream BudgeTone

12 Inhalt Konfiguration von Allnet ALL Softphones Konfiguration von Check Point für SIP-Kommunikation Konfiguration von Check Point für H.323-Kommunikation Zusammenfassung Quality of Service Die QoS-Technologien Die QoS Policy von Check Point Express Mode Traditional Mode Der Einsatz von QoS Classes Konfiguration der Gateway-Interfaces Zusammenfassung Troubleshooting VPN-1 Pro/Power Probleme mit SIC Probleme mit der Policy Installation Installation wird mit Fehlern abgebrochen Probleme nach einem Wechsel von DAIP zu einer Firewall mit statischer IP Probleme nach dem Erstellen von zwei Host-Objekten mit gleicher IP-Adresse Error: macro identifier <fw> redefined. Compilation failed [LOG-CRIT] kernel: FW-1: Log Buffer is full [LOG-CRIT] kernel: FW-1: lost 500 log/trap messages Error: No valid QoS license Firewall-HQ-01 NGX R62 QoS. Verifier Error in Standard. DiffServ Class DSCP1010 is not defined for this interface Policy installation failed Classes guarantees must not exceed interface rate Probleme mit der CheckPoint-Installation InError:CPshrd/cpshared_ipso.tgz depend on /opt/ CPshared Probleme bei Solaris 9: libcrun.so.1: open failed: No such file or directory

13 Inhalt Probleme mit der HFA-Installation auf Nokia Flash-based Appliances Das Hinzufügen von externem Zusatzspeicher in einer Flash-based Nokia IP Appliance schlägt fehl Probleme mit einer URI-Ressource Probleme mit der Konfiguration von ClusterXL Probleme mit der SIP-Kommunikation Probleme mit Site-to-Site VPN Probleme mit Remote-Access-VPN Probleme mit der LDAP-Integration Probleme mit Upgrade-Tools Probleme mit der Installation von Provider-1 R Probleme nach dem Inplace-Upgrade von Provider-1 NGX R60A nach NGX R QoS-Probleme Fehlermeldung von SmartDefense Fehlerhaftes Verhalten bei ClusterXL unter SecurePlatform Die Policy lässt sich nicht von einem SmartCenter Server auf die VPN-1 Edge X-Appliance installieren Zusammenfassung Backup und Restore Backup und Restore unter Windows Security Gateway SmartCenter Server Backup und Restore unter SecurePlatform Backup und Restore des Security Gateways Backup und Restore des SmartCenter Servers Upgrade-Tools unter SecurePlatform Sicherung und Wiederherstellung unter IPSO Backup and Restore Configuration Sets Zusammenfassung Neuerungen von NGX R Systemvoraussetzungen für VPN-1 Power/ UTM NGX R Benötigte Betriebssysteme Mindestvoraussetzungen für den NGX SecureClient Hardware-Mindestvoraussetzungen

14 Inhalt 20.2 Upgrade auf R SmartCenter Upgrade unter Windows SmartCenter Upgrade unter Linux, SecurePlatform und Solaris SmartCenter Upgrade unter Nokia IPSO Offline-Migration des SmartCenters nach R Bootvorgang unter SecurePlatform/SecurePlatform Pro Installation des SmartCenters auf SecurePlatform Installation des SmartCenters unter Windows Web Filtering und Anti Virus unter R Interface Bonding Die Advisories im SmartView Tracker SecurePlatform- und Linux-Unterstützung für Intel Active Management Technology SmartDefense und Aggressive Aging Service und Aggressive Aging SYN Cookie Management Plug-ins Zusammenfassung Anhang A RSA SecurID A.1 Grundsätzliches zu RSA Authentication Manager A.1.1 Die Tokens von RSA SecurID A.1.2 Installation unter Windows 2000 Server bzw. Advanced Server A.1.3 Installation des RSA Authentication Agents auf dem Server A.1.4 Installation unter Red Hat Enterprise Linux A.2 Zur Erinnerung: Integration von SecurID in die Check Point SVN A.3 Zusammenfassung B Administration der VPN-1 Edge Appliances mit dem SmartCenter Server NGX R B.1 Die Modelle und Features der VPN-1 Edge-Serie B.2 Initiale Konfiguration der VPN-1 Edge B.3 Integration der VPN-1 Edge Appliances in die Smart- Infrastruktur

15 Inhalt C B.4 Aktualisieren der VPN-1 Edge Firmware von Embedded NG auf Embedded NGX B.5 Zusammenfassung Administration von SofaWare Safe@Office Appliances über SofaWare SMP C.1 Safe@Office Appliances C.2 Initiale Konfiguration der Safe@Office-Appliance C.3 Was kann die Safe@Office-Appliance? C.3.1 Welcome C.3.2 Reports C.3.3 Security C.3.4 Services C.3.5 Network C.3.6 Setup C.3.7 VPN C.3.8 Help C.3.9 Logout C.4 Die SMP-Architektur C.5 SofaWare Management Server (SMS) C.5.1 Event Logging Module C.5.2 URL Filtering Module (UFM) C.5.3 Content Vectoring Module (CVM) C.5.4 Dynamic VPN Service (DVPN) C.5.5 Dynamic DNS Service (DDNS) C.5.6 SofaWare Reporting Module C.6 SofaWare Management Center (SMC) C.7 Self Provisioning Portal (SPP) C.8 Installation von SMP C.8.1 Voraussetzung für die Installation C.8.2 Installation des Primary SMP Servers unter Windows C.9 Am SMC anmelden C.10 Konfiguration des SMP C.11 Erstellen eines Service-Plans vom Typ»Local Management« C.12 Erstellen eines Service-Plans vom Typ»Remote Management« C.13 Erstellen eines Gateways C.14 Registrierung des Gateways an dem SMS C.15 Firmware-Update C.16 Noch einmal: Registrierung der Appliance an den SMS C.17 Zusammenfassung

16 Inhalt D Check Point Provider D.1 Wozu dient Provider-1? D.1.1 Network Operation Center (NOC) D.1.2 Multi Domain Server & CMAs D.1.3 MSP D.1.4 MDG D.1.5 CLM D.2 Installation von Provider D.2.1 Die unterstützten Betriebssysteme D.2.2 Hardware-Mindestvoraussetzung D.2.3 Installationsschritte D.3 Installation der Multi Domain GUI D.3.1 Die unterstützten Betriebssysteme und die Hardware- Mindestanforderungen D.3.2 Installation der MDG unter Windows D.3.3 Installation der MDG unter Solaris D.4 Konfiguration von CMAs D.4.1 Anlegen eines neuen Customers D.4.2 Modifizieren von administrativen Zugriffsrechten D.5 Wichtige Kommandozeilenbefehle zu Provider D.6 Verwaltung der Logs D.7 Die Global Policies D.8 Umwandeln eines SmartCenter Servers in einen Customer D.9 Sicherung Ihres MDS-Systems D.10 Wiederherstellung Ihres MDS-Systems D.11 Praxisszenario D.12 Zusammenfassung E Check Point Integrity E.1 Die Architektur von Integrity E.2 Installation des Integrity Servers E.2.1 Voraussetzung für die Installation E.2.2 Vorgehensweise bei der Installation E.3 Die Entities von Integrity E.4 Die administrativen Rollen in Integrity E.5 Die Integrity Clients E.6 Die Organisation der Zonen E.7 Die Integrity Security Policies E.8 Die Policy Rules E.9 Installation des Integrity Clients

17 Inhalt E.10 Wenn die Software einmal installiert ist E.11 Zusammenfassung F Das ISO-/OSI-Referenzmodell F.1 Bitübertragungsschicht F.2 Sicherungsschicht F.3 Vermittlungsschicht F.4 Transportschicht F.5 Sitzungsschicht F.6 Darstellungsschicht F.7 Anwendungsschicht G Literaturhinweise und Tipps G.1 Literatur zu Check Point NG/NGX VPN-1 Pro/Power G.2 Weitere Informationen zum Thema Check Point G.3 Grundlegende Konzepte G.4 Voice over IP G.5 Hacking G.6 OS Fingerprinting G.7 SofaWare SMP G.8 LDAP und X G.9 VMWare H Glossar Index

18 In diesem Kapitel wird erläutert, warum sich jedes Unternehmen vor dem Zugriff durch Unbefugte schützen muss. Ferner werden die vier gängigen Firewall-Technologien beschrieben und miteinander verglichen. Ergänzende Konzepte zu Firewalls finden auch Berücksichtigung. 1 Allgemeines zu Internet-Security und Firewalls Das Internet ist als Medium nicht mehr wegzudenken. In den Anfängen des Internets hatte man wohl kaum mit der heute erreichten Popularität gerechnet. Noch vor kaum einem Jahrzehnt wurden IP-Adressen an Firmenkunden großzügig verteilt, ohne sich zu erkundigen, ob dieser Kunde tatsächlich eine oder manchmal auch mehrere ganze Class-C-Adressen benötigte. Nun müssen wir erkennen, dass diese Handhabung im Nachhinein als Fehler zu werten ist. Die Folge davon ist die Adressknappheit im World Wide Web. Dieser Tatsache ist die Geburt von IPv6 zu verdanken. Und wenn man sich Firmen und Institutionen anschaut, die eine Class-A-Adresse zugewiesen bekamen (wie damals Compaq, Hewlett Packard, Apple, das Massachusetts Institute of Technology u. a.), dann fragt man sich noch heute, ob es mittlerweile eine Technologie gibt, die eine so große Anzahl von Rechnersystemen in einem einzigen Netzwerk verkraften kann. Sie müssen sich einmal vorstellen, dass Ihnen mit einem IP-Adressbereich von Class A mehr IP-Adressen zur Verfügung stehen, als die Niederlande Einwohner haben! Und nach der Übernahme von Compaq durch Hewlett-Packard wären Sie nun im Besitz zweier Class-A-Adressbereiche. Mehr als 34 Mio. Hosts könnten damit adressiert werden, also mehr, als das flächenmäßig zweitgrößte Land der Erde, Kanada, Bürger zählt! Das Internet ist für die Industrienationen zur Normalität geworden. Wie das tägliche Surfen im World Wide Web ist inzwischen auch die Existenz von Viren, Spams, Würmern zur Normalität geworden. Manche haben sich damit abgefunden, in regelmäßigen Abständen ihren Rechner komplett neu einzurichten. Aber gehört das auch zur Normalität? 41

19 1 Allgemeines zu Internet-Security und Firewalls Gewissermaßen als Rechtschreibreform in der Internet-Welt wird seit einiger Zeit DOS mit einem kleinen»o«in der Mitte geschrieben: DoS. Wenn einer sagt:»da ist eine neue DoS-Attacke im Umlauf!«, so werden vielleicht einige älteren Semesters erwidern:»wer verwendet heute noch DOS?«Vielleicht denken jüngere sogenannte Script Kiddies bei MS-DOS stattdessen an Multiple Simultaneous Denial of Service? Und nahezu täglich lesen wir von neuen Sicherheitslücken, die sich irgendwo wieder aufgetan haben. Das birgt die Gefahr in sich, dass neue Gefahren kaum mehr Aufsehen erregen und damit das Bewusstsein für neue Viren nicht mehr die Ausprägung hat, die angebracht wäre! Es sind nicht nur Viren, die in der hochtechnisierten Welt die geschäftskritischen Aktivposten und Unternehmenswerte bedrohen. Auch trojanische Pferde und Würmer haben Einzug selbst in PCs von Privatpersonen gefunden. Auch diese Entwicklung ist besorgniserregend. Der Schaden, der durch Absicht von Hackern entsteht, geht in die Milliarden, aber die wahren Täter bekommt man selten zu Gesicht. Das ist das eigentlich Bedrohliche am Internet. Firewalls sind die Lösung! Doch sind sie es wirklich? Sie versprechen oft zu viel. Die Marketing-Abteilung verwechselt schon mal die Funktion Network Address Translation mit einer Firewall-Technologie und wirbt schon mal mit dem Spruch, Packet Filtering & Network Address Translation sei doppelte Sicherheit! Das größte Sicherheitsrisiko ist jedoch ein Security-Administrator selbst, der seine Firewall nicht gut kennt. Doch um den Administrator ein wenig in Schutz zu nehmen: Firewall-Administrator wird man nicht einfach so von heute auf morgen, sondern man muss da hineinwachsen. Und: Man lernt nie aus! Es gibt eine Fülle von grundlegend unterschiedlichen Firewall-Konzepten. Deren unterschiedliche Techniken wollen wir in dem nächsten Abschnitt einmal durchleuchten. 1.1 Die Firewall-Technologien im Überblick Zur Förderung des Verständnisses interner Kommunikation zwischen Systemen in einem heterogenen Netzwerk wurde von dem Standardisierungsgremium ISO (International Organization for Standardization) ein Framework definiert, das als Open System Interconnection (oder kurz: OSI) bezeichnet wird. Das Ziel der ISO ist es, die Interoperabilität zwischen Systemen unterschiedlicher Hersteller durch Anwendung international vorgeschriebener Standards zu gewährleisten. 42

20 Die Firewall-Technologien im Überblick 1.1 Im Anhang F dieses Buches sind die Grundzüge dieses sogenannten ISO-/OSI- Referenzmodells erläutert. Darin werden Standards und Spezifikationen diverser Netzwerk-Protokolle beschrieben. Wenn man von einer Firewall spricht, dann assoziieren viele Menschen diesen Begriff allgemein mit einer Personal Firewall oder Desktop Firewall. Eine solche Software-Firewall ist eine Lösung, die direkt auf einem Arbeitsplatz-Rechner installiert wird. Damit ist man in der Lage zu definieren, welche ein- und ausgehenden Pakete man zulassen möchte. Für ein vollständiges Verständnis der Funktionen einer Desktop-Firewall für eine geeignete Konfiguration von Filterregeln muss der PC-Benutzer auch über ein fundiertes Wissen über die TCP/IP-Protokollsuite und deren Dienste verfügen. Da liegt der Knackpunkt in dem Prinzip dieser Lösung. Wenn Sie Auto fahren wollen, so müssen Sie ja auch nicht etwa das Prinzip des Otto-Motors voll erfasst haben, um ein guter Fahrer bzw. eine gute Fahrerin zu sein. In der Praxis wird man sich nicht nur auf eine einzige Lösung, wie Antiviren-Software oder Desktop-Firewalls, verlassen können, da jedes Betriebssystem irgendwo Sicherheitslücken hat und wir nicht mit Gewissheit sagen können, ob die Software-Lösung diese Lücken erkennt und stopfen kann. Man unterscheidet in der IT-Welt zwischen einer Software- und einer Hardware- Lösung. Unter einer Check Point-Firewall verstehen die Experten in erster Linie die Hardware-Firewall, die auch schon mal als Gateway Firewall bezeichnet wird, um diese Lösung von der Desktop-Variante abzugrenzen. Alle Hardware-Firewalls haben gemeinsam, dass sie einen IP-Router darstellen. Ein IP-Router (oder kurz: Router) ist ein Hostssystem, das in der Regel über zwei oder mehr physikalische Netzwerkkarten verfügt und in der Lage ist, mehrere logisch wie physikalisch segmentierte IP-Netze miteinander zu verbinden. Dies geschieht, indem der Router die Pakete von einem IP-Netz zu einem anderen IP- Netz transferiert (eben routet). Netzwerk-Protokolle Natürlich ist IP nicht das einzige Netzwerk-Protokoll, das routing-fähig ist. Ein Beispiel für ein anderes Netzwerk-Protokoll ist IPX von Novell. Auch Novell hatte unter NetWare 3.x und 4.x bereits die Routing-Funktionalitäten zur Verfügung gestellt und mit NLSP (NetWare Link Services Protocol) sogar ein dynamisches IPX-Routing-Protokoll geschaffen. Die Bedeutung von IPX-Routing ist in der Praxis jedoch eher rückläufig, denn Novell hat mit der Version NetWare 5.0 bereits Pure IP eingeführt. Somit ist ab dieser Version auch unter Novell NetWare das IP-Protokoll das primäre Kommunikationsprotokoll. Dienste wie ifolder, iprint, NFAP u. a. gehören zu den Kernfunktionen von Novell NetWare, und diese haben allesamt TCP/IP als Fundament. 43