Sicherheit im Internet. Praktische Umsetzung von Firewall-Konzepten

Transkript

1 ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Sicherheit im Internet Praktische Umsetzung von Firewall-Konzepten Seminar Datenverarbeitung WS 1997/98 Referent: Michael Hennecke Betreuer: Thomas Droste SEMINA R DATENVERA RBEITUNG WS 1997/98 URL:

2 Inhalt Inhalt 1 Einführung Gründe für den Einsatz von Firewalls Aufgaben einer Firewall Basis Firewall Konzepte Paketfilterung Proxy Systeme Anforderungen in der Wirtschaft Der Borderware Firewall Server Secure Server Net Java Applet zur Administration Alarmmeldung via Moderne Firewall Konzepte Virtual Private Networking Dynamic Virtual Private Networking Erweiterte Analysemöglichkeiten HTTP Proxy des Gauntlet Firewall Literatur

3 Kapitel 1 Einführung 1 Einführung 1.1 Gründe für den Einsatz von Firewalls Die Bedeutung von Firewalls ist mit dem rasanten Wachstum des Internets eng verbunden. Da dieses weltweit größte Computernetz ein ideales Kommunikationsmedium ist und auch interessante kommerzielle Möglichkeiten bietet, beschließen immer mehr Firmen und Organisationen ihr lokales Computernetz (LAN 1 ) mit dem Internet zu verbinden. Im folgenden wird von lokalen Netzwerken ausgegangen, die bereits als Netzwerkprotokoll das Internet Protokoll (TCP/IP 2 ) einsetzen. Ein solches LAN wird Intranet genannt. Der Zusammenschluß der beiden Netzwerke ist technisch kein Problem, da sie das gleiche Netzwerkprotokoll benutzen. Gegen einen direkten Zusammenschluß sprechen aber schwerwiegende Sicherheitsbedenken. So kann z.b. jeder externe User auf die Daten des lokalen Netzes, das mit dem Zusammenschluß ein Teil des Internet geworden ist, zugreifen und diese ggf. manipulieren (kopieren, löschen, etc.). Um das zu verhindern wird ein Firewall System zwischen dem lokalen Netz und dem Internet geschaltet. Dieses besteht aus Hard- und Softwarekomponenten, die den Datenfluß zwischen den beiden Netzwerken kontrollieren und steuern. Auf die unterschiedlichen Architekturen von Firewall Systemen soll ihr nicht eingegangen werden (vgl. [CHA96]). Bild 1: Dual Homed Firewall 1 LAN local area network 2 TCP/IP Transmission Controll Protocol / Internet Protocol 3

4 Kapitel 1 Einführung Im einfachsten Fall ist die Firewall ein Rechner mit zwei Netzwerkkarten, über die das interne und externe Netzwerke angeschlossen sind. Eine solche Konfiguration wird auch Dual Homed Firewall genannt (vgl. Bild 1). Auf diesem Rechner läuft eine Firewall Software, welche die Kontrolle des Datenflusses übernimmt. Eine Firewall 3 bietet ein relativ hohes Maß an Sicherheit, wobei zu beachten ist, daß es keine absolute Sicherheit gibt. 1.2 Aufgaben einer Firewall Die in Kapitel 1.1 genannte Kontrolle des Datenflusses muß spezifiziert werden. Dazu wird eine Sicherheitspolitik 4 erstellt. Sie enthält ein detailliertes Regelwerk für die Anbindung des Intranets an das Internet: Am Anfang wird die Grundhaltung für die zu erstellenden Regeln festgelegt. Diese kann restriktiv sein, dann sind alle Dienste gesperrt und müssen explizit freigegeben werden oder sie ist liberal, dann sind alle Dienste freigegeben und nur die gefährlichen gesperrt. Der gesamte Datenfluß muß durch die Firewall gehen. Es darf keine weiteren, unkontrollierten Verbindungen zur Außenwelt geben, da sonst die Firewall wirkungslos wäre. Welcher Internet-Dienst darf unter welchen Bedingungen von der Firewall durchgelassen werden? Der Datenverkehr muß protokolliert werden, um später Integritätsverletzungen nachvollziehen zu können. Ein Notfall-Szenario legt fest, welche Maßnahmen nach einem erfolgten Angriff zu leisten sind. Die Erstellung der Sicherheitspolitik ist ein wesentlicher Teil der Planung eines Firewall Systems. Erst wenn sie abgeschlossen ist, erfolgt die eigentliche Beschäftigung mit der Firewall. In Firmen ist die Sicherheitspolitik ein z.t. sehr umfangreich juristisches Dokument. Die wesentliche Aufgabe einer Firewall ist es, die Sicherheitspolitik umzusetzen. 1.3 Basis Firewall Konzepte In diesem Kapitel werden die Basis Konzepte erläutert, mit denen eine Firewall die Sicherheitsanforderungen aus Kapitel 1.2 erfüllt. 3 Firewall Brandschutzmauer 4 Security Policy - Sicherheitspolitik 4

5 Kapitel 1 Einführung Da diese eng mit dem Internetprotokoll TCP/IP verbunden sind, soll hier eine kurze Einführung in die Protokollarchitektur erfolgen. TCP/IP ist das Netzwerkprotokoll des weltweit größten Computernetzes Internet. In diesem Netzwerk werden Internet-Dienste wie z.b. das World Wide Web (WWW 5 ), und 6 angeboten. Diese Dienste werden von Servern 7 bereitgestellt, die jeder Client 8 nutzen kann. Um eine Kommunikation zwischen Client und Server zu ermöglichen, ist eine eindeutige Adressierung nötig. Diese besteht aus einer IP-Adresse und einer TCP- Portnummer. Jeder Internet-Rechner besitzt eine IP-Adresse (z.b ), die für ihn einmalig vergeben wurde. Da auf einem Rechner mehrere Server laufen können, ist zusätzlich die Angabe der TCP-Portnummer nötig, um einen bestimmten Dienst anzusprechen. Möchte ein Client z.b. Informationen von einem WWW-Server abrufen, so schickt er dazu eine Anfrage ins Netz, die als Zieladresse die IP-Nummer des Internet-Rechners beinhaltet, auf dem der WWW-Server läuft. Die TCP Portnummer in dieser Anfrage hat den Wert 80. Statt der IP-Adresse gibt der Benutzer oft einen Textstring ein (z.b. der dann vom Internet-Dienst Domain Name Service (DNS) in die entsprechende IP-Adresse umgewandelt wird (hier ). Auch die TCP Portnummer muß nicht explizit angegeben werden, da sie beim Verbindungsaufbau für den jeweiligen Internet-Dienst immer gleich ist (z.b. WWW Port 80). Die Datenübertragung im Internet erfolgt in Form einzelner Pakete (Datagramme). Diese Pakete sind in einen Header und in einen Datenteil aufgeteilt. Wie diese Pakete gebildet werden, zeigt das Schichtenmodell des Internet-Protokolls (vgl. Bild 2). Die Protokollarchitektur besteht aus vier funktional unabhängigen Schichten: In der obersten Ebene, der Anwendungsschicht, finden sich die Anwendungsprotokolle, die jeweils einen bestimmten Internet-Dienst zugeordnet sind (z.b. HTTP 9 WWW, SMTP 10 ). Die dritte Ebene ist die Transportschicht, die Transport- und Kontrollprotokolle bereitstellt. Hier werden z.b. die TCP Portnummern verarbeitet. 5 WWW - Internet-Informationsdienst 6 - elektronischer Nachrichtendienst 7 Server - Dienstanbieter 8 Client - Dienstnehmer 9 HTTP - Hyper Text Markup Language, Anwendungsprotokoll für WWW 10 SMTP Simple Mail Transfer Protocol, Anwendungsprotokoll für 5

6 Kapitel 1 Einführung Die zweite Ebene ist die Internetschicht. Sie beinhaltet das eigentliche Internet- Protokoll (IP). Hier werden z.b. die IP-Adressen verarbeitet. Die unterste Ebene ist die Netzzugangsschicht. Dort wird das Übertragungsprotokoll (z.b. Ethernet) des jeweiligen Übertragungsmediums (z.b. Unshielded Twisted Pair (UTP)) dargestellt. Zum Vergleich sind auf der rechten Seite (in Bild 2) die jeweiligen Schichten des Open System Interconnection (OSI) Modells angegeben. Dies ist ein standardisiertes Schichtenmodell zur Analyse von Netzwerkprotokollen. Anwendungsschicht (SMTP, Telnet, Ftp, etc.) Daten OSI Layer 7,6,5 Transportschicht (TCP, UDP, IMCP) Header Daten OSI Layer 4 Internetschicht (IP) Header Daten OSI Layer 3 Netzzungangsschicht (Ethernet, FDDI) Header Daten OSI Layer 2,1 Bild 2: Schichtenmodell des Internet Protokolls An einem Beispiel soll nun gezeigt werden, wie die Schichten miteinander kommunizieren und die Pakete gebildet werden. Verschickt ein Anwender eine , so erzeugt sein Programm eine Reihe von Datenpaketen, die jeweils den Inhalt der Mail (z.b. Subject, Body) und Kommandos des entsprechenden Anwendungsprotokolls SMTP (z.b. helo, data) enthalten. Ein solches, in der Anwendungsebene erstelltes, Datenpaket wird nun an die tiefer liegende Transportschicht weitergereicht, in der ein schichtspezifischer Header hinzugefügt wird, der TCP Steuerinformationen wie z.b. die TCP Quell- und Zielportnummer enthält. Das Ganze wird als ein Paket an die tiefer liegende Internetschicht weitergereicht, die das Paket als Datenteil behandelt und ihrerseits einen Header hinzufügt der u.a. die IP Quell- und Zieladresse enthält. Dieser Vorgang wiederholt sich noch einmal beim Übergang zur Netzzungangsschicht. Das so entstandene Paket wird nun über das Netzwerk verschickt. Dieser Vorgang, der an das Prinzip der russischen Puppen erinnert, wird als transparente Kapelung bezeichnet. Mit Transparenz wird der Umstand bezeichnet, daß die tiefer liegende Schicht keine Informationen über den Aufbau des ihr übergebenen Paketes hat. 6

7 Kapitel 1 Einführung Beim Empfänger entfernt jede Schicht ihren Header und reicht die Daten an die nächst höhere Schicht weiter bis schließlich das Datenpaket mit den SMTP Befehlen und dem Inhalt der übrigbleibt. Die Basis Analysekonzepte einer Firewall beruhen darauf, daß sie eingehende Pakete nach obigen Verfahren auspackt und die Header untersucht Paketfilterung Ein Analyeverfahren von Firewalls ist die Paketfilterung. Eingehende Pakete werden bis zur IP-Ebene bzw. Transportebene (TCP) ausgepackt und es wird der jeweilige Header untersucht. Vor dem Hintergrund der implementierten Regeln wird das Paket weitergeleitet oder verworfen. Bei der Auswertung des IP-Headers sind einige Einträge vom besonderen Interesse (vgl. Bild 3): IP-Quelladresse bzw. IP-Ursprungsadresse IP-Zieladresse Protokolltyp (TCP, UDP, ICMP) IP-Option Bild 3: IP-Header Über die IP Adressen kann so z.b. der Datenverkehr für bestimmte Server und Clients gesperrt werden. Treten auf der externen Seite der Firewall Pakete mit IP-Quelladressen aus dem Intranet auf, so können diese sofort verworfen werden. Das Feld IP-Optionen ist in der Regel leer. Es kann aber mißbraucht werden, um die Funktion von Routern 11 außer Kraft zu setzen zu (auch Source Routing genannt). Daher verwerfen Firewalls Pakete mit IP-Option Einträgen. 11 Router Systeme, die durch Auswertung der IP-Zieladresse den Datenfluß steuern 7

8 Kapitel 1 Einführung Die Auswertung des TCP-Headers auf der Transportebene (OSI Layer 4) berücksichtigt im wesentlichen folgende Einträge: TCP-Quellport TCP-Zielport TCP-Flags Über die TCP Portnummern können bestimmte Internet-Dienste (z.b. WWW=Port 80) gesperrt werden. Die Auswertung des Acknowledge (ACK) Flag ermöglicht der Firewall festzustellen, welcher Rechner (intern oder extern) die Verbindung aufbaut (vgl. Bild 4). So können z.b. Telnet Verbindung von Intranet ins Internet zugelassen werden, nicht aber umgekehrt. Client Server ACK=0 ACK=1 Zeit ACK=1 ACK=1 Bild 4: Wertigkeit des ACK Bits beim Verbindungsaufbau Proxy Systeme Ein modernes Sicherheitskonzept von Firewalls ist die Implementation von Proxy Systemen. Diese bauen stellvertretend für den Client die Verbindung zum Internet auf. Die Sicherheit wird somit wesentlich erhöht, da der Intranet-Client keinen direkten Internet Zugriff hat, sondern diesen immer über den Proxy Server realisieren muß. Dabei tauscht der Proxy Server die IP-Quelladresse des Intranet-Clients durch seine eigene, externe IP-Adresse aus, so daß der Internet-Server glaubt, er kommuniziere nur mit dem Proxy System. Moderne Proxy Systeme sind transparent, d.h. der Client bemerkt den Proxy nicht und glaubt direkt mit dem Internet-Server zu kommunizieren (vgl. Bild 5). Daher muß auf dem Client keine modifizierte Software installiert werden bzw. der Benutzer muß sich nicht auf dem Proxy Server einloggen. 8

9 Kapitel 1 Einführung Tatsächliche Verbindung Illusion des Servers Scheinbare Verbindung Proxy System Illusion des Clients Internet Server Intranet Client Bild 5: Transparenter Proxy Server Es gibt zwei Arten von Proxy Systemen, generische und dedizierte Proxy Server Circuit Level Proxy Der Circuit Level Proxy arbeitet auf der Transportebene (OSI Layer 4). Er hat keine Kenntnisse über das von ihm übertragene Anwendungsprotokoll. Da er keinem bestimmten Anwendungsprotokoll zugeordnet ist, wird er auch als generischen Proxy Server bezeichnet. Somit kopiert er nur die Daten von einem Interface der Firewall zum anderen unter Berücksichtigung der Sicherheitspolitik (Paketfilterung auf Transportebene) und tauscht die IP-Quelladresse des Intranet-Clients aus. Der Vorteil des generische Proxy ist, daß er schnell an neue Anwendungsprotokolle angepaßt werden kann. Somit wird die Flexibilität einer Firewall erhöht. Der Nachteil ist relativ Unsicherheit aufgrund seines Arbeitsprinzips. Eine Grundregel ist daher, daß nie ein Verbindungsaufbau vom externen ins interne Netz mit einem Circuit Level Proxy realisiert werden darf. Bild 6: Generischer Proxy 9

10 Kapitel 1 Einführung Application Level Proxy Der Application Level Proxy untersucht die Daten auf der Anwendungsebene (OSI Layer 7) und hat somit Kenntnisse über das Anwendungsprotokoll. Jedem Anwendungsprotokoll ist ein Application Level Proxy zugeordnet, daher wird er auch als dedizierten Proxy Server bezeichnet. Der Application Level Proxy versteht und interpretiert die Befehle seine Anwendungsprotokolls (z.b. SMTP-Befehle: data, helo,...) und bietet damit weitreichende Anaysemöglichkeiten. Die relativ hohe Sicherheit ist sein wesentlicher Vorteil. Ein Nachteil ist, daß dedizierte Proxy Server nicht sofort für neuste oder seltene Anwendungsprotokolle verfügbar sind. Bild 7: Dedizierter Proxy Server Moderne Firewalls sind Kombinationen aus Paketfiltern und Proxy Systemen. Sie untersuchen die Daten auf drei Ebenen des Internet-Schichten-Modells. 10

11 Kapitel 2 Anforderungen in der Wirtschaft 2 Anforderungen in der Wirtschaft In der Industrie bzw. Wirtschaft werden im wesentlichen folgende Anforderungen an ein Firewall System gestellt: 1. Umsetzung der Sicherheitspolitik (Security Policy) 2. Kosten 3. Support 4. Flexibilität 5. Bedienbarkeit 6. Integration in bestehende Hard- und Softwareumgebung 7. Zertifikate, Empfehlungen und Testberichte Zu 1) Umsetzung der Sicherheitspolitik (Security Policy) Das Firewall System muß kompromißlos die Anforderungen der Sicherheitspolitik für die Anbindung des Intranets an das Internet erfüllen. Dies ist das wesentliche Entscheidungskriterium für die Wahl einer bestimmten Firewall. Zu 2) Kosten Ein wesentlicher Gesichtspunkt sind auch die Kosten. Sie liegen für kommerzielle Firewall Systeme zwischen 10 und 60 TDM, Speziallösungen für Hochsicherheitsanforderungen liegen zwischen 300 und 700 TDM. Hinzu kommen ggf. Kosten für Hardware und Software (z.b. Betriebsystem). Desweiteren ist mit Folgekosten für z.b. Support, Schulung zu rechnen (Cost of Ownership). Zu 3) Support In der Wirtschaft ist die Downtime 12 von EDV Systemen ein kritischer Punkt. Fällt ein System aus, so kann dies, abhängig von der Ausfallzeit, viel Geld kosten. Daher ist es wichtig, das Störungen durch den Support schnell behoben werden. Beim Kauf von kommerziellen Firewalls sollte immer ein Supportvertrag mit abgeschlossen werden. Die Supportformen reichen von Hotline über Vor-Ort-Reparaturen bis zu Fernkonfiguration über Secure Telnet Downtime Zeit in der ein EDV System außer Betrieb ist 13 Secure Telnet gesicherte Terminalverbindung 11

12 Kapitel 2 Anforderungen in der Wirtschaft Zu 4) Flexibilität Eine Firewall muß in der Lage sein, neue Anforderungen zu erfüllen. Ein neues Anwendungsprotokoll soll z.b. durch die Firewall durchgelassen werden. Da noch kein Aplication Level Proxy für das Protokoll existiert, muß der Administrator in der Lage sein, statt dessen einen generischen Proxy zu definieren. Zu 5) Bedienbarkeit Firewalls sind sehr komplexe Softwareprodukte. Um die Bedienbarkeit zu erleichtern sind alle kommerziellen Firewalls mit einer graphischen Benutzungsoberfläche (GUI) ausgestattet. Sie bieten eine erhöhte Übersicht und vermeiden damit die Gefahr von Fehlkonigurationen. Zu 6) Integration in bestehende Hard- und Softwareumgebung Moderne lokale Netzwerke sind homogen aufgebaut, d.h. sie benutzen eine einheitliche Hard- und Softwarearchitektur. Eine Firewall sollte sich nahtlos in die Umgebung integrieren lassen. Aus diesem Grund bieten fast alle Hersteller ihre Firewalls auch als MS Windows NT Version an, da dieses Betriebssystem in neuen Intranets verstärkt eingesetzt wird. Das klassische Betriebssystem für Firewalls ist Unix. Zu 7) Zertifikate, Empfehlungen und Testberichte Bei der großen Anzahl an Firewall Produkten ist es schwierig, die Übersicht zu bewahren. Eine Hilfe sind die Firewall Zertifikate der National Computer Security Asscociation (NCSA, vgl. [NCS97]) oder die Empfehlungen der entsprechenden Newsgroup im Internet [NEW97]. 12

13 Kapitel 3 Der Borderware Firewall Server 3 Der Borderware Firewall Server Nachdem in Kapitel 1 und 2 die Anforderungen und grundlegenden Funktionsweisen einer Firewall aufgeführt worden sind, wird nun eine konkrete Firewall vorgestellt. Es handelt sich um den Borderware Firewall Server der Firma SecureComputing. Die besonderen Eigenschaften dieser kommerziellen Firewall werden im folgenden beschrieben: Die Firewall-Funktionalität ist fest im Unix-Betriebssystem integriert. Im Zentrum steht ein hardened kernel. Das ist ein modifizierter Kernel, der speziell den erhöhten Sicherheitsanforderungen angepaßt wurde. Einige Eigenschaften, wie z.b. der Multiuser Betrieb oder das Rechtesystem wurden aus Sicherheitsgründen entfernt. Daher ist ein einloggen auf der Firewall und das Ausführen von Programmen nicht möglich. Da die Firewall ihr eigenes Betriebssystem gleich mitbringt bzw. das Betriebssystem die Firewall ist, entfallen die zusätzlichen Kosten für den Kauf eines Betriebssystems (Unix oder MS Windows NT) auf dem die eigentliche Firewall-Software aufsetzen müßte. Der Borderware Firewall Server ist eine Tri Homed Firewall. Im Vergleich zu den Dual Homed Firewalls ist er mit drei Netzwerken verbunden (physikalisch: 3 Netzwerkkarten). In dem zusätzlichen Netzwerk (Secure Server Net) sind Serverdienste untergebracht (vgl. Kapitel 3.1). In der Firewall selbst sind gesicherte Server für Internet-Dienste (z.b. WWW, ) integriert. Die Administrierung erfolgt über ein Java-Applet, das von einem WWW- Browser geladen wird. Die Sicherheit dieser Remote-Administration wird durch kryptographische Maßnahmen wie z.b. Secure Socket Layer ( und KryptoCard gewährleistet. Das Java-Applet wird im Kapitel 3.2 vorgestellt. Die Firewall integriert das Virtual Private Networking (VPN) Konzept. Dieses Verfahren ermöglicht den Aufbau einer sicheren Verbindung zwischen zwei Intranets über das Internet (vgl. Kapitel 4.1). 3.1 Secure Server Net Zu den beiden Netzen Intranet und Internet wird über die Firewall ein drittes Netz, das Secure Server Net (SSN), geschaltet (vgl. Bild 8). Dieses ist für die Aufnahme von Server-Dienste (z.b. WWW, ) konzipiert, welche von Clients aus dem Intranet und dem Internet angesprochen werden können. 13

14 Kapitel 3 Der Borderware Firewall Server Bild 8: Secure Server Net Die drei Netzwerke sind gegeneinander durch jeweils unabhängige Firewalls gesichert. Jeder dieser Firewalls verfügt über eigene Sicherheits-Regeln, dedizierte Proxies, Paketfilter und Protokollmechanismen. Sollte ein überwinden der Firewall vom Internet ins SSN erfolgreich sein, so ist das Intranet immer noch geschützt. Die drei Netze verfügen über unterschiedliche IP-Adressbereiche. Möchte ein Client die Server-Dienste im SSN ansprechen, so sieht er immer nur die externe IP-Adresse der Firewall. Aufrund der TCP Portnummer (vgl. Kapitel 1.3) reicht die Firewall die Anfrage an den entsprechenden Server weiter. Um mehrere Internet-Dienste des gleichen Typs, z.b. 2 WWW-Server im SSN und der integrierte WWW-Server der Firewall, zu nutzten, wird das Mutiple Adress Translation Verfahren genutzt. Damit kann der Firewall mehrere externe IP-Adressen zugewiesen werden. Die Firewall leitet nun Anfragen auf Grund ihrer IP-Zieladresse und TCP Portnummer an den gewünschten Server weiter (mapping). Die Verknüpfungen zwischen externer IP-Adresse und Server können beliebig vorgenommen werden. 14

15 Kapitel 3 Der Borderware Firewall Server 3.2 Java Applet zur Administration Die komplexen Konfigurationsmöglichkeiten kommerzieller Firewalls begründen die Notwendigkeit graphischer Benutzungsoberflächen (GUI) zur Administration, um die Übersicht zu erhöhen und um Fehlkonfigurationen zu vermindern. Der Borderware Firewall Server bietet zudem noch ein hohes Maß an Flexibilität, indem er dieses GUI als Java Applet (vgl. Bild 9) zur Verfügung stellt. Der Administrator kann über das Netz die Firewall konfigurieren und braucht somit nicht "Vor-Ort" zu sein. Bild 9: Java Applet zur Administration des Firewalls Das Applet in Bild 9 wurde mit einem WWW-Browser geladen und zeigt in der unteren Statuszeile werden die CPU- und Netzwerkauslastung angezeigt. In der linken Menüleiste wurde der Eintrag für die Application Level Proxies ausgewählt. Sie realisieren die Verbindungen vom internen ins externe Netz und umgekehrt. Die Liste führt die Internet-Dienste auf, für die ein solcher dedizierter Proxy verfügbar ist. Dabei wird zwischen der Richtung des Verbindungsaufbaus unterschieden (Intern Extern 15

16 Kapitel 3 Der Borderware Firewall Server bzw. Extern Intern). Ist ein Internet-Dienst gesperrt, wird er mit einem X markiert. Andernfalls erfolgt die Freigabe durch das O.K.-Symbol. Die Verfügbarkeit eines bestimmten Internet-Dienstes kann an Zugriffsbeschränkungen (Access Rules) geknüpft werden. Bild 10: Beispiel für die Definition von Zugriffsbeschränkungen Diese Access Rules schränken die Benutzung eines Dienstes derart ein, daß hier z.b. nur der Client mit der IP-Adresse diesen Dienst in einem Zeitfenster (Montag von 01h bis 06h) nutzen kann (vgl. Bild 10). Dabei kann er jedoch auf alle Server dieses Typs zugreifen. 3.3 Alarmmeldung via Im ersten Kapitel wurde auf die Notwendigkeit einer selbständigen Alarmauslösung durch die Firewall hingewiesen, falls es zu Angriffsversuchen kommt. Eine Möglichkeit ist die Absetzung einer Alarmmeldung via an den Administrator, wie in dem folgenden Beispiel dargestellt: 16

17 Kapitel 3 Der Borderware Firewall Server From: PostMaster General <mail@company.de> To: userxy@domain.de Subject: Firewall Server ALARM Date: Sun, 11 Jan :04: ******************* ALARM on Rule 'TCP_Extern' ******************* 3 probe(s) under 5 minutes from: on port: 21 at Sun Jan 11 19:04: rule protocol port time (tcp) 21 (? ) Sun Jan 11 19:01: (tcp) 21 (? ) Sun Jan 11 19:03: (tcp) 21 (? ) Sun Jan 11 19:04: In diesem Fall wurde der Alarm durch drei Anfragen innerhalb von 5 Minuten an einen nicht vorhandenen Dienst (hier FTP 14 Port 21) ausgelöst. 14 FTP File Transfer Protocol, Dienst zum Versenden von Dateien 17

18 Kapitel 4 Moderne Firewall Konzepte 4 Moderne Firewall Konzepte Die modernen Eigenschaften von Firewall Systemen sind im wesentlichen: Die Verfügbarkeit von transparenten Application Level Proxies (dedizierten Proxy Servern) für alle Anwendungsprotokolle Administrierung über eine graphische Benutzungsoberfläche (GUI) Die Bereitstellung und Unterstützung von kryptographischen Verfahren Weitreichende Analysemöglichkeiten für die höheren Protokollschichten 4.1 Virtual Private Networking Das Virtual Private Networking (VPN) ermöglicht die Verbindung zweier Intranets durch einen sicheren Tunnel über das Internet. Der Tunnel wird dauerhaft von den Firewalls der beiden Intranets aufgebaut, wobei diese die automatische Verschlüsselung des Datenverkehrs zwischen den beiden Netzen übernehmen. Ein Standard für dieses Kryptographie- bzw. Authentisierungsverfahren ist IPSec (Internet Protocol Security). Das VPN ist transparent für den Anwender. Möchte dieser z.b. eine an das zweite Intranet senden, muß er diese nicht explizit verschlüsseln (z.b. mit PGP) sondern schickt sie einfach ab. Die Firewall erkennt, daß die für das andere Intranet bestimmt ist und leitet sie in den Tunnel, d.h. jedes Paket der wird verschlüsselt und über das Internet zur anderen Firewall geschickt (vgl. Bild 11). Bild 11: VPN Konzept 18

19 Kapitel 4 Moderne Firewall Konzepte Dynamic Virtual Private Networking Im Gegensatz zum VPN besteht beim Dynamic Virtual Private Networking (DVPN) keine dauerhafte Tunnelverbindung. Diese wird vielmehr dynamisch durch einen Client im Internet mit einer speziellen Tunnelsoftware aufgebaut (vgl. Bild 12). Auf diese Weise ist es z.b. möglich, daß ein Mitarbeiter in einem New Yorker Internet- Café sein Notebook an das Internet anschließt und einen gesicherten Tunnel zum Firewall seiner Firma aufbaut. Ab diesem Zeitpunkt ist sein Notebook im Firmennetz integriert. Eine spezielle Client Anwendung, die den Tunnel aufbaut, tauscht auch die aktuelle IP Protokollversion (IPv4.1) auf dem Client durch eine gesicherte Variante (vgl. IPv6) aus. Bild 12: Tunnelsoftware für DVPN 4.2 Erweiterte Analysemöglichkeiten Die bisher weitreichendste Analyseform ist die Auswertung der Befehle eines Anwendungsprotokolls durch den Application Level Proxy (vgl. Kapitel ). Nun sind diese Proxies auch in der Lage, den Inhalt von , FTP und WWW Übertragungen zu untersuchen. In Bezug auf das Beispiel aus Kapitel 1.3, indem der Anwender eine verschickt, bedeutet dies, daß nicht nur die SMTP-Befehle 19

20 Kapitel 4 Moderne Firewall Konzepte untersucht werden sondern auch der Text der . Desweiteren können Attachments 15 dieser auf Viren untersucht werden. Bei komplexen Untersuchungen, wie z.b. der Virenanalyse, leitet die Firewall den Datenstrom an einen speziellen Server weiter, der für sie die Analyse durchführt. Die Kommunikation zwischen der Firewall und dem externen Rechner basiert auf dem Content Vektor Protocol (CVP). Neben der Virenprüfung bieten die erweiterten Anaylseverfahren die Möglichkeit, gefährliche Programme, die das Anwendungsprotokoll HTTP (WWW) überträgt, zu sperren. Zu solchen Programmen gehören z.b. Java, JavaScript und Axtive-X Anwendungen. Desweiteren besteht die Möglichkeit, den einzelnen Befehlen eines Anwendungsprotokolls Regeln zuzuweisen HTTP Proxy des Gauntlet Firewall Diese erweiterten Analysemöglichkeiten aus Kapitel 4.2 werden in der Praxis bereits eingesetzt (vgl. Bild 13, 14, 15). Bild 13: HTTP Proxy Configuration Im Hauptfenster des HTTP Proxy können u.a. Anwendungem, die mit dem WWW- Dienst übertragen werden, gesperrt werden (vgl. Bild 13). 15 Attachment Datei, die mit einer verschickt wird 20

21 Kapitel 4 Moderne Firewall Konzepte Bild 14: Virus Scanning Settings Im ersten Unterfenster (vgl. Bild 14) wird ein externer Server, auf dem der Virenscanner läuft, angegeben und festgelegt, wie mit infizierten Dateien verfahren werden soll. Bild 15: HTTP Advanced Proxy Configuration Im zweiten Unterfenster (vgl. Bild 15) können für die einzelnen Kommandos des HTTP Anwendungsprotokolls Optionen festgelegt werden. 21

22 Kapitel 5 Literatur 5 Literatur [CHA96] Chapman & Zwicky Einrichten von Internet Firewalls ISBN: O Reilly, 1996 [NEW97] Usenetgroup comp.security.firewalls [BOR97] Borderware Firewall Server [TIS97] TIS Gauntlet Firewall [VPN97] VPN [NIS97] Security Policy [NCS97] NCSA Firewall Zertifikate 22