Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Bundesanzeiger Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 89817 525 8
Vorwort... 3 Inhaltsübersicht... 5 Abkürzungsverzeichnis... 13 1. Übersicht... 15 1.1 Definition des Begriffs Sicherheitsgateway... 15 1.2 Erläuterung des Begriffs Konzeption... 15 1.3 Anspruch des Dokuments... 16 1.4 Übersicht über den Aufbau des Dokuments... 16 2. Einsatzmöglichkeiten von Sicherheitsgateways... 19 3. Einordnung der Konzeption in den Gesamtzusammenhang... 21 3.1 Erstellung oder Anpassung einer IT-Sicherheitsleitlinie... 21 3.2 Konzeption des Sicherheitsgateways... 22 3.3 Umsetzung des Sicherheitskonzepts... 24 3.3.1 Revision... 24 3.3.2 Wartung und Störungsbehebung... 25 4. Module von Sicherheitsgateways... 27 4.1 Funktionen auf Anwendungsebene (Application-Level-Gateways)... 27 4.2 Funktionen auf UDP/IP- und TCP/IP-Ebene (Paketfilter)... 29 4.2.1 Statische Paketfilter... 29 4.2.2 Dynamische Paketfilter/Stateful Inspection... 30 4.2.3 Realisierungsformen von Paketfiltern... 30 4.3 Abwehr von Schadprogrammen... 33 4.3.1 Viren... 33 4.3.2 Würmer... 34 4.3.3 Trojanische Pferde... 34 4.3.4 Technologie mit Gefahrenpotenzial: Aktive Inhalte... 34 4.4 Protokollierung... 35 4.5 Funktionsüberwachung ( System and Network Monitoring )... 35 4.6 Automatische Angriffserkennung ( Intrusion Detection )... 36 4.7 Intrusion Prevention System (IPS)... 38 4.8 Remote-Controlled Browsers System (ReCoBS)... 39 4.9 Verbindung räumlich getrennter Netze... 39 4.9.1 Remote Access Service (RAS)... 40 4.9.2 Remote Authentication Dial-In User Service (RADIUS)... 40 4.9.3 Virtual Private Network (VPN)... 41 4.9.3.1 Trusted VPN... 41 4.9.3.2 Secure VPN... 41 4.10 Reverse Proxy... 44 7
5. Grundlegende Strukturen von Sicherheitsgateways... 45 5.1 Paketfilter Application-Level-Gateway Paketfilter (P-A-P)... 45 5.2 Paketfilter... 46 5.3 Vor- und Nachteile der grundlegenden Strukturen... 47 5.4 Argumente gegen die Wahl anderer Strukturen... 49 6. Integration modularer Erweiterungen der grundlegenden Strukturen... 53 6.1 HTTPS-Sicherheitsproxy... 53 6.2 Protokollierung... 55 6.2.1 Platzierung des zentralen Loghosts... 57 6.2.1.1 Platzierung bei einfach strukturierten Sicherheitsgateways... 57 6.2.1.2 Platzierung bei großer Modulanzahl... 57 6.2.2 Zeitabgleich... 62 6.3 Schutz vor Viren, Würmern und Trojanern... 62 6.3.1 Filterung durch das Sicherheitsgateway beim Einsatz eines ALG... 62 6.3.2 Filterung durch die Endgeräte beim Einsatz eines Paketfilters... 64 6.4 Nutzung eines Remote-Controlled Browsers System (ReCoBS)... 64 6.5 Angriffserkennung und -behandlung: Intrusion Detection System (IDS) / Intrusion Detection and Response System (IRS)... 65 6.5.1 Grundsätzliche Aussagen zur Platzierung von Sensoren... 66 6.5.2 Sensorenplatzierung vor dem ALG... 67 6.5.3 Sensorenplatzierung in demilitarisierten Zonen... 68 6.5.4 Sensorenplatzierung hinter dem ALG... 68 6.5.5 Platzierung der Management-Station... 69 6.5.5.1 Integration der Management-Station im vertrauenswürdigen Netz... 70 6.5.5.2 Integration der Management-Station im Administrationsnetz... 71 6.5.6 Zusammenführung der gesammelten Daten... 72 6.6 Intrusion Prevention System... 75 6.7 Wartung... 77 6.7.1 Technische Zugangsarten zum Sicherheitsgateway... 77 6.7.1.1 Administration über die Konsole... 77 6.7.1.2 Zugriff mittels verschlüsselter Protokolle... 77 6.7.1.3 Administration über Terminal-Server... 79 6.7.1.4 Im Ausnahmefall: Administration mittels Telnet... 81 6.7.1.5 Problemfall: Aus- und Einschalten von Rechnern... 82 6.7.2 Zugangsarten in Abhängigkeit von der Organisation der Wartung... 82 6.7.2.1 Fernwartung durch den Administrator (über Intra- und Extranet)... 82 6.7.2.2 Fernwartung durch Dienstleister... 83 6.8 Virtual Private Network... 84 6.8.1 VPNs mittels IPSec... 85 6.8.1.1 Nutzung eines Trusted VPN... 86 6.8.1.2 Integration eines Secure VPN... 86 6.8.2 VPNs mittels SSL... 90 6.9 Caching-Proxy ( Forward-Proxy )... 94 6.10 Reverse Proxy... 95 6.11 Fernzugriff ( Remote Access Service [RAS])... 99 6.11.1 Fernadministratoren und Dienstleister... 99 8
6.11.2 Telearbeiter... 100 6.11.3 Verbindung zweier LANs... 100 6.11.4 Integration eines RADIUS-Servers... 100 6.12 Hochverfügbarkeit... 101 6.12.1 Cold-Standby... 102 6.12.2 Hot-Standby... 103 6.12.3 Parallelbetrieb... 103 6.12.4 Anforderungen an HA-Lösungen... 104 6.13 Funktionsüberwachung... 106 7. Aufstellung von Applikations-Servern... 107 7.1 Web-Server... 107 7.1.1 Web-Server ohne Verwendung eines Reverse Proxies... 107 7.1.2 Web-Server unter Verwendung eines Reverse Proxies... 107 7.1.3 Web-Server unter Verwendung eines Reverse Proxies und eines Paketfilters 108 7.2 E-Mail-Server... 111 7.2.1 Anbindung eines vertrauenswürdigen Netzes... 111 7.2.2 Anbindung mehrerer vertrauenswürdiger Netze... 111 7.3 Datenbank-Server... 113 7.3.1 Zugriff über Web-Frontend... 114 7.3.2 Direkter Zugriff... 115 7.4 FTP-Server... 115 7.5 DNS-Server... 116 7.5.1 Betrieb eines eigenen DNS-Servers... 116 7.5.2 Domain-Registrierung bei externen Dienstleistern... 117 7.6 Web-Anwendung mit Web-, Applikations- und Datenbank-Server... 119 8. Konfigurationsvorschläge für Komponenten des Sicherheitsgateways... 123 8.1 Erstellung des Sicherheitsgatewaykonzepts als Teil des Sicherheitskonzepts 123 8.2 Konfiguration von Anwendungsproxies... 123 8.2.1 HTTP... 123 8.2.1.1 Weitere Einstellungen... 123 8.2.2 HTTPS... 124 8.2.3 SMTP... 125 8.2.3.1 Spam-Mail... 125 8.2.3.2 Weitere Einstellungen... 126 8.2.4 Telnet... 127 8.2.5 FTP... 127 8.2.6 POP3... 127 8.2.7 Protokollübergreifende Einstellungen... 127 8.3 Konfiguration von Personal Firewalls... 129 8.4 Fernzugriff ( Remote Access Service [RAS])... 130 8.5 Virtual Private Network... 133 8.5.1 Proprietäre Lösungen... 133 8.5.2 Offene Standards... 133 8.6 Protokollierung... 134 8.6.1 Umfang der Protokollierung... 134 9
8.6.2 Auswertung der Protokolldaten... 136 8.7 Beispiele für Paketfilterregeln... 137 8.8 Vorgehen bei Störungen... 137 8.8.1 Ausfall des Systems aufgrund von Defekten... 139 8.8.2 Ausfall des Systems aufgrund von Sicherheitsvorfällen... 140 Anhang A: Bedrohungen kategorisiert nach dem Vier-Schichten-Referenzmodell... 143 A.1 Angriffe auf MAC-Ebene... 143 A.1.1 ARP-Spoofing... 143 A.1.2 MAC-Flooding... 143 A.1.3 Spanning Tree Protocol... 144 A.2 Angriffe auf IP-Ebene... 144 A.2.1 IP-Spoofing... 144 A.2.2 IP-Source-Routing... 145 A.2.3 Fragmentation Attack... 145 A.2.4 Overlapping Fragment Attack... 145 A.2.5 Unberechtigte Veränderung dynamischer Routing-Informationen... 146 A.3 Angriffe auf TCP-Ebene... 146 A.3.1 SYN-Flooding... 146 A.3.2 Sequence Number Guessing... 146 A.3.3 Desynchronized State... 147 A.4 Angriffe auf ICMP-Ebene... 147 A.4.1 ICMP Flood... 147 A.4.2 ICMP Sweep... 148 A.4.3 Firewalking... 148 A.4.4 Ping-of-Death... 148 A.4.5 ICMP-Redirect bei Routern... 148 A.5 Angriffe auf UDP-Ebene... 149 A.5.1 UDP Packet Storm... 149 A.6 Angriffe auf Anwendungsebene... 149 A.6.1 DNS... 149 A.6.1.1 DNS-Spoofing... 149 A.6.1.2 DNS-Sniffing... 149 A.6.2 FTP... 149 A.6.2.1 Angriffe bei Verwendung von aktivem FTP... 150 A.6.2.2 Bounce Attack... 150 A.6.2.3 Manipulieren und Lesen... 150 A.6.2.4 Ausnutzen des anonymous FTP... 151 A.6.2.5 Ausführbarer Code... 151 A.6.3 HTTP... 151 A.6.3.1 Programmausführung auf fremden Systemen... 151 A.6.3.2 WWW-Spoofing... 151 A.6.4 IRC... 152 A.6.5 NTP... 152 A.6.6 SMTP... 152 A.6.6.1 Flooding... 152 A.6.6.2 Fälschen der Absenderadresse... 152 10
A.6.6.3 Ausspähen von Benutzernamen... 153 A.6.7 POP3... 153 A.6.8 Telnet... 153 A.6.9 SNMP... 153 A.6.9.1 Abhören des Passworts... 153 Anhang B: Grenzen der technischen Möglichkeiten von Sicherheitsgateways... 155 B.1 Risikofaktor Technik... 155 B.2 Risikofaktor Mensch... 156 Anhang C: Hinweise zur Ermittlung der grundlegenden Struktur des Sicherheitsgateways... 163 C.1 Ermittlung der Schutzbedarfskategorie... 163 C.1.1 Schadensszenario Verstoß gegen Gesetze/Vorschriften/Verträge... 165 C.1.2 Schadensszenario Beeinträchtigung des Rechts auf informationelle Selbstbestimmung... 166 C.1.3 Schadensszenario Beeinträchtigung der persönlichen Unversehrtheit... 167 C.1.4 Schadensszenario Beeinträchtigung der Aufgabenerfüllung... 167 C.1.5 Schadensszenario Negative Außenwirkung... 168 C.1.6 Schadensszenario Finanzielle Auswirkungen... 169 C.2 Empfehlungen zum grundlegenden Entwurf des Sicherheitsgateways... 170 Anhang D: Anforderungen an Module des Sicherheitsgateways... 173 D.1 Allgemeine Anforderungen/Rahmenbedingungen... 173 D.2 Grundlegende technische Anforderungen... 174 D.3 Spezielle technische Anforderungen... 176 D.3.1 Paketfilter... 176 D.3.2 Application-Level-Gateway... 177 D.3.3 Wartung... 181 D.3.4 Hochverfügbarkeit... 182 D.3.5 Funktionsüberwachung... 182 D.3.6 Spam-Filter... 182 D.3.7 Virtual Private Network... 183 D.3.8 Revision... 183 D.3.9 Archivierung... 183 D.3.10 Verbindungskontrolle... 183 D.3.11 RAS... 184 D.3.12 Intrusion Detection System... 184 D.3.13 Personal Firewall... 185 D.3.14 Remote-Controlled Browsers System (ReCoBS)... 186 Anhang E: Beispielregeln für IPTables... 189 E.1 Nutzung von Diensten... 189 E.2 Bereitstellung von Diensten... 192 11
Anhang F: Verfügbare Software unter Linux... 199 Anhang G: Weiterführende Kapitel im Grundschutzhandbuch... 203 Anhang H: Vorschlag für eine Standard-Sicherheitsrichtlinie/allgemeine Einstellungen. 205 H.1 Zugriff auf das Sicherheitsgateway... 205 H.2 Nutzung der Anbindungen an das Internet... 205 H.3 Antragswesen/Nachvollziehbarkeit von Änderungen... 205 H.4 Allgemeine Anforderungen... 206 H.5 Unregelmäßigkeiten beim Betrieb... 206 Anhang I: Literaturverzeichnis... 207 Stichwortverzeichnis... 209 12