Grenzkontrolle

Die Internet-Anbindung eines lokalen Netzwerks öffnet Angreifern Tür und Tor, wenn sie unbewacht bleibt. Firewalls gewähren den nötigen Schutz. Sie weisen verdächtige IP-Pakete ab und erlauben den Zugriff auf lokale Server nur nach einer erfolgreichen Authentifizierung. Die Marktübersicht gibt Anhaltspunkte bei der Auswahl geeigneter Produkte.

Von: Rainer Miserre, Dr. Klaus Plessner

Das Internet-Protokoll erlaubt keinen sicheren Datentransfer. Es garantiert weder die Authentizität von Absendern, noch die Integrität und die Vertraulichkeit der übermittelten Daten. Abhilfe schaffen Firewalls, die den Internet-Zugang bewachen.

Wer eine Firewall einrichtet, muß sich zwischen Softwareprodukten und kombinierten Soft- und Hardwarelösungen entscheiden. Reine Software-Firewalls arbeiten auf verschiedenen Plattformen und lassen somit einen größeren Spielraum bei der Auswahl der Hardware und des Betriebssystems zu. Benützer von Software-Firewalls müssen jedoch für die Konfiguration und die Sicherheit des Betriebssystems selbst Sorge tragen, wenn kein angepaßtes Betriebssystem im Lieferumfang der Firewall enthalten ist.

"Cyberguard für Unix" von Secure Computing zum Beispiel verwendet eine überarbeitete Version des Betriebssystems "Unixware 2.1" von SCO. Die Firma Biodata verkauft ihre Firewall zusammen mit einem präparierten Windows-NT-System. Und die Produkte von Secure Computing sind zusammen mit einem gesicherten Unix-System von Berkeley Software Design (BSDI) zu haben.

Auch bei Kombinationen aus Hard- und Software ist das Betriebssystem meist schon auf den Firewall-Betrieb abgestimmt. "Genugate" von Genua arbeitet mit dem "Internet Server" von BSDI. Die Entwickler haben den Kernel des Unix-Systems für die Firewall so abgeändert, daß zum Beispiel auch abgewiesene Dienstanfragen zu Protokoll gehen.

Kontrolle nach Regeln

durch Paketfilter

Paketfilter arbeiten wie Grenzkontrolleure: Sie prüfen, ob ankommende IP-Pakete den Bestimmungen entsprechen, welche die Zollbehörde (der Administrator) festgesetzt hat. Nur wenn keine Regelverletzung vorliegt, leiten sie die Pakete (in das geschützte Netzwerk) weiter. Paketfilter können Absenderadressen sperren. Sie erlauben Dienste wie FTP und Telnet für ausgewählte IP-Adressen und zu eingeschränkten Tageszeiten. Den Zugriff auf Dienste kontrollieren Paketfilter allerdings nur anhand der Einträge im TCP-Feld "Destination Port". Dort steht die Nummer des Ports, der einem Internet-Dienst zugeordnet ist. Der Filter verbietet beispielsweise den Mail-Service POP3 dadurch, daß er Zugriffe auf den Port der Nummer 110 unterbindet, der standardmäßig auf POP3 verweist. Problematisch ist dieses Kontrollverfahren deshalb, weil sich die Portnummer eines Dienstes auf dem Server ändern läßt, der die Anwendung bereitstellt.

Einfache Paketfilter berücksichtigen eines nicht: Ein IP-Paket gehört zu einer Anwendung. Es enthält Daten, die im Rahmen einer FTP-Sitzung oder eines anderen Internet-Dienstes übertragen werden. Zustandsorientierte Paketfilter, auch Stateful-Inspection-Filter genannt, verbinden IP-Pakete mit Informationen über zugehörige Anwendungen. Die Filter merken sich Angaben über den Verlauf einer Internet-Sitzung und legen diese Daten in einem Stapelspeicher ab, den sie zusammen mit den Protokoll-Headern prüfen.

Zustandsorientierte Filterung

Mit diesem Verfahren kann ein interner Benutzer zum Beispiel eine Telnet-Sitzung aufbauen, ohne daß der Systemverwalter den externen Zugriff auf Ports hoher Nummern (größer als 1023) erlauben müssen. Da ein zustandsorientierter Paketfilter die Geschichte eines Verbindungsaufbaus kennt, ist er in der Lage, den oberen Portbereich nur dann zu öffnen, wenn kurze Zeit vorher ein interner Rechner einen Verbindungsaufbau für Telnet beantragt hat. "Firewall-1" von Check Point verwendet einen Stateful-Inspection-Filter, der sich programmieren läßt. Eine interpretierte Skriptsprache, deren Befehle an Assembler erinnern, erlaubt es, Inhalte des Stack und Filterregeln so festzulegen, daß auch selbstentwickelte Internet-Dienste kontrolliert werden.

"Guardian" von Netguard filtert auf der Netzzugangsebene (Media Access Control Layer) mit Stateful Inspection. Der Paketfilter prüft die physikalischen Adressen der Netzwerkkarten, eine Vorkehrungsmaßnahme gegen IP-Adressfälschung (IP-Spoofing).

Sichere Dienste durch

Proxy-Server

Application Level Gateways lassen keine IP-Pakete durch. Damit dennoch externen Absendern Dienste des geschützten Netzwerks zur Verfügung stehen, leiten sie Dienstanfragen an interne Server weiter. Zu diesem Zweck läuft auf dem Gateway für jeden Dienst ein "Proxy-Server", der externe Anfragen entgegennimmt und in ein eigenes, sicheres Netzwerkprotokoll einbindet.

Erst dann gibt er sie an die Adressaten im lokalen Netz weiter. Das Application Level Gateway gleicht einer Schreibstube, die alle aus dem Ausland (Internet) ankommenden Briefe an der Grenze übersetzt, und dann erst den Empfängern zuteilt. Dadurch lassen sich die Benutzerschnittstellen der Internet-Dienste erweitern, beispielsweise durch Authentifizierungsmechanismen oder durch Verschlüsselungsalgorithmen.

Zum Schutz des Internet-Zugangs setzen Unternehmen in der Regel eine dreiteilige Architektur ein (Bild 1), die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt:

Ein Access-Router schafft die Verbindung zum Internet-Service-Provider und beherbergt gleichzeitig einen Paketfilter. Internet-Access und Filterung können auch von zwei getrennte Router erledigt werden. Ein Application Level Gateway bildet die zweite Hürde für externe Anfragen. Der Zugriff auf das LAN erfolgt nur über Proxy-Server. Ein zweiter Paketfilter schützt das Application Level Gateway vor internen Angriffen. Zudem verhindert er, daß Internet-Server, die sich zwischen den Paketfiltern befinden, auf Rechner des geschützten Netzwerks zugreifen.

Manche Hersteller vereinen Teile dieser Architektur in einem Gerät. Bei "Genugate" sind zwei PCs in ein Gehäuse gepackt, die über eine Ethernet-Leitung gekoppelt sind. Ein Rechner beherbergt ein Application Level Gateway, der zweite einen Paketfilter. "Kryptowall" von Kryptokom verbindet zwei Paketfilter mit einem Application Level Gateway.

Mehr als Paßwörter

Die Paketfilter von 3Com sind mit einem Access-Router ausgestattet, ebenso wie die "Secure Access"-Firewall von Ascend. Integrierte Internet-Server für HTTP oder FTP sind lediglich dann von Interesse, wenn der zu erwartende Datendurchsatz nicht so hoch ist, daß die Performance der Proxy-Server leidet. Dienste wie Telnet, FTP oder Datenbankabfragen werden durch Proxies mit starken Authentifizierungsmechanismen abgesichert.

Das sind Verfahren, die den Zutritt zu einem Rechner nur unter Bedingungen erlauben, die über die Angabe eines Kennworts hinausgehen. "S/key" ist ein Programm, das Einmalpaßwörter erzeugt.

Generierte Ziffernfolge

Bei "Secureid" von Security Dynamics handelt es sich um ein Gerät von der Größe eines Taschenrechners, das eine einmalige Ziffernfolge generiert. Diese liest der Benutzer von einem Display ab und gibt sie anschließend auf dem Login-Schirm seiner Telnet-Sitzung als Kennwort ein. Zur Berechnung des Paßworts greift das Gerät auf die momentane Uhrzeit und einen privaten Schlüssel zurück, der auch einem Authentifikationsserver im Netz des Zielrechners bekannt ist. Ähnlich funktioniert "Cryptocard", nur daß neben dem Uhrzeitverfahren auch ein Challenge-Response-Mechanismus zur Erzeugung einer Kennziffernfolge gewählt werden kann. Mit der Login-Aufforderung erscheint eine Ziffernfolge (Challenge), die der Benutzer mit Hilfe numerischer Tasten der Cryptocard eintippt. Diese generiert damit eine neue Reihe von Zahlen (Response), die als Login-Kennwort dient. Einmalpaßwörter und Hardware-Tokens sind für den Benutzer umständlich, da er Ziffernfolgen zu lesen und einzutippen hat. Leichter lassen sich Chipkarten handhaben, vorausgesetzt, der Client-Rechner verfügt über einen passenden Kartenleser. "Safeword" von Secure Computing arbeitet wahlweise mit Hardware-Tokens, mit Software oder mit Chip-Karten. Mechanismen zur Datenverschlüsselung und eine starke Authentifizierung erlauben es, mehrere Filialen eines Unternehmens zu einem Virtual Private Network (VPN) zusammenzufassen. Rechner verschiedener Geschäftsstellen kommunizieren über das unsichere Internet miteinander, ohne die Vertraulichkeit ihrer Daten aufs Spiel zu setzen.

Verschlüsselungsverfahren

Die Rede ist von einem Virtual Private Network (VPN). Durch eine symmetrische Verschlüsselung der Kommunikation wird gewährleistet, daß die ausgetauschten Daten vertraulich, das heißt für Unberechtigte nicht lesbar sind. Die Qualität der Verschlüsselung hängt sowohl vom Algorithmus ab, als auch von der Schlüssellänge.

Der US-amerikanische "Data Encryption Standard" (DES) verwendet einen bis zu 56-Bit langen Schlüssel. "TripleDES" chiffriert jeden Datenblock dreimal mit zwei oder drei verschiedenen DES-Schlüsseln. Strenggenommen hat das Verfahren einen Schlüssel der Länge "zweimal DES" beziehungsweise "dreimal DES". Da es sich bei DES und TripleDES jedoch um unterschiedliche Mechanismen handelt, sind die Schlüssellängen nicht vergleichbar. TripleDES ist sicherer als 40-Bit-DES und nicht so sicher wie ein guter 128-Bit-Algorithmus. Verfahren, die Schlüssellängen von 40 oder 56 Bit benutzen, gelten mittlerweile als schwach, da sie innerhalb weniger Tage zu knacken sind (siehe http://www.gateway. de/ news/index.cfm?nummer=3462.)

Obwohl noch immer US-Exportbeschränkungen die Ausfuhr von 128-Bit-Algorithmen erschweren, gibt es auf dem europäischen Markt Verfahren wie "IDEA" (International Data Encryption Algorithm), die mit 128-Bit-Schlüsseln chiffrieren. Auch "Cast-128", 1997 von der Internet Engineering Task Force (IETF) in einem Request for Comment (RFC 2144) ver-öffentlicht, jedoch noch nicht standardisiert, kodiert ähnlich wie DES Blöcke zu 64 Bit, mit einem Schlüssel von 128 Bit Länge. "Blowfish" ist ein unpatentiertes Verfahren, das mit Schlüsseln variabler Länge von 32 Bit bis 448 Bit arbeiten kann.

Anfang Juli hat die Arbeitsgruppe IPsec der IETF einen Entwurf zu einem Standard für eine sichere IP-Architektur bekanntgegeben. Grundlage des Papiers bildet ein vor drei Jahren erarbeiteter Standard (RFC 1825). Der Entwurf legt fest, auf welche Weise starke Authentifizierungsmechanismen und Datenverschlüsselung auf IP-Ebene einzurichten sind. Firewalls, die sich an diese Vorgabe halten, können untereinander chiffrierte Daten austauschen, auch wenn sie von unterschiedlichen Herstellern stammen und verschiedene Verschlüsselungsverfahren verwenden. Keines der Produkte unserer Marktübersicht ist jedoch bisher auf den Entwurf abgestimmt: Er ist erst wenige Wochen alt.