Firewalls überwachen den Datenverkehr und dienen damit dem Schutze des Netzwerkes vor Angriffen von außen wie von innen. Doch das Konzept einer Firewall als Brücke zwischen Intranet und Internet reicht als Schutzvorkehrung mittlerweile meist nicht mehr aus. Die Hersteller reagieren darauf: Sie erweitern die Möglichkeiten ihrer Firewalls schrittweise und bauen sie zu umfangreichen Sicherheits-Suites aus.
In diesem Beitrag wollen wir daher aufzeigen, wie weit die Hersteller ihre Firewalls bereits entwickelt haben. Dabei gehen wir auf den Stand der Technik der Firewalls ein und zeigen auf, was es mit dem Terminus Next Generation Firewall auf sich hat.
Firewalls als Torwächter
Durch Firewalls wird bestimmt, wer mit wem über welchen Kanal oder welches Protokoll kommunizieren darf oder nicht. Die ersten Firewalls waren im Prinzip reine Paketfilter, die auf Ebene 4 des ISO/OSI-Protokolls arbeiteten. Einen Angreifer allerdings, der sich hinter einer Applikation geschickt tarnt, kann so ein Filter nicht abhalten. Daher ging man schon bald dazu über, auch die oberen Schichten der Kommunikation zu untersuchen. Layer 7 Firewalls waren geboren.
Sie werden auch als Application Layer Firewall bezeichnet. Die Application Layer ist die Ebene 7 des ISO/OSI-Protokolls. Die meisten Firewalls arbeiten mittlerweile sowohl auf Layer 4 (Transportschicht) als auch auf Layer 7 (Anwendungsschicht). Diese Sicherheitssysteme sind somit in der Lage, auch die Inhalte des Datenverkehrs zu filtern. Notwendig wird dies, da immer mehr schädlicher Code über den Datenanteil der Standardprotokolle geschleust wird. Angriffe dieser Art sind durch reine Paketfilter somit nicht zu verhindern.
Trotz dieser Ausweiterung der Firewall-Funktionen vermögen die Firewalls den neuen Angriffstechniken nur wenig entgegenzusetzen, Befindet sich der Angreifer erst einmal in Netz, so nützt die Firewall wenig. Eingeschleust wird der Schadcode oftmals durch mobile Geräte. Diese infizieren sich "draußen" und bringen beim Aktivieren im Unternehmensnetz den Gefahrencode nach "drinnen". So werden Viren, Trojaner und Backdoors quasi an der Firewall vorbeigetragen. Den Bedrohungen von "innen" aber haben die traditionellen Firewalls nur wenig entgegenzusetzen.
Bestimmung der Firewall-Position
Eine entscheidende Rolle beim Einsatz einer Firewall-Lösung ist die Position in der Netzwerktopologie. Geht man in chronologischer Reihenfolge an die Konfiguration der Firewalls heran, so wird der erste Schritt immer die Bestimmung des Netzwerkdesigns sein. Bei kleineren Unternehmen mag dieses allein aus dem internen Netzwerk mit allen Server und Clients sowie dem Internet bestehen.
Mit der Unternehmensgröße wächst jedoch auch die Komplexität der IT-Infrastruktur. Die Segmentierung des Netzwerks mit DMZ (Demilitarisierte Zone) und verschiedenen weiteren Zonen wird dabei unumgänglich. Um die verschiedenartigen Anforderungen abzudecken, platziert man die Firewall daher an unterschiedlichen Stellen im Netzwerk. Unterschieden wird dabei nach Egde Firewall, Front Firewall, Back Firewall und dem Schutz einzelner Netzwerkadapter.
Netzwerkregeln bestimmen den sicheren Kommunikationsfluss
Ist das grundlegende Layout des Netzwerkes festgelegt, so müssen die Netzwerkregeln für den Datenverkehr bestimmt werden. Hierzu bieten die Produkte zur Konfigurationsunterstützung oftmals Assistenten an.
Die Netzwerkregeln sind allerdings nur als Basisdefinition zu verstehen. Sie bestimmen Transfer-Quelle und -Senke zum Beispiel von intern nach extern oder die Adressumsetzung mittels NAT. Die Regeln können beliebig definiert und auch geschachtelt werden. Kommen mehrere Regeln zur Anwendung, so muss auf die Reihenfolge ihrer Abarbeitung geachtet werden.
In der Terminologie der Firewall-Regeln handelt es sich bei einer Regel immer um eine Kommunikation von einer Quelle zu einem Ziel. Als Kommunikationstechnik kommt ein bestimmtes Protokoll zum Einsatz. Neben diesen grundlegenden Aspekten weisen die Firewall-Regeln natürlich noch weitere Parameter, wie die Zeit oder Angaben zur Protokollierung auf. Im Kern beruhen sie aber auf dem Quelle-Ziel-Prinzip.
Grundlegend geht es also immer darum, welcher Benutzer oder Dienst über welches Protokoll mit wem kommunizieren darf. Durch Richtlinien wird die Überwachung weiter spezifiziert. Dazu gehört die Auswahl der zulässigen Protokolle, der Kommunikations-Ports oder der Eingrenzung des Transfers auf bestimmte Systemdienste und Ähnliches. Zu den überwachten Netzwerkprotokollen zählen meist alle gängigen Protokolle wie etwa HTTP, SMTP, SSL, RPC oder FTP. Durch die Gruppierung der Protokolle, etwa in Infrastruktur, Authentifizierung, E-Mail-Kommunikation, Instant Messaging, Filetransfer oder Streaming, wollen die Hersteller die Definition der Regeln zusätzlich vereinfachen.
Erweiterte Funktionen zur Angriffserkennung
Eingeschlossen in traditionelle Firwall-Konzepte sind ferner Funktionen zur Erkennung und Vermeidung gängiger Angriffsszenarien wie DNS- oder POP-Angriffen, Ping-of-Death, Portscan oder IP-Half-Scan. Durch DNS-Anwendungsfilter wird in der Regel der DNS-Datenverkehr zum internen Netzwerk überwacht und analysiert. Ferner können natürlich beliebig weitere eigene Filter definiert werden.
Bei Angriffen werden Alarme oder weitergehende Aktionen angestoßen. Ergänzt werden die Sicherheitsmaßnahmen um Vorkehrungen zur Vermeidung der gängigen und bekannten Angriffe. So kann etwa die Begrenzung der gleichzeitigen Verbindungen pro Sekunde oder Client verhindern, dass diese zu Kommunikations-Hosts missbraucht werden. Ist die maximal zulässige Anzahl von Verbindungen erreicht, werden alle neuen Client-Anforderungen von der Firewall abgelehnt.
Angriffe, die sich beispielsweise durch Buffer Overflows, Command Injection oder SQL-Injection ergeben, werden meist durch den HTTP-Proxy/Filter abgewehrt. Durch beliebige weitere HTTP-Filter wird der gesamte ein- und ausgehende HTTP-Verkehr überwacht. Ein anderes beliebtes Angriffsverfahren sind Buffer-Overruns - um sie abzuwehren, setzen die Hersteller meist auf die Begrenzung der Länge der URL-Requests.
Protokollierung der Aktivitäten schafft Sicherheit
Sicherheitssysteme wir Firewalls oder Intrusion Detection Systems (IDS) müssen ihre Arbeit rund um die Uhr und meist ohne permanente menschliche Kontrolle ausführen. Um dennoch Angriffe oder Unregelmäßigkeiten zu überwachen, erfolgt eine Protokollierung der Aktivitäten. Durch die nachgeschaltete oder begleitende Analyse des Netzverkehrs können so mögliche Angriffen oder Schwachstellen erkannt und hoffentlich verhindert werden.
Die Protokollierung der Firewall-Aktivitäten liefert weitere Informationen zum Datenverkehr und zu dessen Verursachern. Dazu gehören meist die IP- und Port-Adressen, die Namen von Rechnern oder Netzen, die Zugriffsregeln, die Anzahl der übertragenen Bytes und Ähnliches.
Generationswechsel mit Next Generation Firwalls
Um die künftigen Anforderungen besser abzudecken, erweitern die Hersteller den Funktionsumfang ihrer Firewalls schrittweise. Dazu zählt beispielsweise eine genauere Untersuchung der Applikationsdienste. Hierbei wird die Scan-Funktion in den Firewalls weiter verfeinert. Die Werkzeuge erhalten dabei einen tieferen Einblick in das Kommunikationsverhalten der Applikationen.
Fehlverhalten beziehungsweise Angriffe, die sich als erlaubte Applikationskommunikation tarnen, werden dabei leichter erkannt. Ferner erfolgt oftmals die Verknüpfung der Benutzer mit den Rechten. Hierbei werden die gebotenen Sicherheitsfunktionen direkt mit dem Benutzer oder einer Benutzergruppe verknüpft. So filtern beispielsweise neuere Firewalls den Datenstrom nach unterschiedlichen Kriterien wie etwa den involvierten Netzwerksegmenten.
Application Firewalls wiederum beziehen die Applikationen mit ein. Der Benutzer und seine Eigenschaften bleiben bis dato aber meist außen vor und wurden nicht in die Untersuchung einbezogen. Durch den Bezug zum Benutzer wird in Zukunft die Brücke von der Firewall-Regel zu einem Benutzer oder einer Gruppe geschlagen. Beim Verbindungsaufbau erfolgt dann eine Abfrage des Benutzers durch die Firewall. Hierzu greift man meist auf das Active Directory, ein LDAP-Verzeichnisdienst oder etwa einen RADIUS-Server zurück.
Die Weiterentwicklung der klassischen Firewall
Der Funktionsumfang herkömmlicher Firewalls hat sich von den klassischen Paketfiltern immer weiter in Richtung universelle Schutzsysteme für das Unternehmensnetz verschoben. Diese bestehen meist aus den traditionellen Paketfiltern und deren Erweiterung zum Erkennen von Unregelmäßigkeit durch Stateful Inspection, den Application Gateways (Proxy) und schließlich IDS/IPS (Intrusion Detection System / Intrusion Prevention System) oder Anomalien Detection Systeme.
Oftmals packen die Hersteller auch die Funktionen Anti-Spam, Anti-Virus, Anti-Spyware und mehrere Content-Filter zu ihren Produkten. Mitunter finden sich gar Möglichkeiten zur Verwaltung der Netzwerkanschlüsse oder der Bandbreiten in den Sicherheitslösungen. Hierbei gilt aber: Sofern sie mit Mustererkennung (Patterns) arbeiten, müssen vorher die Angriffsmuster installiert sein. Diese Nachteile vermeiden heuristische Ansätze oder die Protokollanalyse, deren Trefferrate dafür jedoch ungenauer vorhersagbar ist.
Generell ist anzumerken, dass die traditionellen Sicherheitsvorkehrungen wie die Paketfilter sicher nicht obsolet sind, aber um weitere Aufgaben wie Content Filtering, URL-Blocking, Anti-Spam oder Anti-Virus ergänzt werden. Durch diese Filterfunktionen der Firewalls lassen sich dann auch Data-Leakage-Prevention-Funktionen (DLP) abbilden. Systeme dieser Art arbeiten meist mit externen und zentral gepflegten White oder Black Lists. Daher kooperieren diese Systemanbieter für die Belange des Spam- oder Virenschutzes mit spezialisierten Unternehmen.
Anschlüsse überwachen
Ein weiterer Block ist die Überwachung der Netzwerkaktivitäten. Hierzu werden die Netzwerkanschlüsse laufend überwacht. Diese Monitoring-Funktionen informieren über die bestehenden Verbindungen, die Kommunikation, die verwendeten Protokolle und weitere Details zur Kommunikation. Dazu zählen beispielweise die einzelnen IP-Adressen der Quelle oder des Ziels, die global gefassten Interfaces oder die verwendeten Kommunikationsprotokolle sowie die involvierten Netzwerk-Ports.
Ein Dschungel an Regeln für mehr Sicherheit
Der Kern der Next Generartion Firewalls sind dessen Regeln. In größeren Szenarien können diese Regelsätze sehr umfangreich werden. Die Zahl der dabei involvierten "Objekte" erreicht leicht die 1000er-Grenze. Ein Objekt solch einer Firewall-Regel ist beispielsweise ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Server, ein Dienst, ein Prozess, eine Netzwerkfreigabe oder ein Netzwerksegment. Da sich diese Objekte, wie etwa die Unternehmensstrukturen mit ihren Mitarbeitern, ständig ändern, müssen auch die Regeln laufend angepasst werden.
Hinzu kommt, dass die Verwaltung einer dezentralen Firewall-Infrastruktur oft auch nur verteilt erfolgen kann. Die Kommunikation zwischen zwei Objekten muss mitunter jedoch mehrere Firewalls nacheinander passieren. Hierbei fällt es schwer, einen genauen Überblick darüber zu haben, was nun letztendlich erlaubt oder verboten ist. Um dabei noch die Übersicht zu wahren, werden häufig grafische Hilfsmittel eingesetzt. Hilfreich sind auch Werkzeuge, die eine Emulation der Auswirkungen der Firewall-Regeln ermöglichen. So kann der Administrator noch vor der Durchführung von Änderungen sehen, was die geplante Änderung bewirkt. Sind diese Auswirkungen nicht wie gewünscht, so wird die Regel eben kurzerhand verworfen oder wieder geändert.
Durch Überwachungs-Tools sollen das Erstellen und Ändern von Regeln effizient werden und vor allem auch nachvollziehbar. Dies beginnt bei der Anforderung einer Änderung an einer Firewall-Regel, schließt die Risikoanalyse ein und kümmert sich schließlich auch um die letztendliche Implementierung der Regel. Parallel dazu werden diese Änderungen in einem Security Audit festgehalten.
Diese Werkzeuge unterlegen die Erstellung von Firewall-Regeln einem formalisierten Prozess. Jede an einer Firewall erstellte oder geänderte Regel muss dabei in einem mehrstufigen Prozess mehrere Personen oder Gruppen durchlaufen. Die Grundlage dazu stellt meist ein Rollenmodell dar. An diese Rollen werden dann die Aufgaben gebunden. Die Rollen sind frei zu definieren, ebenso der Workflow. So kann beispielsweise eine Person eine Anforderung (einen Request) für eine Regel definieren. Ein Beispiel hierfür ist die Anforderung, dass ein Benutzer über einen Internetzugang auf seine Mails im Unternehmen zugreifen kann. Diese Person, die diese Anforderung definiert, muss aber nicht unbedingt mit den Details der involvierten Firewalls vertraut sein.
Umsetzung einer Security-Anforderung in eine Regel
Bei der Definition einer Sicherheitsanforderung ist es nicht notwendig, dass etwa der Administrator weiß, welche Firewalls und Serversysteme davon im Detail betroffen sind. Er formuliert nur die allgemeine Anforderung. In einem nachgeschalteten Schritt wird diese Anforderung an eine weitere Person oder Gruppe übergeben. Diese kümmert sich dann um die eigentliche Umsetzung. Sind die Regeln erstellt, so wird oder kann diese zur Prüfung an eine weitere Administrationsstelle geschleust werden. Diese Instanz wiederum prüft die Auswirkungen der neuen Regel auf den gesamten Regelsatz hin. Dieser "Prüfer" kann sich dazu auch weitere Informationen einholen. Reichen diese Angaben nicht aus, so kann er die Regel zurückweisen. Wenn alles passt und keine Komplikationen zu erwarten sind, wird er die Regel zur Implementierung freigeben. Damit ist diese Sicherheitsanforderung im ganzen Unternehmen - auch global - gültig. (hal)