Von: Norbert Pohlmann
Die Verbreitung des Internet und seine kommerziellen Nutzungsmöglichkeiten haben eine solche Dynamik entwickelt, daß der Aspekt Sicherheit zunächst völlig vernachlässigt wurde. Erst jetzt, da immer mehr Organisationen die Vorteile von TCP/IP und Internet-Techniken in Form von Intranets nutzen wollen, rücken Sicherheit und Beherrschbarkeit der internen und externen Kommunikation in den Blickpunkt. Ein Instrument zum Schutz von Intranets und Internet sind Firewall-Systeme.
Aktive Firewall-Elemente
Firewalls werden als Schranke zwischen ein zu schützendes und ein unsicheres Netz geschaltet. Der gesamte Datenverkehr zwischen beiden Netzen läuft über das Firewall-System, es erfüllt somit quasi die Aufgabe eines Pförtners: Das System prüft, wer aus dem unsicheren Netz auf das Netz der Organisation zugreifen darf, kontrolliert, über welche Protokolle und Dienste der Zugriff erfolgt und mit welchen Rechnersystemen kommuniziert werden darf. Dazu analysiert das Firewall-System die Daten, kontrolliert die Kommunikationsbeziehungen und -partner und reglementiert den Informationsaustausch gemäß der Sicherheitspolitik des Unternehmens. Außerdem protokolliert es sicherheitsrelevante Ereignisse und alarmiert bei Verstößen gegebenenfalls den Administrator.
Für den Übergang zwischen unterschiedlichen Netzen dient die Firewall als "Common Point of Trust", das heißt der einzige Weg ins interne Netz führt über dieses System. Zusätzlich läßt es sich einsetzen, um das eigene Netz zu strukturieren und Sicherheitsdomänen mit unterschiedlichem Schutzbedarf zu schaffen.
Es gibt zwei Arten von Firewall-Elementen: solche, die aktiv in die Kommunikation zwischen dem zu schützenden und dem unsicheren Netz eingreifen sowie das "Element Security Management". Letzteres ist für die Verwaltung des aktiven Firewall-Elementes verantwortlich, in dem die Sicherheitspolitik einer Organisation in Form von Regeln definiert ist. In der Praxis haben sich Paketfilter ("Packet Filter") und "Application Gateways" als aktive Elemente herauskristallisiert. Sie verfolgen unterschiedliche Ansätze bezüglich der Einbindung in das Kommunikationssystem und der Möglichkeiten der Analyse und Protokollierung.
Arbeitsweise von Paketfiltern
Das Einbindungsmodul integriert das aktive Firewall-Element in das Kommunikationssystem. Beim Paketfilter erfolgt das oberhalb der Netzzugangsebene, beim Anwendungs-Gateway für die Proxies oberhalb der Ports (Transportebene). Die Integration muß so erfolgen, daß die Kommunikationsdaten nicht am Modul vorbeifließen können. Deshalb ist diese Einbindung sicherheitskritisch und vor allem bei Software-Lösungen problematisch, die auf Standardbetriebssystemen aufbauen.
Der Paketfilter analysiert und kontrolliert die ein- und ausgehenden Pakete auf der Netzzugangsebene, der Netzwerk- sowie der Transportebene. Er entkoppelt also die Netze physikalisch, interpretiert den Inhalt der Pakete und verifiziert, ob die Daten in den Headern der Kommunikationsebenen den definierten Regeln entsprechen. Diese Regeln werden so definiert, daß nur die notwendige Kommunikation erlaubt ist und bekannte sicherheitskritische Einstellungen vermieden werden, etwa die IP-Fragmentierung.
Auf den Kommunikationsebenen finden unterschiedliche Überprüfungen statt. Die Prüfinformationen werden dem Regelwerk (Access-Liste, Rechteliste) entnommen und mit den Analyse-Ergebnissen verglichen. Bei einem Verstoß gegen die Regeln wird dies als sicherheitsrelevantes Ereignis protokolliert und, falls diese Option eingerichtet ist, eine Meldung mit den Protokolldaten des Ereignisses an das Security-Management übermittelt.
Paketfilter dienen zum Aufbau von Hochsicherheits-Firewalls (High-Level Security Firewalls) und zur kontrollierten Kommunikation im Intranet. Für diese Anwendungen ist der Einsatz von Paketfiltern empfehlenswert, die gleichzeitig verschlüsseln können. Dies ist eine wirkungsvolle Komponente, mit der sich sichere und beherrschbare Internet- und Intranet-Anwendungen aufbauen lassen.
Entkopplung von Netzen durch Application Gateways
Ein Application Gateway zeichnet sich dadurch aus, daß es die Netze sowohl logisch als auch physikalisch entkoppelt. Da in einigen Firewall-Konzepten das Application Gateway das einzige Rechnersystem ist, das vom unsicheren Netz, etwa dem Internet, aus zu erreichen ist, ist es besonders gut zu abzusichern. Deshalb wird der Rechner, auf dem das Gateway installiert ist, auch als "Bastion" bezeichnet.
Als "Dual-homed Gateway" arbeitet das Anwendungs-Gateway mit zwei Netzwerkanschlüssen. "Dual-homed" bedeutet, daß das System die vollständige Kontrolle über die Pakete hat, die zwischen dem unsicheren und dem zu schützenden Netzwerk übertragen werden. Das Gateway läßt sich auch "Single-homed" betreiben, also mit nur einem Netzwerkanschluß. Dann besteht jedoch die Gefahr, daß ein Angreifer das Application Gateway übergeht. Ein Benutzer, der über dieses System kommunizieren möchte, muß sich zuerst identifizieren und authentifizieren. Application Gateways bieten in der Regel unterschiedliche Authentifizierungsverfahren an. Deshalb baut der Benutzer zuerst eine Verbindung mit dem Gateway und nicht mit dem Kommunikationspartner auf. Nach der Identifizierung und Authentifizierung ist das System für den Anwender jedoch transparent, so daß der Benutzer den Eindruck hat, direkt auf dem Zielrechner zu arbeiten.
Über die Netzzugangs- und TCP/IP-Treiber empfängt das Application Gateway die Pakete an den entsprechenden Ports. Soll nur ein Dienst über einen bestimmten Port möglich sein, muß auf dem Gateway eine Software zur Verfügung gestellt werden, die das entsprechende Paket von der einen zur anderen Netzwerkseite des Application Gateway überträgt und umgekehrt. Ein solches Programm, das die Paketübertragung nur für einen speziellen Dienst (FTP, HTTP, Telnet, et cetera) im Application Gateway durchführt, ist ein Proxy.
Der Name Proxy ("Stellvertreter") wird verwendet, weil es aus Sicht des zugreifenden Benutzers so aussieht, als würde er mit dem eigentlichen Serverprozeß des Dienstes auf dem Zielrechner kommunizieren. Jeder Proxy auf dem Application Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten. Bedingt durch den Proxy und das Wissen um den Kontext eines speziellen Dienstes ergeben sich umfangreichere Sicherungs- und Protokollierungsmöglichkeiten im Application Gateway.
Auf dieser Kommunikationsebene ist eine besonders intensive Analyse möglich, da der Kontext der Anwendungsdaten für den jeweiligen Dienst klar definiert ist. Die Proxies konzentrieren sich auf das Wesentliche. Der Vorteil ist, daß kleine überschaubare Module verwendet werden, wodurch die Fehleranfälligkeit durch Implementationsfehler reduziert wird.
High Level Security Firewalls
Ein High-Level-Security-Firewall-System faßt mehrere aktive Firewall-Elemente zusammen, um ein Höchstmaß an Sicherheit zu garantieren. Ein solches System besteht aus einem "Screened Subnet" mit einem Dual-homed-Applikations-Gateway und einem separaten Sicherheitsmanagement. In ihm werden die aktiven Firewall-Elemente Packet Filter und Application Gateway hintereinander geschaltet. Das Gateway befindet sich bei diesem Konzept im Screened Subnet.
Verschlüsselungssystem als transparente Lösung (VPN)
Die Paketfilter und das Dual-homed Application Gateway kontrollieren die Kommunikation zwischen Rechnern im zu schützenden Netz und solchen im unsicheren Netz. Dadurch ist es unmöglich, das Gateway zu umgehen. Das Maß an Sicherheit, das dieses Firewall-Konzept bietet, addiert sich aus der Sicherheitsleistung des Paketfilters sowie des Dual-homed Application Gateway, so daß eine besonders hohe Gesamtsicherheit erreicht wird.
Grundgedanke und Zielsetzung eines Hochsicherheits-Firewall Systems sind:
Einfache Regeln: Die Anordnung der Elemente ermöglicht eine einfache Definition der Regeln für die einzelnen aktiven Firewall-Elemente. Gegenseitiger Schutz: Die Paketfilter sorgen dafür, daß nicht jeder auf das Dual-homed Application Gateway zugreifen darf und schützen damit das Gateway selbst. Verzahnte Sicherheit: Wer auf ein zu schützendes Netz zugreifen will, das durch eine High Level- Security-Firewall abgeschottet ist, muß verschiedene Barrieren überwinden: zuerst einen Paketfilter, dann das Application Gateway und zum Schluß wieder einen Paketfilter. Verschiedene Betriebssysteme: Aus Sicherheitsgründen verwenden solche Lösungen für die unterschiedlichen aktiven Firewall-Elemente verschiedene Betriebssysteme, beispielsweise Unix für das Dual-homed Application Gateway und ein Echtzeitbetriebssystem für die Paketfilter. Eventuell auftretende Betriebssystemfehler oder Lücken wirken sich dadurch nur jeweils auf ein aktives Firewall-Element aus. Unterschiedliche Einbindungs- und Analysemöglichkeiten: Außerdem arbeiten die aktiven Firewall-Elemente mit unterschiedlichen Strategien (Sicherheitsansätzen). Die Paketfilter interpretieren die übertragenen Pakete von unten nach oben auf der Netzzugangs-, der Netzwerk- und der Transportebene. Das Application Gateway interpretiert die Kommunikation auf der Anwendungsebene. Auch hier können sich mögliche Schwächen der Einbindungs- und Analysemöglichkeiten nur jeweils auf ein aktives Firewall-Element auswirken. Separates Sicherheitsmanagement: Das separate Security Management stellt viele eigene Sicherheitsmechanismen zur Verfügung, wie Zugangskontrolle, Rechteverwaltung, Verschlüsselung und Protokollierung.
Mit Hilfe einer Sicherheitsschicht im Kommunikations-Stack kann aus einem "ungesicherten" ein "sicherer Netzdienst" werden. Dazu wird im Rechnersystem eine Sicherheitsschicht (Security Sublayer) in die Kommunikationsarchitektur integriert. Eine Möglichkeit, eine solche Sicherheitsschicht zu realisieren, die sich besonders für ein heterogenes Rechnerumfeld eignet, ist der Einsatz von Black-Box-Sicherheitssystemen.
Black Boxes sind Geräte, die zwischen Rechner und LAN-Anschluß geschaltet werden. Das macht sie unabhängig von den Endgeräten und Betriebssystemen und erhöht ihre Benutzerfreundlichkeit. In der Box spielen sich, ohne aktive Einwirkung des Anwenders, alle sicherheitsrelevanten Operationen ab. Die Black Boxes eines Sicherheitssystems sollten zentral von einem Sicherheitsmanagement gesteuert werden, wobei die Kommunikation - durch Verschlüsselung gesichert - über das Netz erfolgen muß.
Eine Black Box wird vor jedes Rechner- oder Subsystem geschaltet, das geschützt werden muß oder über das vertrauliche Daten übertragen werden. Das Gerät verhält sich ähnlich wie eine Bridge; die Schnittstellen sind beispielsweise auf beiden Seiten Ethernet oder Token Ring. Die Security-Black-Boxes stellen dem Rechner, der zu schützen ist, erweiterte Sicherheitsfunktionen zur Verfügung, etwa Schutz der Vertraulichkeit von Informationen sowie Paketfilter. Zusammen mit einer Sicherheitseinrichtung auf der Gegenseite sorgen sie auch für eine kryptographische Sicherung der Kommunikation über das lokale und Weitverkehrsnetz hinweg.
Security Sublayer im Endgerät: Ende-zu-Ende-Verschlüsselung
Eine weitere Möglichkeit, die notwendigen Sicherheitsfunktionen einzurichten, ist die Integration einer Sicherheitsschicht in die Rechnersysteme. Dafür wird beispielsweise auf dem Network Service, der den Netzwerktreibern angeboten wird, ein Securityssublayer aufgesetzt.
Er bietet der Transportschicht alle Dienste des Netzwerktreibers, mit dem Unterschied, daß eine Verbindung nur bei Bedarf mit den gewünschten Sicherheitsmerkmalen versehen wird. Aus Sicht des Netzwerktreibers (Netzwerkebene) verhält sich der Security Sublayer wie eine Transportschicht, aus Sicht der Transportschicht wie der Netzwerktreiber. Der Security Sublayer ist somit transparent gegenüber den benachbarten Schichten.
Anwendungsmöglichkeiten und Einsatzvarianten
In der Praxis wird der Security Sublayer als transparenter Netzwerktreiber im Rechner installiert. Um die Sicherheit zu erhöhen, sollte bei einer solchen Lösung zusätzlich eine Verschlüsselungskarte verwendet werden, in der die geheimen Schlüssel gespeichert sind.
Mit einem Paketfilter inklusive Verschlüsselung und der PC-Security-Komponente läßt sich der Sicherheitsdienst "Verschlüsselung" in unterschiedliche Anwendungsbereiche einbinden. In lokalen Netzen können ausgewählte Segmente, bestimmte logische Bereiche oder Anwendungen geschützt werden. Durch die Kopplung von LAN-Segmenten über öffentliche Netze mit Hilfe eines Paketfilters inklusive Verschlüsselung ist es möglich, Angreifer abzuwehren und kryptographisch gesicherte logische Netze zu bilden.
In der Praxis ist eine Kopplung zwischen dem Internet und dem Intranet notwendig, damit Mitarbeiter von Organisationen auf Informationen und Dienste im Internet zugreifen können, etwa auf WWW-Seiten, E-Mail, Datenbanken, Herstellerinformationen oder Software. Zur Sicherung der Kommunikation wird in diesem Fall eine Hochsicherheits-Firewall verwendet, welche die Trennung zwischen dem Internet und dem Intranet garantiert. Das Firewall-System ist somit der "Common Point of Trust" für den Übergang zwischen dem Internet und Intranet. Die Internet-Server, die für die Öffentlichkeit bestimmte Informationen oder Dienste zur Verfügung stellen, sind der Bastion (dem Application Gateway) vorgelagert. Dieses Sicherheitskonzept stellt sicher, daß Internet-Benutzer nicht unbefugt auf das Intranet eines Unternehmens zugreifen können.
Die Rechte der Mitarbeiter werden mit Hilfe des Security-Managements festgelegt. Mitarbeiter, die auf Dienste im Internet zugreifen, werden von der Firewall identifiziert und authentifiziert sowie ihre Aktionen entsprechend protokolliert und ausgewertet.
Sicherheit innerhalb des Intranet
Intranet-Sicherheit läßt sich folgendermaßen realisieren: LAN-Boxen verschlüsseln die Kommunikation über das Corporate Network, so daß die Daten nicht im Klartext gelesen werden können. Die Verschlüsselung bewirkt eine implizite Authentifizierung, die unter anderem "Maskerade-Angriffe" verhindert. Über die Rechteverwaltung der LAN-Boxen kann der Netzwerkverwalter festlegen, von welchen IT-Systemen aus, etwa Internet-Servern, zu welcher Zeit bestimmte Anwendungen (Dienste) genutzt werden dürfen. Sicherheitsrelevante Ereignisse werden erkannt, gespeichert und nötigenfalls als Meldung an das Security-Management weitergeleitet.
Organisationseinheiten lassen sich mit Hilfe von Verschlüsselungsgeräten mit Paketfilterfunktionent oder ein High-Level-Security-Firewall-System gegeneinander abschotten. Dies ist oft bei der Vorstands- und Personalabteilung, dem arbeitsmedizinischen Bereich oder der Forschungsabteilung notwendig. Bei Einsatz eines eigenen Firewall-Systems kann die entsprechende Abteilung selbst das Security-Management organisieren.
Die Sicherheitsmechanismen sind dem Schutzbedarf der einzelnen Anwendungen angepaßt:
Informationen, die öffentlich zugänglich sein sollen, werden von Intranet-Servern ohne integrierte Sicherheitsmechanismen angeboten. Sicherheitsrelevante Daten werden durch die externe Firewall oder separate LAN-Boxen geschützt. Sensible Bereiche werden von einem separaten Hochsicherheits-Firewall-System abgeschottet.
Fernzugriff und Heimarbeitsplätze
Die Notwendigkeit, Rechnersysteme "remote" an das lokale Netz eines Unternehmens anzukoppeln, wird zunehmend größer. Außendienstmitarbeiter benötigen direkten Zugriff auf Preislisten, Lieferzeiten und Bestellungen, damit Arbeitsvorgänge effektiv und ohne Medienbruch durchgeführt werden können.
Hinzu kommen Heimarbeitsplätze, die an das interne Netz einer Firma oder Organisation angekoppelt werden müssen. Für Heimarbeitsplätze ist die Integration über ISDN besonders interessant. Notebooks lassen sich mit einem Modem über die Telefonleitung oder mit einem Mobiltelefon über das GSM-Netz an das Intranet anbinden.
Das Sicherheitskonzept "Externe Anbindung" ermöglicht den geschützten Remote-Zugriff auf interne Intranet-Server. Die Sicherheitskomponenten LAN-Box und PC-Security erlauben eine verschlüsselte Kommunikation über öffentliche Netze, wobei die Rechte für jeden Remote-Anwender definiert werden.
Ein zentraler Übergang, der besonders gesichert ist, garantiert die vertrauliche und kontrollierte Ankopplung externer Benutzer, zum Beispiel von Heimarbeitsplätzen, von mobilen IT-Systemen der Außendienstmitarbeiter sowie von Kunden und Lieferanten. Die Kombination von PC-Security und LAN-Box bietet ein einfaches Konzept, mit dem sich die notwendige Sicherheit garantieren läßt: IP-Pakete werden in verschlüsselter Form über ISDN, das analoge Telefonnetz oder das Mobilfunknetz gesendet und von der LAN-Box wieder entschlüsselt. (re)
Literatur
(1] Pohlmann, Norbert: Datenschutz - Sicherheit in öffentlichen Netzen; Hüthig-Verlag, Heidelberg 1996
[2] Pohlmann, Norbert: Firewall-Systeme - Sicherheit für Internet und Intranet. International Thomson Publishing, Bonn 1997
Dipl.-Ing. Norbert Pohlmann
studierte Elektrotechnik mit Schwerpunkt Informatik. Von 1985 bis 1988 war er Forschungsingenieur, später Leiter des Labors für Telematik an der FH Aachen. 1988 gründete er die Firma Kryptokom, deren Geschäftsführer er ist.
Funktionen von Firewalls
Ein Firewall-System muß in erster Linie folgende Aufgaben erfüllen:
Zugangskontrolle auf der Netzwerkebene; Zugangskontrolle auf Benutzerebene; Rechteverwaltung; Kontrolle auf der Anwendungsebene; Entkopplung von Diensten; Beweissicherung und Protokollauswertung; Alarmierung; Verbergen der internen Netzstruktur; Vertraulichkeit von Nachrichten sicherstellen.
Weitere Kriterien eines Firewall-Systems sind:
Es muß gegen Angriffe resistent sein; es sollte Accounting (IP- und benutzerorientiert) sowie "Network Address Translation" ermöglichen.
Kriterien für die Produktauswahl
Bei der Auswahl von Firewall-Systemen sollten folgende Kriterien berücksichtigt werden:
Der Einsatz eines High-Level-Security-Firewall-Systems empfiehlt sich immer dann, wenn ein zu schützendes Netz an ein unsicheres Netz angekoppelt wird, das ein geringes oder nicht einschätzbares Schutzniveau hat und das außerhalb des eigenen Verantwortungsbereiches liegt. Dies ist beispielsweise bei der Ankopplung an das Internet der Fall. Ein Firewall-System, das nur auf Paketfiltern aufbaut, wird sicherlich nicht für die Kopplung eines Netzes an das Internet eingesetzt werden können. Der Grund ist, daß der Schutzbedarf der meisten Netze, die zu schützen sind, die Kontrollmöglichkeiten eines Paketfilters übersteigt. Auf dem Application Gateway ist so wenig Software wie möglich zu installieren. Dies verhindert, daß zufällig - oder absichtlich durch einen Angreifer von außen - eine andere Software die Aufgabe eines Proxies (Paketübertragung im Application Gateway) für einen Dienst übernimmt, der nicht zulässig ist. Das Sicherheitsmanagement soll dem Benutzer die Arbeit so leicht wie möglich gestalten und ist deshalb mit einer mächtigen Software (X-Terminal, Datenbank, et cetera) ausgestattet ist. Es darf aus Sicherheitsgründen nicht auf demselben Rechner laufen oder zumindest nicht zur gleichen Zeit wie das Application Gateway. Application Gateways sollen aus Sicherheitsgründen keine Routing-Funktionen haben, damit nicht an den Proxies vorbei geroutet werden kann. Die eingesetzten Sicherheitsmechanismen müssen transparent und für jeden Benutzer überschaubar sein. Ähnlich wie beim Airbag im Auto müssen die Sicherheitsmechanismen überprüft werden, aber nicht von jedem Benutzer (Autofahrer), sondern von Fachleuten (dem TÜV), also von Zertifizierungsstellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Wirksamkeit der Sicherheitsmechanismen (beispielsweise Schlüssellänge) darf keinen staatlichen Beschränkungen unterliegen, wie dies zum Beispiel in den USA der Fall ist.