![[Einfacher Router als Firewall]](fwall_1.jpg)
Um ein definiertes Sicherheitsniveau zu erreichen, muss der genaue Aufbau der Firewall bestimmt werden. Zusätzlich zur Hardware-Verdrahtung und Anordnung der Firewall - Bestandteile ist auch die Verwendung verschiedener Software - Komponenten zu evaluieren. Zum Schutz des LANs kann man die Clients "verstecken", damit sie vom externen Netzwerk aus nur unter (möglichst hohem) Aufwand erkannt werden. Ausserdem kann man den Verkehr zwischen zwei Netzen kontrollieren und einschränken.
Die wichtigsten dieser Methoden sollen im folgenden erläutert werden:
NAT ist eigentlich eine Routerfunktion, die eingesetzt wird um kleine Netze mit nur einer (offiziellen) IP-Adresse an das Internet anzubinden. Anfragen an das Internet von einem Rechner des lokalen Netzwerks werden mit einer vorher bestimmten IP-Adresse weitergeroutet. Somit kann man die Zuordnung offizieller Adressen zu allen lokalen Rechnern sparen. Von einem Rechner im Internet erscheint dann das gesamte LAN als ein einziger Rechner (der Router selbst). Hierin liegt auch der Sicherheitsaspekt, da eine Verbindung nur zum Router aufgebaut werden kann. Dieser kann seinerseits wieder bestimmte Dienste (z.B. well known ports) auf andere Rechner umleiten. Wird NAT auf einem getrennten Router eingesetzt, ist zudem noch der IP-Stack vorhandener Server geschützt, da Angriffe vorher abgefangen werden.
Unter Maskieren eines Netzwerks versteht man das Austauschen der Quelladresse und Portnummer in jedem Paket, welches den Router nach aussen passiert. Antwortpakete in der entgegengesetzten Richtung werden symmetrisch behandelt, damit sie wieder am Ausgangspunkt ankommen. Man verwendet diese Technik, um nach aussen andere IP-Adressen vorzugaukeln, als tatsächlich verwendet werden. Auch bei dieser Lösung wird normalerweise ein eigener Router mit eigenständigem IP-Stack verwendet (siehe NAT).
Ein Proxy Server fungiert als Mittelsmann zwischen lokalen Anwendungen und Servern im Internet. Client Applikationen, die einen Proxy verwenden, stellen eine Verbindung zum Internet nicht direkt her. Sie adressieren den Proxy und übergeben ihm die Vollmacht (engl.: proxy), ihre Anfrage durchzuführen.
Wenn direkte Verbindungen der einzelnen Rechner nicht erlaubt sind, sondern nur vom Proxy aus, kann der gesamte Datenverkehr an einer Stelle kontrolliert und protokolliert werden.
Diese Zentrale Stellung des Servers gibt die Möglichkeit, damit eine weitere Funktion (in diesem Fall ein Nebeneffekt) zu verbinden. Man kann den Rechner mit entsprechender Speicherkapazität ausstatten und ihn als Puffer verwenden. Somit werden Anfragen an das Internet, z.B. der Abruf einer WWW-Seite, schneller beantwortet, da keine externe Verbindung aufgebaut werden muss. Stattdessen erhält der Client die temporär gespeicherten Daten einer vorangegangenen Verbindung eines anderen Users. Bei langsamen Verbindungen ins Internet kann dies zu drastischen Leistungssteigerungen führen wenn viele Benutzer die selben Dienste nutzen.
Wie bereits angedeutet, ist ein Proxy eine sogenannte "Application Level Firewall". Dies bedeutet, dass für jeden Dienst (www, ftp, etc.) eine spezielle Proxy - Software installiert werden muss. Man kann diese Eigenschaft als Nachteil (erhöhter Administrationsaufwand) aber auch als Vorteil (restriktivere Kontrolle) betrachten. Je nach Einsatzgebiet muss entschieden werden, ob sich ein Einsatz lohnt, oder ob auf andere Mechanismen zurückgegriffen werden sollte.
Beim IP filtering wird der Datenverkehr aufgrund der Informationen in den einzelnen IP- Packet- Headern geregelt. Dabei werden Quell- und Zieladresse als Hauptkriterium für die Filterung verwendet. So werden z.B. Pakete vom äusseren Netz kommend mit einer Quelladresse aus dem inneren Netz abgelehnt, um Angriffe abzuwehren. Auch die angesprochenen Ports (source und destination) werden blockiert um einzelne Dienste zu verbieten oder zuzulassen.
Man unterscheidet zwei Arten der Filterung:
Abgelehnte Pakete werden nach der ausgelösten Filterregel sortiert und aufgezeichnet, um später eventuelle Angriffe zu analysieren.
Das Problem bei dieser Lösung ist, dass man nicht bestimmen kann, wer erfolgreich die Netzgrenzen passiert hat.
Mehrere lokale Netzwerke können mit Hilfe des Internets verbunden werden. Diese Verbindung liegt jedoch offen und ist für jeden abhörbar. Mit einem sogenannten IP-Tunnel zwischen zwei LANs kann die Verbindung nach aussen geschützt werden.
Zuerst wird eine IP-Verbindung erstellt, bei der sich die Endstellen (Firewall oder Router) authentifizieren und einen session key für die Übertragung festlegen. Alle Datenpakete, die die beiden Netzwerke danach austauschen, werden mit dem session key verschlüsselt und auf dieser Verbindung übertragen.
Diese Technik hat mehrere Vorteile:
Neben den logischen Aspekten einer Firewall muss auch der physikalische Aufbau bestimmt werden. Verschiedene Möglichkeiten, Sicherheit zu realisieren sollen im folgenden beschrieben werden.
Einen Rechner, der besonders gesichert ist und als „Bollwerk" gegen Eindringlinge eingesetzt wird, nennt man Bastion Host. Er dient der Verteidigung des lokalen Netzwerkes und sollte besondere Aufmerksamkeit vom Administrator (in der Form von regelmässigen Audits und Sicherheits- Patches) erhalten.
Wenn ein Rechner Teil von zwei Netzen ist (mit zwei Netzwerkkarten), spricht man von einem Dual Homed Host. Oft bietet dieser Rechner auch Gateway- Funktionen an. Um hohe Sicherheit zu erlangen wird die Routing- Funktion deaktiviert. Dann können lokale und Internet- Hosts mit dem Gateway kommunizieren, aber direkter Datenfluss wird unterbunden.
Es gibt viele Hersteller von Routern, die in ihre Geräte Firewall-Funktionalitäten integrieren. Dies sind meistens IP-Filter, die mehr oder weniger detailliert konfiguriert werden können. Manche Geräte aus der höheren Preisklasse bieten weitergehende Funktionen wie IP-Tunneling (VPN) oder Stateful Inspection an. Solche „Screening Router" werden jedoch sehr oft als Teil einer Firewall eingesetzt.
Der Einsatz eines solchen Routers als alleinige Firewall-Einrichtung ist jedoch nur beschränkt und nur für kleine Netze zu empfehlen. Bei hohen Sicherheitsanforderungen bietet diese Lösung nicht genügend Freiraum zum Konfigurieren und ausserdem keine Möglichkeit einer Application Level Firewall.
![[Firewall-Rechner als Router]](fwall_2.jpg)
Eine Konfiguration dieser Art bietet die gesamte Palette der Möglichkeiten, ist jedoch nicht für Hochsicherheit geeignet. Die Konzentration aller Einrichtungen auf einem Rechner bietet zu viele Möglichkeiten für Angreifer bei einer Fehlkonfiguration. Auch Fehler der verwendeten Programme führen zu Sicherheitslücken, die durch mehrstufige Firewalls geschlossen werden (können).
![[Firewall-Rechner und Router]](fwall_3.jpg)
In den häufigsten Fällen ist der Firewall- Rechner im lokalen Netz und der Router lässt nur Verkehr vom Internet zum Bastion Host zu. Dieser überprüft die Zulässigkeit der Verbindung und kann sie erlauben oder abblocken. Wenn der Router mit Packet Filtering Rules ausgestattet ist, wird die dahinter liegende Firewall zusätzlich geschützt.
Der Router arbeitet mit seinem eigenen TCP/IP Stack, welcher oft wesentlich stabiler ist als der einer Softwareimplementation. DOS-Angriffe (z.B. Ping of Death, SYN-Flooding) werden somit vom Firewall-Rechner abgehalten und die Down-Zeiten verringert, da ein Router schneller wieder online ist als ein neu zu startender Rechner.
![[DMZ an Firewall]](fwall_4.jpg)
Bei vielen Anwendungen ist es von Vorteil, ein begrenzt sicheres Netz zu haben. Es entspricht nicht den hohen Sicherheitsanforderungen des LANs, erlaubt aber dennoch eine gewisse Überwachung und Abschirmung. Ein solches Netzwerk nennt man "Demilitarisierte Zone". Es wird im allgemeinen dafür benutzt, Dienste für das externe Netz zur Verfügung zu stellen.
![[Screened Subnet zwischen zwei Firewalls]](fwall_5.jpg)
Ein Screened Subnet ist eine Erweiterung der oben genannten Methoden, da zwischen zwei Firewall - Router ein „Abgeschirmtes Netzwerk" geschalten wird. Diesem wird nicht völlig vertraut, aber es hat auch nicht mehr einen so feindlichen Charakter wie das externe Netz.
Im Gegensatz zu den obigen Methoden müssen hier zwei Firewall - Systeme überwunden werden, um an das LAN zu gelangen. Sind diese noch von verschiedenen Herstellern und/oder auf verschiedenen Plattformen erhöht sich der notwendige Aufwand für den potentiellen Eindringling, diese Wand zu durchbrechen.
In dieser DMZ stehen oft Dienste für das externe Netz zur Verfügung und auch das lokale Netz kann auf die DMZ zugreifen. Direkter Verkehr zwischen den beiden Netzen wird jedoch unterbunden. Eine Application Level Firewall auf einem Bastion Host kann diese Verbindung für spezielle Dienste ermöglichen.
Um die geforderte Sicherheit für das Firmennetz zu erreichen, soll eine Kombination verschiedener Techniken eingesetzt werden.
Als Firewall wird ein Linux- Rechner mit Kernel- Filterung und Proxy für die wichtigsten Services (anfänglich nur http, kann bei Bedarf nachträglich erweitert werden) eingesetzt. Dieser sichert das interne Netz ab und bietet gleichzeitig Zugang zu der Demilitarisierten Zone. Als Grundlage für die Zugangsbeschränkungen dient die bereits definierte Sicherheitspolitik und die davon abgeleiteten Richtlinien.
Die Entscheidung zu Gunsten dieses Freeware Systems ist aus zwei Gründen gefallen. Einerseits sind die Anschaffungskosten sehr gering, da sie sich auf die Hardwarekosten beschränkt. Lediglich die Einarbeitung in ein neues und vermeintlich wenig dokumentiertes System führt zu gesteigertem Zeitaufwand. Die Dokumentation kann zwar nicht in gedruckter Form vom Software- Hersteller bezogen werden, es gibt jedoch im Internet grossartige Informationsquellen in Form von HOWTOs, FAQs und Newsgroups.
Der Zeitaufwand wird im Gegenzug durch die tiefgehenden Kenntnisse der Konfigurationsmöglichkeiten belohnt. Bei einfach zu benutzenden und vorkonfigurierten, aber komplexen Systemen herrscht oft ein Mangel an Einstellungsmöglichkeiten. Bei Linux können alle Komponenten einfach mit ASCII - Konfigurationsdateien eingestellt werden und ein Überblick über die verwendeten Einstellungen ist leicht zu erhalten.
Der zweite Grund, der für Linux spricht ist, dass es sich hierbei um ein Open Source Betriebssystem handelt. Undurchsichtige Firmenpolitik grosser Unternehmen macht es schwer, deren Sicherheitspolitik zu vertrauen. Man kann die inneren Vorgänge in Hard- bzw. Softwareelementen nur schwer bzw. überhaupt nicht nachvollziehen und überprüfen. Somit muss man glauben, was der Hersteller verspricht, oder auf den Einsatz der Anlage verzichten.
In diesem Fall trifft die Wahl somit nicht auf Standardsysteme von bekannten Herstellern, sondern Linux mit all seinen Tools und Programmen. Diese werden (auch in Zukunft) ständig von Programmierern weltweit auf Probleme und Fehler getestet und können bei bedarf auch selbst abgeändert werden.
![[Plan der gewünschten Topologie]](tgt_topologie.jpg)
Die Internet - Einwahl wird von einem Router mit (optimaler Weise) Standleitungsanschluss zum Provider erstellt. Über diese Leitung werden Emails versandt und empfangen und den Benutzern weitere Internet Dienste zur Verfügung gestellt. Der zuständige Router führt NAT durch, wodurch das gesamte (DMZ, Router - DMZ und interne) Netz versteckt wird. Des weiteren erledigt er eine erste Paketfilterung, um illegale Pakete, wie z.B. IP - Spoofing, abzublocken.
Eine Anbindung von Aussenstellen wird von einem VPN-Router erstellt. Er erhält einen breitbandigen Internet- Connect (dial-up), und erstellt dann einen IP - Tunnel zum Verbindungspartner. Im konkreten Fall ist dieser Partner entweder ein eigenes Netzwerk, wie im Falle Othercompany, oder ein Einzelrechner eines Teleworkers. Dieser Router erstellt auch direkte (ISDN-PPP-) Verbindungen zu Firmen, welche Fernwartung von Software- Komponenten betreiben.
Die oben beschriebenen drei Komponenten (zwei Router und Firewall- Rechner) werden von einem Zwischennetz, der Router-DMZ verbunden. Da hier sonst kein Rechner angeschlossen ist, ist dieser Abschnitt leicht zu verteidigen. Es gibt keinen Host, der, im Falle eines Einbruchs, einen weiteren Ausgangspunkt für feindliche Aktivitäten liefert. Lediglich der Firewall Rechner bietet diese Eigenschaft. Ist dieser jedoch kompromittiert, liegt das lokale Netzwerk schon offen.
Ein weiteres abgeschirmtes Netzwerk (Screened Subnet) befindet sich hinter dem Firewall - Rechner. Prinzipiell muss es als inneres Netz betrachtet werden, da es organisatorisch, also sowohl vom Routing als auch von der Zugriffskontrolle, auf der selben Ebene wie das Firmen - LAN liegt. Auf diesem werden Dienste für das Internet zur Verfügung gestellt, welche in beschränktem Maße überwacht werden sollen. Rechner in diesem Netz sind erschwert angreifbar. Einerseits werden sie bereits von der Firewall abgeschottet, damit einfache Angriffe im Vorhinein abgeblockt werden. Sie sind jedoch nicht ganz sicher. Dies liegt daran, dass eine gewisse Offenheit erlaubt werden muss, um Dienste bereit stellen zu können. Wäre dies nicht der Fall käme es schnell zu Problemen, wenn die angebotenen Services etwa um Audio, Video oder Datenbank erweitert werden sollen. Man erkauft sich hier also Flexibilität auf Kosten von Sicherheit.
Am besten gesichert ist das interne Netzwerk. Verbindungen nach innen sind zu Unterbinden und nach aussen zu Überwachen. Da den lokalen Usern möglichst viele Möglichkeiten im Internet gestattet werden sollen, dürfen nur sehr begrenzt einschränkende Methoden verwendet werden um das Netzwerk abzusichern. Es sollen http, https, ftp, mail, telnet, time, ping, nameserver, news und viele andere Dienste verwendet werden. Aus diesem Grund ist ein Dual Homed Gateway ohne Routing, aber mit Proxy- Fähigkeiten keine praktikable Lösung.
Bei dieser Konstellation können die Elemente DMZ und VPN jeweils entfernt bzw. erweitert werden, ohne an dem Firewall- Rechner Änderungen vornehmen zu müssen.
Auch die Art der Verbindung ins Internet steht auf diese Weise völlig offen. Man kann nach Belieben von Wähl- auf Standleitung umstellen. Auch xDSL, Kabelanschluss oder Satelliten - Verbindungen sind einfach durch den Austausch des entsprechenden Routers implementierbar.