|
|
 |
Allgemein
Eine Internet-Anbindung einer Firma oder Behörde ist ohne Sicherheitsgateway (Firewall) undenkbar.
Netze von Behörden und Unternehmen sind heute verstärkt Angriffen ausgesetzt, die gezielt oder wahllos über das Internet erfolgen. Daher ist es Notwendig, wirksame Schutzmaßnahmen zu ergreifen, um Schäden in Netzen zu vermeiden. Das Standardmittel zum Schutz von Netzen ist dabei das Sicherheitsgateway.
Sicherheitsgateways
Ein Sicherheitsgateway (auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten. Es ermöglichte die sichere Kopplung von IP-Netzen durch eine Einschränkung der technisch möglichen und auf einer IT-Sicherheitsrichtlinie basierenden Kommunikation.
Sicherheit bei der Netzkopplung bedeutet hierbei,
dass nur vom Nutzer erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden.
Ein Sicherheitsgateways setzt sich aus einem Basisaufbau und Erweiterungen dieser Basis zusammen. Die Basis wird dabei gebildet aus Paketfiltern und Application-Level-Gateways.
Basiskomponenten: Paketfilter und Application-Level-Gateway
Aufgabe eines Paketfilters ist es, Datenpakete anhand der Informationen in den Header-Daten der UDP/IP- bzw. TCP/IP-Schicht (z. B. IP-Adresse und Portnummer) zu verarbeiten.
Eine Entscheidung trifft der Paketfilter anhand der vom Administrator vorgegebenen Filterregeln.
Es kann beispielsweise eingestellt werden, dass ganze Protokolle gesperrt werden, aber es kann auch sichergestellt werden, dass nur bestimmte Pakete innerhalb eines Protokolls den Paketfilter passieren.
Vielfach bieten die Paketfilter auch eine Möglichkeit zur "Network Address Translation" (NAT), bei der die Absender-Adressen von IP-Paketen des ausgehenden Verkehrs durch eine IP-Adresse des Paketfilters ersetzt wird. NAT wurde dazu entwickelt, um die begrenzte Anzahl verfügbarer Rechneradressen besser ausnutzen zu können.
Es lässt sich aber auch dazu verwenden, die Netzstruktur des zu schützenden Netzes zu verdecken.
Application-Level-Gateways (ALG), oder auch Sicherheits-Proxies genannt, überwachen den Datenverkehr auf Anwendungsebene und unterbrechen den direkten Datenstrom zwischen Quelle und Ziel.
Bei einer Kommunikationsbeziehung zwischen Client und Server über einen Proxy hinweg nimmt der Proxy die Anfragen des Clients entgegen und leitet sie an den Server weiter. Bei einem Verbindungsaufbau in umgekehrter Richtung, also vom Server zum Client, verfährt der Proxy ebenso.
Sämtliche Kommunikationsbeziehungen zwischen den beiden Rechnern verlaufen über den Proxy. Vorteil dieses Kommunikationsmodells:
Der Proxy sammelt alle zu einer Verbindung gehörenden Daten ein und besitzt dann die Möglichkeit, sicherheitskritische Inhalte zu entfernen. Danach leitet der Proxy die Daten – in neue Pakete verpackt – zu ihrem Zielrechner weiter.
Sowohl Paketfilter als auch Application-Level-Gateway können für sich alleine schon eine Vielzahl von Angriffen abwehren. Ein besonders hoher Schutz ergibt sich jedoch, wenn beide miteinander kombiniert werden.
Basisstrukturen: einstufiger und mehrstufiger Aufbau
Die beschriebenen Basiskomponenten gilt es also in sinnvoll einzusetzen, wobei 2 Dinge immer wichtig sind:
Zum einen ein einstufiger Aufbau aus einem einzelnen Paketfilter , zum anderen ein mehrstufiger Aufbau, bestehend aus der Hintereinanderschaltung eines Paketfilters, eines Application-Level-Gateways und eines weiteren Paketfilters.
Zu empfehlen ist fast ausnahmslos der P-A-P-Aufbau.
Er bietet einfach bessere Kontroll- und Protokollierungsmöglichkeiten.
Obwohl ein ALGbereits grundlegende Paketfilterfunktionalität besitzt, sollte man auf Paketfilter nicht verzichten.
Diese schützen auch den TCP/IP-Stack des ALG und können etwaige Fehlkonfigurationen der in der Regel sehr komplexen ALG verhindern.
Zudem können sie das ALG bei der Filterung von unerwünschtem Datenverkehr (z. B. durch Internet-Würmer) unterstützen und eine völlige Auslastung des ALG zumindest hinauszögern.
Eine P-A-P-Lösung ist in der Regel aber auch teurer als der einstufige Aufbau.
Kleine Organisationen mit entsprechend kleinen Netzen müssen deshalb meist mit dem Paketfilter als einstufigem Aufbau auskommen. Dementsprechend ergeben sich auch höhere Risiken bei der Nutzung des Internets, beispielsweise lassen sich mit einem Paketfilter keine aktiven Inhalte aus Web-Seiten oder E-Mails herausfiltern.
Verbleibende Risiken
Auch nach der Installation eines Sicherheitsgateways verbleiben Risiken, denen nicht grundlegend mit technischen Mitteln entgegengewirkt werden kann. Drei Beispiele hierfür sind:
-
Es kann gerade bei einer großen Zahl an Mitarbeitern nicht ausgeschlossen werden, dass sich Anwender über die Vorgaben von Sicherheitsrichtlinien hinwegsetzen oder diese versehentlich verletzen.
-
Direkte Angriffe auf Netze, die durch ein Sicherheitsgateway geschützt sind, sind in der Regel durch Fehlkonfigurationen der Regelsätze erfolgreich. Je komplexer also ein Sicherheitsgateway ist, um so größer ist in der Regel die Chance auf einen erfolgreichen Angriff.
-
Ist einem Mitarbeiter der Zugriff auf das Internet erlaubt, bedeutet dies, dass er sowohl Daten in das Internet schicken kann, als auch die Antworten empfangen kann. Wird bei Verfügbarkeit einer solchen bidirektionalen Verbindung auf einem Rechner im internen Netz ein Tunneling-Programm installiert, können gesperrte Protokolle in ein erlaubtes Protokoll verpackt werden. Notwendig ist hierzu allerdings auch eine Gegenstelle im Internet, die das verpackte Protokoll wieder in seine ursprüngliche Form bringt.
Viele der verbleibenden Risiken können verringert werden, indem die Mitarbeiter geschult und darüber aufgeklärt werden, wie wichtig die Einhaltung von Sicherheitsrichtlinien für die Sicherheit des organisationsinternen Netzes ist. Vollständige Sicherheit ist jedoch nicht zu erwarten.
|
|
 |
|
|
|
|
