Firewalls

[Weiter] [Hoch] [Zurück] [Inhaltsverzeichnis]
Nächste Seite: Technische und organisatorische Maßnahmen Aufwärts: Physikalische Maßnahmen Vorherige Seite: Network Address Translation and Port Inhalt

Firewalls

ELLERMANN definiert den Begriff der Firewall wie folgt:

,,Eine Firewall ist eine Schwelle zwischen zwei Netzen, die überwunden werden muss, um Systeme im jeweils anderen Netz zu erreichen. Es wird dafür gesorgt, dass jede Kommunikation zwischen den beiden Netzen über die Firewall geführt werden muss. Auf der Firewall sorgen Zugriffskontrolle und Auditing dafür, dass das Prinzip der geringsten Berechtigung durchgesetzt wird und potentielle Angriffe schnellstmöglich erkannt werden.``²⁶¹

In einfacheren Worten:

Eine Firewall ist eine Passierstelle zwischen zwei Netzen, die entscheidet, ob eine Information aus dem einen in das andere Netz transportiert werden darf oder nicht.

Prinzipbedingt können Firewalls nur an den Kontaktstellen zwischen Netzen eingesetzt werden, Angriffe innerhalb eines Netzes können nicht abgewehrt werden.

Eine Firewall bietet heute ein ,,Höchstmaß an Zugriffsschutz``²⁶², fordert dafür Einschränkungen hinsichtlich der Performance (der Durchsatz sinkt) und der nutzbaren Dienste (es kann nur genutzt werden, was auf der Firewall konfiguriert ist). Ferner stellt sie natürlich ein besonders gefährdetes System dar, es ist ,,[e]in geschlossener Sicherheitsbereich für die Komponenten einer Firewall [...] erforderlich. Es müssen mechanisch stabile Umfassungen (einbruchs- und feuerhemmend) für die beteiligten aktiven Geräte verwendet werden. Zutrittskontrolle hat zu erfolgen.``²⁶³ Idealer Standort ist natürlich ein NOC.

Nach OPPLIGER unterscheidet man zwei Firewall-Grundkonzepte, Paketfilter und Anwendungs-Gateways, die auf vielfältige Art und Weise miteinander kombiniert werden können. Neben diesen Grundkonzepten gibt es andere Architekturen, etwa die Stateful-Inspection-Firewall, die den Grundgedanken des Paketfilters mit Funktionsweisen eines Anwendungs-Gateways kombiniert.²⁶⁴

Zusätzlich zur eigentlichen Konfiguration der Firewallkomponenten spielt auch ihr Standort und die Zuordnung zu einem der Netze sowie die Kombination der Grundtypen eine entscheidende Rolle. Eine Firewall setzt sich i.d.R. aus mehreren Firewallkomponenten zusammen.

Die verschiedenen Typen werden nun kurz mit Nennung ihrer Vor- und Nachteile angegeben:

Paket-Filter (Packet-Screen, Screening Router)
Ein Paket-Filter ist im Wesentlichen ein Router, der sämtliche zu transportierende IP-Pakete filtert. Die Unterscheidung ist nach Quell- und Zieladresse sowie Quell- und Zielport möglich. Damit kann eingeschränkt werden, welche Rechner im sicheren Netz²⁶⁵ mit welchen Rechnern des unsicheren Netzes kommunizieren dürfen, ferner, welche Kommunikationsdienste erlaubt sind. Dabei gibt es drei Möglichkeiten, was mit den Paketen passieren soll; zwischen diesen Möglichkeiten wird für jedes Paket individuell allein auf Grund der im Rahmen enthaltenen Informationen entschieden:
1. Es wird weitergeleitet (accept),
2. es wird mit einer entsprechenden Meldung an den Absender vernichtet (reject),
3. es wird ohne eine Meldung vernichtet (deny).
- Vorteile:
  leicht realisierbar, leicht erweiterbar, für den Benutzer transparent
- Nachteile:
  meist Dienstezulassung nicht benutzerspezifisch, erlaubte Dienste müssen sicher sein
Anwendungs-Gateways (Application Level GW, Dual-homed GW)
Im Gegensatz zum Paket-Filter findet die Kontrolle über den Datenverkehr auf der Anwendungsschicht statt. Für jeden zu nutzenden Dienst werden spezielle Proxyserver eingeführt, die den direkten Zugriff auf den Dienst verhindern. Dadurch werden Möglichkeiten der ausführlichen Protokollierung und einer benutzerbezogenen Authentisierung für die Dienste gegeben.
- Vorteile:
  aussagekräftige Protokollierung möglich, interne Netzstruktur wird verborgen
- Nachteile:
  Übernahme der Firewall durch einen Angreifer führt zum vollständigen Verlust der Sicherheit, keine Transparenz für Benutzer, neue Dienste schwierig, Unterstützung für spezielle Anwendung muss existieren
Kombination (Screended Gateway, Transparent Application Gateway)
Die Kombination eines Paket-Filters mit einem Anwendungs-Gateway erhöht die Sicherheit der Firewall gegenüber den Einzelkomponenten erheblich. Die Namensgebung unterscheidet sich auch je nach Kombination dieser Grundtypen.²⁶⁶
- Vorteile:
  interne Netzstruktur wird verborgen, vereinfachte Regeln durch zweiten Filter, aussagekräftige Protokollierung möglich
- Nachteile:
  keine Transparenz für Benutzer, Probleme bei neuen Diensten
Stateful Inspection (Stateful Packet Filter, Dynamic Packet Filter)
Paketfilter arbeiten zustandslos, d.h. sie entscheiden für jedes IP-Paket isoliert allein auf Grund der voliegenden Filterregeln, wie mit diesem Paket verfahren wird. Eine Stateful-Inspection-Firewallkomponente vergleicht ein erstes eintreffendes Paket einer Verbindung wie ein Paketfilter auch mit den Filterregeln, legt im Falle der Weiterleitung (accept) jedoch Informationen über den Status der Kommunikation in einer lokalen Datenbank ab. Die dort vorliegenden Informationen können dann dazu beitragen, dass weitere mit diesem Paket assoziierte, nachfolgende Pakete schneller die Firewall passieren können. Falls die Filterregeln es erfordern, wird nicht nur der IP-Header betrachtet, sondern auch die Anwendungsdaten eines jeden Paketes zur Filterung herangezogen. Die Aufzeichnung von Logdaten erfolgt ebenso wie eine ggf. nötige Authentikation auf der Anwendungsebene.
- Vorteile:
  arbeitet auf Netz- und Anwendungsschicht, umfangreiche Authentisierungsvarianten
- Nachteile:
  Performance-Einbußen durch umfangreiche Analyse und Aktionsmöglichkeiten, keine volle Gateway-Funktionalität

Von der Konstruktion her muss jede Firewall so konzipiert sein, dass der Ausfall einer Komponente keinesfalls zum Verlust der Firewall-Funktionalität führen darf, sondern höchstens zum Verlust der Verbindung; es wird also nach Ausfall einer Firewallkomponente kein Datenverkehr mehr möglich sein.²⁶⁷

Alternativ ist denkbar, mehrere Firewalls in Reihe zu schalten²⁶⁸, so daß bei Ausfall einer Komponente die anderen den Datenverkehr dennoch kontrollieren. Dabei sinkt der Gesamt-Durchsatz aber noch weiter ab. Einige Ausfall-Szenarien, die auch den schlechtesten anzunehmenden Fall (worst case) abdecken, werden auf Seite [*] diskutiert. Dort wird davon ausgegangen, dass eine ausgefallene Firewall den gesamten Datenverkehr unkontrolliert und ungefiltert passieren lässt. Durch mehrere hintereinander geschaltete Firewall-Komponenten kann dieses Problem angegangen werden.

Firewallsysteme sollten so einfach wie möglich aufgebaut sein, denn mit zunehmender Komplexität steigt die Gefahr von Fehlkonfigurationen. Die Firewall kann nicht separiert von den Netzen administriert werden; als Schnittstelle benötigt sie sogar besondere Berücksichtigung der Gegebenheiten beider Netze.

Grundsätzlich sollte die Firewall den einzigen Netzübergang vom unsicheren ins sichere Netz darstellen, gegebenenfalls sind flankierende Vorgaben zu machen, die zusätzliche Netzzugänge (insbesondere per Modem oder ISDN-Karte) explizit verbieten.²⁶⁹Eine weitergehende grundlegende Diskussion von Firewall-Systemen ist an dieser Stelle nicht möglich, ich verweise daher insbesondere auf [DFN-FWL], [Orth 1998] und [Oppliger 1997].

Bei der Konzeption einer Firewall sind folgende W-Fragen von essenzieller Bedeutung:

Was soll geschützt werden?
Welche Dienste sind erforderlich?
Welche Benutzer werden zugelassen?
Welcher Datendurchsatz ist zu erwarten?
Welche Ereignisse werden protokolliert?
Wer wertet diese Daten aus?

In der Schule sind diese Fragen relativ einfach zu beantworten. Insbesondere die Frage nach erforderlichen Diensten lässt sich i.d.R. schnell abhandeln, da Schulen (vgl. Abschnitt 2.1.2) keine eigenen Dienste nach außen anbieten, sondern nur ,,Nutzer`` sind. Auch der Benutzerkreis ist schnell festgestellt. Die Frage nach der Auswertung der Daten ist aber mindestens ebenso delikat wie die Frage nach der Administration des Verwaltungsrechners und kann nicht generell beantwortet werden. In besonders sensiblen Bereichen sollte sich aber der die Log-Daten auswertende Personenkreis von dem die Administration ausführenden Personenkreis unterscheiden.

Im direkten Zusammenhang mit der Thematik sind Firewalls an mindestens zwei Stellen interessant:

Zur Abschottung des Schulnetzes nach außen: Schutz gegen das Internet
,,Grundsätzlich empfiehlt es sich daher, einen Anschluss an das Internet über einen zentralen, kontrollierten und abgesicherten Zugang zu realisieren (Firewall).``²⁷⁰
Zur Sicherung des Verwaltungsnetzes gegen das pädagogische Netz: Schutz gegen das pädagogische Netz
,,Firewalls können auch zum Einsatz kommen, wenn z.B. das schulische Netzwerk für Unterrichtszwecke mit dem Verwaltungsnetz der Schule verbunden werden soll, was derzeit allerdings noch ...aufgrund des Erlasses AZ I/6-6534.45/135²⁷¹ vom 1997-08-04 des Kultusministeriums Baden-Württemberg verboten ist.``²⁷²

Diese Aufstellung stellt einen Spezialfall dar, der jedoch für unsere Situation einige Vorteile bietet. Das Netz mit dem geringsten Schutzbedarf in der Schule ist sicherlich das pädagogische Netz (vgl. Abschnitt 2.6.1), in praxi wird es traditionell überhaupt nicht vor Gefahren aus dem Internet geschützt. Durch eine erste Firewall-Lösung wird ein Grundschutz des Schulnetzes (und damit des pädagogischen und des Verwaltungsnetzes) gegen das Internet realisiert. Eine zweite Firewall trennt dann sowohl das Verwaltungsnetz vom pädagogischen Netz als auch nochmals das Verwaltungsnetz vom Internet. Nun lassen sich die zwei eingesetzten Firewalls als Komponenten eines Firewall-Systems betrachten, womit der Forderung nach einem Sicherheitssystem für die Firewall nachgekommen wird.²⁷³ Darüber hinaus entspricht dann das pädagogische Netz zwischen den beiden Firewalls im Wesentlichen einer Demilitarisierten Zone²⁷⁴ (DMZ).

Es ergeben sich bei Ausfall²⁷⁵ einer Firewall folgende Szenarien:

Ausfall der ersten Firewallkomponente:
Das pädagogische Netz ist vom Internet aus uneingeschränkt erreichbar. Das Verwaltungsnetz ist weiterhin durch die zweite Firewall vor Angriffen sowohl aus dem Internet als auch aus dem pädagogischen Netz geschützt.
Ausfall der zweiten Firewallkomponente:
Pädagogisches und Verwaltungsnetz sind vor Angriffen aus dem Internet geschützt. Das Vewaltungsnetz ist vom pädagogischen Netz aus uneingeschränkt erreichbar.²⁷⁶

Da sich der Schutzbedarf immer an dem Bereich mit den sensibelsten Daten orientieren muss, kann es bei Verwendung einer zentralen Firewall für die gesamte Verwaltung mit einheitlichem Schutzniveau zu Unzufriedenheit in den Bereichen mit geringerem Schutzbedarf kommen. Der Gefahr, dass gerade von solchen Stellen zusätzliche Netzzugänge geschaffen werden, um die scheinbar nicht erforderlichen Restriktionen zu umgehen, muss wirkungsvoll begegnet werden. Denn durch die Schaffung zusätzlicher Netzzugänge wird der gesamte Zweck der Firewall ad absurdum geführt:

,,Zugänge, die nicht über die gesicherte Anbindung erfolgen ... sind zu untersagen und soweit möglich technisch zu unterbinden.``²⁷⁷

Da eine Firewall den Netzverkehr innerhalb des Verwaltungsnetzes nicht kontrollieren kann, besteht bei zentralen Firewalls die Gefahr, das gesamte Verwaltungsnetz als eine Einheit zu betrachten. Dieser Aspekt muss bei der Gesamtbetrachtung der Sicherheit vernetzter Verwaltungen unbedingt betrachtet werden. Die Gefahr des internen Missbrauchs ist vorab zu klären.

$\framebox[\hsize]{\hfill \textbf{Umsetzung} \hfill}$

Genau an den betrachteten Stellen kommen Firewall-Komponenten zum Einsatz: an der Schnittstelle zwischen Schulnetz und Internet ein Paketfilter; am Kontrollknoten zwischen Verwaltungsnetz und pädagogischem Netz ebenfalls.

**Abbildung 20:** Platzierung der Firewall-Komponenten
$\begin{figure} \center\epsfig{file=konzeptc.eps, clip=}\end{figure}$

Daniel Jonietz