| LetzteNetzwerksicherung | Firewall (Brandmauer) | NächstDMZ |
Jeder Computer der an Internet (der allgemein an ein beliebiges Datenverarbeitungsnetzwerk) angeschlossen ist, kann möglicherweise Opfer einer Attacke von Informatikpiraten werden. Die Methodologie die meist von denInformatikpiraten angewendet wird, besteht darin, dass Netz zu beobachten (indem über Zufallsprinzip Datenpakete versandt werden) auf der Suche nach einer angeschlossenen Maschine, um dann eine Schwachstelle in dem Sicherheitssystem zu suchen, um über diese auf die im Rechner befindlichen Daten zuzugreifen.
Diese Bedrohung ist umso größer, als die Maschine permanent an Internet angeschlossen ist, und dies aus mehreren Gründen :
So ist es notwendig, für die Unternehmensnetzwerke, so wie für die Internetbenutzer die einen Anschluss des Typs Kabel oder ADSLbesitzen, sich gegen Netz-Eindringungen zu schützen, durch Installierung einer Schutzvorrichtung.
Ein Firewall (auch Brandmauer, garde-barrière ou firewall genannt), ist ein System mit dem ein Computer, oder ein Computernetzwerk vor Eindringen über ein anderes Netz (insbesondere Internet) geschützt werden kann. Der Firewall ist ein System, mit dem die mit dem Netz ausgetauschten Datenpakete, gefiltert werden, es handelt sich also um einen filternden Netzkoppler der mindestens folgende Netzschnittstellen enthält :
Das Firewallsystem ist ein Softwaresystem, welches manchmal auf zugeordnetem Netzwerkmaterial beruht, und eine Übergangsstelle zwischen dem lokalen Netzwerk (oder der lokalen Maschine) und einem oder mehreren externen Netzwerken darstellt. Man kann ein Firewallsystem auf jeder beliebige Maschine und mit jedem beliebigen Systemen installieren, vorausgesetzt :
Falls das Firewallsystem mit einer Box, sozusagen « schlüsselfertig » geliefert wird, so verwendet man den Begriff « appliance ».
Ein Firewallsystem enthält eine Reihe von vordefinierten Regeln, die es ermöglichen :
Diese Reihe von Regeln ermöglicht es eine Filtermethode umzusetzen die von der Sicherheitspolitik die Organisation abhängig ist. Man unterscheidet meist zwei Arten von Sicherheitspolitiken :
"Alles was nicht ausdrücklich gestattet ist, ist verboten".
Die erste Methode ist zweifellos die sicherste, aber sie fordert eine präzise und einschränkende Definition der Bedürfnisse in Sachen Kommunikation.
Ein Firewallsystem basiert auf den Prinzip der einfachen Filterung von Paketen (auf Englisch « stateless packet filtering »). Er analysiert die Kopfzeilen jedes Datenpaketes (datagramme), welches zwischen einer Maschine des internen Netzwerkes und einer externen Maschine ausgetauscht wird.
So laufen die ausgetauschten Datenpakete zwischen einer Maschine des externen Netzwerkes und einer Maschine des internen Netzes, über den Firewall und besitzen folgende Kopfzeilen, die systematisch von dem Firewall analysiert werden :
Die IP Adressen die in den Paketen enthalten sind, erlauben es die Quellmaschine und die Zielmaschine zu identifizieren, während der Pakettyp und die Portnummer, Auskunft über die Art des verwendeten Dienstes geben.
Die folgende Tabelle gibt Beispiele für Firewallregeln :
| Regel | Aktion | Quell IP | Ziel IP | Protokoll | Quell-Port | Ziel-Port |
|---|---|---|---|---|---|---|
| 1 | Accept | 192.168.10.20 | 194.154.192.3 | tcp | any | 25 |
| 2 | Accept | any | 192.168.10.3 | tcp | any | 80 |
| 3 | Accept | 192.168.10.0/24 | any | tcp | any | 80 |
| 4 | Deny | any | any | any | any | any |
Die erkannten Ports (deren Nummern zwischen 0 und 1023 liegen ) werden gängigen Diensten zugeordnet (die Ports 25 und 110 werden zum Beispiel der elektronischen Post zugeordnet und der Port 80 dem Web). Die meisten Firewall-Vorrichtungen sind mindestens so konfiguriert, dass sie die Kommunikationen nach dem verwendeten Port filtern. Es wird meist empfohlen, alle Ports die nicht unbedingt notwendig sind, zu sperren (je nach der gewählten Sicherheitspolitik).
Der Port 23 ist zum Beispiel häufig standardmäßig durch die Firewall Vorrichtungen gesperrt, da er dem Protokoll Telnetentspricht, welcher es ermöglicht den Zugriff über eine Endmaschine auf eine entfernte Maschine zu emulieren, umso Befehle aus Entfernung auszuführen. Die durch Telnet ausgetauschten Daten sind nicht verschlüsselt, was bedeutet, dass es möglich ist dasNetzwerk abzuhören und eventuell, nicht verschleierte Passwörter zu stehlen. Die Administratoren bevorzugen ihm meist das SSH Protokoll, welches als sicher gilt und die gleichen Funktionen wie Telnet anbietet.
Die einfache Paketfilterung kümmert sich nur um die Untersuchung der einzelnen IP Pakete, die unabhängig voneinander betrachtet werden, was dem Level 3 des OSI Modellentspricht. Die meisten Verbindungen allerdings, basieren auf dem TCP Protokoll, welche Sitzungen definiert, um den guten Ablauf des Austausches sicherzustellen. Außerdem leiten viele Dienste (FDP zum Beispiel) eine Verbindung über einen statischen Port ein, öffnen aber dynamisch (das heißt über Zufallsprinzip) einen Port um eine Sitzung zwischen der Maschine die als Server dient und der Client-Maschine zu erstellen.
So ist es mit einer einfachen Filterung der Pakete unmöglich vorauszusehen, welche Ports zu sperren oder zu gestatten sind. Um dem entgegenzuwirken, basiert das System der Dynamischen Paketfilterung auf einer Inspektion der Schichten 3 und 4 des OSI-Modells, mit dem eine Überwachung der Transaktionen zwischen Client und Server ermöglicht wird. Der englischsprachige Begriff dafür ist« stateful inspection » oder « stateful packet filtering », zu übersetzen mit« Paketfilterung mit Status ».
Eine Firewall-Vorrichtung des Typen « stateful inspection » ist somit in der Lage den Austausch zu überwachen, das heißt den Zustand der ehemaligen Pakete in Anbetracht zu ziehen, um Filterregeln anzuwenden. Wenn so eine befugte Maschine eine Verbindung zu einer Maschine auf der andern Seite des Firewalls einleitet, werden alle Pakete die im Rahmen dieser Verbindung übertragen werden, implizit von dem Firewall akzeptiert.
Die dynamische Filterung ist zwar leistungsstärker als die einfache Paket-Filterung, sie schützt allerdings nicht vor der Ausnutzung von Anwendungsschwachstellen, die mit die Schwäche der Anwendungen verbunden sind. Es sind aber diese Schwachstellen die den größten Teil der Sicherheitsrisiken darstellen.
Die Anwendungsfilterung ermöglicht es die Kommunikationen Anwendung für Anwendung zu filtern. Die Anwendungsfilterung operiert demnach auf Level 7 (Applikationsschicht) des OSI-Modells, im Gegensatz zur einfachen Paketfilterung (Level 4). Die Anwendungsfilterung setzt demnach die Kenntnis der Protokolle voraus, die von jeder Anwendung benutzt werden.
Die Anwendungsfilterung ermöglicht es, wie ihr Name besagt, die Kommunikationen Anwendung für Anwendung filtern. Die Anwendungsfilterung setzt demnach eine gute Kenntnis der im Netz vertreten Anwendungen voraus, und insbesondere der Art mit der sie die ausgetauschten Daten strukturiert (Port, usw.).
Ein Firewall der eine Anwendungsfilterung ausführt wird meist « Anwendungs-Netzkoppler » (oder « Proxy »), genannt, den er dient als Relais zwischen den zwei Netzwerken, indem er sich zwischenschaltet und eine Fein-Validierung des Inhaltes der ausgetauschten Pakete vornimmt. Der Proxy stellt demnach den Vermittler zwischen den Maschinen des internen Netzwerkes und des externen Netzes dar, und erleidet die Attacken an ihrer Stelle. Außerdem ermöglicht die Anwendungsfilterung die Zerstörung der Kopfzeilen vor den Anwendungsnachrichten, wodurch ein zusätzlicher Sicherheitslevel geboten wird.
Es handelt sich somit um eine effiziente Vorrichtung, die dem Netzwerk einen guten Schutz bietet, vorausgesetzt, sie wird richtig administriert. Allerdings braucht eine Feinanalyse der Anwendungsdaten eine hohe Rechnerkapazität und wirkt sich damit häufig durch eine Verlangsamung der Kommunikationen aus, da jedes Paket detailliert analysiert werden muss.
Außerdem muss der Proxy unbedingt in der Lage sein eine große Palette von Protokollen zu interpretieren, und die entsprechenden Schwachstellen zu kennen, um effizient zu sein.
Schließlich kann ein solches System eine potentielle Schwäche enthalten, da er die Anfragen die über ihn laufen, interpretiert. So ist es empfehlenswert, den Firewall (dynamisch oder nicht) vom Proxy zu trennen, um so das Risiko eines Interessenkonfliktes zu begrenzen.
In dem Falle, wo die zu beschützende Zone sich auf den Computer beschränkt, auf dem der Firewall installiert ist, spricht man von einem Personal Firewall (persönlicher Firewall).
So erlaubt es ein persönlicher Firewall, den Netzzugang der auf der Maschine installierten Anwendungen zu kontrollieren, und insbesondere Attacken des Typs Trojanerzu verhindern, das heißt schädliche Programme, die eine Bresche im System öffnen umso eine Kontrolle aus Entfernung der Maschine durch einen Informatikpiraten zu ermöglichen. Der persönliche Firewall ermögliche es in der Tat ungewünschte Öffnungen zu entdecken und zu unterbinden, die von Anwendungen ausgehen, die nicht befugt sind eine Verbindung herzustellen.
Ein Firewallsystem bietet natürlich keine absolute Sicherheit, ganz im Gegenteil. Die Firewalls bieten nur dann Schutz, wenn alle Kommunikationen nach außen systematisch durch sie vermittelt werden, und sie richtig konfiguriert sind. Jeder Zugang zum externen Netz durch Umgehung des Firewalls stellt eine Sicherheitsschwachstelle dar. Dies ist insbesondere der Fall der Verbindungen, die ab dem internen Netz mit einem modem erstellt werden, oder einem anderen Anschlussmittel, welches der Firewallkontrolle entgeht.
Die Einführung von externen Speicherträgern auf netzinterne Maschinen oder Laptops kann ebenfalls einen großen Nachteil für die globale Sicherheitspolitik darstellen.
Um letztendlich einen maximalen Schutzlevel garantieren zu können, muss der Firewall administrieren werden und insbesondere sein Aktivitätsprotokoll überwacht werden, umso in der Lage zu sein, Eindringungsversuche und Anomalien festzustellen. Außerdem ist es empfehlenswert eine Sicherheitswache vorzunehmen (zum Beispiel durch Abonnement der Sicherheitswarnungen des CERT) um so die Parametrisierung der Vorrichtung an die Veröffentlichung der Warnungen anzupassen.
Der Einsatz eines Firewalls sollte also in Übereinstimmung mit einer wahren Sicherheitspolitik erfolgen.
Letzte Änderung am Mittwoch 1 April 2009 à 14:16:20.
