1. Datensicherheit/Datenschutz
2. Probleme der Datensicherheit
3. Einführung in die Firewall-Thematik
4. Firewalls und Ihre Funktionen
4.1. Packet Filter Firewall
4.2. Stateful Packet Inspection Firewall
4.3. Application Proxy Firewall System
4.4. Fazit
5. Einsatzgebiet einer Firewall in den Unternehmen
6. Einsatzgebiet einer Firewall im Privatbereich
Quellen:
Bücher:
Mocker.. INTRANET-INTERNET im betrieblichen Einsatz. 1997
FuhrbergInternet-Sicherheit 1998
Goncalves.Firewalls Complete....................... 1998
Bonnard.Gesicherte Verbindung von Computernetzen. 2000
Pohlmann..Sicherheit für Internet und Intranet. 2000
Internetseiten:
http://www.ubb.fs2.com/index2.html.. Underground-Hacker-Forum
http://www.netz-sicherheits.de Alles über Firewalls
http://www.trojaner.de.Alles über Viren
http://www.blackimp.com..Underground-Hacker-Forum
http://astalavista.box.skVirenprogramme und Firewalls
Sonstiges:
Werbeprospekte der Utimaco AG
1. Datensicherheit und Datenschutz im Internet
Unter Datenschutz versteht man den Schutz des Persönlichkeitsrechts - die Privatsphäre - von Personen beim Umgang mit Ihren Daten. Das Datenschutzrecht versucht dabei, zwischen den Interessen der Datenverarbeiter und den Persönlichkeitsrechten der Betroffenen einen Ausgleich herbeizuführen. Mit Maßnahmen der Datensicherheit verwendet man den Begriff technische und organisatorische Maßnahmen, mit dem folgende Ziele erreicht werden sollen:
2. Probleme der Datensicherheit
Im heutigen schnelllebigen Wettbewerb ist es beinahe unmöglich, dass eine Organisation bestehen kann, ohne dass sie ihr privates Netzwerk an das öffentliche Netz anschließt. Die Kunden brauchen den schnellen Zugang zu Informationen, und sie wollen diese mit Ihren Geschäftspartnern und Kunden teilen. Leider bietet eine solche Offenheit auch außenstehenden Dritten die Möglichkeit, das private Netzwerk anzugreifen, oder auf die internen Informationen und Resourcen zuzugreifen (siehe I Love You-Virus oder E-Mail-Flooding bei Yahoo! oder
E-Bay in vergangener Zeit). Um sich gegen solche Angriffe zu schützen, installieren die Unternehmen daher komplexe Firewall Systeme.
3. Einführung in die Firewall-Thematik
Bei der Beurteilung von Firewall Systemen muss man sich in Erinnerung rufen, dass sie vorrangig dem Zweck der Sicherheit dienen. Seit einiger Zeit versuchen verschiedene Hersteller, Sicherheit als ein Feature (Bestandteil) von vielen zu behandeln. So kommt es, dass eine Firewall mitunter viele Features hat, die jedoch wenig bewirken, wenn das Netz angegriffen wird. Das bedeutet, dass solche Firewall Systeme wegen `artfremder` Features Ihre eigentliche Aufgabe nicht erfüllen können.
Eine Firewall ist eine Schutzmaßnahme, um den Übergang zwischen zwei Rechnernetzen abzusichern. Durch technische und administrative Maßnahmen muss zugleich dafür gesorgt werden, dass jede Kommunikation zwischen den beiden Netzen über die Firewall geführt wird. Ziel dieser Maßnahme ist es im Standartfall, das interne Netz (normalerweise das Netz des Betreibers, der auch die Firewall installiert) vor Angriffen aus dem externen Netz zu schützen sowie unerwünschten Datenabfluss vom internen in das externe Netz zu verhindern. Es kann aber auch bei Intranets für die weniger geschützten Bereiche innerhalb eines Unternehmens- oder Behördennetzes stehen. Bei einem Testnetz kann eine Firewall auch das äußere Netz vor dem inneren Netz schützen.
Der Schutz des inneren Netzes wird erreicht, indem unsichere Dienste durch die Firewall (sowohl von außen nach innen als auch umgekehrt, falls gewünscht), oder aber durch zusätzliche Maßnahmen abgesichert werden (z.B. Verschlüsselung). Zugriffskontrolle sorgt zusätzlich dafür, dass das Prinzip der minimalen Rechte durchgesetzt wird und Angriffe durch entsprechende Protokollierung erkannt wird.
Firewall Systeme sollten daher folgende Anforderungen erfüllen:
Jeglicher Datenverkehr von innen nach außen (und umgekehrt) läuft über die Firewall.
Nur autorisierter Verkehr darf die Firewall passieren. Welcher Verkehr autorisiert ist, wird in der Sicherheitspolitik definiert.
Die Firewall selbst ist gegen Angriffe weitgehend resistent, da sie nicht unter dem Windows Betriebssystem läuft (üblicherweise UNIX oder Linux). Daher darf nach Möglichkeit nur fehlerfreie Software eingesetzt werden. Da jedes Programm aber potentielle Sicherheitslücken enthalten kann, dürfen nur die unbedingt notwendigen Programme auf der Firewall installiert werden. Dies bedeutet insbesondere, dass auf der Firewall weder graphische Oberflächen zur Verfügung stehen, noch dass gewöhnliche Benutzer Login Möglichkeiten haben.
Alles was nicht ausdrücklich erlaubt ist, wird von der Firewall abgewiesen.
Die Firewall darf nur über einen vertrauenswürdigen Pfad administrierbar sein.
Alles muss protokolliert werden.
4. Verschiedene Firewalls und Ihre Funktionen
4.1. Packet Filter Firewall
Vor etwa 10 Jahren erschienen die ersten Firewalls, sogenannte Packet Filter Router. Diese einfachen Firewalls blockieren, oder lassen Verbindungen passieren, indem Sie die Informationen, die sie dem Header (Kopf) des ein- oder austretenden Datenpaketes entnehmen, mit einer Tabelle von Zugangskontrollrechten vergleichen. Wenn die IP-Adresse und die Port-Information erlaubt sind, wird das Paket durch die Firewall direkt zum Empfänger geschickt. Ein Paket, das diesen Test nicht besteht, wird von der Firewall fallen gelassen.
Analogie zur Verdeutlichung:
Wir sehen eine Firewall als elektronisches Pendant zu einem Pförtner. Alle Zugänge zu einem Betrieb/Gebäude sollen vom Sicherheitsservice überwacht werden (je weniger Zugänge es gibt, um so besser kann der Zutritt kontrolliert werden). Der Pförtner ist (wie ein Firewall System auch) ein Element in der Sicherheitspolitik einer Organisation. Er überprüft alle ein- und ausgehenden Personen und Objekte und verwehrt Unberechtigten den Zutritt.
Wenn der Lkw eines Lieferanten am Werkstor mit seiner Lieferung vorfährt, schaut der `Packet Filter` Pförtner schnell auf die gültige Adresse des Lieferscheins, blickt auf das Logo an der Seite des Lkw, um zu schauen, ob es noch gültig aussieht. Dann sendet er den Lkw durch das Tor, damit die Lieferung zugestellt werden kann. Diese Methode ist sicherer, als kein Tor zu haben. Es ist allerdings recht einfach durchzuschlüpfen und eröffnet dann Zutritt zum gesamten Betriebsgelände.
IP-Adresse: Eine Internet-Protokoll-Adresse besteht aus einem Zahlencode von vier Zahlen, die durch Punkte getrennt werden. Damit ist jeder Internetrechner eindeutig adressierbar. Damit man sich solche Ziffernblöcke nicht merken muss, werden diese IP-Adressen in alphanumerische Bezeichner umgewandelt. `www.lego.com` ist einprägsamer als `194.182.232.1`. Wenn man unter Win 95/98 surft kann man unter winipcfg.exe die eigene IP-Adresse abragen.
Port: Jeder TCP (Transportebenenprotokoll)/IP Anwendung ist eine eigene Portnummer zugeordnet ( Bsp.: HTTP, FTP, usw.). Diese Portnummern werden als bekannte 'Portnummern' bezeichnet, da sie von der IANA (Internet Assigned Numbers Authority) veröffentlicht wurden. Sie ermöglichen das Entwickeln von Applikationen, die auf häufig benutzten Dienste zugreifen (Bsp.: E-Mail). Ports sind Adressen an einem Server oder Rechner. Sie werden bei einer Datenverbindung jeweils angesprochen und werden auch als 'Dienstanschlüsse' bezeichnet, weil durch sie eine bestimmte Anwendung auf einem Rechner aufgerufen wird. Portadressen sind in drei Gruppen unterteilt. Dies sind die 'well known Ports', die 'registered ports' und die 'dynamic and/or private ports'. Die 'well known Ports' haben den Adressierungsbereich 0 bis 1023,die 'registered ports' haben den Adressierungsbereich 1024 bis 49151, die 'dynamic and/or private ports' haben den Adressierungsbereich 49152 bis 65535.
4.2. Stateful Packet Inspection Firewall
Um die eklatanten Sicherheitsprobleme im Packet Filter Modell zu überdecken, erfanden einige Hersteller ein Konzept, das als `Stateful Packet Inspection` bekannt ist. Es basiert auf der Packet-Filter-Technologie und versucht, einige der Prüfungen einer Application Proxy Firewall zu simulieren: Statt einfach auf die einzelnen Adressen eines Datenpakets zu schauen, unterbricht der Stateful Packet Inspection Firewall die eintreffenden Pakete auf der Netzwerkebene, bis sie genug Informationen hat, um über den Zustand der eingehenden Verbindung zu bestimmen. Diese Pakete werden dann in einem proprietären Inspektionsmodul innerhalb des Betriebssystem Kernels untersucht. Die Status bezogenen Informationen sind für die Sicherheitsentscheidung notwendig. Sie werden innerhalb dieses Inspektionsmoduls überprüft und anschließend in dynamischen Statustabellen abgelegt, um spätere Verbindungsversuche danach beurteilen zu können. Datenpakete, die abgefertigt sind, werden durch die Firewall befördert und es wird ein direkter Kontakt zwischen internem und externem System erlaubt. Weil die meisten der Überprüfungen im Kernel erfolgen, sind Stateful Packet Inspection Firewalls oftmals schneller als Appliction Proxy Firewalls.
Was macht nun ein Stateful Packet Inspection Pförtner ? Wenn die Lieferung kommt, sieht sich der Pförtner nicht nur die Adresse an, er überprüft auch den Lieferschein, ob etwas darin aufgelistet ist, das verboten ist. Das ist natürlich eine wesentlich bessere Überprüfung, aber nicht so sicher wie das tatsächliche Öffnen der Pakete und das Kontrollieren des Inhalts. Wenn die Lieferung dann akzeptabel aussieht, öffnet der Pförtner das Tor und gestattet dem Lkw die Fahrt auf das Firmengelände.
4.3. Application Proxy Firewall System
Eine wirklich zuverlässige Firewall entsteht aber nur dann, wenn direkte Verbindungen untersagt und alle eingehenden Daten auf höchster Ebene im Protokoll Stapel überprüft werden. Durch ein Application Proxy Firewall System wird eine deutlich erhöhte Sicherheit erreicht. Weil sie eine volle Durchsicht auf Applikationsebene hat, kann sie auf sehr einfache Art die Details jeder eingehenden Verbindung sehen und die nötige Sicherheitspolitik umsetzen. Nur eine Application Proxy Firewall trennt das interne und das externe Netz physikalisch und logisch voneinander. Jede eingehende Verbindung wird über das Application Proxy Firewall System geführt, und es gibt keine weiteren Zugänge zum zu schützenden Netzwerk. Darüber hinaus erhält keine eingehende Verbindung direkten Zugang zu dem gewünschten Zielsystem. Statt dessen wird jede Verbindung über eigens gestartete Proxies geführt. Für den Absender im unsicheren Netz entsteht jedoch der Eindruck, er hätte mit dem Zielsystem Verbindung. Ein solcher Stellvertreter (=Proxy) arbeitet für den Anwender unbemerkt und ermöglicht den problemlosen Austausch von Dateien. Auch eine Manipulation des Zielsystems ist ausgeschlossen, weil ein Angreifer durch die Application Proxy-Technik zu keiner Zeit Zugriff auf das Zielsystem erhält.
Der Application Proxy Pförtner schaut sich nicht nur die Adressen der eingehenden Lieferung an. Er öffnet auch jedes Paket, prüft den kompletten Inhalt und checkt die Ausweispapiere des Absenders gegen eine klar festgelegte Reihe von Beurteilungskriterien. Nach der erfolgten detaillierten Sicherheitsprüfung unterzeichnet der Pförtner den Lieferschein und schickt den Lkw-Fahrer weg. Statt dessen bestellt er einen vertrauenswürdigen, firmeneigenen Fahrer, der mit dem Lkw die Pakete zum Empfänger bringt. Die Sicherheitskontrollen sind hier wesentlich zuverlässiger und der fremde Fahrer erhält keinen Einblick in das Firmengelände. Diese Überprüfungen nehmen natürlich Zeit in Anspruch, dafür kommt es aber selten zu sicherheitsgefährdenden Aktivitäten.
4.4. Fazit
Obwohl Stateful Packet Inspection Firewalls im Gegensatz zu reinen Packet Filtern eine deutlich höhere Sicherheit bieten, können sie nicht die volle Einsicht in die Datenpakete simulieren, die eine Application Proxy Firewall bietet. Beispielsweise wird eine Stateful Packet Inspection Firewall typischerweise bei Sicherheitschecks scheitern, die die Sammlung von größeren Einheiten erfordern, zum Beispiel bei Dateien. Eine Stateful Packet Inspection Firewall muss Sicherheitsentscheidungen treffen, obwohl sie nicht den vollen Einblick in die Datenpakete hat. Den bietet jedoch eine Application Proxy Firewall, da sie jeden Versuch auf der höchsten Schicht im Protokoll Stapel genaustens analysiert.
Weiterhin ist es gut möglich, eine Stateful Packet Inspection Firewall fehl zu konfigurieren und gefährliche Dienste durch die Firewall zu schleusen, ist es bei einer Application Proxy Firewall, schon aufgrund Ihres Designs wesentlich schwieriger, Fehler bei der Konfiguration zu machen.
Aufgrund der überlegenen Sicherheit sind Application Proxy Firewall Systeme der Standart in jeden Sicherheitsbewußten Branchen wie Behörden, Verteidigung, Finanz- und Gesundheitswesen. Weltweit stellen sie das zur Zeit verbreitetste Firewall Verfahren dar.
5. Einsatzgebiet einer Firewall in den Unternehmen
Kein Netzwerk ist wie das andere, jede Konfiguration stellt spezifische Anforderungen. Ein Firewall System kann daher so zusammengebaut und installiert werden, dass die Firewall die Features aufweist, die gebraucht werden z.B.: Anomalie Erkennung, Packet-Filtering auf verschiedenen Ebenen, Proxy-Technologie für die Zugangskontrollen, Anbindung von Telemitarbeitern, Virenscanning oder auch den Schutz vor unerwünschten E-Mails.
Ein zur Zeit voll ausgerüstetes Firewall-System wie es z.B. die Utimaco Safeware AG anbietet kostet für ein ca. 50 Mann starkes Unternehmen zwischen 60.000,00 DM und 80.000,00 DM. Jährliche Wartungs-, Ausrüstungs- und Schulungsausgaben belaufen sich für den Käufer eines solchen Firewall Systems auf ca. 10.000,00 DM. Eine solche Ausrüstung enthält neben der eigentlichen Firewall und des dazugehörigen Servers mehrere Verschlüsselungsprogramme (KryptoGuard LAN), Alarmmelder (Intrusion Detection) und Virus Wälle (speziell für E-Mail Attacken). Diese Kombinationen bieten den zur Zeit höchst möglichen Schutz vor Attacken aus dem Internet.
6. Einsatzgebiet einer Firewall im Privatbereich
Für die Privatperson kann die Anschaffung einer Firewall natürlich wesentlich günstiger ausfallen. Generell genügen schon Softwareprogramme die jedem im Internet frei zur Verfügung stehen. Firewalls sollte jeder Internetuser auf seinem Rechner installiert haben. Die beste Firewallsoftware ist zur Zeit unstrittig `Fireback`. Fireback hat gegenüber anderen Firewallprogrammen den Vorteil, dass es E-Mails nicht auf dem eigenen PC öffnet (vorausgesetzt man nutzt Windows-Outlook, oder Explorer) sondern auf dem eigentlichen E-Mail-Server. Weiterer Vorteil von Fireback ist der Gegenangriff gegen einen Hackangriff, sowie der Werbebannerblocker.
Dazu ein Beispiel:
Jeder Rechner verfügt über eine eigene IP-Adresse, die sich aber bei jedem erneuten Anmelden ins Internet ändern kann (Kontrolle im DOS-Modus mit `netstat -n` und/oder `netstat -` steht unter lokale Adresse). Der unwissende Hacker pickt sich also auf dem Hacker-Server eine beliebige IP heraus. Zufällig ist es die von unserem PC, den wir mit Fireback geschützt haben. Er versucht also einem der Firewallsoftware bekannten Trojaner auf einem Port einzuschleusen. Fireback ist in der Lage bei ihm bekannten Trojanern dem Hacker mitzuteilen, dass er diesen installieren konnte. Natürlich wird der Trojaner nicht installiert, sondern Fireback macht sich auf den Weg die IP des Hackers ausfindig zu machen (Trace Routing). Dies dauert ca. 5 Sekunden. Hat Fireback die IP gefunden bringt er sofort den Hacker-PC auf einem der geöffneten Standartports durch `Nuken` zum Systemabsturz.
Nuken: Beim Nuken werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssystem (Versionen von Windows und Linux) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren. Out of Band-Packets bestehen aus einem speziellen UDP.Paket, dass gewöhnlich an den Port 139 (netBIOS-Port) gesendet wird, da dieser standartmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für den Datenempfang standartmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, dass ein ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer `panikartigen` Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
Fireback kann man in jedem guten Softwareladen bestellen. Es kostet ca. 30,00 DM. Die Vorgänger von Fireback, gibt es als Gratissoftware auf jeder guten Hacker Seite zum Downloaden. Weitere Firewallsoftware wie z.B. Norten Internet Securities (ca. 150,00 DM), oder Lock Down (240,00 DM) bieten ebenfalls einen ausreichenden Schutz.
Neben der Installation einer Firewall gibt es weitere Schutzmöglichkeiten für die Privatperson. Wer es sich leisten kann, surft mit einem separaten Rechner im Internet, erhöht die Sicherheitsstufen in der Internetkonfi-
guration, verzichtet auf die Installation von ICQ und führt regelmäßige Kontrollen im DOS-Modus mit netstat - durch. E-Mails von fremden Personen sollen generell nicht geöffnet werden.
Thema: Datensicherheit im Internet: Firewalls
Name: Sascha Bertges
Klasse: FOW 00 a TZ
Inhalt:
Vortrag/Form:
Haupt | Fügen Sie Referat | Kontakt | Impressum | Nutzungsbedingungen