Firewall

Siehe auch Internet.

Firewall (Brandmauer) ist die Bezeichnung für ein Sicherheitssystem, das beim Anschluss an das Internet wie eine Barriere zwischen privatem Netz und öffentlichem Netz wirkt.

In einer Firewall sind die Sicherheitsmechanismen zentriert, die sonst in jeden einzelnen Rechner integriert werden müssten. Der Datenverkehr zwischen den beiden Netzen muss die Firewall passieren, die den jeweiligen Benutzer auf seine Zugangsberechtigung überprüft. Dadurch wird erreicht, dass die Rechner des zu schützenden Netzes nicht von Rechnern aus dem öffentlichen Netz, zum Beispiel dem Internet, angegriffen werden können.
Firewall1

Internet => Firewall => Privates Netz

Sicherheitsdienste einer Firewall:

  • Zugangskontrolle auf Netzebene: nur logische Verbindungen, die ausdrücklich erlaubt sind, kommen zustande, sodass keine Fremden von außen auf die zu schützenden Rechnersysteme zugreifen können.
  • Zugangskontrolle auf Benutzerebene: Alle Benutzer werden identifiziert und authentisiert.
  • Rechteverwaltung: nur über definierte und erlaubte Protokolle und Dienste darf zu festgelegten Zeiten zugegriffen werden.
  • Kontrolle auf der Applikationsebene: Für bestimmte Dienste (wie FTP oder HTTP) werden den Benutzern nur die Befehle zur Verfügung gestellt, die sie für ihre Aufgabenstellung brauchen.
  • Entkopplung von unsicheren Diensten: Risikobelastete Dienste zum Beispiel "sendmail", werden dem unsicheren Netz nur über eigene Hilfsprogramme mit eingeschränkter Funktionalität zur Verfügung gestellt.
  • Beweissicherung und Protokollauswertung: Sicherheitsrelevante Ereignisse werden von der Firewall protokolliert und können vom Systemadministrator ausgewertet werden.
  • Abschottung der internen Netzstruktur: Die Struktur des internen Netzes bleibt gegenüber dem unsicheren Netz verborgen.
  • Vertraulichkeit der Nachrichten: Nachrichten können nicht im Klartext gelesen werden.

Firewall-Konzepte

Es gibt unterschiedliche Lösungsansätze für die Realisierung der Sicherheitsziele einer Firewall, und Firewalls werden in unterschiedlichen Qualitäten angeboten. So wird zum Beispiel in einer High-level Firewall eine Vielzahl von Sicherheitsmechanismen kombiniert, um ein Höchstmaß an Sicherheit zu garantieren.

Firewall 2Unsicheres Netz => Firewall => zu schützendes Netz

Eine High-level Firewall besteht aus einem Screened Subnet, Packet Filtern, einer Bastion als Application Gateway und einem Security Management. Die Leistungen der einzelnen Komponenten werden kurz zusammengefasst:

Screened Subnet

Das Screened Subnet ist ein entkoppeltes, isoliertes Teilnetzwerk, das zwischen das interne und das unsichere Netz geschaltet wird. In diesem Teilnetzwerk überprüfen zwei Packet Filter die Datenpakete aus dem internen und dem externen Netz, einer oder mehrere Informationsserver stellen dem öffentlichen Netz Informationen zur Verfügung, und in der Bastion werden die Informationen auf der Anwendungsschicht kontrolliert.

Dem unsicheren Netz sind nur die Rechner im Screened Subnet bekannt, die Rechner des zu schützenden Netzes bleiben verborgen.

Packet Filter

Die beiden Packet-Filter bilden den Zugang zum Screened Subnet. Der Sicherheitsmechanismus Packet Filter analysiert die ein- und ausgehenden Frames. Dabei werden die Filterregeln so definiert, dass jede IP-Verbindung von innen (zu schützendes Netz) und außen (unsicheres Netz) über die Bastion geroutet wird. Für nicht auf IP-basierende Protokolle, wie z.B. OSI oder DEC, können die Filterregeln der beiden Packet Filter so definiert werden, dass die Pakete direkt zwischen den beiden Boxen geroutet werden.

  • Es wird überprüft, von welcher Seite das Paket empfangen wird und welche Protokolle verwendet werden.
  • Im IP-Header werden die Source- und Destination-Adresse kontrolliert.
  • Es wird überprüft, ob die Verbindung mit Hilfe von UDP oder TCP durchgeführt wird, und wer die Verbindung aufbaut. Außerdem werden die Dienste/Portnummern (FTP, Telnet, HTTP, usw.) kontrolliert.
  • Zusätzlich wird überprüft, ob der Zugriff über das Packet Filter in einem definierten Zeitraum durchgeführt wird (zum Beispiel Montag bis Freitag von 7 Uhr bis 19 Uhr, Samstag von 7 bis 13 Uhr, Sonntag nicht).

Die Informationen darüber, was zu überprüfen ist, werden einer Accessliste (Rechteliste) entnommen. Bei Verstoß gegen die Regeln wird dies entsprechend protokolliert und, falls definiert, eine spontane Meldung an das Security Management gesendet.

Bastion (Application Gateway)

Eine Bastion (Application Gateway) besteht aus einer UNIX-basierten Workstation mit zwei Netzwerk-Anschlüssen und Firewall-Funktionalitäten. Sie zeichnet sich besonders durch die logische und physikalische Entkopplung der Netze aus. In der Bastion werden die Informationen auf der Anwendungsschicht kontrolliert und eine Benutzerauthentikation durchgeführt.

Als einziger vom unsicheren Netz (z.B. Internet) erreichbarer Host muss der Application Gateway besonders geschützt werden. Die Benutzer, die über die Bastion auf Rechnersysteme in dem zu schützenden Netz zugreifen möchten, müssen als Erstes eine Identifikation und Authentikation mit der Bastion durchführen, wozu spezielle Passwortsysteme (Einmalpasswort, Sicherheitstoken) eingesetzt werden.

Auf der Bastion wird für jeden erlaubten Dienst (Telnet, FTP usw.) ein sogenannter Proxy Agent installiert, der spezielle Sicherheitsfunktionen zur Verfügung stellt. Das bedeutet, dass über die Bastion nur Dienste verwendet werden können, für die entsprechende Proxy Agents installiert wurden. Für den FTP-Proxy Agent kann dann z.B. definiert werden, welcher Befehl (CD, PUT, GET, DEL usw.) verwendet werden darf und welcher nicht.

Firewall 3

Bastion => unsicheres Netz => zu schützendes Netz

Der Proxy Agent nimmt eine Verbindung vom Quellrechner an und baut nach der Überprüfung der Quell- und Zieladresse eine Verbindung zum Zielrechner auf und transferiert dann Datenpakete zwischen diesen Verbindungen. Außerdem werden die Aktivitäten, die über die Bastion abgewickelt werden, entsprechend protokolliert, z.B. welche Dateien mit welchen Attributen übertragen werden.

Auf der Bastion selber dürfen keine unnötigen oder überflüssigen Prozesse im Hintergrund laufen, die häufig die Ursache von Sicherheitslücken sind.

Security Management Station

Mit Hilfe des Security Managements werden die Zugangskontroll-Tabellen verwaltet und in die Packet Filter sowie in den Application Gateway geladen. Die Logbücher aus den Packet Filtern und der Bastion können gelesen und ausgewertet werden. Weiterhin versorgt das Security Management die Packet Filter und die Bastion mit den entsprechenden sicherheitsrelevanten Informationen, zum Beispiel mit Schlüsseln. Dabei ist die Kommunikation zwischen den Packet Filtern sowie mit der Bastion und dem Security Management kryptographisch gesichert. Aus den geladenen Logbüchern kann bei Bedarf eine Beweissicherung durch die SMS erstellt werden.

Information Server

Informationen, die öffentlich zugänglich sein sollen, werden auf einem Information Server dem Internet zur Verfügung gestellt. Dieser Information Server steht vor der Firewall. Damit ist ein Zugriff von außen auf das zu schützende Netz gar nicht mehr notwendig.

Firewall4

Firewall => Packet Filter => Information Server =>Bastion =>Packet Filter

Durch die Entkopplung der Netze gelangen User aus dem unsicheren Netz nur bis zum Information Server, der sich vor der Bastion befindet, nicht jedoch unkontrolliert durch ihn hindurch.

Eine Firewall schottet private Netze gegen Übergriffe aus dem öffentlichen Netz ab. In der Firewall sind High-Tech-Mechanismen integriert, die für den Schutz von Daten und Kommunikation entwickelt wurden. Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziertes Firewall-System bietet die Garantie für geprüfte Sicherheit auf höchstem technischen Niveau.

Literatur: Norbert Pohlmann, Firewall-Systeme, 3. Aufl. 2000, MITP-Verlag sowie Organisationshandbuch Netzwerksicherheit, Interest Verlag (www.interest.de)
(Letzte Änderung: 1.6.2000)

(Pohlmann, Norbert, Dipl.-Ing., Vorstand Marketing Utimaco Safeware AG, Oberursel )