![[Abb. 1]](43-1.jpg)
Abbildung 1
Eine 100%ige Sicherheit ist in der Praxis nicht realisierbar – auch nicht mit aufwendigen, bestens geplanten und optimal betriebenen Firewall-Systemen. Der Grund: Es kann keine absolute Sicherheit von Sicherheitssystemen nachgewiesen werden. In der Praxis gelten Sicherheitssysteme solange als sicher, bis jemand das Gegenteil beweist. Dabei muss berücksichtigt werden, dass nicht alle, die Unsicherheiten von Sicherheitssystemen bemerken, diese Informationen an die Hersteller weitergeben; Geheimdienste und Wirtschaftsspione suchen gezielt nach Sicherheitslücken. Im Folgenden wird ein Modell vorgestellt, mit dessen Hilfe die Möglichkeiten und Grenzen im Sinne von Sicherheit und Vertrauenswürdigkeit von Firewall-Systemen abgeleitet und klassifiziert werden können.
Das jeweils definierte Firewall-Element kann Packet Filter, Stateful Inspection, Application Gateway, Proxies und Adaptive Proxies repräsentieren (s. a. Abb.1).
Abbildung 1
Das Einbindungs- und Durchsetzungsmodul realisiert die Einbindung des aktiven Firewall-
Elements in das Kommunikationssystem sowie die Durchsetzung der im Regelwerk festgehaltenen Sicherheitspolitik.
Im Analysemodul werden die Kommunikationsdaten des Protokollelementes (xi) den Möglichkeiten des aktiven Firewall-Elements entsprechend analysiert. Die Ergebnisse der Analyse werden an das Entscheidungsmodul weitergeleitet. Im Analysemodul können mit Hilfe von Zustandsautomaten Statusinformationen (z.B. Verbindungsaufbau, Transferzustand oder Verbindungsabbau) der Kommunikation festgehalten werden.
Im Entscheidungsmodul werden die Analyseergebnisse ausgewertet und mit den im Regelwerk festgelegten Definitionen der Sicherheitspolitik verglichen. Hier wird anhand von Access-Listen überprüft, ob das ankommende Protokollelement (xi) passieren darf oder nicht (ri = result of the decision). Falls ja, wird das Einbindungsmodul zum Durchlass aktiviert. Falls nein, wird das Protokollelement (xi) nicht durchgelassen; das Ereignis (ei) wird als sicherheitsrelevant eingestuft und entsprechend weiterverarbeitet.
Ein Beispiel:
Result of the decision modul
ri = result-of-decision( analysis(xi), security-management(rules) )
ri = true: das Protokollelement xi wird weitergeleitet, evtl. als Beweissicherung der Aktion in einem Logbuch festgehalten
ri = false: das Protokollelement xi wird nicht weitergeleitet, und es wird ein sicherheitsrelevantes Ereignis ei erzeugt.
Das Regelwerk ist die technische Umsetzung der Sicherheitspolitik und wird mit Hilfe eines Security Management erstellt. Im Regelwerk stehen alle Informationen (rules: Schlüssel, Access-Listen, Attribute usw.) über Benutzer, Authentikationsverfahren, Kommunikationsverbindungen etc., die notwendig sind, um eine Entscheidung für oder gegen eine Übertragung des Protokollelementes (xi) über das aktive Firewall-Element fällen zu können, und wie mit sicherheitsrelevanten Ereignissen (ei) verfahren werden soll.
Im Folgenden wird das Kommunikationsmodell mit integriertem Firewall-System definiert. Das Firewall-System soll den Receiver (Rm) vor Angriffen auf seine Werte aus dem Netz schützen. Es wird davon ausgegangen, dass mit Hilfe eines Security-Managements die Rechte in das Firewall-System – in Übereinstimmung mit der vorher festgelegten Sicherheitspolitik – eingetragen worden sind, die es ermöglichen sollen, die erlaubten Protokollelemente {xi, ... xt} über das Firewall-System übertragen zu können. bei einer fehlerfreien Implementierung des Firewall-Systems und der Kommunikationsprotokolle und -dienste auf der Empfängerseite, werden auch nur erlaubte Aktionen {a1, ... at} beim Receiver(Rn) ausgeführt. bei dem Kommunikationsmodell mit integriertem Firewall-System müssen beliebig viele Transmitter und Receiver berücksichtigt werden (s. a. Abb.2).
![[Abb. 2]](43-2.jpg)
Abbildung 2
Mit Hilfe der Betrachtung der möglichen Einflussfaktoren auf die Auswahl und Durchführung der Aktionen beim Receiver sollen Kriterien definiert werden, mit dessen Hilfe eine Aussage über die Möglichkeiten und Grenzen im Sinne der Sicherheit und Vertrauenswürdigkeit des Kommunikationsmodells mit integriertem Firewall-System gemacht werden kann.
ak = action-select (protocol-state- machine(xi*, sj), authenticity(xi*) result-of-decision( analysis(xi*), security- management(rules) ), functionality-of-the-firewall-system()
ak: Teilaktion in einer Schicht, die in Abhängigkeit des empfangenen Protokollelementes xi und des aktuellen Zustandes sj ausgeführt wird
xi: Protokollelement, welches vom Sender zum Empfänger gesendet wird
sj:aktueller Zustand (actual state)
rules: technische Umsetzung der Sicherheitspolitik (Access-Listen, ...)
Hinweis: Neben dem einem Receiver sind in der Regel auf der Empfängerseite sehr viele weitere Receiver angeschlossen, die von dem Firewall-System differenziert werden müssen.
Die folgende Tabelle beschreibt die Standardsicherheitsdienste eines Firewall-Systems. Für jeden Dienst wird aufgelistet, welche Informationen vom Firewall-System überprüft werden, welche Festlegungen und Maßnahmen getroffen werden, was geprüft wird und welchen Einfluss das für Sicherheit und Vertrauenswürdigkeit von Firewall-Systemen hat.
| Sicherheitsdienst | Überprüfung / Festlegung / Maßnahme | Was wird geprüft? | Einfluss auf Sicherheit und Vertrauenswürdigkeit |
|---|---|---|---|
| Zugangskontrolle auf Netzwerkebene | Welche Rechnersysteme (Transmitter, Receiver) dürfen über das Firewall-System miteinander kommunizieren? |
|
|
| Zugangskontrolle auf Benutzerebene | Welche Benutzer dürfen über das Firewall-System eine Kommunikation aufbauen? |
|
|
| Zugangskontrolle auf Datenebene | Dürfen die Daten eines definierten Benutzers über das Firewall-System übertragen werden? |
|
|
| Rechteverwaltung | Festlegung, mit welchen Protokollen und Diensten und zu welchen Zeiten über das Firewall-System eine Kommunikation stattfinden darf. |
|
|
| Kontrolle auf Anwendungsebene | Überprüfung, ob Kommandos genutzt oder Dateninhalte übertragen werden, die nicht zur durch die Anwendung definierten Aufgabenstellung gehören. |
|
|
| Entkoppelung von Diensten | Entkoppeln verhindert, dass Implementierungsfehler, Schwachstellen und Konzeptionsfehler der Dienste Möglichkeit für Angriffe bieten. |
|
|
| Beweissicherung und Protokollauswertung | Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert und können für die Beweissicherung von Benutzerhandlungen und für die Erkennung von Sicherheitsverletzungen ausgewertet werden. |
|
|
| Alarmierung | Besonders sicherheitsrelevante Ereignisse werden an ein Security Management gesendet, damit bei Sicherheitsverletzungen schnell reagiert werden kann. |
|
|
| Verbergen der internen Netzstruktur | Die Struktur des zu schützenden Netzes soll gegenüber dem unsicheren Netz verborgen werden. Es darf nicht sichtbar sein, ob im zu schützenden Netz 10, 100, 1.000 oder 10.000 Rechnersysteme vorhanden sind. |
|
|
Eine Diskussion über die möglichen Verhaltensweisen des aufgezeigten Kommunikationsmodells mit integriertem Firewall-Systemen liefert folgende Ergebnisse:
Die Qualität der Realisierung und der Schutz vor Manipulation eines Firewall-Systems sind von höchster Bedeutung, um eine messbare Sicherheit der entsprechenden Lösung darstellen zu können. Auch in diesem Zusammenhang spielt die Wirksamkeit von Firewall-Systemen eine enorm wichtige Rolle: Zum Beispiel wäre eine verborgen eingebaute Trap-Door ein großes Risiko für den Nutzer von Firewall-Systemen, insbesondere, weil er es nicht kennt.
Je kleiner die Menge erlaubter Protokollelemente {x1, ... xt} ist, um so geringer ist das Risiko, dass ein Schaden auftreten kann. Dadurch besteht eine minimierte Angriffsfläche. Jeder Teilnehmer, jeder Rechner, der über die Firewall kommunizieren darf, stellt ein Risiko dar. So stellen z.B. auch die erlaubten Kommunikationspartner ein Risiko dar, falls sie unberechtigte Kommunikationsverbindungen nutzen (s. a. Abb.3).
![[Abb. 3]](43-3.jpg)
Abbildung 3
Je mehr erlaubt ist, um so größer ist das Risiko der Verwundbarkeit. Wenn nichts erlaubt ist, kann über das Netz auch kein Schaden auftreten. Hier wird das Spannungsfeld zwischen "security und connectivity" deutlich. Mit Hilfe eines Firewall-Systems sollen die Vorteile der Kommunikation nach außen genutzt werden, aber der mögliche Schaden durch diese Handlungen begrenzt werden.
Die Teilnehmer, die zur Erfüllung ihrer Aufgabenstellung kommunizieren müssen, sollen mit den Kommunikationsprotokollen und -diensten, die sie für ihre speziellen Aufgaben benötigen, zu den entsprechenden Zeiten dies tun dürfen. Aber nur so weit wie nötig.
Die Qualität der Authentikation des erlaubten Kommunikationspartners stellt ein besonderes Sicherheitsmerkmal dar. Hier liegt das größte Potenzial für den Angreifer. Falls es einem Angreifer nach erfolgreicher Authentikation gelingt, die Kommunikation als Trittbrettfahrer zu übernehmen, liegt ein perfekter Angriff vor.
Mit einer falschen Sicherheitspolitik können die Sicherheitsdienste des Firewall-Systems nicht effektiv wirken. Eine richtige Sicherheitspolitik soll nur das erlauben, was zur Erfüllung der Aufgabenstellung wirklich notwendig ist und den Zielen des Unternehmens gerecht wird. Außerdem ist die regelmäßige Überprüfung der Sicherheitspolitik wichtig.
Bei Fehler der Implementierung und falscher Konfiguration der Kommunikationsprotokolle und -dienste beim Empfänger entsteht das Risiko, dass bei erlaubten Protokollelementen und erlaubten Kommunikationsteilnehmern ein unabsichtlicher wie auch ein absichtlicher Schaden auftreten kann.
Die Tiefe der Analyse bestimmt, in welchem Grad Angriffe erkannt und verhindert werden können. Eine sehr hohe Tiefe der Analyse bedeutet einen sehr hohen Grad an Sicherheit.
Durch die Protokollierung der sicherheitsrelevanten Ereignisse können Angriffe auf das Kommunikationsmodell mit integriertem Firewall-System dokumentiert werden. Durch die Protokollierung der durchgelassenen Protokollelemente (xi) können die durchgeführten Aktionen als Beweissicherung der Handlungen verwendet werden.
Mit einem Firewall-System können durch theoretisches Wissen und praktische Erfahrungen Fehlerursachen verhindert werden. Gerade bei innovativen Anwendungen und Technologien wie dem Internet wird mit einer Vielzahl von Hypothesen gearbeitet.
Daher gibt es einen Bereich des Neuen, Unbekannten und auch Unerwünschten und Unvorhersehbaren, was wir mit Hilfe eines Firewall-Systems nicht beherrschen können, weil dieses nur auf Ereignisse reagieren kann, die wir bereits eindeutig kennen. Hier liegt eine Grenze von Firewall-Systemen. Diesem können wir nur mit weiteren, modular ergänzten Sicherheitsmechanismen entgegenwirken. Zum Beispiel vermag Intrusion Detection auch neuartige Angriffsversuche zu erkennen.
Ein Firewall-System stellt den "Common Point of Trust" für den Übergang zwischen unterschiedlichen Netzen dar. Mit anderen Worten: Der einzige Weg ins interne Netz führt kontrolliert über das Firewall-System, das als Pförtner fungiert. Die Vorteile dieses "Common Point of Trust"-Konzepts sind:
Die Realisierung von Sicherheitsmechanismen in einem zentralen Firewall-System ist wesentlich effizienter als die Realisierung von Sicherheitsmechanismen auf jedem einzelnen Rechnersystem, das im zu schützenden Netz steht.
Mit Hilfe eines zentralen Firewall-Systems kann die Sicherheitspolitik einer Organisation auf einfache Weise durchgesetzt werden. Zum Beispiel werden die Dienste und Protokolle, die über ein Firewall-System möglich sein sollen, an einer zentralen Stelle für alle Benutzer definiert und überprüft.
Eine kryptographische (starke) Authentikation von Benutzern ist nur auf einem Firewall-System zu realisieren und nicht auf jedem einzelnen Rechnersystem im zu schützenden Netz, damit die Benutzer sicher identifiziert und authentisiert werden können. Für heterogene Rechnerlandschaften gibt es derzeit keine Konzepte und Realisierungen, wie kryptographische Authentikation auf den unterschiedlichen Rechnerbetriebssystemen (VMS, Unix, Windows, OS/2, ...) praktisch realisiert werden kann.
Durch die reduzierte Funktionalität, die ein Firewall-System anbietet, existieren weniger Angriffspunkte für Angreifer aus dem unsicheren Netz. Der Aufwand für Sicherheitsmechanismen konzentriert sich auf das Firewall-System. Dadurch wird erreicht, dass die Rechnersysteme des zu schützenden Netzes nicht mehr von einem Rechnersystem aus dem unsicheren Netz (z. B. Internet) angegriffen werden können, sondern Rechnersysteme von außerhalb durch das Firewall-System abgeblockt werden. Rechnersysteme können nicht mehr zum Ziel von Angreifern aus dem unsicheren Netz werden, wenn sie falsch installiert oder konfiguriert sind. Alle Sicherheitsmechanismen sind in dem Firewall-System konzentriert realisiert.
Durch den klaren Übergang (Common Point of Trust) zwischen zwei Netzen ist eine einfache und vollständige Protokolliermöglichkeit vorhanden, da die gesamte Kommunikation über das Firewall-System läuft.
Die Firewall-Systeme, die die Sicherheitsdienste für die Kommunikation im Internet und Intranet bereitstellen, sind sehr komplexe technische Sicherheitsmaßnahmen. Dennoch können auch aufwendige Firewall-Systeme keine hundertprozentige Sicherheit gewährleisten. Im Folgenden werden einige Aspekte betrachtet, die beim Einsatz von Firewall-Systemen zu beachten sind:
Ein Firewall-System schützt genau die Kommunikationsverbindungen, die darüber erfolgen. Gibt es Kommunikationsübergänge am Firewall-System vorbei (backdoors), hat das System keine Sicherheitswirkung mehr. Deshalb ist es absolut wichtig, dass keine weitere Verbindung zwischen dem unsicheren Netz und dem zu schützenden Netz besteht, damit das "Common Point of Trust"-Konzept realisiert werden kann. Dafür sind entsprechende personelle und organisatorische Sicherheitsmaßnahmen nötig.
Ein Firewall-System bietet Sicherheitsdienste zur Abschottung gegen das unsichere Netz oder zur Kontrolle der Kommunikation zwischen dem unsicheren Netz und dem zu schützenden Netz. Das Firewall-System selbst bietet nur einen sehr geringen Schutz vor internen Angriffen.
Angriffe, die über den Inhalt von WWW-Anwendungsdaten realisiert werden, wie Java-Script, Java, ActiveX, Viren usw., können nicht mit den Grund-Sicherheitsfunktionen eines Firewall-Systems abgewehrt werden, denn die Komplexität der Anwendungen, z.B. WWW-Server, ist dafür zu groß.
Ein Firewall-System kann nur die Sicherheitsdienste erbringen, die eingerichtet sind. Deshalb ist es von besonderer Bedeutung, dass eine Sicherheitspolitik erarbeitet wird, die darstellt, welche Ressourcen (Rechnersysteme, Kommunikationseinrichtungen, Daten usw.) im zu schützenden Netz einen hohen Schutzbedarf haben und wie sie geschützt werden sollen. Außerdem muss definiert werden, wie die Sicherheitsmechanismen für die Aufrechterhaltung des sicheren Betriebs eines Firewall-Systems periodisch überprüft werden. Fragen für die Erarbeitung der Sicherheitspolitik sind zum Beispiel: Wer ist für die Festlegung der Kommunikationsprofile verantwortlich, wer für die Vergabe der Kommunikationsprofile oder der einzelnen Dienste an die Benutzer, wer für die Administration und damit auch für die Umsetzung der Filterregeln? Welche Informationen werden im Firewall-System protokolliert, wer analysiert wann die Protokolldaten, was soll passieren, wenn ein Angriff erkannt wird?
Der Angriff eines Trittbrettfahrers geschieht folgendermaßen: Eine Workstation darf über das unsichere Netz – kontrolliert vom Firewall-System – auf den Server im zu schützenden Netz zugreifen. Dazu muss der Benutzer zuerst eine Identifikation und Authentikation mit dem Firewall-System durchführen. Nach erfolgreicher Authentikation kann er innerhalb des ihm erlaubten Zeitrahmens die Dienste nutzen, zu denen er berechtigt ist.
Hier verbirgt sich ein potenzieller Angriffspunkt: Ein Angreifer aus dem unsicheren Netz kann die bestehende Verbindung des Benutzers aus dem unsicheren Netz übernehmen und ist damit als Trittbrettfahrer in der Lage, die gleichen Aktionen auszuführen wie der berechtigte Benutzer. Dieses Risiko kann nur dadurch verhindert werden, dass die Kommunikation zwischen der Workstation und dem Firewall-System in verschlüsselter Form stattfindet. Ein Angreifer aus dem unsicheren Netz könnte zwar die Verbindung übernehmen; da er sich jedoch nicht kryptographisch darstellen kann – er hat keinen Zugriff auf den geheimen Schlüssel – ist er nicht in der Lage, die IP-Pakete so aufzubereiten, dass sie richtig vom Packet Filter mit Verschlüsselungsfunktion entschlüsselt werden.
Eine Lösung aus der Diskussion des Firewall-Modells ist die Klassifizierung von Firewall-Konzepten. Dabei werden Einsatzfälle definiert, die nach den Kriterien Vertrauenswürdigkeit des Netzes und des Kommunikationspartners und Angriffpotenzial in Abhängigkeit des Einsatzfalles
betrachtet. Die wichtigste Motivation für den Einsatz einer Firewall ist also die Reduzierung des Risikos der Verwundbarkeit, wenn ein Schutzbedarf der eigenen Werte besteht. Wenn das zu schützende Netz keinen Schutzbedarf hat, muss auch kein Firewall-System eingesetzt werden. Wenn aber ein Schutzbedarf vorliegt, dann muss der Einsatzfall entsprechend berücksichtigt werden, und ein angemessenes Firewall-Konzept ist auszuwählen. Die folgende Tabelle zeigt, wie in Abhängigkeit des Schutzbedarfes und des Einsatzfalles welches aktive Firewall-Element oder Kombination aktiver Firewall-Elemente verwendet werden soll. Die Definition des Schutzbedarfes ist an das Grundschutzhandbuch des BSI angelehnt.
| Schutzbedarf | Risiken | Einsatzfall | Firewall-Konzept |
|---|---|---|---|
| niedrig |
|
innerhalb der Organisation: | Packet Filter |
| außerhalb der Organisation: | Dual homed Applikation Gateway | ||
| hoch |
|
innerhalb der Organisation: | Packet Filter + Single-homed Applikation Gateway oder Stateful Inspection oder Adaptive Proxy |
| außerhalb der Organisation: | Packet Filter + Dual-homed Applikation Gateway | ||
| sehr hoch |
|
innerhalb der Organisation: | Screened Subnet mit Packet Filter + Single-homed Applikation Gateway |
| außerhalb der Organisation: | Screened Subnet mit Packet Filter + Dual-homed Applikation
Gateway → High-Level Firewall-System |
Bei hohem Schutzbedarf ist für die Kommunikation mit einem unsicheren Netz außerhalb des eigenen Verantwortungsbereiches immer ein dual-homed Application Gateway im Firewall-Konzept notwendig. Dem Schutzniveau des zu schützenden Netzes im Verhältnis zum unsicheren Netz entsprechend, kann dann entweder nur ein dual-homed Application Gateway oder in Kombination mit einem Packet Filter bzw. einem Screened Subnet zum Einsatz kommen.
Falls das unsichere Netz innerhalb des eigenen Verantwortungsbereiches liegt, wie z.B. das Intranet, genügt es, abhängig vom Verhältnis des Schutzniveaus, nur Packet Filter oder Kombinationen mit single-homed Application Gateways zu verwenden. Eine Alternative in diesem Anwendungsbereich sind Stateful Inspection oder Adaptiv Proxy Lösungen, die auch auf der Anwendungsebene Sicherheitsfunktionen zur Verfügung stellen. Durch die Kombination eines dual-homed Application Gateway mit Packet Filter oder Screened Subnet ist eine sehr hohe Sicherheit zu erreichen.
Da die Diskussion über Firewall-Systeme aufzeigt, dass man keine 100%ige Sicherheit erreichen kann, ist es zweckmäßig, die Betrachtung eines Firewall-Systems auf den Schwerpunkt der "Unsicherheit" zu legen. Ziel muss es sein, diese Rest-Unsicherheit zu minimieren. Denn durch die sinkende Zahl der Unsicherheiten steigt die Resistenz eines Sicherheitssystems. Unsicherheiten sind all diejenigen Zustände, welche zu illegalen oder unerwünschten Zuständen eines IT- Systems führen. Auch hier muss einem bewusst sein, dass immer ein Restrisiko bestehen bleibt, das mit der Hilfe von weiteren – modular zu ergänzenden – Sicherheitsmechanismen wie Intrusion Detection, Antivirus-Konzepten und Verschlüsselung weiter reduziert werden muss, um so zu einer praktischen Sicherheit zu gelangen.
Wichtig sind ebenso periodische Audits und Revisionen des IT-Sicherheitssystems sowie Überprüfungen der Sicherheitspolitik.
Beachten Sie zu diesem Thema bitte auch das Buch: Firewall-Systeme; 3. aktualisierte und erweiterte Auflage 2000; Norbert Pohlmann; MITP-Verlag GmbH, ISBN 3-8266-4075-6; DM 79,00.
Norbert Pohlmann ist verantwortlich für das Marketing bei Utimaco Safeware AG
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 43
