Konzeption von Sicherheitsgateways

Ordnungsmerkmale

erschienen in: <kes> 2005^#2, Seite 39

Zusammenfassung: Das Wachstum des Internets bringt nicht nur eine steigende Zahl von Nutzungsmöglichkeiten mit sich, die das Privat- oder Arbeitsleben erleichtern können, sondern es geht auch einher mit einer wachsenden Anzahl von Angriffsversuchen auf die angeschlossenen Systeme. Netze von Behörden und Unternehmen sehen sich in zunehmendem Maße Attacken ausgesetzt, die über das Internet gezielt oder wahllos eingeleitet werden. Es gilt also, wirksame Schutzmaßnahmen zu ergreifen, um Schäden in organisationsinternen Netzen zu vermeiden. Das Standardmittel zum Schutz von ganzen Netzen ist dabei das Sicherheitsgateway.

Autor: Von Björn Dehms, BSI

Der Begriff des Sicherheitsgateways ist im Sprachgebrauch relativ neu. Da Aufgaben und Leistungsumfang häufig eine komplexe Struktur eines Schutzsystems an Netzwerkübergängen bedingen, hat das BSI einen Begriff definiert, der sich wie folgt darstellt: "Ein Sicherheitsgateway ist ein System aus soft- und hardwaretechnischen Komponenten. Es gewährleistet die sichere Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsrichtlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden."

Das BSI hast sich vor allem aus zwei Gründen dazu entschieden, für ein solches System den Begriff "Firewall" nicht mehr zu verwenden: Zum einen wird der Firewall-Begriff in den unterschiedlichsten Zusammenhängen gebraucht, das heißt wenn sich zwei IT-Experten über Firewalls verständigen, ist nicht notwendigerweise sichergestellt, dass sie auch dasselbe meinen. Zum anderen sind mit dem Firewall-Begriff häufig vorgefertigte Meinungen verbunden, von denen mit der Einführung des Begriffs des Sicherheitsgateways weggeführt werden soll. Eine kurze Charakterisierung von Sicherheitsgateway ist möglich, indem die verbreitetsten Vorurteile bezüglich Firewalls negiert werden:

• Ein Sicherheitsgateway ist in der Regel kein einzelnes Gerät, sondern besteht aus einer Vielzahl an Komponenten, die in ihrer Gesamtheit den Schutzzweck erfüllen sollen.
• Ein Sicherheitsgateway ist keine Lösung "aus dem Regal", das heißt es kann kein Fertigprodukt beschafft und ohne Anpassung an den jeweiligen Anwendungszweck eingesetzt werden.
• Ein Sicherheitsgateway bietet keinen Komplettschutz, das heißt es existieren weiterhin Restrisiken, die durch ein Sicherheitsgateway nicht zu beseitigen sind (Beispiele s. u.).
• Ein Sicherheitsgateway dient nicht ausschließlich der Trennung von Intranet und Internet, sondern kann zum Beispiel auch eingesetzt werden, um in einem organisationsinternen Netz die Daten der Personalabteilung von einem Forschungsnetz fernzuhalten, in dem eventuell der Datenverkehr häufig zu Testzwecken mitgeschnitten wird.
• Sicherheitsgateways verbinden allgemein Netze mit unterschiedlicher Vertrauenswürdigkeit.
• Ein Sicherheitsgateway schützt nicht nur vor Angriffen aus einem nicht-vertrauenswürdigen Netz, sondern auch vor Innentätern, die aus dem eigentlich vertrauenswürdigen Netz bewusst oder unbewusst sicherheitskritische Kommunikationbeziehungen initiieren und somit die Sicherheit des gesamten vertrauenswürdigen Netzes herabsetzen.

Unterstützungsleistung des BSI

Das BSI hat einen Wegweiser veröffentlicht, der sich mit grundlegenden Fragen bei der Implementation von Sicherheitsgateways beschäftigt: Die "Konzeption von Sicherheitsgateways" [1] beschreibt Möglichkeiten, um die zu einem Sicherheitsgateway gehörenden Module zu strukturieren. Abhängig vom Schutzbedarf der Netze, die miteinander gekoppelt werden sollen, werden grundlegende Konzepte mit Vorteilen und Risiken erläutert.

Das Grundprinzip sieht folgendermaßen aus: Zunächst werden Hinweise unterbreitet, wie die Basisstruktur eines Sicherheitsgateways aussehen könnte. Ausgehend von der gewählten Basisstruktur umfasst das Dokument Vorschläge, wie dem Sicherheitsgateway weitere Module hinzugefügt werden können, die relativ klar umrissene Sicherheitsfunktionen bereitstellen. Ein Sicherheitsgateway setzt sich also strukturell aus einem Basisaufbau und modularen Erweiterungen dieser Basis zusammen. Die Basisstruktur wird dabei gebildet aus Paketfiltern und Application Level Gateways (vgl. Kasten).

Basisstrukturen

Abbildung 1: Einstufiger Aufbau bestehend aus einem Paketfilter: Demilitarisierte Zonen (DMZ) können nur am Paketfilter gebildet werden.

Sowohl Paketfilter als auch Application Level Gateway können für sich alleine bereits eine Vielzahl von Angriffen abwehren. Ein besonders hoher Schutz ergibt sich jedoch, wenn beide miteinander kombiniert werden. Im Kern der Sache sind hier zwei Möglichkeiten relevant:

• einstufiger Aufbau aus einem einzelnen Paketfilter (siehe Abb. 1),
• mehrstufiger Aufbau, bestehend aus der Hintereinanderschaltung eines Paketfilters, eines Application Level Gateway und eines weiteren Paketfilters (im Folgenden mit P-A-P-Aufbau bezeichnet, siehe Abb. 2).

Abbildung 2: Mehrstufiger Aufbau bestehend aus einer Hintereinanderschaltung von Paketfilter, Application Level Gateway und einem weiteren Paketfilter: Es bietet sich eine Vielzahl von demilitarisierten Zonen (DMZ) zur Platzierung von weiteren Komponenten an.

Nur aus Kostengründen: Einstufiger Aufbau

Der einstufige Aufbau mit einem Paketfilter ist nur dann zu empfehlen, wenn der Schutzbedarf des zu schützenden Netzes gering ist oder falls die Netze, die sicher miteinander verbunden werden sollen, nur einen sehr geringen Unterschied bezüglich der Vertrauenswürdigkeit aufweisen. Dies könnte beispielsweise der Fall sein bei der Verbindung zweier organisationsinterner Netze.

Ein weiteres wichtiges Argument für die ausschließliche Verwendung eines Paketfilters sind die geringen Kosten gegenüber komplexeren (P-A-P-)Lösungen. Der Einsatz eine Paketfilters könnte deshalb für kleine Unternehmen und zur Absicherung des privaten Heimnetzes interessant sein, allerdings muss sich der jeweilige Betreiber über die Grenzen der Schutzwirkung der Paketfilter im Klaren sein. Beispielsweise lassen sich mit einem Paketfilter keine aktiven Inhalte aus Web-Seiten oder E-Mails herausfiltern.

Empfehlung: Mehrstufiger Aufbau

Ein höheres Sicherheitsniveau bietet der mehrstufige P-A-P-Aufbau. Dieser ist prinzipiell immer zu empfehlen, da er gegenüber der einstufigen Struktur erheblich größere Kontroll-, Filterungs- und Protokollierungsmöglichkeiten bietet, die sich aus dem Einsatz eines ALG ergeben.

Nachteil des P-A-P-Aufbaus sind vor allem die hohen Kosten und die Verringerung der maximal möglichen Datenrate. Zudem erhöhen sich beim Abruf von Web-Seiten die Antwortzeiten. Hierbei gibt es Verzögerungen, die nicht immer, aber durchaus im Sekundenbereich liegen können.

Ein weiterer unerwünschter Nebeneffekt der Filterungsfunktionen eines ALG ist leider, dass sich Web-Seiten unter Umständen nicht mehr bedienen lassen, falls aktive Inhalte wie JavaScript oder ActiveX aus den Webseiten herausgeschnitten wurden. Das BSI entwickelt deshalb ein Konzept, das aktive Inhalte mithilfe von Terminal-Servern vom Arbeitsplatz aus auf sichere Weise nutzbar machen soll: Das Konzept für ein Remote-Controlled Browsers System (ReCoBS) wird in einer der nächsten Ausgaben der <kes> präsentiert und ist schon im Internet verfügbar [2]. ReCoBS ist ein Beispiel für die modulare Erweiterung der ein- oder mehrstufigen Basisstruktur, die den zweiten wesentlichen Schritt beim Entwurf eines Sicherheitsgateways darstellt.

Modulare Erweiterungen

Nachdem die Auswahl eines Grundaufbaus getroffen wurde, können dieser Basisstruktur weitere Module mit speziellen Sicherheitsfunktionen hinzugefügt werden. Beispiele neben ReCoBS hierfür sind:

• Intrusion Detection System (IDS) zur Unterstützung des Betriebspersonals bei der Angriffserkennung,
• Intrusion Prevention System (IPS) zur automatischen Sperrung von Netzverkehr, nachdem ein Angriff erkannt wurde,
• Virenscanner zum Filtern von E-Mails und übertragenen Dateien auf Schadprogramme.

Für jedes dieser Module gibt es verschiedene Varianten bezüglich der Positionierung. Je nachdem, ob ein Modul vor oder hinter dem ALG oder in einer DMZ des ALG platziert wird, kommen unterschiedliche Vor- und Nachteile zum Tragen. Aufgrund der großen Anzahl wird an dieser Stelle auf eine detaillierte Auflistung verzichtet, diese sind in dem Dokument "Konzeption von Sicherheitsgateways" [1] ausführlich beschrieben. Dort finden sich auch Vorschläge zur sicheren Konfiguration der Module sowie eine Checkliste, die spezifische Anforderungen an die Module eines Sicherheitsgateways auflistet. Die Checkliste soll bei der Auswahl von Komponenten unterstützen und vermeiden, dass zur Implementation eines Sicherheitsgateways Komponenten beschafft werden, die für den tatsächlichen Einsatzzweck nicht geeignet sind.

Verbleibende Risiken

Auch nach der Installation eines Sicherheitsgateways mit restriktiven Sicherheitseinstellungen verbleiben Risiken, denen nicht prinzipiell mit technischen Mitteln entgegengewirkt werden kann. Drei Beispiele hierfür sind:

• Ein Mitarbeiter installiert unberechtigterweise ein Modem und schafft auf diese Weise einen Zugang, mit dem das Sicherheitsgateway umgangen werden kann.
• Möglicherweise müssen Anwendungen über das Sicherheitsgateway hinweg betrieben werden, die eine Ende-zu-Ende-Verschlüsselung erfordern. Die verschlüsselt übertragenen Inhalte können nicht ohne Weiteres kontrolliert werden; zudem sind die Protokollierungsmöglichkeiten eingeschränkt.
• Ist einem Mitarbeiter der Zugriff auf das Internet erlaubt, bedeutet dies, dass er sowohl Daten in das Internet schicken als auch die Antworten empfangen kann. Wird bei Verfügbarkeit einer solchen bidirektionalen Verbindung auf einem Rechner im internen Netz ein Tunneling-Programm installiert, können gesperrte Protokolle in ein erlaubtes Protokoll verpackt werden. Notwendig ist hierzu allerdings auch eine Gegenstelle im Internet, die das verpackte Protokoll wieder in seine ursprüngliche Form bringt.

Viele der verbleibenden Risiken können verringert werden, indem die Mitarbeiter geschult und darüber aufgeklärt werden, wie wichtig die Einhaltung von Sicherheitsrichtlinien für die Sicherheit des organisationsinternen Netzes ist.

Sämtliche Möglichkeiten und Restrisiken des Sicherheitsgateways sollten dokumentiert und den Nutzern bekannt gegeben werden. Somit wird Transparenz über die Sicherheitsfunktionen eines Sicherheitsgateways geschaffen und den Nutzern wird deutlich, dass es sich bei einem Sicherheitsgateway nicht um ein Allheilmittel für die Sicherheitsprobleme in IP-Netzen handelt. Möglicherweise führt dies zu einer sorgsameren Nutzung der Netzanbindung durch die Mitarbeiter. Vollständige Sicherheit ist jedoch nicht zu erwarten.

Zusammenfassung und Ausblick

Sicherheitsgateways umfassen wesentlich mehr Funktionen, als mit dem Begriff "Firewall" häufig verbunden werden: Sicherheitsgateways bestehen aus einer Basisstruktur, die um Module erweitert werden kann. Einige modulare Erweiterungen sind in der "Konzeption von Sicherheitsgateways" bereits mit Platzierungsvarianten und Konfigurationsmöglichkeiten aufgeführt. Weitere Module sollen folgen. Das BSI erstellt beispielsweise zurzeit eine Studie, die die Integrationsmöglichkeiten von Komponenten zur Erzeugung von Virtual Private Networks (VPNs) beschreibt. Da auch diese die Platzierungs- und Konfigurationsmöglichkeiten der verschiedenen VPN-Varianten, vor allem Internet Protocol Security (IPSec) und Secure Socket Layer (SSL), beschreibt, lässt sie sich in den bereits bestehenden Teil der Konzeption integrieren.

Ein weiteres Modul könnte beispielsweise eine Funktionsüberwachung sein, die die Komponenten des Sicherheitsgateways auf deren korrekte Funktion hin überprüft. Interessant dürfte auch die Evaluierung sein, inwieweit sich Virtual Local Area Networks (VLANs) zu Sicherheitszwecken im Rahmen von Sicherheitsgateways verwenden lassen. Es ist also schon heute abzusehen, dass die "Konzeption von Sicherheitsgateways" nicht auf dem jetzigen Stand verbleibt, sondern in Zukunft durch eine stark erweiterte Version 2.0 ersetzt wird.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005^#2, Seite 39