Einführung: Welche Firewall-Technik zur Analyse von Datenpaketen ist angesichts heutiger Bedrohungen in der Anwendungsschicht angemessen?
Das erste von zwei Plädoyers argumentiert für "erweiterte" Paketfilter...

[Aufmachergrafik: heller, corporate design] Paketfilter-Performance

Ordnungsmerkmale

erschienen in: <kes> 2005#4, Seite 38

Rubrik: Systeme und ihr Umfeld

Schlagwort: Firewalls

Schlagwort-2: Packet Filter vs. Application Level Gateway

Zusammenfassung: Paketfilter haben sich seit der Erfindung der Firewall erheblich weiterentwickelt und tun dies immer noch. Aktuelle Filtertechnik schaut auch in Richtung der Anwendungsschicht.

Autor: Von Christoph Skornia, Hallbergmoos

Firewalls sind die Torwächter an der Schnittstelle zwischen verschiedenen Netzwerken oder Netzwerksegmenten – dort entscheiden sie gemäß den Sicherheitsrichtlinien des Betreibers, ob ein- und ausgehende Verbindungen akzeptiert oder blockiert werden. Ihre traditionelle Aufgabe war und ist zunächst die Zugriffskontrolle für Netzwerk-Ressourcen; dementsprechend hat dieser Aspekt auch die Konzeption der eingesetzten Firewall-Technik beherrscht.

Heute dienen Firewalls aber immer häufiger auch zum Schutz sensitiver Netzwerk-Teilbereiche oder zur Absicherung einzelner Server oder sogar PCs – damit wird der Schutz der Anwendungsebene zunehmend wichtiger. Um der wachsenden Bedrohung durch applikationsbasierte Attacken effektiv begegnen zu können, müssen Firewalls deshalb heutzutage einen umfassenderen und mehrschichtigen Schutz bieten.

Die "Ur-Methodik" von Firewalls sind (reine) Paketfilter, heute nicht selten direkt im Router implementiert. Die Filterung basiert hierbei vorrangig auf Absender- und Ziel-Angaben der IP-Pakete. Einfache Paket-Filter-Firewalls untersuchen die Pakete des Datenstroms auf der Netzwerkebene und sind damit unabhängig von Applikationen, sodass ein gutes Maß an Performance und Skalierbarkeit gewährleistet ist. Gleichzeitig bieten sie jedoch wesentlich geringeren Schutz als fortgeschrittene Verfahren, da sie den Kontext von Kommunikationsverbindungen nicht verstehen und somit sie für Hacker einfach zu umgehen sind.

Stateful Inspection Firewalls

Eine wesentliche Weiterentwicklung der Paketfilter war die von Check Point entwickelte Stateful-Inspection-Technik, die heute überwiegender Bestandteil von Enterprise-Firewall-Systemen ist, zunehmend aber auch Einzug in Desktop-Firewalls hält. Stateful Inspection umschreibt eine zustandsabhängige Analyse und Reaktion bei der Überwachung aller ein- und ausgehenden Verbindungen. Anders als simple Paketfilter kann eine solche Firewall den Informationsfluss in Echtzeit sowohl bezüglich der Session-Daten als auch anwendungsspezifischer Informationen analysieren.

Stateful Inspection sammelt alle statusrelevanten Informationen, die für Sicherheitsentscheidungen erforderlich sind, und speichert sie in dynamischen Zustandstabellen, die zur Bewertung nachfolgender Verbindungsversuche genutzt werden – die Regeln, nach denen das Analysemodul agiert, lassen sich dabei sehr differenziert vorgeben. Das Nachhalten der Daten ist wichtig, da die Hauptaufgabe einer Firewall ja darin besteht, unaufgefordert eingehende Verbindungen zu blockieren, aber Antworten von (möglicherweise denselben) Servern, die durch interne Clients befragt wurden, passieren zu lassen. Der Status einer berechtigten Verbindung ist stets in der Zustandstabelle zu finden.

Zu den gespeicherten und auswertbaren Daten zählen:

Die Echtzeitüberprüfung stellt sicher, dass nur Pakete zugelassen werden, welche die zu erwartenden Parameter und Attribute einer "erlaubten" Sitzung mitbringen, während alle anderen Pakete abgewiesen werden. Ein Stateful-Inspection-Firewallsystem kann die notwendigen TCP- und UDP-Ports einer Verbindung erkennen und ermöglicht auf diese Weise eine Eingrenzung der zu öffnenden Ports.

Für die Kommunikationspartner stellt sich eine Firewall mit Stateful Inspection somit immer noch als eine "direkte Leitung" dar, die jedoch nur für eine den Regeln entsprechende Kommunikation durchlässig ist.

Application Level Gateways

Application Level Gateways (ALGs) verwenden hingegen so genannte Application Proxies, um Kontextinformationen in den Entscheidungsprozess einzubeziehen und so das Sicherheitsniveau zu verbessern. Jede einzelne Anwendung benötigt dazu ein eigenes Proxy, was die Skalierbarkeit beeinträchtigt und zur Unterstützung neuer Applikationen zusätzlichen Aufwand verursacht. Aus diesem Grund konzentrieren sich manche ALGs auf die Sicherheit einzelner Applikationen (z. B. Web-Server) oder bieten nur Zugangskontrollen für Anwendungen ohne dedizierten Schutz vor Angriffen. Darüber hinaus weisen ALGs auf der Netzwerkebene meist nur einen sehr begrenzten Funktionsumfang auf.

Application Intelligence

Konzeptionell vereinigt Stateful Inspection bereits die Schutzmöglichkeiten von Packet Filter und Application Level Gateway, sodass diese beiden Funktionen nicht in getrennten Komponenten realisiert werden müssen. Um gesteigerte Anforderungen auf der Applikationsebene zu erfüllen, sind zusätzliche Weiterentwicklungen möglich: Check Point hat hier beispielsweise mit der so genannten Application Intelligence eine Reihe weiterführender Funktionen zur Erkennung und Abwehr von Angriffen auf der Anwendungsebene ergänzt – andere Anbieter haben hierfür womöglich andere Namen, zielen aber auf dieselbe Erweiterung der Funktionalität.

Application Intelligence ermöglicht als konsequente Weiterentwicklung des Stateful-Inspection-Gedankens nun auch eine Analyse des gesamten Stroms der in einer Verbindung enthaltenen Daten: Attacken, die auf die Applikationsebene abzielen, lassen sich letztlich nicht mehr in einzelnen Paketen oder kleineren Paket-Gruppen erkennen, sondern sind typischerweise über viele Datenpakete verteilt. Prominente Beispiele, wie etwa Cross-Site-Scripting oder SQL-Injection-Attacken zeigen auf einfache Weise, dass die Erkennung dieser aktuellen Bedrohungen auch aktualisierte Analyseverfahren benötigt.

Besondere Beachtung verdient dabei die Untersuchung von Daten, die als ausführbarer Binärcode ausgetauscht werden: Hierbei kann man nur durch strukturelle Betrachtung des simulierten Verhaltens dieses Codes Erwünschtes von Unerwünschtem unterscheiden. Ein solches, ebenfalls in Application Intelligence enthaltenes Verfahren stellt einen grundlegenden Schritt zur Angriffserkennung dar und ist vielfach in der Lage, auch vor Attacken zu schützen, die heute noch gar nicht bekannt sind. Diese Technik hat in den vergangenen zwei Jahren bereits bei großen Schädlingsattacken (Blaster, Nimda usw.) ihre Leistungsfähigkeit unter Beweis gestellt.

Eine weitere Stärke der "erweiterten Paketfilter" ist – gerade im Vergleich zum ALG – ihre hohe Flexibilität bei der Anpassung an neue Protokolle, Protokollversionen und -dialekte. Besonders im Umfeld des Voice over IP (VoIP) haben bereits heute viele Anwender von der frühzeitigen Integration entsprechender Sicherheitsmechanismen profitiert.

Gerade die für die Zukunft absehbare Nutzung von IP-Netzen als universaler Informationskanal – vor dem Hintergrund der weiteren Digitalisierung der gesamten Medienlandschaft vor allem auch für Sprach- und Videokommunikation – wird im Bereich Datensicherheit und Verfügbarkeit von der großen Adaptionsfähigkeit und Flexibilität der (erweiterten) Paketfilter bei gleichzeitiger Wahrung hoher Datendurchsatzraten und hoher Sicherheitsstandards profitieren können.

Dr. Christoph Skornia ist Technical Manager der Check Point Software Technologies GmbH.