Einführung: Welche Firewall-Technik zur Analyse von Datenpaketen ist angesichts heutiger Bedrohungen in der Anwendungsschicht angemessen?
Das zweite Plädoyers gibt Application Level Gateways den Vorzug.

[Aufmachergrafik: heller, corporate design] Gateway-Gründlichkeit

Ordnungsmerkmale

erschienen in: <kes> 2005#4, Seite 40

Rubrik: Systeme und ihr Umfeld

Schlagwort: Firewalls

Schlagwort-2: Application Level Gateway vs. Packet Filter

Zusammenfassung: Application Level Gateways verhindern seit jeher unmittelbare Verbindungen zwischen geschütztem und ungeschütztem Netz und ermöglichen dabei größtmögliche Prüftiefe in der Anwendungsschicht. Durch zunehmende Bedrohungen auf Applikationsebene erleben diese Sicherheits-Proxies jetzt eine Renaissance.

Autor: Von Horst Joepen, Paderborn

Der Einsatz einer Firewall zum Schutz von Unternehmensnetzwerken ist heute ein absolutes Muss – ganz unabhängig von der Technik, die dahinter steckt. Paketfilter dienen nach wie vor als Basisschutz; alleine eingesetzt werden sie aufgrund ihrer Funktionsweise aber heutigen Sicherheitsanforderungen nicht mehr gerecht. Damit Netzwerke auch gegen raffinierte Angriffe auf Anwendungsebene gewappnet sind, benötigt man Schutzsysteme, die auf unterschiedlichen Ebenen arbeiten, wie Application Level Gateways.

Paketfilter gehören zu den ältesten Firewall-Architekturen: Sie kontrollieren regelbasiert die Internet Protocol (IP) und Transmission Control Protocol (TCP) Header der Datenpakete in der Vermittlungsschicht (Network Layer) und – je nach Ausprägung – in der Transportschicht des ISO/OSI-Referenzmodells (Schicht 3 bzw. 4). Diese Überprüfung gibt Aufschluss darüber, woher die Information kommt, wohin sie geschickt wird und welches Protokoll für ihren Versand gewählt wurde. Paketfilter belasten die Netzwerkperformance kaum und sind kostengünstig – oft sind sie automatisch im Betriebssystem integriert.

Paketfilter haben aber auch entscheidende Nachteile: Sie können beispielsweise den Unterschied zwischen einer echten und einer manipulierten Adresse nicht erkennen. Außerdem behandeln sie die Pakete nur isoliert, untersuchen aber nicht die Daten, die sich aus den Einzelpaketen im Endeffekt ergeben. Angreifer können daher Viren und Würmer eventuell durch die Firewall ins Unternehmen schleusen, indem sie schadhafte Codes entweder in regelkonformen Paketen verstecken oder Protokolle und Inhalte verwenden, die ein Paketfilter nicht untersuchen kann. Um Netzwerke vor solchen Angriffen zu schützen und die tatsächlichen Inhalte der Daten zu überprüfen und zu verarbeiten, muss eine Firewall auf höheren Ebenen des ISO/OSI-Referenzmodells arbeiten und sich mit den Protokollen der Applikationsschicht auskennen (Layer 7) – genau das beherrschen Application Level Gateways (ALG, auch als Application Layer Firewall – ALF – bekannt).

Abwehr auf gleichem Niveau

Ein effektiver Schutz wird am besten erreicht, wenn der Schutzmechanismus auf der gleichen Ebene wie die Angriffe wirkt – der Anwendungsebene. Im Gegensatz zu Paketfiltern "versteht" eine Application Layer Firewall die Kommunikation, die durch sie hindurchläuft, und besitzt einen "intelligenten" Untersuchungsmechanismus. Als ALG agiert eine Firewall als Stellvertretersystem (Proxy) für die durchlaufenden Daten: Anfragen werden an die Firewall geliefert, dort geprüft und dann weitergeleitet. Eine derartige Firewall ist in der Lage, auch inhaltsbezogene Analysen durchzuführen, etwa Viren-Checks oder Content Inspection auf unerwünschte oder gefährliche Inhalte.

Die Proxies, mit denen Firewalls auf Applikationsebene alle Datenpakete inspizieren, sind zwangsläufig applikationsspezifisch – um beispielsweise Datenverkehr auf http-Basis zu ermöglichen, benötigt man das entsprechende http-Proxy. Auf diese Weise können Unternehmen gleichzeitig genau festlegen, welche Protokolle für ihre elektronische Kommunikation überhaupt zugelassen sind: Datenpakete können nur dann die Firewall passieren, wenn für ihr Protokoll auch ein Proxy existiert (bzw. eingerichtet ist). Informationen, die nicht dem – eventuell nur vorgeblichen – Protokoll entsprechen, können die vorhandenen Proxies nicht auswerten, filtern und weiterleiten, sie werden daher automatisch und sicher blockiert. Somit fungiert die Firewall als Stellvertreter und Bindeglied, das aber jede durchgehende Verbindung zwischen gesicherten Clients oder Servern und externen Systemen verhindert. Durch diese Unterbrechung haben Angriffe, die für ihren Erfolg eine direkte Verbindung erfordern, von vornherein keine Chance.

Die Proxies untersuchen dabei nicht nur die Header-Daten, sondern verifizieren auch den Inhalt jedes Datenpakets durch alle Ebenen des ISO/OSI-Modells hindurch bis auf die oberste (siebte) Ebene – die Anwendungsschicht. Dabei können die Proxies nach bestimmten Informationen fahnden oder auf der Basis detaillierter syntaktischer Regeln filtern: Statt beispielsweise per Paketfilter den Zugriff auf FTP vollständig zu blockieren, ist es per ALG auch möglich, lediglich bestimmte (unerwünschte oder potenziell gefährliche) Control Messages von FTP zu unterbinden.

Höchste Sicherheit wird mit dem Einsatz besonders strenger Applikations-Proxies erreicht: Diese erhöhen den Schutz, indem sie die Datenpakete nicht einfach kopieren. Stattdessen wird in solchen ALG prinzipiell ein neues, leeres Datagramm innerhalb der Firewall erstellt, in das nur diejenigen Daten kopiert werden, die das Proxy als mit dem Protokoll übereinstimmend erkennt. Dieses Verfahren filtert automatisch alle schadhaften Codes heraus, die in den Nachrichten der Applikationsebene versteckt sind und möglicherweise beim empfangenden System zu Problemen führen könnten, wenn dieses "missgebildete" Nachrichten nicht sicher verarbeitet.

Weniger schnell heißt nicht langsam

Das Plus an Sicherheit auf Applikationsebene wird in der Regel aufgrund der zeitintensiveren Bearbeitung bis zu ISO/OSI-Layer 7 mit gewissen Geschwindigkeitseinbußen erkauft. Mittlerweile sind aber auch ALGs mit einem Durchsatz von über einem Gigabit pro Sekunde auf dem Markt, sodass eine gute Performance erhalten bleibt und solche Systeme auch für große und komplexe Firmennetze uneingeschränkt zu empfehlen sind. Anwender merken auch hier aufgrund der minimalen Verzögerung letztlich gar nicht, dass die Nutzung des Internets über eine Proxy-Firewall läuft.

Trotz meist einfacher Konfiguration der Sicherheitsregeln treten an dieser Stelle bisweilen Probleme auf – diese sind aber meistens auf mangelndes Know-how der verantwortlichen IT-Administratoren zurückzuführen. Bei falscher Konfiguration ist es naturgemäß möglich, den Kommunikationsfluss auch an erwünschten Stellen zu unterbinden, sodass geschäftsrelevante Pakete beispielsweise aufgrund falscher Definitionen blockiert werden. Für zusätzliche Hilfe und ein geringeres Fehlkonfigurationsrisiko sorgen ALGs mit einer Möglichkeit zur automatischen Regelerstellung. Der damit verbundene geringere Administrationsaufwand ist nicht zuletzt für mittelständische Firmen ein wichtiger Aspekt.

Ausblick: Einen Schritt weiter

Aufgrund der zunehmenden Komplexität der Bedrohungen erfolgt derzeit ein Generationswechsel bei der Datensicherheit. Lösungen wie ALGs sind dabei ein Schritt in die richtige Richtung. Insgesamt zeichnet sich jedoch eine Entwicklung hin zu integrierten Security Appliances ab. Umfassenden Schutz für Netzwerke erzielt man am besten mit Lösungen, die sowohl in die Breite als auch in die Tiefe gehen.

Entsprechende Sicherheitslösungen werden aus einer Kombination traditioneller Methoden wie Paketfilter in Verbindung mit Verfahren auf Applikationsebene und dem zusätzlichen Einsatz von Content-Filter-Software bestehen – so entsteht ein komplett neues Niveau integrierter, vorausschauender Sicherheitsmaßnahmen. Firmennetze werden damit zuverlässig vor Attacken aus dem Netz geschützt, ohne dass Administratoren diese zunächst erkennen und dann manuell eingreifen müssen. Dies bringt wertvolle Zeit für die Analyse der Bedrohung und für das Einleiten weiterer Verteidigungsschritte.

Dr. Horst Joepen ist Senior Vice President Strategic Alliances bei CyberGuard.