vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


14

Firewalls

Dieses Kapitel gibt Ihnen einen Überblick über Firewalls, was sie sind, wie sie funktionieren und wer sie herstellt.

14.1 Was ist eine Firewall?

Eine Firewall ist jedes Gerät, das dazu entwickelt wurde, Außenseiter davon abzuhalten, Zugang zu Ihrem Netzwerk zu erhalten. Dieses Gerät ist in der Regel ein unabhängiger Rechner, ein Router oder eine Firewall in einer Box (proprietäres Hardware-Gerät). Das Gerät dient als einzelner Eingangspunkt zu Ihrer Site. Die Firewall bewertet jede eingehende Verbindungsanfrage. Es werden nur Verbindungsanfragen von autorisierten Hosts weiterverarbeitet, die anderen Verbindungsanfragen werden abgelehnt.

Die meisten Firewalls erreichen dies, indem sie die Ursprungsadresse überprüfen. Wenn Sie beispielsweise nicht wollen, daß sich die Benutzer des Rechners www.mcp.com auf Ihrer Site umsehen, können Sie die entsprechende Adresse sperren, indem Sie Verbindungsanfragen von 206.246.131.227 blockieren. An deren Ende wird dann eine Meldung wie »Verbindung abgelehnt« oder ähnliches generiert (oder es gibt gar keine Meldung, der Versuch zum Verbindungsaufbau wird einfach ignoriert).

14.2 Andere Aufgaben, die eine Firewall ausführt

Firewalls können eingehende Datenpakete von verschiedenen Protokollen analysieren. Basierend auf dieser Analyse kann eine Firewall verschiedene Aktionen starten. Daher können Firewalls an Bedingungen geknüpfte Auswertungen durchführen (»Wenn ich auf diesen Pakettypen treffe, dann werde ich das tun«).

Diese an Bedingungen geknüpften Konstruktionen werden Regeln genannt. Wenn Sie eine Firewall aufstellen, werden Sie sie im allgemeinen mit Regeln versorgen, die die Zugangsrichtlinien Ihrer Organisation widerspiegeln. Nehmen wir beispielsweise an, Sie haben Buchhaltungs- und Vertriebsabteilungen. Unternehmensrichtlinien verlangen, daß nur die Vertriebsabteilung Zugang zu Ihrer Website erhält. Um diesen Richtlinien zu entsprechen, weisen Sie Ihrer Firewall eine Regel zu; in diesem Fall ist die Regel, daß nur Verbindungsanfragen und Verbindungen aus der Vertriebsabteilung erlaubt werden.

In dieser Hinsicht sind Firewalls für Netzwerke das, was Benutzerprivilegien-Schemata für Betriebssysteme sind. Zum Beispiel können Sie unter Windows NT festlegen, welche Benutzer auf eine bestimmte Datei oder ein bestimmtes Verzeichnis zugreifen können. Das ist benutzerbestimmbare Zugriffsberechtigungszuweisung auf Betriebssystemebene. Ganz ähnlich dazu ermöglichen Ihnen Firewalls Zugriffsberechtigungszuweisungen zu Ihren vernetzten Workstations oder Ihrer Website.

Diese Zugangsüberprüfung ist allerdings nur ein Teil dessen, was moderne Firewalls tun können. Zum Beispiel ermöglichen die meisten kommerziellen Firewalls eine Überprüfung des Inhalts. Diese Möglichkeit können Sie ausnutzen, um Java-, JavaScript-, VBScript- und ActiveX-Scripts sowie Cookies an der Firewall zu blockieren. Sie können sogar Regeln kreieren, um bestimmte Angriffssignaturen zu blockieren.

Hinweis:

Angriffssignaturen sind Befehlsmuster, die üblich für einen bestimmten Angriff sind. Wenn z.B. ein Benutzer eine Telnet-Anfrage an Port 80 sendet und mit der Ausgabe von Befehlszeilen-Anfragen beginnt, »erscheint« dies Ihrem Rechner irgendwie seltsam. Wenn Sie Ihrer Firewall beibringen, diese Befehlsreihe zu erkennen, kann die Firewall lernen, solch einen Angriff zu blokkieren. (Dies kann auch auf Paketebene erfolgen. Zum Beispiel generieren manche entfernten Exploits spezielle Pakete, die leicht von anderen Paketen unterschieden werden können. Diese können abgefangen und erkannt werden, und die Firewall kann entsprechende Aktionen starten.)

14.3 Was sind die Bestandteile einer Firewall?

Im esoterischen Sinn existieren die Bestandteile einer Firewall im Kopf der Person, die sie entwickelt. In ihrer Essenz ist eine Firewall eher ein Konzept als ein Produkt; sie basiert auf der Bestimmung, wer Zugang zu Ihrer Site erhält.

In generellem Sinn besteht eine Firewall aus Software und Hardware. Die Software kann proprietär, Shareware oder Freeware sein. Die Hardware kann jede Hardware sein, die die Software unterstützt.

14.4 Firewall-Arten

Firewalls kommen in zwei grundlegenden Versionen:

Lassen Sie uns jede kurz anschauen.

14.4.1 Netzwerkschicht-Firewalls

Netzwerkschicht-Firewalls sind in der Regel Router mit mächtigen Paketfilterfunktionen. Mit einer Netzwerkschicht-Firewall können Sie basierend auf verschiedenen Variablen Zugang zu Ihrer Site gewähren oder ablehnen. Diese Variablen sind u.a.

Router-basierte Firewalls sind populär, weil sie leicht zu implementieren sind. (Sie schließen sie einfach an, versehen sie mit einigen Regeln und das war's.) Außerdem arbeiten die meisten neuen Router hervorragend mit dualen Interfaces (für die IPs von außen einem anderen Protokoll innen übersetzt werden müssen).

Eine Router-basierte Firewall stellt eine periphäre Lösung dar. Da Router externe Geräte sind, brauchen Sie den normalen Netzwerkbetrieb nicht zu unterbrechen. Wenn Sie eine Router-basierte Firewall einsetzen, müssen Sie nicht ein Dutzend Rechner (oder ein Dutzend Dienste) konfigurieren, um sie anzuschließen.

Und schließlich bieten Router eine integrierte Lösung, d.h. wenn Ihr Netzwerk dauerhaft mit dem Internet verbunden ist, brauchen Sie sowieso einen Router, warum also nicht zwei Fliegen mit einer Klappe schlagen?

Router-basierte Firewalls haben andererseits auch einige Nachteile. Einer ist, daß Router anfällig für Spoofing-Angriffe sind (obwohl Router-Hersteller Lösungen dafür entwickeln). Von einem rein praktischen Standpunkt aus gesehen sinkt die Performance von Routern erheblich, wenn Sie übermäßig strenge Filterprozesse durchführen wollen. (Router-Performance kann ein Aspekt sein oder auch nicht, je nachdem wieviel Datendurchsatz Sie erwarten.)

Hinweis:

Einige Router bieten auch nur geringe Protokollierungsunterstützung. Das heißt, daß Sie möglicherweise zusätzliche Software und Hardware für die Zusammenarbeit mit Ihrem Router benötigen.

14.4.2 Application-Proxy-Firewalls (Anwendungsschicht-Gateways)

Eine andere Art von Firewalls ist die Application-Proxy-Firewall (auch Anwendungsschicht-Gateway genannt). Wenn ein entfernter Benutzer ein Netzwerk kontaktiert, auf dem ein Anwendungsschicht-Gateway läuft, nimmt dieser Gateway die Verbindung stellvertretend an, d.h. IP-Pakete werden nicht an das interne Netzwerk weitergeleitet. Statt dessen findet eine Art Übersetzung statt, mit dem Gateway als Zwischenstation und Übersetzer.

Der Vorteil von Anwendungsschicht-Gateways ist, daß sie verhindern, daß IP-Pakete sich einen Weg in Ihr Netzwerk schleusen. Der Nachteil ist, daß sie hohe laufende Kosten verursachen und Sie sich eingehend mit ihnen beschäftigen müssen. Für jeden vernetzten Dienst wie FTP, Telnet, HTTP, Mail, News usw. muß eine Proxy-Applikation konfiguriert werden. Außerdem müssen interne Benutzer Proxy-Clients benutzen (wenn sie dies nicht tun, müssen sie neue Richtlinien und Verfahren annehmen). Wie John Wack in seinem Artikel »Application Gateways« berichtet:

Ein Nachteil von Anwendungsschicht-Gateways ist, daß in bezug auf Client-Server-Protokolle wie Telnet zwei Schritte notwendig sind, um innen und außen zu verbinden. Einige Anwendungsschicht-Gateways benötigen modifizierte Clients, was als Vor- oder Nachteil betrachtet werden kann, je nachdem ob die modifizierten Clients eine Benutzung der Firewall einfacher machen. Ein Telnet-Anwendungsschicht-Gateway verlangt nicht unbedingt einen modifizierten Client, aber eine Änderung im Verhalten des Benutzers: Der Benutzer muß sich zunächst mit der Firewall verbinden (sich aber nicht einloggen), statt eine direkte Verbindung zum Host einzugehen. Ein modifizierter Telnet-Client dagegen würde die Firewall praktisch durchsichtig werden lassen, da er dem Benutzer ermöglicht, das Zielsystem (im Gegensatz zur Firewall) im Telnet-Befehl zu spezifizieren. Die Firewall würde als Weg zum Zielsystem fungieren und damit die Verbindung aufhalten, um weitere notwendige Schritte auszuführen, wie beispielsweise ein Einmalpaßwort zu verlangen. Der Benutzer braucht sein Verhalten nicht zu ändern, allerdings muß in diesem Fall für jedes System ein modifizierter Client eingesetzt werden.

Wegweiser:

Sie finden »Application Gateways« von John Wack unter http://www.telstra.com.au/pub/docs/security/800-10/node52.html .

Das Trusted Information Systems Firewall Toolkit (TIS FWTK)

Ein gutes Beispiel für ein Anwendungsschicht-Gateway ist das TIS Firewall Toolkit. Dieses Paket (das für nichtkommerzielle Zwecke kostenlos erhältlich ist) beinhaltet Proxies für die folgenden Dienste:

Für jeden dieser Proxies müssen Sie Regeln spezifizieren. Sie müssen drei Dateien editieren, um Ihre Regeln einzuführen:

In bezug auf Zugangsberechtigungen können Sie zwei Ansätze benutzen:

Ich empfehle Ihnen den ersten Ansatz, da er wesentlich einschränkender ist.

Mit Hilfe des TIS Firewall Toolkits ist das Gewähren oder Ablehnen von Zugangsberechtigungen sehr leicht. Sie können breitgefaßte Masken von Adressen und Hosts angeben, denen ein Zugang verweigert wird. Sie können Sternchen benutzen, um eine ganze Reihe von Adressen anzuzeigen:

http-gw: userid root
http-gw: directory /somewhere

http-gw: timeout 90

http-gw: default-httpd www.myserver.net

http-gw: hosts 199.171.0.* -log { read write ftp }

http-gw: deny-hosts *

(http-gw ist der Proxy für HTTP.)

Wie Sie sehen, müssen Sie Zugangsregeln für jeden Dienst konfigurieren. Dies ist einer der Nachteile von Anwendungsschicht-Gateways. Ein anderer Nachteil ist, daß jede Applikationssession mit Proxies versehen sein muß. Dies kann für interne Benutzer eine arbeitsintensive und lästige Umgebung sein. (Interne Benutzer müssen ihren ausgehenden Verkehr ebenfalls mit Proxies versehen. Dies kann bedeutende Kosten zur Folge haben, da eingehender Verkehr in bezug auf Ressourcen auf den ausgehenden Verkehr einwirkt.)

Anwendungsschicht-Gateways sind geeigneter, wenn Sie keinen ausgehenden Verkehr haben - zum Beispiel wenn Ihre Site Clients außerhalb der Firewalls mit archivierten Informationen bedient. Ein typisches Beispiel hierfür ist, wenn Sie Kunden haben, die gegen Gebühr technische Spezifizierungen von Ihrem Server erhalten. Diese technischen Spezifizierungen sind sensible Daten und daher sollten nur Ihre Kunden in der Lage sein, diese zu erhalten. In einem solchen Fall ist ein Anwendungsschicht-Gateway perfekt.

Anwendungsschicht-Gateways sind weniger geeignet für Unternehmen, Universitäten, Internet Service Provider oder andere Umgebungen, für die eine flüssigere Kommunikation (und mehr Kontakte mit der Öffentlichkeit) notwendig sind. In solchen Umgebungen können Sie beispielsweise nicht immer sicher sein, daß sich Benutzer stets von bestimmten Servern oder Netzwerken verbinden. Sie können von einer ganzen Reihe von IP-Adressen kommen. Wenn Sie einen Anwendungsschicht-Gateway benutzen und eine Benutzerverbindung von netcom.com autorisieren müssen, müssen Sie, wenn es sich nicht um eine statische Adresse handelt, jeden Benutzer von netcom.com zulassen.

Wenn Sie noch keine Firewall gekauft haben (oder nur etwas über Firewalls lernen wollen), sollten Sie sich das TIS Firewall Toolkit besorgen. Wenn Sie es konfigurieren und Ihre Regeln ausprobieren, werden Sie viel darüber lernen, wie Firewalls arbeiten.

Wegweiser:

Holen Sie sich eine Kopie des TIS Firewall Toolkits unter ftp:// ftp.tis.com/pub/firewalls/toolkit/dist/.

Wegweiser:

Das TIS Firewall Toolkit erfordert ein Unix-System und einen C-Compiler. Zwar läßt sich das TIS Firewall Toolkit ohne Probleme auf SunOS und BSD kompilieren, aber für Linux gibt es einige Konfigurationsaspekte zu beachten. Um diese Probleme schnell aus der Welt zu schaffen, gibt es kein besseres Dokument als »Creating a Linux Firewall Using the TIS Toolkit« von Benjamin Ewy. Dieses Dokument finden Sie unter ftp://ftp.tisl.ukans.
edu/pub/security/firewalls/fwtkpatches.tgz.

Hinweis:

Eine andere beliebte Firewall in dieser Klasse ist SOCKS, die auf dem Anwendungsschicht-Proxy-Modell basiert. Die Verbindungsanfrage wird von SOCKS aufgefangen und übersetzt. Es gibt keine direkten Verbindungen zwischen Ihrem Netzwerk und der Außenwelt. SOCKS ist von großer Bedeutung, weil es so gut etabliert ist, daß es bereits von vielen Browser-Paketen unterstützt wird, z.B. auch vom Netscape Navigator.

Wegweiser:

Eine Site, die umfassende Berichterstattung zur SOCKS-Technologie bietet, ist http://www.socks.nec.com/introduction.html.

Generell sind Anwendungsschicht-Gateways (proxybasierte Firewalls) sicherer als die vielen verfügbaren Paketfilter.

14.5 Allgemeines zu Firewalls

Viele Firewalls machen Ihr System für die Außenwelt unsichtbar. SunScreen von Sun Microsystems beispielsweise bietet Nicht-IP-Möglichkeiten, die es Crackern unmöglich machen, Netzwerkknoten hinter der Firewall ausfindig zu machen.

Warnung:

Einige Firewalls sind aber noch nicht so unsichtbar, wie Sie sie gerne hätten. Mindestens ein Scanner namens Jakal kann nach Diensten suchen, die hinter einer Firewall laufen. Jakal, ein Stealth-Scanner, überprüft eine Domain (hinter einer Firewall), ohne irgendwelche Spuren seines Scan-Vorgangs zu hinterlassen. (Jakal wird in Kapitel 10 »Scanner« vorgestellt.)

Firewalls sind die strengsten Sicherheitsmaßnahmen, die Sie ergreifen können. Aber Sie sollten sich einiger Nachteile bewußt sein.

Ein Nachteil ist, daß Firewall-Sicherheit dermaßen streng konfiguriert sein kann, daß die eigentliche Funktion des Netzwerks beeinträchtigt wird. Zum Beispiel stellen einige Studien klar, daß der Einsatz einer Firewall in solchen Umgebungen unpraktisch ist, in denen Benutzer sehr von verteilten Applikationen abhängen. Die strikten Sicherheitsrichtlinien einer Firewall führen in diesen Umgebungen dazu, daß sich das System festfährt. Was sie an Sicherheit hinzugewinnen, verlieren sie an Funktionalität. Universitäten sind ein perfektes Beispiel für derartige Umgebungen. Forschungsarbeiten werden in Universitäten oft von zwei oder mehr Abteilungen (oft auf Netzwerksegmenten, die weit voneinander entfernt sind) gemeinsam ausgeführt. In solchen Umgebungen ist es schwer, unter den strengen Sicherheitsauflagen zu arbeiten, die eine Firewall implementiert.

Ein anderer ernsterer Punkt ist, daß es mit dem Einsatz einer Firewall oft nicht getan ist. Wenn Ihre Firewall durchbrochen wird, kann Ihr internes Netzwerk schnell zerstört werden. Wiegen Sie sich nicht in Sicherheit. Die Tatsache, daß Sie eine Firewall verwenden, sollte Sie nicht davon abhalten, andere Sicherheitspraktiken einzusetzen. Tun Sie dies nicht, werden Sie es eines Tages bereuen. Firewalls verengen den Eingang zu Ihrem Netzwerk und fördern eine Umgebung, die sich auf einen einzigen zentralen Abwehrpunkt konzentriert. Das ist eine unzureichende und potentiell gefährliche Situation.

Bevor Sie eine Firewall kaufen, sollten Sie Ihr eigenes Netzwerk, Ihre Benutzer und die Bedürfnisse Ihrer Benutzer ernsthaft untersuchen. Sie sollten außerdem eine visuelle Darstellung der Vertrauensverhältnisse (sowohl zwischen Rechnern als auch zwischen Menschen) in Ihrem Unternehmen generieren. Verschiedene Netzwerksegmente müssen miteinander kommunizieren können. Die Kommunikation zwischen diesen Netzwerken kann durch automatisierte Prozesse oder durch menschliche Interaktion stattfinden. Automatisierte Prozesse erweisen sich möglicherweise als einfach zu bewerkstelligen. Vom Menschen initiierte Prozesse dagegen können sich als schwierig erweisen. Für manche Organisationen ist eine Firewall schlicht und einfach nicht praktikabel. In solchen Fällen wäre es vielleicht besser, sich auf altbewährte Systemadministrationstechniken (und umfassende Paketfilter) zu verlassen.

14.6 Aufbau einer Firewall

Es gibt sechs Schritte, denen Sie beim Aufbau einer Firewall folgen sollten:

14.6.1 Bedürfnisbestimmung in bezug auf Topologie, Applikationen und Protokolle

Ihr erster Schritt besteht darin, Ihre Bedürfnisse in bezug auf Topologie, Applikationen und Protokolle zu bestimmen. Dieser Schritt ist schwerer als er sich anhört, abhängig von der Größe und der Zusammensetzung Ihres Netzwerks.

Natürlich ist diese Aufgabe leichter, wenn Sie ein komplett homogenes Netzwerk haben (nur wenige Leute haben das). Sie haben dann durchgehend ein Betriebssystem und eine bestimmte Sammlung von Applikationen. Sie sollten sich glücklich schätzen, wenn das so ist.

Die meisten Netzwerke sind heterogen. Wenn Ihres dazugehört, müssen Sie jedes Betriebssystem und alle Applikationssammlungen, die in diesem Netzwerk benutzt werden, zusammentragen. Vielleicht müssen Sie hierfür sogar Experten einbringen, die die speziellen Sicherheitsaspekte für jede Applikation kennen.

14.6.2 Analyse der Vertrauensverhältnisse in Ihrer Organisation

Der nächste Schritt betrifft die Analyse von Vertrauensverhältnissen in Ihrer Organisation. Dafür müssen Sie möglicherweise mit verschiedenen Abteilungen reden. Bestimmte Netzwerksegmente brauchen eventuell gegenseitigen Zugriff auf ihre Informationsquellen. Wenn sich diese Segmente in geographisch unterschiedlichen Orten befinden, muß Ihr Netzverkehr unter Umständen einen oder mehrere der von Ihnen entwickelten Gateways überqueren. Um einer totalen Unterbrechung Ihres derzeitigen Systems vorzugreifen, ist es empfehlenswert, zunächst eine detaillierte Analyse dieser Verhältnisse vorzunehmen.

Sie sollten während dieses Prozesses äußerst taktvoll vorgehen. Sie werden möglicherweise Benutzer oder Manager treffen, die darauf bestehen, daß »sie es jetzt schon seit 10 Jahren auf diese Art und Weise durchführen«. Sie müssen mit diesen Leuten arbeiten. Es ist notwendig, daß sie den Vorgang vollkommen verstehen. Wenn Ihre Sicherheitspraktiken die Arbeitsumgebung dieser Mitarbeiter enorm beeinflussen, sollten Sie ihnen erklären, warum das so ist.

Das letzte, was Sie jetzt gebrauchen können, sind verärgerte lokale Benutzer. Statt dessen brauchen Sie ihre Unterstützung, da Sie nach der Konstruktion Ihrer Firewall wahrscheinlich neue Richtlinien verteilen werden. Die Tatsache, ob die Benutzer diese Richtlinien auch befolgen, hat dramatische Auswirkungen auf die Sicherheit des gesamten Netzwerks. Wenn Sie anständig mit den Benutzern umgehen, haben Sie nichts zu befürchten. Wenn Sie jedoch drakonische Anweisungen ohne jegliche Erklärung erlassen, werden die lokalen Benutzer Sie ablehnen und jede Gelegenheit suchen, Ihnen eins auszuwischen.

14.6.3 Richtlinien aufstellen und die richtige Firewall finden

Der nächste Schritt besteht darin, Richtlinien zu entwickeln, basierend auf dem, was Sie über Ihr Netzwerk und seine Benutzer gelernt haben. Hier bestimmen Sie, wer auf Ihr Netzwerk zugreifen kann und wie. Außerdem fügen Sie jegliche plattform- oder protokollspezifische Informationen ein, die Sie gefunden haben.

Basierend auf diesen Informationen können Sie jetzt eine kluge Auswahl für eine Firewall treffen. Zumindest verfügen Sie über genügend Informationen, um diese Angelegenheit intelligent mit verschiedenen Herstellern ausdiskutieren zu können. Solange Sie wissen, was Sie brauchen, werden Sie nicht von Marketingleuten des Herstellers übers Ohr gehauen.

Bevor Sie Auskünfte über einen Kauf sammeln, sollten Sie sich eine Liste der absolut notwendigen Punkte zusammenstellen und Ihre endgültige Kaufentscheidung darauf basieren.

14.6.4 Anwenden und Testen der Firewall

Nachdem Sie Ihre Firewall gekauft haben, werden Sie schließlich Ihre gesammelten Informationen einsetzen und Ihre Richtlinien anwenden. Dafür empfehle ich Ihnen umfangreiche Testläufe. Hierbei gibt es zwei Phasen:

Die erste Phase können Sie jederzeit durchführen, auch (und vielleicht vorzugsweise) wenn Ihre Benutzer nicht anwesend sind.

Die zweite Phase ist komplizierter. Erwarten Sie viele Probleme und planen Sie einige Zeit für Netzwerkausfälle ein. (Machen Sie sich außerdem auf einige ärgerliche Benutzer gefaßt.) Es ist sehr unwahrscheinlich, daß Sie es gleich beim ersten Mal richtig hinbekommen, außer wenn Ihr Netzwerk vollkommen homogen ist und Sie über durchgehend gleiche Applikationssammlungen verfügen.

14.6.5 Sind Firewalls narrensicher?

Natürlich sind Firewalls nicht narrensicher. Viele Sites, die Firewalls benutzten, wurden geknackt. Firewall-Produkte sind nicht in sich fehlerhaft, aber sie werden manchmal falsch implementiert. Die Nummer-eins-Ursache für trotz Firewall geknackter Sites liegt darin, daß der Systemadministrator die Firewall nicht korrekt konfiguriert hat.

Das heißt nicht, daß nicht manche Firewalls Sicherheitsschwachstellen haben. Einige haben sie. Meistens aber sind diese Schwachstellen minimal. Die folgenden Abschnitte beschreiben einige.

Cisco-PIX-DES-Schwachstelle

Im Juni 1998 wurde entdeckt, daß der Cisco PIX Private Link einen kleinen (48 Bit) DES- Schlüssel benutzt. Es ist denkbar, daß dieser geknackt werden kann. Hierzu die CIAC:

PIX Privat Link ist eine optionale Funktion, die in Cisco PIX Firewalls installiert werden kann. PIX Private Link kreiert virtuelle IP Private Networks über unzuverlässige Netzwerke wie das Internet und benutzt dazu Tunnel, die mit DES im ECB(»Electronic Codebook«)-Modus verschlüsselt werden. Ein Fehler in der automatischen Syntaxanalyse von Konfigurationsdateibefehlen reduziert die effektive Schlüssellänge für die PIX-Private-Link-DES-Verschlüsselung auf 48 Bit im Gegensatz zu den vorgegebenen 56 Bit. Wenn Angreifer die Details des Fehlers kennen, werden Sie 8 Bit des Schlüssels im voraus kennen. Dies reduziert die effektive Länge des Schlüssels aus Sicht des Angreifers von 56 auf 48 Bit. Diese Reduzierung der effektiven Schlüssellänge reduziert die Arbeit, die für einen Brute-Force-Angriff auf die Verschlüsselung notwendig ist, um den Faktor 256. Das heißt, Angreifer, die über dieses Wissen verfügen, können den richtigen Schlüssel 256mal schneller finden, als sie es mit einem richtigen 56-Bit-Schlüssel könnten.

Cisco fand eine Abhilfe für dieses Problem. Details finden Sie unter http://www.cisco.com/ warp/public/770/pixkey-pup.shtml.

Firewall-1-Reserved-Words-Schwachstelle

Im Mai 1998 wurde entdeckt, daß Firewall-1 mehrere reservierte Schlüsselwörter beinhaltete, die ein großes Sicherheitsloch öffneten, wenn sie benutzt wurden, um ein Netzwerkobjekt zu repräsentieren (das benannte Objekt wird als »undefiniert« interpretiert und ist für jede Adresse zugänglich, wenn nicht andere Änderungen vorgenommen werden).

Sie können diese Schwachstelle besser verstehen (und eine Liste der Schlüsselwörter erhalten), wenn Sie sich das folgende Dokument herunterladen: http://www.checkpoint.com/ techsupport/config/keywords.html.

14.7 Kommerzielle Firewalls

Der nächste Abschnitt gibt Ihnen Details über Firewall-Hersteller, ihre Produkte und spezielle Funktionen der jeweiligen Firewalls.

AltaVista Firewall 98

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: Digital Equipment Corp.

Unterstützte Plattformen: DEC Unix, Windows NT

Weitere Informationen: http://www.altavista.software.digital.com/firewall/products/ overview/index.asp

AltaVista Firewall 98 bietet Anwendungsschicht-Gateways für FTP (Telnet), HTTP, Mail, News, SQL*Net, RealAudio und finger. Einmal-Paßwörter werden für FTP- und Telnetdienste unterstützt. Dieses Produkt läuft sowohl auf Intel- als auch auf Alphaplattformen.

ANS InterLock

Firewalltyp: Software

Hersteller: ANS Communications

Unterstützte Plattformen: Solaris (Sun Microsystems)

Weitere Informationen: http://www.ans.net/whatneed/security/interlock/interloc.htm

ANS InterLock bietet komplette Kontrolle über den Netzwerkverkehr, einschließlich Sperren und Filtern nach IP-Adresse, Datum, Zeit, Benutzer, Logins und Protokoll. Die ANS- InterLock-Programmfamilie ist eine komplette Netzwerkmanagement-Paketlösung und bietet Anwendungsschicht-Gatewaydienste.

Avertis

Firewalltyp: Firewall in einer Box

Hersteller: Galea Network Security Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.galea.com/En/Products/Avertis/Index.html

Avertis ist eine proprietäre Lösung, die auf proprietärer Hardware und Software basiert. Es bietet Echtzeit-Filtering und -Analyse von Netzwerkverkehr, Schutz gegen Spoofing- Angriffe und Hardware-Proxying.

BorderManager

Firewalltyp: Software

Hersteller: Novell Inc.

Unterstützte Plattformen: Novell NetWare

Weitere Informationen: http://www.novell.com/text/bordermanager/index.html

BorderManager ist die führende Firewall für Novell-Netzwerke, schützt aber auch Unix- und NT-basierte Netzwerke. Das Produkt bietet zentralisiertes Management, starke Filter und schnelle Echtzeitanalyse von Netzwerkverkehr. Außerdem verfügt BorderManager über eine Funktion zum Aufbau von »Mini-Firewalls«, die interne Angriffe von Abteilungen oder lokalen Netzwerken innerhalb Ihrer Organisation abwehren.

Conclave

Firewalltyp: Software

Hersteller: Internet Dynamics Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.interdyn.com/fyi.html

Conclave wurde entwickelt, um Intranets und Extranets zu schützen. Daher stellt Conclave nicht nur Zugangskontrollen für die Benutzer- oder Paketebene, sondern auch für die Dateiebene zur Verfügung. Conclave wendet außerdem MD5-Paketintegrität-Analysen an, um es Crackern zu erschweren, Datenpakete zu fälschen oder Arbeitssitzungen an Terminals abzufangen.

CSM Proxy/Enterprise Edition

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: CSM-USA Inc.

Unterstützte Plattformen: Linux, Solaris und Windows NT

Weitere Informationen: http://www.csm-usa.com/proxy/index.htm

CSM Proxy ist eine umfassende Proxy-Server-Lösung, die das Filtern von ActiveX und Java Scripts, Cookies, News und Mail beinhaltet. CSM Proxy unterstützt jetzt auch Windows 95.

CyberGuard Firewall

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: CyberGuard Corp.

Unterstützte Plattformen: UnixWare und Windows NT

Weitere Informationen: http://www.cyberguard.com/products2/frames/nt_overview.html

CyberGuard bietet statische und dynamische Echtzeit-Paketfilter für alle üblichen Protokolle (IP, TCP, UDP und ICMP) und eine ganze Reihe von Proxies.

CyberShield

Firewalltyp: Hardware/Software

Hersteller: BDM International Inc.

Unterstützte Plattformen: Data General

Weitere Informationen: http://www.cybershield.com/

CyberShield ist eine proprietäre, fokussierte Lösung. Viele der Protokollierungs- und Auditingfunktionen von CyberShield wurden für eine nahtlose Integrierung in die B2-Level Assurance Security Controls in DG-UX entwickelt. Es ist eine gute »komplette« Lösung, insbesondere wenn Ihre Beschäftigten Erfahrungen mit Data General Unix haben. CyberShield gibt Ihnen Sicherheit auf einem sehr hohen Niveau.

Elron Firewall/Secure

Firewalltyp: Software/Hardware

Hersteller: Elron Software Inc.

Unterstützte Plattformen: Windows NT und Secure32OS

Weitere Informationen: http://www.elronsoftware.com/proddoc.html

Die Elron Firewall beinhaltet ein Firewall-Betriebssystem, das als NT-Dienst läuft. Die Administration findet über NT statt und das Produkt bietet zentrales Management und Benutzerfreundlichkeit.

FireWallA 3.0

Firewalltyp: Software

Hersteller: Check Point Software Technologies Ltd.

Unterstützte Plattformen: Windows NT und Unix

Weitere Informationen: http://www.checkpoint.com/products/firewall-1/descriptions/ products.html

Die FirewallA hat weltweit den größten Marktanteil. Das Produkt beinhaltet Paketfilter, starke Inhaltsüberprüfungen, integrierten Schutz gegen Spoofing und sogar Echtzeit-Scan- Vorgänge für Computerviren. Außerdem bietet FirewallA eine Time-Object-Kontrolle; es ermöglicht Ihnen die Kontrolle darüber, wie oft auf Ihre Netzwerk-Ressourcen zugegriffen werden kann.

Gauntlet Internet Firewall

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: Trusted Information Systems

Unterstützte Plattformen: Unix, Windows NT, DMS, ITSEC E3 und IRIX

Weitere Informationen: http://www.tis.com/prodserv/gauntlet/index.html

Erinnern Sie sich an das TIS Firewall Toolkit? Es bildete die Grundlage für Gauntlet. Gauntlet bietet starke Paketfilter, DES- und Triple-DES-Verschlüsselung, Benutzertransparenz und integriertes Management.

GNAT Box Firewall

Firewalltyp: Firewall in einer Box

Hersteller: Global Technology Associates

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.gnatbox.com/

GNAT ist eine Firewall in einer Box. Diese proprietäre Hardware und Software ist in ein einzelnes Gerät gepackt. (Diese Art von Produkten sind Plug-in-Lösungen. Sie schließen Sie einfach nur an und können loslegen.) Sie können die GNAT-Box entweder über ein Befehlszeilen- oder ein Web-basiertes Interface bedienen. GNAT filtert eingehenden Verkehr, basierend auf IP-Ursprungsadresse, Zieladresse, Port, Netzwerk-Interface und Protokoll.

Guardian

Firewalltyp: Software

Hersteller: NetGuard Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.ntguard.com/grfeatures.html

Guardian bietet komplette Transparenz (Benutzer müssen ihre Gewohnheiten nicht ändern), Filter, Inhaltsüberprüfung und Zugangskontrollen. Das Produkt benutzt außerdem ein proprietäres Kommunikationsprotokoll zwischen der Systemmanager-Applikation und den Agent-Applikationen. Außerdem verfügt das Programm über gute Verschlüsselungsunterstützung.

IBM eNetwork Firewall

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: IBM

Unterstützte Plattformen: AIX und Windows NT

Weitere Informationen: http://www.software.ibm.com/enetwork/firewall/

eNetwork Firewall ist eine Kombination mehrerer Firewall-Architektur-Designs. Es bietet sowohl Anwendungsschicht-Gateways als auch komplexe Paketfilter. Außerdem stellt das Produkt einen VPN-Pfad zwischen Ihren Benutzern und der Firewall zur Verfügung.

Interceptor Firewall Appliance

Firewalltyp: Firewall in einer Box

Hersteller: Technologic Inc.

Unterstützte Plattformen: BSDI

Weitere Informationen: http://www.tlogic.com/appliancedocs/index.html

Dies ist eine preiswerte Komplettlösung für Netzwerke, die keine umfassende Anpassung benötigen. Interceptor bietet Plug&Play-Firewall-Funktionalität, darunter vorkonfigurierte Proxies, zentralisierte Überwachung, Audit- und Protokollverfolgung und plattformneutrale Administration. (Sie können dieses Produkt von jeder Plattform managen.)

NETBuilder

Firewalltyp: Router-basiert

Hersteller: 3Com Corp.

Unterstützte Plattformen: Solaris, Windows NT, HP-UX

Weitere Informationen: http://www.3com.com/products/dsheets/pdf/40023808.pdf

NETBuilder ist eine Router-Hardware- und -Softwarefamilie. Die IP-Firewall-Möglichkeit ist in das NETBuilder-Routerpaket integriert. Es bietet extrem feines Filtern nach Protokoll, Port, Adresse und Applikation.

NetRoad TrafficWARE Firewall

Firewalltyp: Software - Anwendungsschicht-Gateway

Hersteller: Ukiah Software Inc.

Unterstützte Plattformen: Windows NT

Weitere Informationen: http://www.ukiahsoft.com/

NetRoad bietet Anwendungsschicht-Gateways, zentralisiertes Management, Bandbreitenkontrolle und sogar Arbeitssitzungsprioritäten. Basierend auf bestimmten Regeln können Sie bestimmen, welche Netzwerk-Arbeitssitzungen zuerst erledigt werden.

NetScreenA0

Hersteller: NetScreen Technologies Inc.

Gestützte Podeste: keine Angaben

Weitere Informationen: http://www.netscreen.com/netscreen100.htm

NetScreen ist sowohl eine Firewall als auch eine Extranet-Lösung. Es bietet IPSEC-, DES- und Triple-DES-Verschlüsselung und Arbeitssitzung-Integritätsprüfungen über MD5 und SHA. Unterstützte Protokolle sind ARP, TCP/IP, UDP, ICMP, DHCP, HTTP, RADIUS und IPSEC.

PIX Firewall 4.1

Firewalltyp: Router-basiert

Hersteller: Cisco Systems Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.cisco.com/warp/public/751/pix/

Diese Firewall verläßt sich nicht auf Anwendungsproxies (die zusätzliche Ressourcen und CPU-Zeit brauchen), sondern auf ein sicheres Betriebssystem innerhalb der Hardwarekomponente selbst. Spezielle Funktionen sind ein HTML-Konfigurations- und Administrationstool, IP-Verbergung und Nichtübersetzung und Unterstützung für 16.000 sofortige Verbindungen.

Raptor Firewall

Hersteller: Raptor Systems

Unterstützte Plattformen: Solaris und Windows NT

Weitere Informationen: http://www.raptor.com/products/datasheets/prodsheet.html

Raptor-Produkte verbinden eine ganze Reihe von Firewalltechniken, darunter umfassende Protokollierung, spezialisierter, ereignisabhängiger Umgang mit verdächtigen Aktivitäten und extrem enggefaßte Zugangskontrollen. Diese Familie von Firewallprodukten integriert Anwendungsschicht-Proxies.

Secure Access

Firewalltyp: Router-basiert

Hersteller: Ascend Communications Inc.

Unterstützte Plattformen: keine Angaben

Weitere Informationen: http://www.ascend.com/656.html

Secure Access wird durch die Ascend-MAX-Routerfamilie zur Verfügung gestellt. Funktionen sind u.a. Zugangskontrollen, Verschlüsselung, fortgeschrittene Filter, Unterstützung für die meisten bekannten Protokolle und RADIUS Anwahlmanagement.

SecurIT Firewall

Firewalltyp: Anwendungsschicht-Gateway

Hersteller: Milkyway Networks Corp.

Unterstützte Plattformen: Solaris und Windows NT

Weitere Informationen: http://www.milkyway.com/libr/solarisdes.html

SecurIT ist eine duale Anwendungsschicht-/Schaltungsschicht-Firewall-Lösung, die Proxies für die meisten bekannten Dienste (darunter SQL*Net und Pop3), hochgradige Verschlüsselung und ein eingebautes VPN bietet.

SunScreen

Firewalltyp: Gemischt

Hersteller: Sun Microsystems

Unterstützte Plattformen: SunOS und Solaris

Weitere Informationen: http://www.sun.com/security/overview.html

SunScreen von Sun Microsystems besteht aus einer Reihe von Produkten. Mit ihrer SunScreen-Produktlinie reagiert Sun auf eines der Hauptprobleme, das ich vorher angesprochen habe: Wenn Ihr Engpaß durchbrochen wird, ist Ihr Netzwerk komplett offengelegt. Suns neue Produktlinie wird wahrscheinlich die Firewall-Industrie revolutionieren (sicherlich, was die Sun-Plattform betrifft). Die hauptsächlichen Produkte sind:

14.8 Zusammenfassung

Firewalls sind zur Zeit der letzte Schrei, und das ist durchaus berechtigt. Sie bieten umfassende Sicherheit vor Angriffen von außen. Firewalls sollten jedoch nicht die einzige Komponente Ihrer allgemeinen Sicherheitsarchitektur sein. Ich empfehle Ihnen ausdrücklich, sich nicht nur auf eine Firewall zu verlassen.

14.9 Informationsquellen

Dieser Abschnitt stellt Ihnen einige URLs zur Verfügung, unter denen Sie Online-Dokumente finden, die Ihnen die Firewall-Technologie weiter erklären.

Internet Firewalls and Network Security (Second Edition). Chris Hare und Karanjit Siyan. New Riders. ISBN: 1-56205-632-8. 1996.

Internet Firewalls. Scott Fuller und Kevin Pagan. Ventana Communications Group Inc. ISBN: 1-56604-506-1. 1997.

Building Internet Firewalls. D. Brent Chapman und Elizabeth D. Zwicky. O'Reilly & Associates. ISBN: 1-56592-124-0. 1995.

Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley Professional Computing. William R. Cheswick und Steven M. Bellovin. ISBN: 0-201-63357-4. 1994.

Actually Useful Internet Security Techniques. Larry J. Hughes, Jr. New Riders. ISBN 1- 56205-508-9. 1995.

Internet Security Resource Library: Internet Firewalls and Network Security, Internet Security Techniques, Implementing Internet Security. New Riders. ISBN: 1-56205-506-2. 1995.

Firewalls FAQ. Marcus J. Ranum. http://www.cis.ohio-state.edu/hypertext/faq/usenet/ firewalls-faq/faq.html.

NCSA Firewall Policy Guide. Kompiliert von Stephen Cobb, Director of Special Projects. National Computer Security Association. http://www.ncsa.com/fpfs/fwpg_p1.html.

There Be Dragons. Steven M. Bellovin. Protokoll des Third Usenix Unix Security Symposium, Baltimore, September 1992. AT&T Bell Laboratories, Murray Hill, NJ. 15. August 1992.

Rating of application layer proxies. Michael Richardson. http://www.sandelman.ottawa.on.ca/SSW/proxyrating/proxyrating.html.

Keeping your site comfortably secure: An Introduction to Internet Firewalls. John P. Wack und Lisa J. Carnahan. National Institute of Standards and Technology. http:// csrc.ncsl.nist.gov/nistpubs/800-10/.

SQL*Net and Firewalls. David Sidwell und Oracle Corporation. http://www.zeuros.co.uk/ firewall/library/oracle-and-fw.pdf.

Covert Channels in the TCP/IP Protocol Suite. Craig Rowland. Rotherwick & Psionics Software Systems Inc. http://csrc.ncsl.nist.gov/nistpubs/800-10.ps

If You Can Reach Them, They Can Reach You. William Dutcher. Ein PC-Week-Online-Special-Report, 19. Juni 1995. http://www.pcweek.com/sr/0619/tfire.html.

Packet Filtering for Firewall Systems. Februar 1995. CERT (und Carnegie-Mellon University). ftp://info.cert.org/pub/tech_tips/packet_filtering.

Network Firewalls. Steven M. Bellovin und William R. Cheswick. IEEECM, 32(9), pp. 50- 57, September 1994.

Session-Layer Encryption. Matt Blaze und Steve Bellovin. Protokoll des Usenix Security Workshop, Juni 1995.

A Network Perimeter with Secure External Access. Frederick M. Avolio und Marcus J. Ranum. Ein Papier, das Details einer Implementierung einer Firewall im Weißen Haus gibt. http://www.alw.nih.gov/Security/FIRST/papers/firewall/isoc94.ps.

Packets Found on an Internet. Steven M. Bellovin. Lambda. Interessante Analyse von Paketen, die am Anwendungsschicht-Gateway von AT&T erscheinen. ftp://ftp.research.att.com/dist/smb/packets.ps .

Using Screend to Implement TCP/IP Security Policies. Jeff Mogul. Rotherwick and Digital. http://www.zeuros.co.uk/firewall/library/screend.ps.

Firewall Application Notes. Livingston Enterprises, Inc. Gutes Dokument, das mit einer Beschreibung darüber beginnt, wie man eine Firewall aufbaut. Außerdem behandelt es Anwendungsschicht-Proxies, Sendmail in Relation zu Firewalls und die Charakteristiken eines Bastion-Hosts. http://www.telstra.com.au/pub/docs/security/firewall-1.1.ps.Z.

X Through the Firewall, and Other Application Relays. Treese/Wolman. Digital Equipment Corp. Cambridge Research Lab. ftp://crl.dec.com/pub/DEC/CRL/tech-reports/ 93.10.ps.Z.

Intrusion Protection for Networks 171. BYTE Magazine. April 1995.

Benchmarking Methodology for Network Interconnect Devices (RFC 1944). S. Bradner und J. McQuaid. ftp://ds.internic.net/rfc/rfc1944.txt.

Vulnerability in Cisco Routers Used as Firewalls. Computer Incident Advisory Capability Advisory: Number D-15. http://ciac.llnl.gov/ciac/bulletins/d-15.shtml.

WAN-Hacking with AutoHack - Auditing Security Behind the Firewall. Alec D. E. Muffett. Geschrieben vom Autor von Crack, dem berühmten Programm zum Knacken von Paßwörtern. Dieses Dokument behandelt Methoden zum Auditing von Sicherheit hinter einer Firewall (und das Auditing eines sehr großen Netzwerks, das Zehntausende von Hosts umfaßt.) http://solar.net.ncu.edu.tw/~jslee/me/docs/muffett-autohack.ps.

Windows NT Firewalls Are Born. PC Magazine. 4. February 1997. http://www.pcmagazine.com/features/firewall/_open.htm .

IP v6 Release and Firewalls. Uwe Ellermann. 14. Worldwide Congress on Computer and Communications Security. Protection, pp. 341-354, Juni 1996.

The SunScreen Product Line Overview. Sun Microsystems. http://www.sun.com/security/ overview.html.

Product Overview for IBM Internet Connection Secured Network Gateway for AIX, Version 2.2. IBM firewall information. http://www.ics.raleigh.ibm.com/firewall/overview.htm.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel