Unter einer Firewall (Brandschutzmauer) wird eine Schwelle zwischen zwei Netzen verstanden, die überwunden werden muss, um Systeme im jeweils anderen Netz zu erreichen. Die Hauptaufgabe einer Firewall besteht darin, zu erreichen, dass jeweils nur zugelassene netzübergreifende Aktivitäten möglich sind und dass Missbrauchsversuche frühzeitig erkannt werden. Üblicherweise wird dabei davon ausgegangen, dass die Teilnehmer des internen Netzes (hier: des Verwaltungsnetzes) vertrauenswürdiger sind als die Teilnehmer des externen Netzes (hier: des Internet). Gleichwohl sind Firewall-Lösungen auch geeignet, die grenzüberschreitenden Aktivitäten der internen Nutzer, d. h. den Übergang zwischen verschiedenen Teilnetzen (z. B. Ressortnetze) innerhalb eines Verwaltungsnetzes, zu begrenzen. Mit Hilfe von Firewall-Systemen lassen sich die vorher in der Kommunikationsanalyse definierten Anforderungen weitgehend technisch erzwingen (Policy-Enforcer).
Ein Application Level Gateway ist ein speziell konfigurierbarer Rechner, über den die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz stattfindet. Ein Application Level Gateway arbeitet im Gegensatz zum Packet Filter auf der Anwendungsschicht, d. h. die Kontrolle der Kommunikationsbeziehungen findet auf Anwendungsebene statt. Für jeden Dienst (Telnet, FTP usw.) werden Security Proxys eingeführt, die den direkten Zugriff auf den Dienst verhindern. Hierbei bestehen z. B. die Möglichkeiten einer ausführlichen Protokollierung (Audit) und einer benutzerbezogenen Authentisierung für die unterschiedlichen Dienste. Die meisten Application Level Gateways sind nicht in der Lage zu unterscheiden, über welche Netzschnittstelle ein Paket hereinkommt. Ein Application Level Gateway mit zwei Netzschnittstellen wird Dual-homed Gateway genannt.
Die Kombination von Packet Filter und Application Level Gateway wird als Screened Gateway, Transparent Application Gateway oder Sandwich-System bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden Einzelkomponenten erheblich. Die Anordnung der beteiligten Komponenten kann variieren und erlaubt die individuelle Realisierung eines Firewall-Konzeptes.
Stateful Inspection(auch Stateful Packet Filter oder Dynamic Packet Filter) ist eine recht neue Firewall-Technologie und arbeitet sowohl auf der Netz- als auch auf der Anwendungsschicht. Die IP-Pakete werden auf der Netzschicht entgegengenommen, von einem Analysemodul, das dynamisch im Betriebssystemkern geladen ist, zustandsabhängig inspiziert und gegenüber einer Zustandstabelle abgeglichen. Die Regeln, nach denen das Modul agiert, können sehr differenziert vorgegeben werden. Für die Kommunikationspartner stellt sich eine Firewall mit Stateful Inspection als eine direkte Leitung dar, die nur für eine den Regeln entsprechende Kommunikation durchlässig ist. Im Out-Of-Band-Betrieb erfolgt die Wartung und Konfiguration nicht über TCP/IP. Die Firewall besitzt dann keine eigene IP-Adresse, so dass keine Möglichkeit besteht, sie über TCP/IP direkt aus den angeschlossenen Netzen anzusprechen oder auf diesem Wege anzugreifen. Optional führt die Firewall ein Rewriting durch, d. h. Pakete werden vor dem Weitersenden nach vorgegebenen Regeln transformiert.
Stateful Inspection vereinigt bereits konzeptuell die
Schutzmöglichkeiten von Packet Filter und Application Level Gateway, so
dass diese beiden Funktionen nicht in getrennten Komponenten realisiert werden
müssen. Experten streiten sich darüber, welches Konzept in welcher
Realisierung mehr Sicherheit mit sich bringt. Inzwischen werden auch hybride
Firewalls angeboten, die zusätzlich zur Stateful Inspection Proxys wie
beim Application Gateway zur Verfügung stellen.
Vorteile | Nachteile | |
Packet Filter
(Router oder Rechner mit spezieller Software) |
leicht realisierbar, da von vielen Routern angeboten
leicht erweiterbar für neue Dienste Router auf dem Markt verfügbar Transparenz für den Benutzer Arbeitsgeschwindigkeit |
Übernahme des Paket Filter durch einen Angreifer führt zu
einem vollständigen Verlust der Sicherheit
es ist bei den meisten Produkten nicht möglich, Dienste nur für bestimmte Benutzer zuzulassen alle Dienste, die erlaubt sind und erreicht werden können, müssen sicher sein Protokollierung nur auf unteren Netzschichten möglich keine Authentisierung möglich |
Dual-homed Gateway
(Application Level Gateway mit zwei Netzschnittstellen) |
kein Paket kann ungefiltert passieren
aussagekräftige Protokollierung auf höheren Schichten möglich interne Netzstruktur wird verborgen durch den Einsatz von Network Address Translation (NAT) |
Übernahme des Gateways durch einen Angreifer führt zum
Verlust der Sicherheit
keine Transparenz für den Benutzer Probleme bei neuen Diensten, schlechte Skalierbarkeit |
Screened Gateway
(Anordnung aus Application Level Gateway mit einem oder zwei Packet Filtern (Teilnetz-Bildung)) |
kein dierekter Zugang zum Gateway möglich
interne Netzstruktur wird verborgen Network Address Translation (NAT) vereinfachte Regeln durch 2. Filter durch Einsatz mehrerer Gateways lässt sich die Verfügbarkeit steigern aussagekräftige Protokollierung möglich |
keine Transparenz für den Benutzer
bei Realisation mit mehreren Rechnern und Routern: erhöhter Platzbedarf Probleme bei neuen Diensten, schlechte Skalierbarkeit |
Stateful Inspection
(Firewall-Rechner mit zustandsabhängiger Analyse und Reaktion) |
gute Skalierbarkeit
arbeitet auf Netz- und Anwendungsschicht Out-Of-Band-Betrieb: keine Angriffsmöglichkeit über TCP/IP interne Netzstruktur wird verborgen Rewriting möglich (über NAT hinaus) umfangreiche Authentisierungsvarianten |
Übernahme des Gateway durch einen Angreifer führt zu
einem vollständigen Verlust der Sicherheit
keine Zwischenspeicherung, daher nicht volle Gateway-Funktionalität und kein Caching schneller Rechner erforderlich, da wegen der umfangreichen Analyse und Aktionsmöglichkeiten sonst Performance-Einbußen |
Abbildung 3.1: Zentrale Firewall-Anordnung
Ein weiterer Nachteil zentraler Firewalls besteht in dem auch aus dem Großrechnerbereich bekannten Problem, dass eine Benutzerverwaltung, die fernab von dem jeweiligen Fachbereich erfolgt, häufig zu Abweichungen zwischen der Realität von Benutzerrechten und deren Abbildung in Form von Accounts führt.
Da eine Firewall Zugriffe innerhalb des internen Netzes nicht kontrolliert, besteht bei rein zentralen Lösungen die Gefahr, dass das gesamte Verwaltungsnetz als eine Einheit betrachtet wird und insofern nur die Zugriffe von oder nach außen restringiert werden. Dieser Aspekt ist zwar nur mittelbar Teil des Themas Internet-Anbindung, muss bei einer Gesamtbetrachtung von Netzsicherheit jedoch unbedingt einbezogen werden.
Der Einsatz einer alleinigen zentralen Firewall ist allenfalls dann vertretbar, wenn alle angeschlossenen Teilnetze über ein gleiches Sicherheitsbedürfnis bzw. -niveau verfügen und zudem nicht die Gefahr des internen Missbrauchs besteht. Davon kann in behördenübergreifenden Verwaltungsnetzen mit einer Vielzahl angeschlossener Rechner jedoch nicht ausgegangen werden.
Abbildung 3.2: Gestaffelte Firewall-Anordnung
Für die dezentralen Firewalls bieten sich prinzipiell die gleichen Technologien wie bei einer zentralen Firewall an. Die Kombination zentraler und dezentraler Schutzmechanismen erlaubt die Realisierung des Prinzips eines autonomen Schutzes; bei sorgfältiger Konfiguration bleiben besonders geschützte Subnetze auch dann gesichert, wenn die zentrale Firewall durch einen Eindringling überwunden wurde.
Mit gestaffelten Firewalls kann anders als bei zentralen Lösungen das datenschutzrechtlich bedeutsame Prinzip der informationellen Gewaltenteilung abgebildet werden, mit dem es nicht zu vereinbaren wäre, wenn die Verwaltung als informatorisches Ganzes betrachtet würde. Die Teilnetze können sowohl gegen Angriffe von außen aus dem Internet als auch untereinander abgeschottet werden.
Da gestaffelte Lösungen besser als ausschließlich zentrale Firewalls die Anforderungen der Benutzer abbilden können, ist auch die Gefahr der Umgehung der kontrollierten Schnittstellen durch Schaffung wilder Internet-Zugänge geringer. Zudem würden sich die Folgen derartiger Verstöße gegen die festgelegte Sicherheitspolitik besser isolieren lassen.
Auch gestaffelte Firewalls sind mit einem insgesamt hohen Administrations- und Pflegeaufwand verbunden, der jedoch auf die zentrale Firewall und die dezentralen Firewalls verteilt ist. Die Festlegung der individuellen Benutzerrechte kann dabei im Wesentlichen den anwendernäheren dezentralen Firewalls zugeordnet werden.
Die entmilitarisierte Zone kann beispielsweise zwischen zwei Firewalls realisiert werden (vgl. Abbildung 3.3). Durch Verwendung unterschiedlicher Firewall-Produkte lässt sich dabei eine höhere Sicherheit erreichen, da mögliche Fehlfunktionen bei unabhängiger Entwicklung der Produkte wahrscheinlich nicht gleichzeitig auftreten.
Abbildung 3.3: Kaskadierte Firewall-Anordnung mit DMZ
Die Aufgaben der beiden Firewalls können auch von nur einer Firewall mit mehreren Schnittstellen übernommen werden, mit denen sich mehrere Netze mit unterschiedlicher Sicherheit bilden lassen. So können auch eine oder mehrere entmilitarisierte Zonen eingerichtet werden. Diese Lösung ist kostengünstiger, verzichtet aber auf die erhöhte Sicherheit.
Abbildung 3.4: Screened Gateway (Sandwich-System)
Die Anordnung von Mail-, WWW- und DNS-Servern bei Sandwich-Systemen mit entmilitarisierten Zonen wird in der folgenden Abbildung beispielhaft veranschaulicht:
Abbildung 3.5: Screened Gateway (Sandwich-System) mit
DMZ
Orientierungshilfe Internet