Inhaltsverzeichnis:
1.0 Was ist eine Firewall, und wozu wird sie benötigt
2.0 Angriffsmethoden,
um Zugriff auf ein Netz zu erhalten
2.1 Paßwörter
raten
2.2 Zugriff
durch wiederholen auspionierter Nachrichten
2.3 Tarnangriff
2.4 Angriff
von aussen über Telekommunikationswege
2.5 IP-Spoofing
2.6 Datenpakete
mit extravaganten TCP-Headern
2.7 Mißbrauch
des Source-Routing
2.8 Mißbrauch
des ICMP-Protokolls
2.9 Mißbrauch
der Routing-Protokolle
3.0 Mögliche Schäden
4.0 Verschiedene Firewall-Konzepte
5.0 Firewallarchitekturen
6.0 Grenzen einer Firewall
7.0 Betrieb
einer Firewall
1.0 Was ist eine Firewall, und wozu wird sie benötigt?
Eine Firewall
ist ein(e) Rechner (Rechnerkonstellation), der (die) die Kommunikation
zwischen zwei Rechnernetzen kontrolliert z.B. die Kommunikation zwischen
Firmennetz und Internet. Die eigentliche Firewall ist eine spezielle Software,
die dem Netzadministrator erlaubt einzelne Benutzerprofile zu erstellen,
so daß nicht jeder Benutzer jeden zur Verfügung stehenden Dienst
nutzen kann. Die Firewallsoftware ist zu Beginn per Voreinstellung so konfiguriert,
daß der gesamte ein- und ausgehende Datenverkehr gesperrt ist. Der
Administrator ikann nun mit speziellen Softwaremodulen einzelne Kommunikationskanäle
(Kommunikationsdienste) für einzelne Benutzer bzw. Benutzergruppen
freigeben. Alle anderen Verbindungen, die nicht ausdrücklich freigeschaltet
sind, bleiben blockiert.
Ein weiterer
Vorteil der Firewall liegt auf der Hand. Obwohl jedes Netz abgesichert
werden kann, bedeutet es doch einen erheblich größeren Aufwand,
ein Netz, bei dem jeder Rechner ein potentielles Sicherheitsloch ist, gegen
Angriffe von außen zu sichern. Da z.B. mehrere Rechner eine Verbindung
zum Internet besitzen, kann auch über mehrere Rechner in das System
eingebrochen werden, ergo muß bei einem solchen Netz jeder Rechner
einzeln auf den Sicherheitslevel gebracht werden (sehr zeitaufwendig, daher
kostenintensiv). Anders hingegen sieht es bei einem Netz mit Firewall aus:
Es gibt meist nur diesen einen Zugang zum anderen Netz, d.h. ein Angriff
auf das Netz kann nur über die Firewall erfolgen. Der Administrator
muß nun jedoch nicht mehr alle Rechner kontrollieren und konfiguriren,
sondern er braucht "nur" noch die Firewall entsprechend zu modifizieren,
und erreicht damit eine höhere Sicherheit (Er kontrolliert wer, wann
und mit wem kommuniziert hat, und er erfährt, ob versucht wurde in
das System einzudringen).
Ein weitere
Aspekt der Sicherheit einer Firewall ist darin zu sehen, daß nicht
jeder Netzadministrator in Sicherheitsfragen auf dem neuesten Stand ist
, bzw. seien kann. Die Firewall wird aber durch Experten stets modifiziert,
reformiert und den neu auftauchenden Sicherheitsproblemen angepaßt.
2.0 Angriffsmethoden,
um Zugriff auf ein Netz zu erhalten
Um in ein
Netz, bzw. gesicherte Netzbereiche einzudringen, gibt es verschiedene Methoden.
Zum einen besteht die Möglichkeit des Angriffes von Außen (über
das Internet, bzw. Telekommunikationswege), die andere Möglichkeit
besteht im Angriff von Innen (z.B. ein gekündigter Mitarbeiter möchte
die Firma schädigen, indem er (a) Daten zerstört, oder (b) Daten
an ein Konkurrenzunternehmen verkauft).
Auf den Angriff
von Innen wird hier nicht weiter eingegangen werden.
2.1 Paßwörter
raten
Würde
versucht, Paßwörter willkürlich zu raten, könnten,
statistisch gesehen, unter Umständen Jahre vergehen (die Statistik
geht hierbei von der Anzahl der möglichen Kombinationen aus). Da aber
der Angreifer möglichst schnell in ein Netz eindringen will, hat er
Wege gefunden, schneller zu "raten".
Ein Weg ist
der, daß der Angreifer sich unter bekannten oder vermuteten Benutzerkennungen
anmeldet, und dann versucht, mit relativ wahrscheinlichen Paßwörter
in das System einzudringen. Obwohl die Zahl der möglichen Paßwörter
immer noch immens ist, funktioniert diese Methode überraschend häufig
(Viele Paßwörter ergeben sich aus dem Arbeitsumfeld, den Hobbies
usw.. Zum Teil können bestimmte Kombinationen in Systemhandbüchern
nachgelesen werden, denn die voreingestellten Zugriffe wurden nicht gelöscht
). Ist der Angreifer erst einmal im System, hat er den schwierigsten Teil
schon geschafft.
Der andere
Weg erfolgt über einen Angriff auf das Paßwortsystem. Zuerst
"besorgt" sich der Angreifer eine Paßwortdatei des Systems (entweder
über interne Firmenkontakte, Trojanische Pferde oder Einbruch (eher
selten)). Die Paßwortdatei ist natürlich verschlüsselt,
aber im Internet finden sich genügend Programme zum "cracken" oder
dekodieren. Manchmal ist selbst das nicht nötig, wenn der Angreifer
die Möglichkeit hatte den Verschlüsselungsalgorithmus in Erfahrung
zu bringen. Die Chance ein Paßwort in Erfahrung zu bringen, wird
kleiner je länger das Paßwort ist.
Aus diesen
Gründen sollte darauf geachtet werden möglichst lange, "unlogische"
Kombinationen aus Buchstaben, Zahlen und Sonderzeichen zu bilden (Die meisten
Personen fürchten allerdings bei solchen "sicheren" Paßwörtern,
diese zu vergessen.). Auf gar keinen Fall darf das Paßwort aufgeschrieben
werden, oder gar am Arbeitsplatz liegengelassen werden (im Falle eines
Einbruchs hat der Angreifer um so leichteres Spiel)
2.2 Zugriff
durch wiederholen auspionierter Nachrichten
Diese Methode
setzt voraus, daß der Angreifer die Möglichkeit hat, bestimmte
Nachrichten abzuhören, was streng genommen schon einen Einbruch ins
System darstellt. Hat z.B. der Angreifer Zugang zu den Telekommunikationswegen,
kann er beim Datenaustausch zwischen zwei Rechnern die Signal mitschneiden
(zuerst wird ja die Benutzer-ID und das Paßwort übermittelt
), und diesen Mitschnitt später verwenden, um in das System zu gelangen.
Er braucht lediglich den entsprechen Teil des Mitschnitts (Benutzer-ID
und Paßwort) einzuspielen, und schon hat er das Sicherheitssystem
überwunden.
2.3 Tarnangriff
Der Angreifer
nutzt eine Tarnung, um eine falsche Identität vorzugaukeln. Die Identität
erhält er durch Ausspähen von Benuzter-ID und Paßwort (siehe
auch 2.2). Eine andere Methode der Tarnung besteht in der Manipulation
des Absenderfeldes einer Nachricht, oder die Manipulation der Adresse der
Netzwerkkarte.
Ist der Angegriffene
erst einmal über die Identität getäuscht, ist er meist leicht
dazu zu bewegen, geheime Daten preiszugeben.
2.4 Angriff
von aussen über Telekommunikationswege
in Arbeit...
2.5 IP-Spoofing
Bei dieser
Art der Attacke wird mit Hilfe einer falschen IP-Nummer dem angegriffenen
System eine falsche Identität vorgetäuscht. Die gegenseitige
Identifikation zweier kommunizierender Netze (Systeme) erfolgt bei den
meisten TCP/IP-Protokollen ausschließlich über die IP-Adresse.
Im Internet sind jedoch sehr viele "Hackertools" als Freeware erhältlich,
die es ermöglichen, eine falsche IP-Adresse vorzutäuschen.
2.6 Datenpakete
mit extravaganten TCP-Headern
Diese Angriffsmethode
ist sehr simple. Der Angreifer schickt einem der Netzserver des zu attackierenden
Netzes einen unbekannten Paketheader. Der Server interpretiert diesen Header
falsch, und wird so zu unvorhergesehenen Reaktionen verleitet. In Folge
dieser Reaktionen ist es dem Angreifer dann möglich in das System
einzudringen.
2.7 Mißbrauch
des Source-Routing
Einem IP-Paket
läßt sich die Route, die es nehmen soll, um ans Ziel zu gelangen,
vorschreiben, genauso wie die Route, den das Antwortpaket zu nehmen hat.
Während der Übertragung besteht die Möglichkeit, die Wegbeschreibung
zu manipulieren, so daß nicht der vorgeschriebene, sichere Weg (z.B.
über die Firewall) genommen wird, sondern ein oder mehrere unkontrollierte
Wege.
2.8 Mißbrauch
des ICMP-Protokolls
ICMP steht
für das Internet-Controll-Message-Protokoll. Es hat die Aufgabe Fehler-
und Diagnosefunktionen zu übermitteln. Leider läßt es sich
zum Ändern der Routingtabellen mißbrauchen, so daß z.B.
nicht geschützte Routen benutzt werden. Oder der Angreifer schleust
über diesen Weg gefälschte destination-unreachable-Pakte in eine
bestehende Verbindung, um diese zu unterbrechen.
2.9 Mißbrauch
der Routing-Protokolle
Routing-Protokolle
haben die Aufgabe zwei vernetzten Systemen evtl. Routenänderungen
mitzuteilen. So ist es möglich mit einer dynamischen Routingtabelle
zu arbeiten. Für einen Angreifer ist es aber möglich falsche
RIP-Pakete (Route-Information-Protokoll)zu erzeugen, und so die Systeme
zu veranlassen, ungewünschte Routen zu nehmen.
3.0 Mögliche
Schäden
Die Palette
der möglichen Schäden, die durch einen Angriff auf das Netz entstehen
können, sind ist breit gefächert, und viele solcher Schäden
werden von den meisten Menschen ad hoc gar nicht als solche erkannt, sondern
als eine Art Streich angesehen, obwohl sie äußerst kriminell
sind und den Betriebsablauf erheblich stören.
Behinderung
oder Ausfall von Netzdiensten:
Durch Attacken
mit z.B. sogenannten Email-Bombern kann der Emailverkehr einer Firma komplett
erlahmen (Email-Bomber schicken eine sehr hohe Anzahl von sinnlosen Emails
an eine Mail-Server (meist auch spezielle Email-Accounts), so daß
dieser überlastet wird (man stelle sich einen einzigen Email-Account
vor, in dem an einem Tag mehrere MB sinnloser Mails landen. Allein die
Downloadzeiten sind immens, abgesehen von der Arbeit aus diesem Müll
noch die wichtigen Emails auszusortieren). Eine andere, auf dem gleichen
Prinzip beruhende Angriffsmöglichkeit ist das "Zumüllen" eines
FTP-Servers.
Ein angegriffenes
Netz kann auch als "Lager" für z.B. raubkopierte, gecrackte oder illegale
Software genutzt werden. Diese Software nimmt zum einem Speicherplatz (aufgrund
der mittlerweile recht preiswerten Speichermedien ein nicht mehr so ins
Gewicht fallender Schaden), zum anderen fällt bei einer Überprüfung
des Netzes durch z.B. die Staatsanwaltschaft ein schlechtes Licht auf den
Netzbetreiber (wie kann denn bewiesen werden, daß diese Software
(Daten) von außen in das System eingespielt wurden?).
Desweiteren
kann der Angreifer das eroberte Netz auch dazu nutzen, in andere Systeme
oder Netze einzudringen, indem er sich mit der Identität des gekaperten
Netzes tarnt. Fällt er hierbei auf, führt die Spur zu dem gekaperten
Netz, jedoch nicht zum eigentlichen Täter. Auch hier besteht wieder
das Problem der Beweislast.
Die oben angeführten
Schäden sind jedoch harmlos im Vergleich zu den direkten Schäden,
die ein Eindringling anrichten kann. Es besteht die Möglichkeit Daten
zu löschen, Daten zu manipulieren, Software zu stehlen, Entwicklungsarbeit
zu vernichten u.v.m.. Auf diese Weise kann ein Unternehmen unter Umständen
in finanzielle Schwierigkeiten gebracht werden. Es besteht auch die Gefahr,
daß vertrauliche (vielleicht auch persönliche) Daten in die
Öffentlichkeit gelangen (Man stelle sich vor, sämtliche Dokumente
eines Rechtsanwaltes oder Arztes würden bekannt, hierbei wäre
nicht nur der Netzbetreiber, sondern auch Kunden, Klienten und Patienten
geschädigt.).
4.0 Verschiedene Firewall-Konzepte
Circuit-Level-Gateways
(CLG)
CLG vermitteln
auf der Verbindungsebene als Schalter zwischen den TCP-Verbindungen. Die
CLG schichtet hierbei die Daten zwischen den Schnittstellen (zwischen externen
und internen Partner) um , wobei in der Regel die Daten selbst nicht kontrolliert
werden.
Bei ausgehenden
Verbindungen besteht normalerweise keine Gefahr, im Gegensatz zu Verbindungen,
die von außen nach innen erfolgen, sofern diese allgemein zur Vefügung
stehen sollen.
Paketfilter
Paketfilter
nutzen die Informationen (Quell-, Zieladresse und Portnummer) des TCP/IP-Protokolls
zur Paketfilterung, mit Hilfe von Access- und Deny-Listen. Da jeder Router
die Option einer Paketfilterung hat, ist dies eine preiswerte Lösung.
Ihr Nachteil besteht in der Schwierigkeit die Access und Deny-Listen zu
erstellen und zu verwalten, sowie der Routerprogrammierung. Hinzu kommt
noch, daß sich in die komplexen Filterregeln leicht Fehler einschleichen
können, die dann deren Beschaffenheit gefährden.
Ein weiter
Nachteil besteht darin, daß zu Beginn eines Angriff einige der Datenpakete
vor den Paketfiltern zurückgewiesen werden, so daß Attacken
nicht erkannt oder zurückverfolgt werden können.
Proxy-Server
(Application-Level-Gateway)
Application-Level-Gateways
leiten Anwendungen weiter, wobei für jede Anwendung ein eigener Code
verwendet wird, der sogenannte Proxy-Server. Dieser Proxy-Sever untersucht
den Verkehr und vermittelt zwischen interner und externer Seite. Bei dieser
Aufgabe hat er die vollständige Kontrolle über den Verkehr, und
somit die Möglichkeit einer vollständigen Protokollierung des
Datenaustausches.
Standardmäßig
ist die TCP/IP-Weiterleitung unterbunden, so daß, wenn kein für
diesen Dienst entsprechender Proxy-Server installiert ist, keine Verbindung
möglich ist.
5.0 Firewallarchitekturen
Einige grundsätzliche
Überlegungen zu Firewalls:
Je simpler
eine Firewallarchitektur ist, desto weniger ist sie fehleranfällig,
denn wenn mehrere Komponenten betreut und konfiguriert werden müssen,
steigt auch die Anzahl der Fehlerquellen.
Eine Firewall
mit einem hohen Sicherheitsniveau ist teuer gegenüber einer mit einem
niedrigen Sicherheitsniveau. Bei der Auswahl sollte darauf geachtet werden,
daß die zu treffenden Schutzmaßnahmen im Preis nicht höher
als der zu schützende Gegenwert liegen. Ausnahme: Für persönliche
Daten von Kunden, Klienten oder Patienten ist das höchste Sicherheitsniveau
gerade gut genug, denn im Fall eines Systemeinbruchs ist nicht mehr der
Netz- oder Systembetreiber der einzig Betroffene (hier hat der Betreiber
eine besondere Sorgfaltspflicht).
Die Sicherheit
eines Netzes wird durch die Serienschaltung diverser Sicherheitsstufen,
mit jeweils anderem Betriebssystem (bei gleichem BS. wäre eine mögliche
Sicherheitslücke direkt auf allen Systemen), immens erhöht. Bei
einer solchen Architektur sind der Aufwand der Administration und die Anforderungen
an den Administrator sehr hoch.
Dual-Homed-Host
(DHH)
Ein DHH ist
ein mit zwei Netzwerkkarten ausgerüsteter Rechner, mit dem man zwei
Netzwerke verbinden kann, ähnlich wie mit einem Router, jedoch ist
die Routingfunktion nicht verfügbar, wodurch der TCP/IP-Datenaustausch
zwischen den Netzen komplett gesperrt ist.
Nur über
Proxy-Server ist eine kontrollierte, gefilterte Verbindung zwischen den
Systemen möglich. Diese Architektur birgt jedoch ein enormes Risiko,
denn ist es einem Angreifer ersteinmal gelungen in das System einzudringen,
ist das gesamte innere Netz ungeschützt, da keine weiteren Sicherungsmaßnahmen
vorhanden sind.
Screened-Host
(SH)
Im internen
System ist ein Bastion-Host, zu dem von interner, als auch externer Seite
eine Verbindung aufgebaut werden kann. Die Verbindungen über diesen
Bastion-Host werden über Proxy-Server abgewickelt, wobei die primäre
Sicherheit wieder durch Paketfilterung erreicht wird. Zu keinem Zeitpunkt
jedoch gibt es eine direkte Verbindung zwischen interner und externer Seite.
Genau wie
beim DHH besteht auch hier das Risiko, daß einem Angreifer, ist er
erst einmal im System, nichts mehr entgegenzusetzen ist.
Screening-Router
(SR)
Bei einem
SR handelt es sich um einen Router, der zwei Netze mit Hilfe der Paketfilterung
miteinander verbindet. Dies stellt die billigste Firewall, aber auch die
mit dem niedrigsten Sicherheitslevel dar.
Preiswert,
weil bei jeder Netzwerkanbindung ein Router, auf dem Access- und Denylisten
installiert werden können, vorhanden ist. Für einen geschickten
Angreifer ist diese Architekur z.B. mit IP-Spoofing leicht zu überwinden.
Da ein Router keine Protokollierungsmöglichkeit aufweist, ist es schwer
einen Angriff zu erkennen oder zurückzuverfolgen.
Screened-Subnet
(SS)
Diese Architektur
ist eine Kombination aus SR und DHH. Durch die Serienschaltung unabhängiger
Module mit unterschiedlichen Filtern, wird ein höherer Sicherheitslevel
erreicht, da einem Angreifer nach Überwindung einer Sicherung sofort
die nächste Hürde in den Weg gestellt wird. Diese Architektur
kann wie folgt realisiert werden:
1) Zwei SR
(extern+inten) und DHH
2) SR (extern)
und DHH
3) SR (intern)
und DHH
Durch die
fehlende Protokollierungsmöglichkeit der Router besteht weiterhin
die Problematik des Erkennens und Zurückverfolgung von Angriffen.
Weitere mögliche
Architekturen sind :
1) Three-Homed-Host
(THH)
2) Screened
Subnet mit 2 Bastion-Hosts
6.0 Grenzen
einer Firewall
Keine Firewall
kann einen absoluten Schutz gegen ein Eindringen in ein System gewährleisten.
Sie kann lediglich einen Einbruch so schwer wie möglich, und damit
auch so unwahrscheinlich wie möglich machen. Dies bedeutet, daß
eine Firewall zwar großen Schutz, jedoch keine absolute Sicherheit
bietet.
Sie kann Angriffe
oder deren Versuche auf niedriger Protokollebene feststellen, meist abblocken,
teilweise auch protokollieren und zurückverfolgen, gegen Angriffe
auf höherer Ebene ist sie jedoch nutzlos (Sie kann z.B. Virenbefall
nicht verhindern, denn dazu müßte jedes einzelne Datenpacket
zeitaufwendig untersucht werden).
Gegen Angriffe,
die aus dem internen Netz heraus verübt werden, kann eine Firewall
ebenfalls nicht schützen, es sei denn, ein bestimmter Teil des internen
Netzes ist durch eine Firewall geschützt.
Schutz kann
die Firewall auch nur dann bieten, wenn die gesamte Kommunikation mit externen
Systemen über diese Firewall abgewickelt wird. Ein einziger Kommunikationskanal
(z.B. Modem) reicht aus, um das gesamte Netz zu gefährden, da so die
Firewall umgangen werden kann. Aus dem o.a. Argument geht eindeutig hervor,
daß das größte Risikopotential von den Menschen ausgeht,
die mit und in dem Netz arbeiten, denn durch Unwissenheit und Leichtgläubigkeit
können sie einem Angreifer viele Möglichkeiten des Eindringen
öffnen.
Leider hinkt
die Entwicklung von Schutzmechanismen immer den Möglichkeiten des
Angriffs hinterher, denn bevor die Entwickler einer Firewall einen Schutzmechanismus
erstellen, müssen sie zuerst wissen, gegen welche Art des Angriffs
geschützt werden muß.
7.0 Betrieb
einer Firewall
Um einen guten
Schutz durch eine Firewall zu haben muß man erst eines bedenken:
Ein absolut sicheres Netz kann und wird es niemals geben.
Der erste
Grundsatz einer ausgereiften Sicherheitspolitik heißt: Die Sicherheit
muß stets überprüft und verbessert werden.
Der zweite
Grundsatz: Die Einhaltung der Sicherheitsvorschriften werden ständig
überprüft.
Um diese Leitsätze
umzusetzen, muß das Netz ständig auf neu geschaffene Wege, die
eine Umgehung der Firewall ermöglichen, untersucht werden. Des weiteren
müssen die angefallenen Protokollierungsdaten auf Unregelmäßigkeiten
untersucht werden.
Damit die
Firewall stets auf dem neuesten Sicherheitsstandard gehalten werden kann,
muß sie regelmäßig upgedatet werden, und der verantwortliche
Mitarbeiter hat sich stets über die neuesten Sicherheitsgefahren zu
informieren.
Autor nicht
bekannt
distributed
by www.KryptoCrew.de