Kein umfassendes Security-Konzept ohne Firewall
Artikel erschienen in Swiss IT Magazine 2001/40
Der weltweite Rechnerverbund namens Internet erlaubt die einfache Übertragung von Informationen aller Art. Immer häufiger ersetzt das Internet auch dedizierte Standleitungen, die zwei verschiedene Firmenstandorte miteinander verbinden. Doch das Netzwerk dient nicht nur privaten und kommerziellen Interessen, sondern auch als Tummelplatz für allerlei zwielichtige Figuren und destruktive Programme. Aktuelle Beispiele sind etwa Viren wie Code Red oder Nimda oder die Denial-of-Service-Attacken, die vor gut zwei Jahren eine ganze Reihe viel besuchter Webserver lahm legten und immer noch beliebte Angriffsmethoden darstellen. Nach wie vor ist das Internet unsicher, wer sich schützen will, muss dafür selber etwas unternehmen. Eine gängige Sicherheitsmassnahme, um Internetserver und Rechner im lokalen Netzwerk vor unerwünschten Eindringlingen zu schützen, ist eine Firewall, eine Art elektronische Brandschutzmauer, die den Verkehr zwischen öffentlichem und privatem Netzwerk oder einem Server regelt und kontrolliert. Harry Galli, Leiter des Firewall-Spezialisten CheckPoint in der Schweiz, sieht aufgrund der vermehrten kommerziellen Nutzung des Internets auch einen wachsenden Bedarf an Sicherheitslösungen.
Solche Sicherheitsvorkehrungen sind natürlich für Unternehmen von enormer Bedeutung, geht es dort doch um die zentrale Frage der Datensicherheit und des Schutzes teils sensibler Daten wie beispielsweise Kreditkarten-Informationen. Mit der vermehrten Verbreitung leistungsfähiger und einigermassen permanenter, aber gleichzeitig günstiger Internetverbindungen wie Hispeed von Cablecom oder ADSL wird der Schutz des eigenen Rechners aber auch für Private vermehrt ein Thema. Denn solche Internetzugänge führen normalerweise zu längeren Online-Zeiten und erhöhen damit das Risiko, dass der eigene Rechner und die privaten Dokumente Angriffen aus dem Internet ausgesetzt sind. Diese Gefahr wird oft unterschätzt. Eine Untersuchung in einem zufällig ausgewählten Adressbereich eines Providers hat zahlreiche Windows-PCs zutage gefördert, bei denen die Datei- und Druckfreigabe über das TCP/IP-Protokoll aktiviert und damit der Zugriff über die Netzwerkumgebung möglich war - geradezu eine Einladung, sich auf einem solchen Rechner umzuschauen. Die Deaktivierung der Datei- und Druckfreigabe erhöht zwar in einem solchen Fall die Sicherheit. Der Schutz lässt sich aber mit einer Firewall-Lösung zusätzlich verbessern. Hierzu empfiehlt sich der Einsatz einer Personal-Firewall-Software, wie sie Symantec und McAfee anbieten.
Etwas komplexer ist die Situation bei Firmennetzwerken. Hier geht es nicht nur um den Schutz vor ungebetenen Besuchern und böswilligen Attacken im Stile von Code Red, sondern auch um die Sicherstellung der Verfügbarkeit eines Servers oder den Schutz des firmeneigenen Internetzuganges. Denn nicht jede Firma will ihre wertvolle Bandbreite dazu hergeben, dass die Angestellten während der Arbeitszeit ihre private MP3-Sammlung über eine Online-Tauschbörse vervollständigen. Dies ist insbesondere an Schulen oder Universitäten ein Problem. Dem kann man laut Peter Eggimann, Leiter Server und Netze an der Zürcher Hochschule Winterthur, am besten mit Bandbreitenbeschränkung begegnen, da sich Peer-to-Peer-Netzwerke nur schwer filtern lassen: "Verbesserungsbedarf besteht bei der Stateful Inspection sowie bei der Bandbreitenbeschränkung, um den Ressourcenverbrauch durch schwer filterbare P2P-Netze zu minimieren."
Oft kommen auch die Angriffe selbst aus dem internen Netz, sei es aus Neugierde oder aus böswilliger Absicht, etwa aus Rachegedanken. Galli schätzt, dass sogar gut 70 Prozent der Angriffe aus dem internen Netz heraus erfolgen. Dann muss eine Firewall unterschiedliche Ziele verfolgen. Sie muss nicht nur sicherstellen, dass der Zugriff auf gewisse Dienste sowohl im Internet als auch auf firmeneigenen Servern und Arbeitsstationen blockiert ist, sondern auch Eindringlinge (Cracker) und böswilligen Programmcode wie etwa Nimda entdecken und abwehren. Galli empfiehlt Unternehmen, die Arbeitsstationen mittels Sicherheitssoftware wie dem SecureClient von CheckPoint zu sichern. Diese Lösung, die sich zentral verwalten lässt, schützt den Rechner mittels Firewall und erlaubt es, Daten verschlüsselt zu übermitteln.
Unter dem Begriff Firewall fasst man heute unterschiedliche Schutzmechanismen zusammen. Die bekannteste und verbreitetste Form ist der so genannte Paketfilter. Er untersucht die einzelnen TCP/IP-Pakete auf Herkunft und Dienst (Port) - wie HTTP, FTP oder POP3 - und entscheidet anhand vordefinierter Regeln, ob der Verkehr erlaubt oder blockiert werden soll. Demzufolge arbeiten Paketfilter hauptsächlich auf Internet-Gateways, also den Schnittstellen zwischen LAN und Internet. Zusätzlich sorgen sie auf Internetservern für die Sperrung heikler und unbenutzter Ports.
Paketfilter dienen dazu, unerwünschten Netzwerk-Verkehr zu blockieren. Dazu gehört auch das Erkennen oder Verhindern von Einbrüchen. Meist geht einem Einbruchsversuch ein Portscan voraus. Hierbei wird mit einem entsprechenden Programm, dem Portscanner, ein Rechner auf dessen Dienste abgesucht, wobei sich auch Informationen über das verwendete Betriebssystem auslesen lassen. Wird ein offener Port entdeckt mit einem Serverdienst, der eine bekannte Sicherheitslücke aufweist, kann an dieser Stelle ein Angriff lanciert werden. Verwendet man nun einen Paketfilter, um Zugriffe auf alle nicht benötigten Ports zu blockieren, lässt sich dies verhindern und zusätzlich die Identität eines Rechners verschleiern, wodurch ein potentieller Angreifer nur beschränkt Informationen erhält.
Die Methode des Portscannens verwenden auch Code Red und Nimda: Sie überprüfen einen Rechner auf das Vorhandensein von Microsofts Webserver IIS und versuchen, dank einer bekannten Sicherheitslücke ihren eigenen Code einzuschleusen. Um dieser beiden Schädlinge habhaft zu werden, reicht allerdings ein einfacher Paketfilter nicht aus. Denn dieser prüft den Verkehr nur auf das verwendete Protokoll, nicht aber auf den eigentlichen Inhalt. Um Viren und trojanische Pferde zu erkennen, braucht es eine Firewall auf Anwendungsebene, die den Inhalt von Paketen auf bestimmte Muster untersucht. Erst eine Application Level Firewall, oft auch als Proxy bezeichnet, ist dazu in der Lage. Grundsätzlich ist eine Firewall eine vorbeugende Massnahme oder wie Andreas Schneider, Sales Manager bei Isonet, es ausdrückt: "Heutige Firewall-Lösungen sind im Grundprinzip reaktiv. Sie reagieren auf Ereignisse durch vordefinieren Rules, die entsprechend präventiv erstellt wurden."
Da Firewalls jedoch bloss Barrieren darstellen und keinen absoluten Schutz bieten, werden sie sinnvollerweise durch weitere Sicherheitsmassnahmen ergänzt. Dazu gehört beispielsweise eine Art Alarmfunktion in Form eines Logfile-Überwachers, der bei verdächtigen Einträgen Alarm schlägt. Dies erlaubt es erst, auf einen Angriff rechtzeitig zu reagieren. Idealerweise kombiniert man diese Massnahme zusätzlich mit einem Intrusion-Detection-System, das Eindringlinge entlarven hilft. Hierbei handelt es sich um Software, welche das Filesystem überwacht und bei suspekten Änderungen Alarm schlägt. Mit einer Kombination von Intrusion Detection und Paketfilter lassen sich bis zu einem gewissen Grad auch so genannte Denial-of-Service-Attacken (DoS) neutralisieren. Mit der Früherkennung einer DoS-Attacke kann nun entsprechend reagiert werden, beispielsweise, indem der betroffene Rechner auf die DoS-Pakete nicht mehr antwortet oder den Verkehr auf eine allfällige Backup-Leitung umlenkt.
Ein Unternehmen, das Internetdienste anbietet oder zumindest über Internetzugang verfügt, kommt heute nicht mehr um ein Sicherheitskonzept herum, das auch eine Firewall-Strategie mit einschliesst. Die Sicherheit kann durchaus mit ein Grund sein für die Auslagerung der eigenen Server, für ein Hosting bei einem Provider oder sogar für ein vollständiges Outsourcing. Hierbei wird der Schutz des Servers an den Outsourcing-Anbieter delegiert, der oftmals über mehr Resourcen und Möglichkeiten verfügt als die Firma, die den Internet-Dienst anbietet. Je geschäftskritischer dieser Dienst ist, desto entscheidender ist dessen Verfügbarkeit. Eine Firewall-Lösung kann insofern die Verfügbarkeit steigern, als dadurch weniger Ausfallzeiten aufgrund von Attacken auftreten.
Das Hauptaugenmerk vieler Firmen dürfte aber auf der Sicherung des eigenen Internetzuganges liegen. Hier geht es einerseits darum, den Zugriff auf das interne Netzwerk zu kontrollieren, und andererseits um die Blockade unerwünschter Internetdienste wie beispielsweise Online-Tauschbörsen oder Bandbreite-fressende Multimedia-Streams. Heute gängige Lösungen kombinieren einen Paketfilter mit einem Proxy-Server, der den Verkehr zwischen LAN und Internet kontrolliert.
Bevor aber eine Lösung evaluiert und in Betrieb genommen wird, muss ein Grundlagenpapier erarbeitet werden, das die Bedürfnisse und Verantwortlichkeiten regelt. Darin sollte festgehalten werden, welche Dienste vom internen Netz und von welchen Personen genutzt werden dürfen, ob und wie ein Zugriff von aussen erfolgen darf, und wer für die Betreuung und Überwachung des Internet-Gateways verantwortlich ist. Denn das ausgeklügeltste Konzept erweist sich schnell als Makulatur, wenn auf die Warnsignale des Gateways nicht reagiert wird. Da immer neue Angriffsformen entdeckt werden, gegen die eine Firewall im schlimmsten Fall machtlos ist, müssen beim Auftreten auffälliger Ereignisse entsprechende Gegenmassnahmen getroffen werden. Und diese Verantwortung lässt sich nicht an eine Maschine delegieren, zumal die zu treffenden Entscheide oftmals eher strategischer als technischer Natur sind. Das ist beispielsweise der Fall, wenn der Proxy-Server den wachsenden Internetverkehr aufgrund mangelnder Systemressourcen nicht mehr zufriedenstellend bewältigen kann und ein zusätzlicher Gateway erforderlich wird. Das Sicherheitskonzept muss in einem solchen Fall der neuen Situation angepasst werden können.
Ein wirksames Sicherheitskonzept verfolgt einen mehrstufigen Ansatz. Der Aufbau hängt aber auch von der Unternehmensgrösse und den verfügbaren Ressourcen für eine aufwendigere Lösung ab. In einer ersten Stufe gilt es, den Internetzugang und allfällige Server vor Einbruchsversuchen zu schützen, und zwar sowohl gegenüber dem Internet als auch gegenüber Angriffen aus dem lokalen Netz. Dies geschieht über einen Paketfilter und das Blockieren entsprechender Ports, und allenfalls über eine zusätzliche Application Level Firewall. Zusätzlich kann überprüft werden, ob ein Paket aus dem Internet eine Antwort auf eine Anfrage aus dem internen Netz darstellt. Ist dies der Fall, darf das Paket die Firewall passieren, ansonsten wird es abgeblockt. Mit dieser Methode der "Stateful Inspection" wird die Sicherheit auf offenen weil benötigten Ports erhöht.
Gelingt es einem Angreifer - einem Cracker oder einem bösartigen Stück Software - trotzdem, diese Barriere zu überwinden, kommt als zweite Stufe die Intrusion Detection zum Zug. Indem auffällige Vorgänge auf einem System erfasst und gemeldet werden, kann im Idealfall direkt auf den Angriff reagiert und grösserer Schaden verhindert werden. Zuletzt können auch die Arbeitsstationen im internen Netz gesichert werden, indem nicht benötigte Dienste deaktiviert und im Extremfall sogar Paketfilter installiert werden. Generell erhöht sich die Sicherheit umso stärker, je mehr Eventualitäten berücksichtigt werden. Beim Katz-und-Maus-Spiel zwischen Angreifer und Verteidiger reicht es nicht, nur für die bekannten Methoden gerüstet zu sein. Auch gegen zukünftige Attacken sollte man sich wappnen, indem man alle denkbaren Angriffsziele so gut wie möglich schützt.
Für den Aufbau eines Sicherheitskonzepts gibt es zwei grundsätzliche Ansätze. Die einfachere Methode besteht darin, generell alles zu erlauben und nur bestimmte Dienste explizit zu blockieren. Wird dieses Verfahren beim Internetzugang angewandt, sind sicher weniger Klagen der Benutzer zu vernehmen über nicht funktionierende Webseiten. Dafür ist der Schutz bedeutend geringer, insbesondere bei bis dato unbekannten Angriffsformen.
Üblich ist deshalb der restriktive Weg, bei dem erst einmal alles blockiert und danach gezielt die nötigen Dienste wieder freigegeben werden. Dies erhöht die Sicherheit, erschwert aber auch die Konfiguration von Proxy und Paketfilter. Insbesondere Websites, die ihre Besucher auf einen nicht-standardmässigen Port umleiten, oder Dienste wie FTP und RealVideo erfordern dabei besonderes Augenmerk. Für den bestmöglichen Schutz empfiehlt Galli, auch die internen Rechner zu schützen: "Wichtig ist, dass konsequent alle Möglichkeiten durchgesetzt werden und auch die PCs sowie die Daten im internen Netz geschützt sind. Das heisst, dass verschiedene Sicherheitsmassnahmen wie VPN, Intrusion Detection und Firewall kombiniert werden müssen. Dies vereinfacht auch die Erkennung von Angriffen."
Reicht das firmeneigene Wissen nicht aus für die Erstellung der Sicherheitsrichtlinien und die Konzeption der verschiedenen Firewall-Technologien, können Hersteller und deren Vertriebspartner zu Rate gezogen werden. Andreas Schneider, Sales Manager des auf IT-Sicherheit spezialisierten Unternehmen Isonet, kann hierbei mit einer breiten Palette an Unterstützung aufwarten: "Unsere Dienstleistungen erstrecken sich von der Konzeption inklusive der Security-Policy und dem darauf aufbauenden Security-Konzept über die Implementation bis hin zum kompletten Betrieb im Sinne eines Managed Services. Zusätzlich sind wir im Bereich der Ausbildung tätig und führen diverse Events wie beispielsweise die Isonet Academy durch, an denen sich Kunden über neue Produkte und Technologien informieren können." Ergänzt werden solche Dienstleistungen durch Supportverträge der Hersteller, die meist auch gleich die Updates für den Schutz vor den neusten Angriffen beinhalten.
Sicherheit ist ein florierendes Geschäft, auch im Internetbereich. Dementsprechend gross ist das Angebot an Firewall-Lösungen. Es reicht von kleinen, einfach zu konfigurierenden Heimprodukten über Software-Varianten jeder Preiskategorie bis hin zu komplexen Lösungen mit integrierten Diensten für ein Virtual Private Network (VPN). Im Trend sind gemäss Galli insbesondere Lösungen, die auf Standard-Hardware basieren und so genannte Appliances, Geräte mit integrierter Firewall-Funktionalität. Als Betriebssystem für solche Sicherheitssysteme kommt oft Linux zum Einsatz.
Welche Lösung die ideale ist, hängt in erster Linie von den Anforderungen ab. Für ein kleines Büro mit ADSL-Anschluss reicht vermutlich die im Router oder Modem eingebaute Firewall, die oftmals bereits vorkonfiguriert geliefert wird und mit bescheidenen Kenntnissen angepasst werden kann.
Mehr Möglichkeiten bieten Hardware- und Softwarelösungen für dedizierte Internet-Gateways. Sie bieten nebst Paketfilter in der Regel auch einen Proxy-Server, erfordern aber für die Konfiguration deutlich bessere Kenntnisse der Materie. An grössere Unternehmen mit eigener IT-Abteilung richten sich die Angebote von Cisco oder CheckPoint. Sie sind dafür ausgelegt, grössere Verkehrsströme zu kontrollieren, und bieten, wie im Falle von CheckPoint, ausgefeilte grafische Konfigurationswerkzeuge. "Diese vereinfachen," so Galli, "die Verwaltung, die zentral erfolgen kann, insbesondere bei komplexen Umgebungen. Dies bedeutet weniger Aufwand für Konfiguration und Betrieb der Sicherheitslösungen."
Für den Schutz von Internetservern reicht ein Paketfilter alleine nicht aus. Insbesondere bei den als Angriffsziele beliebten Windows-Servern mit ihren notorischen Sicherheitslücken empfiehlt sich eine zusätzliche Lösung wie etwa SecureIIS von Isonet. Diese Kombination von Paketfilter und Intrusion Detection System schützt vor verschiedenen Angriffsformen, wie sie etwa Code Red oder Nimda nutzen. Schneider schätzt SecureIIS auch als guten Schutz bei zukünftigen Angriffsformen ein: "Mit Hilfe der integrierten Technologien erkennt SecureIIS auch Attacken, die noch nicht bekannt sind, bzw. für die keine Signatur-Files oder Patches verfügbar sind, und kann diese abwehren. Diese Technologie hat sich bei Code Red sehr gut bewährt."
Gerade diese beiden Viren haben die wohl grösste Schwachstelle im Sicherheitsbereich aufgedeckt: Denn die beste Firewall nützt nichts, wenn die verantwortlichen Personen sich nicht um Sicherheitslücken kümmern. Beim Menschen ortet Galli auch das grösste Risiko: "Oftmals wird an der Ausbildung gespart. Zudem fehlt vielfach das Commitment des Managements zu einer wirksamen Sicherheitslösung." Zur Betreuung eines Sicherheitssystems gehören nicht nur regelmässige Kontrollen, sondern auch die laufende Aktualisierung der Server durch sicherheitsrelevante Patches und Updates. Wirkliche Sicherheit entsteht erst dann, wenn sich alle involvierten Stellen darum kümmern, sowohl Maschine wie auch Mensch.