Internet-Sicherheit & Firewalls
Copyright (C) 05/1995 by Howard FuhsInhalt:
Proxy Server auf dem Bastion Host
Mail Server und Domain Name Server
Einleitung
Durch die enorme Beliebtheit des Internets und der ständig steigenden Zahl von Firmen, die sich an das Internet anschließen lassen, wächst auch der Bedarf an Sicherheitslösungen, um das firmeninterne Netzwerk gegen äußeren Zugriff über das Internet abzuschotten. Dies vor allen Dingen, wenn man sich vor Augen hält, daß der Grundgedanke des Internets auf Ausfallsicherheit und Robustheit beruht und nicht auf Sicherheit. Allein die untersuchte Anzahl von versuchten Netzwerkeinbrüchen über das Internet liegt bei drei Versuchen täglich in den USA und man kann davon ausgehen, daß damit über 90% der Einbruchsversuche unentdeckt bleiben. Bei Untersuchungen, die das amerikansche FBI durchgeführt hat, wurde festgestellt, daß in über 37% der Fällen ein Schaden von mindestens 500 000 $ durch Datenspionage oder Datendiebstahl für das Unternehmen entstanden ist. Weiterhin kann davon ausgegangen werden, daß es in Zukunft nicht besser wird. Hacker starten immer aggresivere Angriffe und verwenden zunehmend hochmoderne und individuell ausbaufähige Software-Tools für ihre Einbruchsversuche.Die Lösung für dieses Problem liegt in einer unternehmensweiten Datensicherheitsrichtlinie für die Benutzung des Internets. Diese soll verhindern, daß Anwender ihre eigenen Sicherheitslösungen einführen und im Endeffekt keine funktionierende Sicherheitslösung unternehmensweit existiert. Weiterhin wird in dieser Datensicherheitsrichtlinie festgelegt, auf welcher Basis welche Internet-Dienste den Anwendern zur Verfügung gestellt werden. Um auch hier, im Hinblick auf neue Dienste, ein Optimum an Sicherheit zu gewährleisten, sollte die Datensicherheitsrichtlinie unter der Prämisse gesehen werden: „Was nicht ausdrücklich erlaubt ist, ist verboten!". Weiterhin sollten die Datensicherheitsrichtlinien realistisch und dem Sicherheitsbedürfnis des Firmennetzwerks angepaßt sein. So benötigt z.B. ein Rechner, der streng geheime Unternehmensinformationen enthält keine Firewall, er sollte erst garnicht an das Internet angeschlossen werden oder er sollte vom restlichen Unternehmensnetzwerk abgekoppelt werden.
Erst nachdem eine solche Datensicherheitsrichtline ausgearbeitet wurde existiert eine Arbeitsplattform, auf der die Verbindung zwischen dem Firmennetzwerk und dem Internet aufgebaut und geregelt werden kann. Um die Sicherheit des internen Netzwerkes zu gewährleisten, während Anwender Internet-Dienste in Anspruch nehmen, muß ein Kontrollpunkt eingeführt werden, der die Einhaltung der Datensicherheitsrichtlinien in Form von Hardware und Software kontrolliert und überwacht.
Eine Sicherheitslösung für diese Probleme, die z.Zt. in aller Munde ist, lautet Firewall. Bei einer Firewall handelt es sich um eine Ansammlung von Sicherheitskomponenten, die zwischen dem firmeninternen Netzwerk (Trusted Network) und dem Internet (Untrusted Network) installiert sind und den gesamten eingehenden und abgehenden Datenverkehr auf Zulässigkeit gemäß den Datensicherheitsrichtlinien hin überprüfen. Die Verwendung einer Firewall ermöglicht es, eine wirksame Sicherheitslösung an einem zentralen Platz zu installieren, von wo sie leicht zu überwachen und zu konfigurieren ist. Da jeder Computer, der über das unternehmensinterne Netzwerk Internet-Dienste anfordert, automatisch gezwungen wird, diese Dienste über die Firewall zu beziehen, wird mit einer einzigen Lösung praktisch jeder Computer einheitlich und zentral abgesichert.
Eine Firewall besteht in aller Regel aus einem externen Router, einem FTP und WWW Server, einem Bastion Host, einem Mail- und Domain Name-Server und einem internen Router.
Externer Router
Der externe Router ist die erste Verteidigungslinie in einer Firewall. Er soll verhindern, daß jemand aus dem Internet dem Bastion Host vortäuscht, er wäre in direktem Kontakt mit einer Person aus dem firmeninternen Netzwerk. Dies könnte dem Bastion Host durch Source Routing oder durch Umgehung von Routing Tables vorgetäuscht werden. Der externe Router ist zwingend vorgeschrieben, um eine Firewall richtig und wirksam zu installieren.FTP und WWW Server
Sollten FTP und WWW Dienste angeboten werden, so werden die entsprechenden Server hinter dem externen Router installiert, da es sich hierbei um der Öffentlichkeit frei zugängliche Dienste handelt. Auf den entsprechenden Servern sollte nur das absolute Minimum an notwendiger Software installiert sein, um den FTP oder WWW Server korrekt betreiben zu können. Aus Sicherheistsgründen sollte auf die Installation von nicht benötigter Software verzichtet werden, um damit keine Sicherheitslöcher oder Einbruchsmöglichkeiten einem potentiellen Eindringling von außen zu bieten. Um höchste Sicherheit zu gewährleisten, sollten die Server „chroot" gefahren werden, damit kein Zugriff auf die Betriebssystemdateien besteht, falls ein Eindringling trotzdem eine Sicherheitslücke finden sollte.Bastion Host
Der Bastion Host ist das Herzstück der Firewall. Der gesamte Datenverkehr zwischen dem inneren und dem äußeren Netzwerk läuft durch diesen Computer.Hier werden die festgelegten Datensicherheitsrichtlinien erzwungen, im Falle einer Verletzung der Richtlinien ein Alarm ausgelöst und der System Administrator verständigt.Die Installation des Bastion Hosts muß mit großer Umsicht erfolgen, da sonst der Bastion Host selbst Sicherheitslücken aufweisen kann, die das innere Netzwerk gefährden und damit die gesamte Firewall überflüssig machen. Im ersten Schritt sollte auf dem Bastion Host nur das nackte Betriebssystem in einer absoluten Minimalinstallation installiert werden. Es sollte auf X-Windows, C-Compiler oder nicht unbedingt notwendige Daemons verzichtet werden. Weiterhin sollten nicht die vom Hersteller mitgelieferten Daemons verwendet werden, da diese in der Regel veraltet sind. Die neueste Software mit all ihren Fehlerkorrekturen ist über das Internet zu bekommen. Es ist immer besser, die neuesten Versionen aus dem Internet zu kompilieren und auf dem Bastion Host zu installieren. Weiterhin sollten alle bekannten Security Patches installiert werden. Hierfür ist es ratsam die CERT Advisories (CERT = Computer Emergency Response Team) sowie die CIAC Warnungen (CIAC = Computer Incident Advisory Capability) sich aus dem Internet zu besorgen und durchzulesen. Hier werden alle Warnhinweise bezüglich auf Sicherheitslöcher in Software veröffentlicht und auch die entsprechenden Abhilfemaßnahmen, die getroffen werden müssen und wo diese Maßnahmen zu bekommen sind.
Als nächste Maßnahme sollte der Programmkernel neu kompiliert werden, damit die Möglichkeiten von IP Routing und Forwarding nicht mehr bestehen. Damit kann kein Datenverkehr mehr direkt zwischen den Anschlüssen und Interfaces geroutet werden.
Nun sollte man sicherstellen, daß keinerlei Netzwerk Daemons noch laufen und alle Einträge aus „inetd" entfernt sind. Sendmail und alles andere, was noch läuft sollte abgebrochen oder gestoppt werden. Jetzt darf der Bastion Host auf keinerlei Anfragen über irgendwelche Ports mehr reagieren.
Proxy Server auf dem Bastion Host
Als letztes muß eine Applikation installiert werden, die all die Internetdienste zugänglich macht, die nach den Datensicherheitsrichtlinien erlaubt sind. Diese sogenannten Proxy Server (auch Application Gateway oder Forwarder genannt) werden im Application Layer des Transmission Control Protocol eingerichtet. Proxy Server werden sehr of an Stelle einer Datenkontrolle durch Router verwendet. Da kein IP Protokol auf dem Bastion Host mehr existiert, ist die einzige Möglichkeit für ein Datenpaket vom internen Netzwerk in das Internet zu gelangen, indem es mit dem entsprechenden Proxy Server Kontakt aufnimmt. Der Proxy Server nimmt vom internen Netzwerk das Datenpaket entgegen, überprüft das Datenpaket und den damit angeforderten Internet-Dienst auf Zulässigkeit gemäß der Datensicherheitsrichtlinien und reicht dann das Datenpaket weiter zum Internet. Ein solcher Proxy Server wird für jeden einzelnen Internet-Dienst eingerichtet. So reicht ein Mail Proxy Server Mailpakete zwischen dem inneren und dem äußeren Netz hin und her und untersucht sie auf bekannte Sicherheitslücken in Sendmail wie z.B. der Versuch „wiz" oder „debug" aufzurufen oder eine Mail in eine Shell zu senden. Ähnliche Proxy Server müssen für WWW, FTP, Telnet usw. installiert werden. Da Proxy Server das jeweilige Application Protocol des jeweiligen Internet-Dienstes verstehen müssen, können in die Proxy Server auch applikationsprotokollspezifische Sicherheitsmaßnahmen implementiert werden. So ist es z.B. möglich einen Proxy Server so einzurichten, daß er abgehenden FTP Verkehr erlaubt und ankommenden FTP Verkehr unterbindet. Die Proxy Server lassen keinerlei nichtauthorisierte Verbindungen oder Requests zum inneren Netzwerk zu. Das Erstellen von umfangreichen Log-Dateien sowie auf Wunsch eine User-Identifikation sind die Vorteile von Proxy Servern.Mail Server und Domain Name Server
Es ist in allen Fällen erwünscht die Struktur des inneren Netzwerks vor der Außenwelt zu verbergen. Informationen über die Struktur des internen Netzwerks erhält man vom Name Server und von den Header Informationen in versendeten Mails. Um dies zu verhindern, ist der Mail/DN Server vor das interne Netzwerk installiert. Er ist damit vom Internet aus nicht zu entdecken. Jede Nachricht, die aus dem internen Netzwerk verschickt wird, wird vom Mail Server empfangen und wird dahingehend abgeändert, daß interne Netzadressierungen dem Mailheader entfernt werden und die Reply Adresse auf das Firewall Mail Gateway zeigt und nicht auf einen internen Computer. Eingehende Nachrichten werden automatisch an das Mail Gateway geschickt, dort untersucht und dann an den entsprechenden internen Computer weitergeleitet.Der Bastion Host verfügt über einen Name Server der nur die Hosts enthält, die der Bastion Host unbedingt kennen muß. Hier wird aus Sicherheitsgründen auf jeden unnötigen Eintrag verzichtet. Der Resolver auf dem Bastion Host greift auf den internen Domain Name Server zu, der für das gesamte interne Netzwerk zuständig ist. Alle externen Anfragen werden automatisch vom DNS an den Name Server des Bastion Host zurückgeroutet. Dadurch kann der Bastion Host sowohl interne als auch externe Adressen abfragen, ohne daß auf den internen DNS vom Internet her zugegriffen werden kann.
Interner Router
Viele Firmen verbinden mit einer Firewall einen Schutz vor Eindringlingen von außen. Doch der gleiche Schutz sollte auch nach innen gelten. Der interne Router stellt sicher, daß die Firewall nicht vom internen Netzwerk aus umgangen werden kann, so daß Mail z.B. auch wirklich über das Mail Gateway des DNS geroutet wird.X-Windows
X-Windows ist ein sehr nützliches Programm, welches aber auch einige ernsthafte Sicherheitslücken aufweist. Trotz der Versuche, die unternommen wurden, um diese Sicherheitslücken auszubessern (wie z.B. MIT Magic Cookie) ist das X-Windows System für einen Angreifer immer noch ein zu leichtes Ziel. Deshalb sind die meisten Firewalls so programmiert, daß sie jeglichen X-Windows Verkehr abblocken.Testen der Konfiguration
Zum Schluß muß die installierte Firewall-Konfiguration auf ihre korrekte Funktions- und Arbeitsweise hin untersucht werden. Für solche Tests stehen im Internet verschiedene Tools zur Verfügung, die nach mehr oder weniger bekannten Sicherheitslücken suchen. Das berühmteste Programm dieser Art dürfte SATAN sein, vom gleichen Autor gibt es aber auch das Programm COPS.Log-Dateien
Alle nur erdenklichen Log-Möglichkeiten sollten eingeschaltet werden und in der Log-Datei abgespeichert werden. Dies wird mit dem „syslog" Befehl erreicht. Die Log-Dateien sollten unverzüglich auf einen anderen Rechner transferiert werden, der die eingehenden Log-Dateien auf verdächtige Vorfälle hin untersucht und der unverzüglich Alarm gibt, wenn verdächtige Vorfälle im Log-File entdeckt werden. Auf diesem Rechner sollten die Log-Dateien so lange wie möglich gespeichert bleiben, damit auch eine Langzeitsuche nach verdächtigen Verhaltensmustern durchgeführt werden kann. Die Datensicherheitsrichtlinien des Unternehmens bestimmen, was als verdächtiges oder feindliches Verhalten in den Log-Dateien ausgelegt werden kann. Nach einem Angriff auf die Firewall können sehr wichtige Informationen aus einem Log-File gewonnen werden.Checksummen
Um jegliche Manipulationen auf dem System schnellstmöglich zu entdecken, sollten für alle Dateien des Systems Checksummen berechnet werden. Ein solches Tool ist Tripwire. Durch regelmäßige Anwendung von Tripwire können auch die kleinsten Veränderungen auf dem System entdeckt werden. Sollten Veränderungen entdeckt werden, ohne daß die Konfiguration des Systems durch den Systemadministrator verändert wurde oder Software-Updates eingespielt wurden, so ist dies als sicheres Alarmzeichen zu werten.Risikoanalyse
Da das Internet keinerlei Kontrolle unterliegt, kann niemals ausgeschlossen werden, daß es Leute gibt, die sich durch das Internet bewegen und an fremden Rechnern nach einer offenen Tür suchen.Bevor das Unternehmensnetzwerk an das Internet angeschlossen wird, sollte deshalb eine Risikoanalyse sowie eine Bedarfsanalyse durchgeführt werden. In der Bedarfsanalyse wird festgestellt, ob es überhaupt sinnvoll oder notwendig ist, das Unternehmensnetzwerk an das Internet anzuschließen. In der Risikoanalyse werden nicht nur die Risiken für das Unternehmensnetzwerk dargelegt, wenn ein Anschluß an das Internet erfolgt. Die Risikoanalyse ist ebenso notwendig und hilfreich entsprechende Sicherheitsrichtlinien für den Anschluß an das Internet zu definieren. Und gemäß diesen Sicherheitsrichtlinien wird die Installation einer Firewall erst möglich.
Weiterhin ist eine Firewall nicht das perfekte Mittel für Datensicherheit und kann andere Datensicherheitsmaßnahmen nicht ersetzen. Eine Firewall verhindert nicht, daß Daten auf Disketten, Bändern oder Modemzugängen das Unternehmen verlassen. Außerdem muß eine Firewall nicht notwendigerweise zwischen dem internen Netzwerk und dem Internet sein. Eine Firewall kann ebenso verschiedene Sicherheitszonen im internen Unternehmensnetzwerk voneinander trennen und absichern. So kann eine Firewall ebenso ein internes Sicherungsinstrument darstellen das der Neugier und dem Forschungsdrang von Angestellten strikte Grenzen auferlegt.
Wirtschaftlichkeit
Während es im Internet Leute gibt, die nichts besseres zu tun haben als irgendwelchen Unfug anzustellen, müssen andere wiederum sehr ernsthaft mit diesem Netzwerk arbeiten. In vielen Firmen zählt das Internet in der Zwischenzeit sogar als unverzichtbare Resource für die Unternehmensarbeit. In diesem Rahmen muß also auch die Wirtschaftlichkeit einer Firewall gesehen werden. Außer den Anschaffungskosten für die Software und Hardware sind auch die Arbeitsstunden zu berücksichtigen, die ein Unternehmen benötigt, um eine Firewall zu installieren sowie die Wartung und regelmäßige Überprüfung. So kann eine Firewall zwischen einigen Stunden interner Arbeit und mehr als 100 000 DM kosten. Hier muß im Rahmen der Bedarfsprüfung auch eine Prüfung der Maßnahmen auf ihre Wirtschaftlichkeit hin geschehen. So kann Firewall Software mit durchaus akzeptablen Leistungen kostenlos über das Internet bezogen werden. Diese Software muß dann nur noch für das entsprechende Rechnersystem kompiliert werden.Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 05/1995 by Howard Fuhs
English
Thema 00
Realisation
Themen