Fachhochschule München


Allgemeinwissenschaftliches Wahlpflichtfach

KRISEN IN COMPUTERNETZEN
 

Seminarleiter: Dr. Werner Eberl

Stand: Januar 1998 / Wintersemester 1997/98 
Seminararbeit

Firewall - Was ist das?

Verfasser: Christian Hörmann

Inhaltsverzeichnis

1. Einleitung
2. Firewall - Was ist das?
2. 1. Definition einer idealen Firewall
2. 2. Aufbau einer realen Firewall
2. 2. 1. Paketfilter-Firewall
2. 2. 2. Vermittler-oder Transportschicht-Gateway
2. 2. 3. Anwendungsschicht-Gateway
2. 3. Beispiele von Firewalls
2. 3. 1. Architektur mit überwachtem Host
2. 3. 2. Architektur mit überwachtem Teilnetz
3. Kosten einer Firewall
4. Resümée
5. Glossar
6. Danksagung
7. Literaturverzeichnis 

1. Einleitung

Die Seminararbeit "Firewall - Was ist das?" ist ein Beitrag zum allgemeinwissenschaftlichen Wahlpflichtfach Krisen in Computernetzen . Dabei soll auf folgendes eingegangen werden:
Infolge der zunehmenden Anschlüße an das Internet, entstehen neue Risiken, z.B. der mögliche Mißbrauch von Daten durch Unbefugte. Um nun daraus resultierende Krisen zu vermeiden, werden Firewalls installiert.
Die Seminararbeit richtet sich dabei speziell an Leser, die kein spezifisches Wissen über Firewalls haben und soll den Interessierten in dieses Thema einführen.

Da der Anschluß an das Internet das Eindringen Unbefugter in das Unternehmensnetz sowohl theoretisch, als auch praktisch möglich macht, ist eine Abschottung erforderlich. Hierbei nimmt die Implementierung einer Firewall-Lösung eine zentrale Stellung ein. Sie darf jedoch nicht losgelöst von der Gesamt-Sicherheitsstrategie (die immer eine Kombination aus Zugangstechnik und -berechtigungen, Authentifizierung, Verschlüsselung und organisatorischen Maßnahmen ist) betrachtet werden. Es ist also wichtig, die Firewall als Bestandteil einer Sicherheitsanlage anzusehen und nicht als die Komplettlösung schlechthin. Daher ist es auch schwierig, wenn nicht gar unmöglich, eine Firewall praxisgerecht zu bewerten. Da sie nur ein Bestandteil eines mehr oder minder komplexen Sicherheitssystems ist.

2. Firewall - Was ist das?

2. 1. Definition einer idealen Firewall

Eine ideale Firewall muß folgende Aufgaben erfüllen: Sie muß sicherstellen, daß ... Stets zu beachten: Die Firewall schützt nur gegen Angriffe von außen.

2. 2. Aufbau einer realen Firewall

Eine reale Firewall besteht aus verschiedenen Komponenten:

Abbildung 1: Schema einer Firewall
Zum einen aus den Filtern - auch Screens genannt -, die nur ganz bestimmte Informationen durchlassen und alle anderen sperren. Zum anderen aus dem Gateway, dieser kann aus einem oder mehreren Rechnern bestehen, die als durch Filter blockierte Schaltstation (für bestimmte Dienste) fungieren.
Je nach Konstruktionsdesign hat dabei ein Gateway meistens selbst wieder zwei Filter: Einen äußeren, der das Gateway schützen soll, und einen inneren, der das interne Datennetz vor Übergriffen bewahren soll, falls das Gateway angegriffen und überrannt wird. Hierbei ist wichtig, daß das interne Datennetz vor Angriffen von außen durch jeden Einzelnen oder beide Filter zusammen geschützt wird. Solch ein exponiertes Gateway wird auch als Vorwerk oder Bastion Host (siehe auch Abb. 2 und 3) bezeichnet. Im Allgemeinen unterscheidet man zwischen drei verschiedenen Firewallkategorien: Dabei ist zu beachten, daß bei einer Firewall nicht nur eine Kategorie, sondern fast immer mehrere gleichzeitig eingesetzt werden.
Wie gut eine reale Firewall ist, kann man letztendlich daran messen, inwieweit sie die Aufgaben der idealen Firewall erfüllt. Nimmt man die Firewallkategorien einzeln in Augenschein, so bietet die Paketfilter-Firewall den geringsten und die Anwendungsschicht-Gateway den größten Schutz.

2. 2. 1. Paketfilter-Firewall

Eine einfache Methode, um ein Netz vor Angriffen zu schützen sind Paketfilter-Firewalls. Darunter versteht man Filter, die auf einem Router installiert sind und nur diejenigen Pakete passieren lassen, die erlaubt sind. Weil diese Filter auf einem Router installiert sind, den man in fast allen Fällen benötigt um ins Internet zu kommen, sind Paketfilter ein ebenso preiswerter, wie nützlicher Sicherheitsmechanismus. Außerdem beeinflussen sie - von den drei Firewallkategorien - die Performance eines Netzes am wenigsten.
Abhängig vom Typ des Routers können Filter installiert werden, die ... durchsuchen.
Die Paketfilter werden nach den folgenden vier Schritten konfiguriert: IP-Pakete beispielsweise können von Filtern bezüglich ihrer Quelladresse, Zieladresse und dem Transportprotokoll untersucht werden. Weiterhin läßt sich, abhängig vom Transportprotokoll (UDP, TCP), zum Beispiel noch festlegen, ob die Pakete bezüglich des Dienstes (Port) oder ihrer Funktion (z.B. Verbindungsaufbau) untersucht werden sollen.

Leider gibt es auch Nachteiliges bei der Verwendung von Paketfilter-Firewalls:

2. 2. 2. Vermittler- oder Transportschicht-Gateway

Die zweite Kategorie der Firewalls, die Transportschicht-Gateway(s), arbeiten - wie der Name schon sagt - auf der Verbindungsschicht. Diese Firewall vermittelt als Schaltstation die TCP-Verbindungen. Dies kann man sich folgendermaßen vorstellen:
Geht eine externe Verbindung auf dem Gateway ein, schaltet dieser die Verbindung zum internen - dem eigentlichen - Ziel weiter. Während die Verbindung besteht, fungiert der Gateway als Kopierer der Daten zwischen den Schnittstellen. Dabei werden die Daten allerdings nicht kontrolliert.
Die Firewall kann so konfiguriert sein, daß ... Abgehende Verbindungen stellen kein Sicherheitsrisiko dar, sondern nur Eingehende. Vor allem wenn sie allgemein verfügbar sein sollen. Um diesem Risiko entgegenzuwirken kann die Firewall Verbindungen aufgrund der Quell- und Zieladresse ermöglichen. Auch kann die maximale Nutzungsdauer und die Totzeit - die Zeit bis zur nächstmöglichen Nutzung der Verbindung - festgelegt werden.
Einige wenige Verbindungen können auch automatisch hergestellt werden, wenn von Ihnen mit Sicherheit keine Gefahr ausgehen kann. Eine externe Verbindung auf einen internen Drucker ist z.B. eine solche Verbindung, da - auch wenn der externe Host gekapert wird - durch diese Verbindung kein Schaden entstehen kann. Dabei wird eine Zugangskontrolle verwendet, um festzulegen, daß die externe Verbindung auch nur auf den Drucker zugreifen kann.

2. 2. 3. Anwendungsschicht-Gateway

Um mit einem Anwendungsschicht-Gateway arbeiten zu können, muß wesentlich mehr Aufwand betrieben werden, da für jeden Dienst, den das Gateway anbietet, ein eigenes Programm - der Proxy-Server - geschrieben werden muß. Wegen diesen Proxies (Stellvertreter) ist ein Anwendungsschicht-Gateway auch viel sicherer, als die anderen beiden Varianten, da man nicht Gefahr läuft, daß durch falsches Konfigurieren (Wechselwirkungen der einzelnen Filterregeln oder Lecks in den "angeblich" sicheren Diensten) die ganze Firewall ineffektiv wird. Bei dieser Art von Firewall genügt es, sich die zugelassenen Dienste genauer anzusehen. Zu diesem Zweck nutzt der Anwendungsschicht-Gateway die Proxies, die mit den spezifischen Netzdiensten Telnet, FTP, SMTP, HTTP und NNTP korrespondieren. Ein weiterer Vorteil ist, daß der gesamte Verkehr, also die ein- und abgehenden Pakete - einer Anwendung - überwacht und bestimmte Vorgänge auch protokolliert werden können. Dies wird Auditing genannt und z.B. vom SEAL-Paket von Digital Equipment Corp. ausgenutzt.
Um z. B. zu verhindern, daß Mitarbeiter Programme oder Daten exportiern können, wird der abgehende Verkehr nur für autorisierte Personen zugelassen und in seiner Bandbreite begrenzt. Es können z. B. auch die eingehenden Daten auf Viren untersucht werden oder alle nach außen gehenden mit einem Firmenlogo versehen werden.
Ein weiterer Vorteil ist die standardmäßige Abschaltung der TCP/IP-Weiterleitung in Firewall-Rechnern. Daraus folgt, daß keine Verbindung aufgebaut werden kann, wenn für den Dienst kein passender Proxy-Server vorhanden ist. Damit erfüllt der Anwendungsschicht-Gateway den Leitsatz der Sicherheitsphilosophie:

"Was nicht ausdrücklich erlaubt ist, ist verboten."

Häufig werden die Anwendungsschicht-Gateways unabhängig von der restlichen Firewall-Struktur für E-Mails verwendet, da so der Anwender unter der gleichen Adresse erreichbar bleibt, egal auf welchem Computer er arbeitet.
Um nun Sicherheitslecks auf die Spur zu kommen, können der Daten-Verkehr und die E-Mails protokolliert werden.Werden die Daten nun anschließend analysiert, liegen auch die Inhalte offen dar. Dies sollte allerdings in Bezug auf die gültige Rechtssprechung und ethnischer Gesichtspunkte bedacht werden.
Die Anwendungsschicht-Gateway ist die - für sich allein gesehen - sicherste Firewall. Das "Mehr" an Schutz durch die Firewall geht allerdings zu Lasten der Geschwindigkeit des Netzes. 

2. 3. Beispiele von Firewalls

2. 3. 1. Architektur mit überwachtem Host


Abbildung 2: Beispiel einer Firewall (Screened Host architecture)
Quelle: http://www.hu-berlin.de/inside/rz/rzmit/rzm13/rzm13_11.html

Bei der Architektur mit überwachtem Host werden die Dienste nur von einem Rechner, dem Bastion Host, angeboten. Zusätzlich wird noch ein Router eingesetzt. Der Bastion-Host befindet sich im internen Netz.

Die Paketfilter auf dem Router, der die einzige Verbindung nach außen ist, müssen so konfiguriert sein, daß ...

zugreifen wollen, über den Bastion-Host gehen, dessen Aufgabe es unter anderem ist: Sicherzustellen, daß nur die zugelassenen Dienste erlaubt sind.

Diese Konstruktion bietet den Vorteil, daß ein Router leichter zu verteidigen ist, da auf ihm z.B. keine Dienste angeboten werden. Aber andererseits den Nachteil, daß das interne Netz schutzlos ist, wenn der Bastion-Host gekapert wird. Daher muß der Bastion-Host ganz besonders geschützt werden.

2. 3. 2. Architektur mit überwachtem Teilnetz


Abbildung 3: Beispiel einer Firewall (Screened Subnet)
Quelle: http://www.hu-berlin.de/inside/rz/rzmit/rzm13/rzm13_11.html

Bei der Architektur mit überwachtem Teilnetz, im Prinzip eine Erweiterung der Architektur mit überwachtem Host, wird noch ein zusätzlicher Router benötigt.
Dabei wird zwischen dem Internet und dem internen Netz eine Art Pufferzone als Isolierung errrichtet. Diese Pufferzone wird DMZ oder Demilitarisierte-Zone genannt.

Auch hier ist die Schwachstelle der Bastion-Host, da er der einzige Rechner ist, der Kontakt zur Außenwelt (Internet) herstellen kann und darf. Aus diesem Grund wird der Bastian-Host auch am meisten angegriffen.

3. Kosten einer Firewall

Bei der Beschaffung einer Firewall dürfen natürlich auch die Kosten nicht außer Acht gelassen werden. Dabei kann man die Kosten in zwei Pakete teilen. Zum einem die Anschaffungskosten. Sie beinhalten ... Zum anderen die Betriebskosten. Sie beinhalten ... Dem finanziellen Aufwand bei der Beschaffung einer Firewall stehen die Kosten und Konsequenzen gegenüber, wenn diese nicht eingesetzt wird: Die Sicherheit hat natürlich ihren Preis. Die Anschaffungskosten (Hard-, Software und Installation) sind im folgenden noch etwas genauer dargestellt. Weiterhin fallen noch die Betriebskosten - siehe oben - an.

Obwohl es - meines Wissens - bis jetzt keinen Präzedenzfall gibt, in dem es um die Duldung von Hackern ging, so werden die Rechtsabteilungen sicher schnell nervös, wenn es um die Haftung in einem solchen Fall geht. Außerdem haftet das Management auch bei der Verletzung seiner Sorgfaltspflichten gegenüber den Anteilseignern. Die Erfahrung hat jedenfalls gezeigt, daß Firmen, aus denen Hackerangriffe gestartet wurden, diese schnellstmöglich unterbunden haben.

4. Resümée

Meiner Meinung nach, kann ein Computernetz, das mit anderen Netzen in Verbindung steht, niemals 100 % gesichert werden. Da .... Außerdem kann eine Firewall nur gegen Sicherheitslücken schützen, die bekannt sind. Findet jemand eine neue Lücke, so sind ihm Tür und Tor geöffnet.
Man sollte also immer, falls man wichtige Daten schützen will, abwägen, was einem wichtiger ist ?

5. Glossar

Gateway
Ein Rechner, der Netze miteinander verbindet, wird Gateway genannt. Ein Gateway bildet dabei alle Protokollschichten vollständig ineinander ab. Ein Gateway ist in fast allen Fällen zugleich auch ein Router.
Weitergehend: Gateway werden eigentlich nur Rechner genannt, die Netze in einer höheren als der 3. Schicht des OSI-Schichtenmodell miteinander verbindet.

Router
Jeder Rechner der ein IP-Paket weiterleitet, erkennt an der Quelladresse, ob sich der Empfänger im gleichen Netz befindet oder in einem anderen. Befindet sich der Empfänger in einem anderen Netz, liefert der zustellende Rechner das Paket an den Router.
Ein Router ist ein Rechner, der zwei Netzwerke miteinander verbindet. Er ist in der Lage, beide Netzwerkprotokolle (z.B. Ethernet und Token-Ring) zu verstehen und setzt die Pakete in das eine oder andere Format um, bevor er sie weiterleitet. Da die zulässigen Paketgrößen von Netz zu Netz unterschiedlich sind, übernimmt der Router auch die Aufgabe, die Pakete zu fragmentieren, wenn sie für das Zielnetz zu groß sind.

IP-Paket
IP steht für Internet-Protokoll. Es wurde entwickelt, um Rechner netzwerkübergreifend zu addressieren. Dieses Protokoll schließt weltweit Rechner unterschiedlicher Bauart zu Domains und Subdomains (Unternetzten) zusammen. Ein IP-Paket ist eine Datei, die dem Internet(transport)protokoll entspricht.

Transportprotokoll
Ein Transportprotokoll dient dazu Vereinbarungen zu treffen, nach denen die Kommunikation abläuft. Es gewährleistet also, daß alle an der Kommunikation Beteiligten die gleiche Sprache sprechen. Besonders wichtig ist in diesem Zusammenhang die Größe und Struktur der Datenpakete, und die Breite und Lage der Prüfsummen, sowie Mechanismen zur Identifikation des Empfängers und des Absenders (Quell- und Zieladdresse). Einige Protokolle erkennen nur Rechner, andere unterscheiden auch Anwendungen (Applikationen) oder Benutzer.

TCP
Hauptaufgabe von TCP ist der sichere Transport von Daten durch das Netzwerk. Dabei erkennt und korrigiert es Übertragungsfehler selbständig. TCP stellt den Anwenderprozessen einen zuverlässigen, verbindungsorientierten Dienst zur Verfügung. Es nimmt Dateien entgegen und teilt sie auf, wobei TCP auch auf die richtige Reihenfolge der Fragmente achtet.

Proxy-Server
Ein Proxy-Server nimmt gleichzeitig zwei Funktionen wahr. Für den internen Client ist er ein Server und für den externen Server ist er der anzusprechende Client. Daher laufen alle Daten über den Proxy, der die vollständige Kontrolle über den Datenstrom hat, und diesen detailgetreu aufzeichnen kann.

Verbindungschicht
Die Verbindungsschicht oder Transportschicht ist eine transportorientierte Funktionseinheit in einem Referenzmodell - dem OSI-Schichtenmodell -, das die Komunikation in Rechnernetzen strukturiert.

6. Danksagung

Bei der Entstehung dieser Seminararbeit standen mir einige Leute mit Rat und Tat zu Seite:
Recht herzlich möchte ich mich bei Andreas Dunse und meinem Studienkollegen Mathias van Hout bedanken, die mir bei Inhalt, Gestaltung und den Grafiken behilflich waren.
Im besonderen gilt mein Dank meinem Vater, der mich mit seinen kritischen Fragen auf viele kleine Details aufmerksam gemacht hat, sowie Julia Eggerbauer und Nicole Sparrer, die sich die Mühe machten, die Arbeit mehrmals zu korrigieren und mir dabei einige hilfreiche Tips gab.

7. Literaturverzeichnis

Online-Literatur Bücher Magazine Christian Hörmann