Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

35. Die GRAPHICAL Firewall, eine unkonventionelle Lösung

Wer sich dieses Handbuch durchliest, und noch keinen Horror hat, der mag sich vielleicht mit dieser unkonventionellen, aber sicheren Firewall anfreunden, die garantierte Sicherheit bietet. Ich möchte Sie einfach einmal mit Graphical Firewall bezeichnen.

Der Aufbau ist folgender:


   I N T E R N E T
         ^
         |
      Router
         | 
         | Transfernetz 
         |                    
         |                  
         |       LINUX GRAPHICAL WALL
         |        MAIL/Netscape/VNC
      Firewall 1         |             
         |               |             
     <---+---------------+---Firewall 2 -->lokales Netz (VNC Clients) 
                  
                 Beispiel LINUX GRAPHICAL WALL

Die Idee dahinter liegt darin, nur Informationen von Bildschirm und Mouse über die Firewall zu übertragen, während die gefährdeten Applikationen auf der LINUX GRAPHICAL WALL laufen, z.B. Netscape. Hierzu werden auf dem LINUX Server VNC-Server installiert. VNC ist absolut vergleichbar mit PC ANYWHERE, jedoch völlig kostenlos und im Quellcode verfügbar.

Für jede Arbeitsstation wird ein VNC-Server auf den Ports 6000 auf LINUX installiert. Für jeden User muß ein eigener VNC-Server auf LINUX installiert werden. Hierzu werden Ports von 6000 an aufwärts verwendet.

Auf den Arbeitsstationen wird ein JAVA VNC Client installiert, der die virtuelle X-Windows Oberfläche von LINUX grafisch auf die Arbeitsstationen überträgt. Informationen von Maus und Tastatur werden von den Arbeitsstationen auf die VNC-Server übertragen. Jeder Arbeitstation wird dann ein eigener VNC-Server zugeordnet.

Da alle Anwendungen ja auf der LINUX Maschine laufen, kann ein Angreifer höchstens in diesen Server eindringen. Über die Firewall-2 kommt er nicht hinweg.

Ich habe eine ganze Reihe von Angriffen durchgeführt. Selbstverständlich sind DoS Angriffe auf den LINUX GRAPHICAL WALL Server, der stellvertretend für die User im lokalen Netz surft, möglich. Hier endeten jedoch alle Wege. Der Versuch, den Datenstrom zu den Clients hinter Firewall 2 in dem lokalen Netzwerk zu stören, resultierten in PIXEL - Störungen auf deren Bildschirmen, mehr nicht. Weiter kann man als Angreifer nicht kommen.

Einen Nachteil hat diese Konstruktion jedoch - Der User an der Arbeitsstation kann zwar Mails lesen und Programme downloaden, diese verbleiben jedoch stets auf der LINUX GRAHICAL WALL. Über einen angeschlossenen Drucker können Mails und Attachments ausgedruckt werden, mehr nicht.

Der Vorteil dieser Firewallkonstruktion ist, daß Viren, trojanische Pferde niemals über Firewall-2 hinweg übertragen werden können. Die Konfiguration von Firewall-2 ist relativ einfach - für jeden User muß jeweils 1 TCP Port von Port 6000 an aufwärts reserviert werden. Ein Angreifer kann mit dem VNC Protokoll keinerlei Schaden auf den Arbeitsstationen anrichten. Erstens enthält das VNC Protokoll ja nur Bildschirminformationen für die Clients, zweitens läuft es in der JAVA SANDBOX ab, die zusätzliche Sicherheit bietet.

Die Nachteile dieser Konstruktion sollen hier natürlich auch nicht verschwiegen werden. Gegenüber allen anderen Firewalls sind die Nebenwirkungen aber äußerst gering. Es gibt evtl. Probleme der Performance bei der Übertragung der Bildschirminhalte. Wer noch ein 10 MBit Netzwerk besitzt, der wird bemerken, daß die Inhalte bei mehr als 10 simultanen Usern nur noch ruckelnd übertragen werden. Die Flut der Pixelinformationen sorgt trotz Kompression für eine ruckelnde Übertragung. Bei geswitchten 100 MBit Netzwerken können durchaus bis zu mehrere dutzend User simultan surfen. Hier wird das Limit durch die Performance der LINUX GRAPHICAL WALL gesetzt. Viel RAM und ein schneller Prozessor, sowie eine oder mehrere 100 MBit Karten reichen hier jedoch völlig aus. Wer dennoch Performanceprobleme hat, der sollte mehrere LINUX GRAPHICAL WALL aufbauen. Wer viele User surfen lassen möchte, und wem die Performance nicht reicht, der kann auf den Arbeitsstationen den Freeware X-Server (Server ist korrekt, obwohl Client) für Windows 95/98/NT installieren. Das X-Protokoll ist sehr kompakt und erlaubt den Anschluß von mehreren hundert Arbeitsstationen pro 100 MBit LAN. Hier werden zwar auch nur Bildschirminformationen übertragen, jedoch besteht die Gefahr eines Buffer Overflows im X-Server auf der Arbeitsstation hinter der Firewall 2. Diese Gefahr ist jedoch nicht so bedeutend, da ein Einbruchsversuch in den LOGFILES von Firewall-2 schnell bemerkt werden würde.

Diese GRAPHICAL WALL ist in zahlreichen Unternehmen im Einsatz und hat sich äußerst bewährt. Probleme mit Viren, Makroviren, trojanischen Pferden gehören dort nun der Vergangenheit an. Und wenn nun ein Angreifer es schafft, bis zur LINUX GRAPHICAL WALL vorzudringen, dann sicherlich nicht unbemerkt. Spätestens bei der Entdeckung der VNC - Server wird ein professioneller Cracker das Handtuch werfen.

Das Toolkit VNC ist im Internet unter http://www.uk.research.att.com/vnc/index.html zu finden. VNC liegt im Quellcode vor und unterliegt der GNU Public License. Support wird inzwischen von AT angeboten (früher eine Entwicklung von Olivetti). VNC wird für viele Betriebssysteme angeboten, UNIX, MAC, Windows. Die Clients liegen sogar in einer JAVA Version vor, sodaß sichergestellt ist, daß in Zukunft auch alle Betriebssysteme unterstützt werden.

Die verwendeten Ports entsprechen denen von X-Windows, es wird jedoch nicht das RPC Protokoll eingesetzt. Eine einfache Freischaltung der Ports von 6000 -600x (je nach Zahl der Clients) auf der Firewall genügt.

Es sollte auch nicht unerwähnt bleiben, daß die Folgekosten des Einsatzes der LINUX GRAPHICAL WALL erheblich geringer sind. Der Grund liegt darin, daß keinerlei Folgekosten für Lizenzen für Virenscanner, Neu/Nachinstallationen von Software auf Windows Clients entstehen.

Die LINUX GRAPHICAL WALL ist bereits erfolgreich bei zahlreichen Banken und Versicherungen im Einsatz. Das System arbeitet stabil und ohne besondere Probleme. In normalen Unternehmen ist die LINUX GRAPHICAL WALL für den Einsatz in den Bereichen Buchführung/Geschäftsleitung prädestiniert, also immer da, wo die Clients besonderen Gefahren durch Viren, trojanische Pferde, Active-X Applets.... ausgesetzt sind. Wer in einem Unternehmen bereits stukturierte Verkabelung mit intelligenten, aktiven Komponenten eingeführt hat, der kann mit Hilfe von V-LAN´s bestimmte Arbeitsplätze im Unternehmen sicher mit Hilfe der LINUX GRAPHICAL WALL gegen Angriffe absichern.

Warum noch niemand auf diese Idee gekommen ist ?

Nun - man kann kein Geld damit verdienen......daher ist die Konstruktion in dieser Art verworfen worden.....FINJAN bietet aber etwas ähnliches für Active-X und JAVA an......natürlich patentiert und sehr teuer....

Die VNC-Server sind sehr einfach aufzusetzen, sowohl unter LINUX als auch unter SOLARIS, also auch für Anfänger kein Problem. Der Client bedarf keine Konfiguration und kann sofort gestartet werden. Man sollte jedoch wissen, daß das INTEL Executable nicht gegen buffer overflows immun ist, und den JAVA Client stets vorziehen. Viel Spaß nur mit der ultimativ sicheren LINUX GRAPHICAL WALL, jedenfalls ist mir persönlich kein Weg bekannt, überhaupt über diese FIREWALL trojanische Pferde oder Viren in ein Netzwerk einzuschleusen. Diese Probleme dürften nun der Vergangenheit angehören.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING