Firewall und Proxy-Konzepte

Wozu eine Firewall

Unter dem Begriff Firewall werden eine Reihe von Konzeptem und Einrichtungen zusammengefasst, die dazu dienen ihr internes Netz vor Angriffen aus einem anderen Netz zuschützen.

Firewalls gibt es in unterschiedlichen Kalibern was ihr Hard- und Softwareausstattung betrifft. Der Aufwand den man für eine Firewall treibt hängt richtet sich immer nach den Sicherheitsbedürfnissen des Netzes, und dem Aufwand den man dafür treiben will. Dabei schlagen nicht nur Anschaffungs- und Warungskosten zu Buche, sondern auch unweigerlich eintretende Performance-Einbussen.

Für die Kopplung zwischen zwischen einem LAN und einem WAN haben sich verschiedene Strukturen bewährt, die wir im Folgenden kurz vorstellen wollen.

Screening Router

Ein Screening Router oder Paketfilter stellt den einfachsten Fall einer Absicherung dar. Zwischen das zu schützende Netz und dem WAN ist eine Einrichtng geshaltet, die nur bestimmte Pakete befördert und andere zurückhält. Dazu prüft diese Einrichtung die Pakete nach bestimmten Kriterien wie z.B. Protokollnummer, Quell- und Ziel-IP-Adresse oder Port. Damit ist es möglich bestimmte Protokollarten und Dienste ganz von der Weiterleitung auszuschließen.

Die Filterung findet hier auf Protokollebene statt, also auf OSI-Level 3 und 4 statt.

Dafür ist jeder Rechner mit zwei Netzwerkarten und einem besseren Netzwerkbetriebssystem als Windows NT 4.0 geeignet.

Diese Variante ist kostengünstig , bietet aber nur minimalen Schutz.  Ausserdem werden bei komplexen Anforderungen die Regelsätze leicht unübersichtlich.

Dual Homed Gateway

 

Die nächste Stufe beim Firewall stellt der Dual-Homed-Gateway oder Anwendungsproxyserver dar. Die Filterung erfolgt hier nciht mehr nur auf Paketebene (obwohl auch das meist implementiert wird, sondern auf den OSI-Schichten 5-7, also auf Anwendungsebene.

Diese Konstruktion erlaubt umfangreiche Protokollierungs- und Prüfungsfunktionen, erfordert aber auch einen höheren Aufwand. Jedes durchkommende Paket wird ausgepackt, auf den höheren Ebenen verarbeitet, wieder eingepackt und weitergeleitet.

Softwaretechnisch funktioniert dies durch auf dem Gateway aktive Proxyserver für die verschiedenen Dienste. Dies sind Dämonenprozesse die Anforderungen aus beiden Netzen entgegennehmen, sie auf ihre Zulässigkeit und eventuelle Gefahren prüfen, und sie weiterleiten oder blockieren.

Eine direkte Verbindung vomLAN zum WAN oder umgekehrt existiert hier nicht. Für die Außenwelt ist vom lokalen Netz nur der Gateway zu sehen. Die anderen Rechner bleiben (zumindest auf IP-Ebene) verborgen.

Der Gateway-Rechner ist dabei natürlich besonderen Gefahren ausgesetzt. unds muss deshalb auch speziell abgesichert sein. Auf ihm sollten:

  1. Keine Benutzerkonten sein.
  2. nur Netzdienste eingerichtet sein, die als stabil gegen Angriffe gelten.
  3. alle Möglichkeiten zur Überwachung dieser Dienste genutzt werden.
  4. Alle überflüssigen Dienste nicht nur deaktiviert, sondern gar nicht installiert sein.

Eine so abgesicherte Station nennt man auch einen Bastion Host.

Überwachter Bastion Host

De größte Gefahr beim Konzept des Dual Homed Gateway ist das das IP-Forwarding wieder aktiviert wird, und damit die Prüfung durch die Proxy-Server unterbleibt.

Diese Gefahr umgeht man indem man einen überwachten Bastion Host installiert. Dabei läßt der Router nur Pakete von und zum Bastion Host zu, so das alle Pakete zum lokalen Netz auf dem Bastion Host landen.

Bei dieser Struktur kann man die Dienste auch auf mehere Bastion Hosts verteilen. Der Router schickt Pakete dann abhängig vom gewünschten Dienst an den Bastion Host, der den gewünschten Dienst beherbergt.

Die Sicherheit dieser Struktur steht und fällt mit der Integrität der Bastion. Ist die Bastion erst einmal unterlaufen, liegt das dahinter liegende Netz offen. Agriffe auf den Bastion Host sind sowohl von inne als auch von aussen möglich. So könnte ein Host im LAN dem Router dei IP-Adresse der Bastion vortäuschen, um an der Bastionvorbei ins Internet zu kommen. Um diese Gefahr auszuschließen, verwendet man ein Bastion-eigenes Netz oder eine

Demilitarisierte Zone

Hier liegt der Bastion Host in einem eigenen lokalen Netz, das er nur mit zwei Routern und eventuell weiteren Bastionen teilt. Der äußere Router lenkt alle Pakete von außerhalb auf die Bastion um und verwirft dabei Paket mit der vorgetäuschten IP-Adresse  des  Grenznetzes. Der innere Router fängt unerwünschte Pakete aus dem LAN ab und gewährleistet, das Hosts aus dem LAN nur über die Bastion mit der Aussenwelt kommunizieren.