Medien & Gesellschaft

Firewalling für Fachleute

"Die auf dem Markt erhältliche Literatur zum Thema Firewalling beschäftigt sich hauptsächlich mit den Grundlagen, der Bedienung von GUIs oder ist ein Abklatsch der Handbücher des Herstellers." Dieses Buch will es anders machen und anhand eines Testnetzwerkes ausführlich über technische und konzeptionelle Details informieren. Anfänger auf dem Gebiet der Firewalls seien an dieser Stelle gewarnt, denn die Autoren wenden sich ausdrücklich an das Fachpublikum: Firewall- und Netzwerkadministratoren, Sicherheitsberater und Netzwerkingenieure mittelständischer und großer Unternehmen. Das Buch nimmt sich nicht die Zeit, grundlegendes Internet-Vokabular zu erläutern; auch ein Glossar fehlt. "Firewalls im Unternehmenseinsatz" ist in drei Hauptteile untergliedert. Im ersten Teil wird der Aufbau des Firmen-Testnetzwerkes erläutert und Grundlegendes zur Konzeption von Firewalls gesagt. Der zweite Teil befasst sich mit der Installation und den relevanten Technologien im Testnetzwerk. Zum Abschluss ersetzen die Autoren die vorab konzipierten Firmenfirewalls durch hochverfügbare Systeme. Es soll nun inhaltlich auf einige Teilkapitel eingegangen werden.

Paketfilter versus Proxys im Testnetzwerk

Das in Kapitel eins vorgestellte Testnetzwerk lässt sich grob in drei Bereiche unterteilen: in die firmeninterne Server- und PC-Landschaft, die Webplattform des fiktiven Unternehmens und seinen Internetzugang sowie die Niederlassungen auswärtiger Nutzer. Entscheidend für die Unterteilung in diese Subnetze ist das so genannte "Rings of trust"-Model: Systeme mit gleichen Sicherheitsanforderungen bilden eine Security Domain und sind von Systemen mit anderen Anforderungen zu trennen. Dabei soll das Netzwerk zwiebelartig strukturiert sein – Systeme mit hohen Sicherheitsanforderungen stehen innen, die Kommunikation erfolgt nur von innen nach außen. Das Kapitel stellt ferner den Switch als Vorläufer der Firewall vor und erläutert dessen Angreifbarkeit.

Kapitel zwei ist das einzige Grundlagenkapitel im Buch. Klassisch wird darin zunächst der Begriff Firewall definiert: "Unter einer Firewall verstehen wir in diesem Buch ein Produkt, das anhand definierter Regeln in der Lage ist, den Netzwerkverkehr zu filtern, so dass nur erwünschte Netzwerkpakete ihr Ziel erreichen." – Es enthält Informationen zu TCP/IP, etwa wie die zu übertragenden Daten in jeder Schicht des TCP/IP-Stacks mit einem Header versehen, versandt und beim Empfänger entkapselt werden. Well-known Ports werden unprivilegierten Ports gegenübergestellt und der Unterschied im Transfer bei TCP und UDP wird erläutert (bestehend in Geschwindigkeit und Serviceangebot).

Es folgt ein langer Abschnitt über Paketfilter und Proxy-Firewalls, worin beide Systeme vorgestellt und gegeneinander abgegrenzt werden. Statische Paketfilter, die wegen des geringen Schutzes häufiger "Access Control-Listen" genannt werden, akzeptieren oder verwerfen IP-Pakete anhand ihrer Quell- und Ziel-IP-Adresse oder wegen ihrer Ports. Die Filterung verläuft mittels einer Liste (Access Control- Liste), die abgearbeitet wird, bis das Paket entweder explizit erlaubt oder verboten (und demnach zum Ziel geroutet oder verworfen) wird. Schwachstellen der Paketfilter sind ihre Statuslosigkeit (jedes Paket wird umständlich für sich betrachtet), es ist keine Einschränkung der Quellports möglich (Trojaner können sich einschleusen, da die Kommunikation mit anderen Ports gestattet wird) und sie bieten nur begrenzten Schutz vor Fragmentierungsattacken (wenn das erste Fragment zugelassen wird, werden die übrigen nicht mehr kontrolliert). Dagegen bieten dynamische Paketfilter fortgeschrittenen Schutz, indem sie stateful filtern, nur die Verbindung zu einem Port erlauben und eine maximale Verbindungsdauer festlegen. Ein Problem stellt auch für diese aber das FTP-Protokoll dar, bei dem zwei Verbindungen aufgebaut werden (Kontrollverbindung zu Anfang der Sitzung und Datenverbindung). Zu welchem Port die Verbindung aufgebaut wird, ist im Vorfeld nicht bekannt, da sich diese Information im Datenteil befindet. Ob eine FTP-Verbindung zulässig und erwünscht ist oder nicht, kann ein Filter also nur feststellen, wenn er Einblick in das Protokoll hat. Das ist mittels der so genannten "Stateful Inspection" möglich: Portnummer und Programmnummer werden ausgelesen und in die Statustabelle übertragen. Stateful Inspection ist allerdings keine Standardfunktion eines dynamischen Paketfilters.

Im Gegensatz zu den Paketfiltern, die als Router fungieren (Gateways mit aktiviertem IP-Forwarding), wird bei den Proxyfirewalls die Verbindung von Client und Server unterbrochen. Ein Proxy nimmt anstelle des Servers die Verbindung entgegen und baut eine zweite Verbindung auf. Proxys filtern ergiebiger, können standardmäßig Daten einsehen und bieten so potentiell größere Sicherheit. Einer ihrer Nachteile ist, dass für jedes denkbare Protokoll ein Proxy bereitstehen muss, was den Autoren zufolge in der Praxis nicht so ist. Demnach seien Proxys aufgrund ihrer schlechten Leistung und Unflexibilität für größere Unternehmen die schlechtere Alternative.Im letzten Abschnitt von Teil eins geht es um IP-Forwarding, also die Frage, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten und in Routern verarbeitet wird. Der Vorgang der Entscheidung, "welchen Weg das Paket im Netzwerk gehen soll", wird folgendermaßen beschrieben: 1. ) der Frame wird empfangen, dekodiert und in die Warteschlange eingereiht, 2.) die CPU teilt Rechenzeit und Prozess zu (währenddessen: Hardware Interrupt), 3.) die Routing-Entscheidung wird getroffen, 4.) die Firewall wertet das Paket aus, 5.) es wird geforwarded und 6.) es wird kodiert und übertragen.

Check Point und Cisco Pix im Einsatz

Im zweiten Teil gehen die Autoren auf die Integration von Firewalls des in Kapitel eins vorgestellten Netzwerkes ein. Das fiktive Unternehmen hat noch keinerlei Sicherheitseinrichtungen vorgenommen und startet sozusagen bei null. Da die Integration anhand von Beispielen und mittels grafischer Darstellungen erfolgt, kann sie hier nur unvollständig wiedergegeben werden. Das Buch beginnt mit der Absicherung des Internetzugangs, der sich in Email, Surfen der Mitarbeiter und Internetauftritt des Unternehmens äußert. Die Gefahren durch das Internet sind, wie die Autoren betonen, vielseitig: "Eine klassische Firewall, die einen Webserver schützt, kann zum Beispiel nicht erkennen, dass ein Eingabefeld eines HTML-Formulars mit einer überlangen Eingabe gefüllt wurde, die bei der Auswertung durch die Webanwendung einen Pufferüberlauf provoziert und einen Einbruch in den Webserver ermöglicht." Die Autoren gehen auch auf die Frage an, wer potentielle Angreifer seien können und kommen zu dem Ergebnis, dass es sich meist entweder um Amateur-Cracker handelt, die aus Spaß Unternehmen schaden, um bezahlte Profi-Hacker (die meist Informationen ausspionieren) oder um ehemalige Mitarbeiter mit Rachegelüsten.

Nachdem sie die Wichtigkeit der Härtung des Betriebssystems vorgestellt haben (mittels Deaktivieren aller unnötigen Netzwerkdienste), setzen sich die Verfasser nun mit der ausgwählten Beispiel-Firewall (Fire-Wall-1 von Check Point) für das Internet ein. Darauf folgt die Beschreibung der Intranet-Firewall (Cisco Pix), die absichtlich von einem anderen Anbieter gewählt wurde, um die Sicherheit im gesamten Netzwerk zu erhöhen. In den weiteren Kapiteln des zweiten Teils geht es um Virtual Private Networks, also um Verschlüsselungstechniken und sicherer Kommunikation zwischen zwei Firmenniederlassungen via einen virtuellen Tunnel. Auf die ausführliche Darstellung soll hier aus Platzgründen verzichtet werden. Kapitel sieben schließlich befasst sich mit Betrieb und Architektur der Firewalls, also den täglichen Aufgaben eines Firewall-Administrators.

Der dritte Teil – "Hochverfügbarkeit" – wird eingeleitet mit einer Abhandlung über Kosten und Mühe, die der Ausfall des Firmennetzwerkes verursachen kann. Um dies abzubiegen, werden nun eine Reihe von bewährten Lösungen (Hot-Standby, lastverteilte Systeme) vorgestellt, wie das Firmennetzwerk hochverfügbar gemacht werden kann. – Die Verfasser haben mit dem vorliegenden Buch alle relevanten Themen zum  "Firewalling" zumindest angeschnitten. Von der zu Beginn genannten Einschränkung der Zielgruppe abgesehen, mag das Buch aus dem Hause dpunkt Firewall-Experten wertvolle Dienste leisten.

Yvonne Pioch
03.06.2006

 
Diese Rezension bookmarken:

Das Buch:

Jörg Fritsch, Steffen Gundel:
Firewalls im Unternehmenseinsatz. Grundlagen, Betrieb und Produkte

Bild: Buchcover Jörg Fritsch, Steffen Gundel, Firewalls im Unternehmenseinsatz. Grundlagen, Betrieb und Produkte

Heidelberg: dpunkt 2005
358 S., € 46,00
ISBN: 3-89864-322-0

Diesen Titel

Logo von Amazon.de: Diesen Titel können Sie über diesen Link bei Amazon bestellen.