Medien & Gesellschaft

Firewalling für Fachleute

"Die auf dem Markt erh?ltliche Literatur zum Thema Firewalling besch?ftigt sich haupts?chlich mit den Grundlagen, der Bedienung von GUIs oder ist ein Abklatsch der Handb?cher des Herstellers." Dieses Buch will es anders machen und anhand eines Testnetzwerkes ausf?hrlich ?ber technische und konzeptionelle Details informieren. Anf?nger auf dem Gebiet der Firewalls seien an dieser Stelle gewarnt, denn die Autoren wenden sich ausdr?cklich an das Fachpublikum: Firewall- und Netzwerkadministratoren, Sicherheitsberater und Netzwerkingenieure mittelst?ndischer und gro?er Unternehmen. Das Buch nimmt sich nicht die Zeit, grundlegendes Internet-Vokabular zu erl?utern; auch ein Glossar fehlt. "Firewalls im Unternehmenseinsatz" ist in drei Hauptteile untergliedert. Im ersten Teil wird der Aufbau des Firmen-Testnetzwerkes erl?utert und Grundlegendes zur Konzeption von Firewalls gesagt. Der zweite Teil befasst sich mit der Installation und den relevanten Technologien im Testnetzwerk. Zum Abschluss ersetzen die Autoren die vorab konzipierten Firmenfirewalls durch hochverf?gbare Systeme. Es soll nun inhaltlich auf einige Teilkapitel eingegangen werden.

Paketfilter versus Proxys im Testnetzwerk

Das in Kapitel eins vorgestellte Testnetzwerk l?sst sich grob in drei Bereiche unterteilen: in die firmeninterne Server- und PC-Landschaft, die Webplattform des fiktiven Unternehmens und seinen Internetzugang sowie die Niederlassungen ausw?rtiger Nutzer. Entscheidend f?r die Unterteilung in diese Subnetze ist das so genannte "Rings of trust"-Model: Systeme mit gleichen Sicherheitsanforderungen bilden eine Security Domain und sind von Systemen mit anderen Anforderungen zu trennen. Dabei soll das Netzwerk zwiebelartig strukturiert sein ? Systeme mit hohen Sicherheitsanforderungen stehen innen, die Kommunikation erfolgt nur von innen nach au?en. Das Kapitel stellt ferner den Switch als Vorl?ufer der Firewall vor und erl?utert dessen Angreifbarkeit.

Kapitel zwei ist das einzige Grundlagenkapitel im Buch. Klassisch wird darin zun?chst der Begriff Firewall definiert: "Unter einer Firewall verstehen wir in diesem Buch ein Produkt, das anhand definierter Regeln in der Lage ist, den Netzwerkverkehr zu filtern, so dass nur erw?nschte Netzwerkpakete ihr Ziel erreichen." ? Es enth?lt Informationen zu TCP/IP, etwa wie die zu ?bertragenden Daten in jeder Schicht des TCP/IP-Stacks mit einem Header versehen, versandt und beim Empf?nger entkapselt werden. Well-known Ports werden unprivilegierten Ports gegen?bergestellt und der Unterschied im Transfer bei TCP und UDP wird erl?utert (bestehend in Geschwindigkeit und Serviceangebot).

Es folgt ein langer Abschnitt ?ber Paketfilter und Proxy-Firewalls, worin beide Systeme vorgestellt und gegeneinander abgegrenzt werden. Statische Paketfilter, die wegen des geringen Schutzes h?ufiger "Access Control-Listen" genannt werden, akzeptieren oder verwerfen IP-Pakete anhand ihrer Quell- und Ziel-IP-Adresse oder wegen ihrer Ports. Die Filterung verl?uft mittels einer Liste (Access Control- Liste), die abgearbeitet wird, bis das Paket entweder explizit erlaubt oder verboten (und demnach zum Ziel geroutet oder verworfen) wird. Schwachstellen der Paketfilter sind ihre Statuslosigkeit (jedes Paket wird umst?ndlich f?r sich betrachtet), es ist keine Einschr?nkung der Quellports m?glich (Trojaner k?nnen sich einschleusen, da die Kommunikation mit anderen Ports gestattet wird) und sie bieten nur begrenzten Schutz vor Fragmentierungsattacken (wenn das erste Fragment zugelassen wird, werden die ?brigen nicht mehr kontrolliert). Dagegen bieten dynamische Paketfilter fortgeschrittenen Schutz, indem sie stateful filtern, nur die Verbindung zu einem Port erlauben und eine maximale Verbindungsdauer festlegen. Ein Problem stellt auch f?r diese aber das FTP-Protokoll dar, bei dem zwei Verbindungen aufgebaut werden (Kontrollverbindung zu Anfang der Sitzung und Datenverbindung). Zu welchem Port die Verbindung aufgebaut wird, ist im Vorfeld nicht bekannt, da sich diese Information im Datenteil befindet. Ob eine FTP-Verbindung zul?ssig und erw?nscht ist oder nicht, kann ein Filter also nur feststellen, wenn er Einblick in das Protokoll hat. Das ist mittels der so genannten "Stateful Inspection" m?glich: Portnummer und Programmnummer werden ausgelesen und in die Statustabelle ?bertragen. Stateful Inspection ist allerdings keine Standardfunktion eines dynamischen Paketfilters.

Im Gegensatz zu den Paketfiltern, die als Router fungieren (Gateways mit aktiviertem IP-Forwarding), wird bei den Proxyfirewalls die Verbindung von Client und Server unterbrochen. Ein Proxy nimmt anstelle des Servers die Verbindung entgegen und baut eine zweite Verbindung auf. Proxys filtern ergiebiger, k?nnen standardm??ig Daten einsehen und bieten so potentiell gr??ere Sicherheit. Einer ihrer Nachteile ist, dass f?r jedes denkbare Protokoll ein Proxy bereitstehen muss, was den Autoren zufolge in der Praxis nicht so ist. Demnach seien Proxys aufgrund ihrer schlechten Leistung und Unflexibilit?t f?r gr??ere Unternehmen die schlechtere Alternative.Im letzten Abschnitt von Teil eins geht es um IP-Forwarding, also die Frage, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten und in Routern verarbeitet wird. Der Vorgang der Entscheidung, "welchen Weg das Paket im Netzwerk gehen soll", wird folgenderma?en beschrieben: 1. ) der Frame wird empfangen, dekodiert und in die Warteschlange eingereiht, 2.) die CPU teilt Rechenzeit und Prozess zu (w?hrenddessen: Hardware Interrupt), 3.) die Routing-Entscheidung wird getroffen, 4.) die Firewall wertet das Paket aus, 5.) es wird geforwarded und 6.) es wird kodiert und ?bertragen.

Check Point und Cisco Pix im Einsatz

Im zweiten Teil gehen die Autoren auf die Integration von Firewalls des in Kapitel eins vorgestellten Netzwerkes ein. Das fiktive Unternehmen hat noch keinerlei Sicherheitseinrichtungen vorgenommen und startet sozusagen bei null. Da die Integration anhand von Beispielen und mittels grafischer Darstellungen erfolgt, kann sie hier nur unvollst?ndig wiedergegeben werden. Das Buch beginnt mit der Absicherung des Internetzugangs, der sich in Email, Surfen der Mitarbeiter und Internetauftritt des Unternehmens ?u?ert. Die Gefahren durch das Internet sind, wie die Autoren betonen, vielseitig: "Eine klassische Firewall, die einen Webserver sch?tzt, kann zum Beispiel nicht erkennen, dass ein Eingabefeld eines HTML-Formulars mit einer ?berlangen Eingabe gef?llt wurde, die bei der Auswertung durch die Webanwendung einen Puffer?berlauf provoziert und einen Einbruch in den Webserver erm?glicht." Die Autoren gehen auch auf die Frage an, wer potentielle Angreifer seien k?nnen und kommen zu dem Ergebnis, dass es sich meist entweder um Amateur-Cracker handelt, die aus Spa? Unternehmen schaden, um bezahlte Profi-Hacker (die meist Informationen ausspionieren) oder um ehemalige Mitarbeiter mit Rachegel?sten.

Nachdem sie die Wichtigkeit der H?rtung des Betriebssystems vorgestellt haben (mittels Deaktivieren aller unn?tigen Netzwerkdienste), setzen sich die Verfasser nun mit der ausgw?hlten Beispiel-Firewall (Fire-Wall-1 von Check Point) f?r das Internet ein. Darauf folgt die Beschreibung der Intranet-Firewall (Cisco Pix), die absichtlich von einem anderen Anbieter gew?hlt wurde, um die Sicherheit im gesamten Netzwerk zu erh?hen. In den weiteren Kapiteln des zweiten Teils geht es um Virtual Private Networks, also um Verschl?sselungstechniken und sicherer Kommunikation zwischen zwei Firmenniederlassungen via einen virtuellen Tunnel. Auf die ausf?hrliche Darstellung soll hier aus Platzgr?nden verzichtet werden. Kapitel sieben schlie?lich befasst sich mit Betrieb und Architektur der Firewalls, also den t?glichen Aufgaben eines Firewall-Administrators.

Der dritte Teil ? "Hochverf?gbarkeit" ? wird eingeleitet mit einer Abhandlung ?ber Kosten und M?he, die der Ausfall des Firmennetzwerkes verursachen kann. Um dies abzubiegen, werden nun eine Reihe von bew?hrten L?sungen (Hot-Standby, lastverteilte Systeme) vorgestellt, wie das Firmennetzwerk hochverf?gbar gemacht werden kann. ? Die Verfasser haben mit dem vorliegenden Buch alle relevanten Themen zum  "Firewalling" zumindest angeschnitten. Von der zu Beginn genannten Einschr?nkung der Zielgruppe abgesehen, mag das Buch aus dem Hause dpunkt Firewall-Experten wertvolle Dienste leisten.

Yvonne Pioch
03.06.2006

 
Diese Rezension bookmarken:

Das Buch:

Jörg Fritsch, Steffen Gundel: Firewalls im Unternehmenseinsatz. Grundlagen, Betrieb und Produkte

CMS_IMGTITLE[1]

Heidelberg: dpunkt 2005
358 S., € 46,00
ISBN: 3-89864-322-0

Diesen Titel

Logo von Amazon.de: Diesen Titel können Sie über diesen Link bei Amazon bestellen.