Firewall

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Firewall (Brandmauer) ist die Bezeichnung für ein Sicherheitssystem, das beim Anschluss an ein öffentliches Computernetzwerk wie das Internet wie eine Barriere zwischen privatem Netz und öffentlichem Netz wirkt und dem Schutz von Daten und Kommunikationsverbindungen dient.

Anordnung eines Firewall-Systems

In einer Firewall sind die Sicherheitsmechanismen zentralisiert, die sonst in jeden einzelnen Rechner integriert werden müssten. Der Datenverkehr zwischen den beiden Netzen muss die Firewall passieren, die den jeweiligen Benutzer auf seine Zugangsberechtigung und die von ihm verwendeten Kommandos auf ihre Zulässigkeit überprüft. Dadurch wird erreicht, dass die Rechner des zu schützenden Netzes nicht von Rechnern aus dem unsicheren öffentlichen Netz angegriffen werden können. Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziertes Firewall-System gewährleistet geprüfte Sicherheit auf höchstem technischem Niveau.

Sicherheitsdienste einer Firewall

  • Zugangskontrolle auf Netzebene: nur logische Verbindungen, die ausdrücklich erlaubt sind, kommen zustande, so dass keine Fremden von außen auf die zu schützenden Rechnersysteme zugreifen können.
  • Zugangskontrolle auf Benutzerebene: Alle Benutzer werden identifiziert und authentisiert.
  • Rechteverwaltung: nur über definierte und erlaubte Protokolle und Dienste darf zu festgelegten Zeiten zugegriffen werden.
  • Kontrolle auf der Applikationsebene: Für bestimmte Dienste (wie FTP oder HTTP) werden den Benutzern nur die Befehle zur Verfügung gestellt, die sie für ihre Anwendung benötigen.
  • Entkopplung von unsicheren Diensten: Risikobelastete Dienste, zum Beispiel "sendmail", werden dem unsicheren Netz nur über eigene Hilfsprogramme mit eingeschränkter Funktionalität zur Verfügung gestellt.
  • Beweissicherung und Protokollauswertung: Sicherheitsrelevante Ereignisse werden von der Firewall protokolliert und können vom Systemadministrator ausgewertet werden.
  • Abschottung der internen Netzstruktur: Die Struktur des internen Netzes bleibt gegenüber dem unsicheren Netz verborgen.
  • Vertraulichkeit der Nachrichten: Nachrichten können nicht im Klartext gelesen werden.

Firewall-Konzepte

Prinzipieller Aufbau eines Firewall-Systems

Es gibt unterschiedliche Lösungsansätze für die Realisierung der Sicherheitsziele einer Firewall, und Firewalls werden in unterschiedlichen Qualitäten angeboten. So wird zum Beispiel in einer High-level Firewall eine Vielzahl von Sicherheitsmechanismen kombiniert, um ein Höchstmaß an Sicherheit zu garantieren.

Eine High-level Firewall besteht aus zwei Packet Filtern, die ein Screened Subnet bilden, einem darin angeordneten Application Gateway ("Bastion") sowie einem Security Management. Die Leistungen der einzelnen Komponenten werden kurz zusammengefasst:

Screened Subnet

Das Screened Subnet ist ein entkoppeltes, isoliertes Teilnetzwerk, das zwischen das interne und das unsichere Netz geschaltet wird. In diesem Teilnetzwerk überprüfen zwei Packet Filter die Datenpakete aus dem internen und dem externen Netz, ein oder mehrere Informationsserver stellen dem öffentlichen Netz Informationen zur Verfügung, und in der Bastion werden die Informationen auf der Anwendungsschicht kontrolliert.

Dem unsicheren Netz sind nur die Rechner im Screened Subnet bekannt, die Rechner des zu schützenden Netzes bleiben verborgen.

Packet Filter

Die beiden Packet Filter bilden den Zugang zum Screened Subnet. Der Sicherheitsmechanismus Packet Filter analysiert die ein- und ausgehenden Netzwerk-Frames. Dabei werden die Filterregeln so definiert, dass jede IP-Verbindung von innen (zu schützendes Netz) und außen (unsicheres Netz) über die Bastion geroutet wird. Für nicht auf IP basierende Protokolle, wie z.B. OSI oder DEC, können die Filterregeln der beiden Packet Filter so definiert werden, dass die Pakete direkt zwischen ihnen geroutet werden.

  • Es wird überprüft, von welcher Seite das Paket empfangen wird und welche Protokolle verwendet werden.
  • Im IP-Header werden die Source- und Destination-Adresse kontrolliert.
  • Es wird überprüft, ob die Verbindung mit Hilfe von UDP oder TCP durchgeführt wird, und wer die Verbindung aufbaut. Außerdem werden die Dienste/Portnummern (FTP, Telnet, HTTP usw.) kontrolliert.
  • Zusätzlich wird überprüft, ob der Zugriff über das Packet Filter in einem definierten Zeitraum durchgeführt wird (zum Beispiel nur Montags bis Freitags zwischen 7 und 19 Uhr und Samstags von 7 - 13 Uhr).

Die Informationen darüber, was zu überprüfen ist, werden einer Rechteliste (Access List) entnommen. Bei Verstoß gegen die Regeln wird dies entsprechend protokolliert und, falls definiert, eine Warnmeldung an das Security Management gesendet.

Bastion (Application Gateway)

Eine Bastion (Application Gateway) ist ein Computer mit einem sicheren Betriebssystem und i.d.R. zwei Netzwerkanschlüssen, der die beiden Netzbereiche logisch und physikalisch entkoppelt. In der Bastion werden die Informationen auf der Anwendungsschicht kontrolliert und eine Benutzerauthentikation durchgeführt.

Als einziger vom unsicheren Netz (z.B. Internet) erreichbarer Host muss der Application Gateway besonders geschützt werden. Die Benutzer, die über die Bastion auf Rechnersysteme im zu schützenden Netz zugreifen möchten, müssen zuerst eine Identifikation und Authentikation mit der Bastion durchführen, wozu spezielle Passwortsysteme (Einmalpasswort, Sicherheitstoken) eingesetzt werden.

Prinzipieller Aufbau eines Application Gateway (Bastion)

Auf der Bastion wird für jeden erlaubten Dienst (Telnet, FTP usw.) ein sogenannter Proxy Agent installiert, der spezielle Sicherheitsfunktionen zur Verfügung stellt. Das bedeutet, dass über die Bastion nur Dienste verwendet werden können, für die entsprechende Proxy Agents installiert wurden. Für den FTP-Proxy Agent kann dann z.B. definiert werden, welcher Befehl (CD, PUT, GET, DEL usw.) verwendet werden darf und welcher nicht.

Der Proxy Agent nimmt eine Verbindung vom Quellrechner an, baut nach der Überprüfung der Quell- und Zieladresse eine Verbindung zum Zielrechner auf und transferiert dann Datenpakete zwischen diesen Verbindungen. Außerdem werden die Aktivitäten, die über die Bastion abgewickelt werden, protokolliert, z.B. welche Dateien mit welchen Attributen übertragen werden.

Auf der Bastion selbst dürfen keine unnötigen bzw. nicht unbedingt notwendigen Prozesse im Hintergrund laufen, die häufig die Ursache von Sicherheitslücken sind.

Security Management Station

Mit Hilfe des Security Managements werden die Zugangskontrolltabellen (Connection Control Tables) verwaltet und in die Packet Filter sowie in den Application Gateway geladen. Die Logbücher aus den Packet Filtern und der Bastion können gelesen und ausgewertet werden. Weiterhin versorgt das Security Management die Packet Filter und die Bastion mit den benötigten sicherheitsrelevanten Informationen, zum Beispiel mit Schlüsseln. Dabei ist die Kommunikation zwischen den Packet Filtern sowie mit der Bastion und dem Security Management kryptographisch gesichert. Die Logbücher können bei Bedarf (z.B. bei einem Angriffsversuch) zur Beweissicherung verwendet werden.

Information Server

Firewall-System in Verbindung mit einem Information Server

Informationen, die öffentlich zugänglich sein sollen, werden auf einem Information Server dem Internet zur Verfügung gestellt. Dieser Information Server steht vor der Bastion. Damit ist ein Zugriff von außen auf das zu schützende Netz nicht möglich.

Durch die Entkopplung der Netze gelangen User aus dem unsicheren Netz nur bis zum Information Server, der sich vor der Bastion befindet, nicht jedoch unkontrolliert durch sie hindurch.


Next Generation Firewalls (NGFW)

Next Generation Firewalls (NGFW) bündeln verschiedene Sicherheitsfunktionalitäten (neben der reinen Firewallfunktion auch VPN-Gateway, Viren-Scanner, Spam-Filter, IDS/IPS, Authentisierung etc.). Sogenannten Firewalls „der nächsten Generation“ bieten neben den in großer Zahl in die NGFW integrierten Sicherheitskomponenten auch die Möglichkeit, Applikationsdaten im Datenstrom zu erkennen (z.B. Echtzeit Content-Filter für Web und E-Mail). Die Eigenschaften und sinnvolle Einsatzmöglichkeiten einer NGFW hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun in einer neuen Veröffentlichung zusammengefasst.

Die Vorteile einer Next Generation Firewall sind abhängig von Funktionsumfang und insbesondere Qualität der integrierten Sicherheitskomponenten, die zentralisiert die System- und Netzwerkinformationen sammeln, verarbeiten und darstellen. Durch die in großer Zahl vorhandenen Sicherheitskomponenten wird angestrebt, organisatorische und logische Abläufe eines Unternehmens durch den Einsatz von NGFWs in konsistenter Weise zu berücksichtigen und die IT entsprechend auf Netzwerkebene zu regeln bzw. zu schützen. Mithilfe umfangreicher und dennoch übersichtlich gestalteter Regelsätze (Security-Policies) können NGFW hierzu einen Beitrag leisten.[1]


Einzelnachweis

  1. SecuPedia Aktuell: Neue BSI-Veröffentlichung zu Next Generation Firewalls


Literatur

  • Norbert Pohlmann, Firewall-Systeme, 6. Aufl. 2002, MITP-Verlag (www.mitp.de)
  • Organisationshandbuch Netzwerksicherheit, Interest Verlag (www.interest.de)


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 19. September 2016 um 09:30 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Markus Albert, Admin und Norbert Pohlmann.

Anzeigen