-=Player=-
05.09.2007, 03:16
Inhaltsverzeichnis:
1.0 Was ist eine Firewall, und wozu wird sie benötigt
2.0 Angriffsmethoden, um Zugriff auf ein Netz zu erhalten
2.1 Paßwörter raten
2.2 Zugriff durch wiederholen auspionierter Nachrichten
2.3 Tarnangriff
2.4 Angriff von aussen über Telekommunikationswege
2.5 IP-Spoofing
2.6 Datenpakete mit extravaganten TCP-Headern
2.7 Mißbrauch des Source-Routing
2.8 Mißbrauch des ICMP-Protokolls
2.9 Mißbrauch der Routing-Protokolle
3.0 Mögliche Schäden
4.0 Verschiedene Firewall-Konzepte
5.0 Firewallarchitekturen
6.0 Grenzen einer Firewall
7.0 Betrieb einer Firewall
1.0 Was ist eine Firewall, und wozu wird sie benötigt?
Eine Firewall ist ein(e) Rechner (Rechnerkonstellation), der (die)
die Kommunikation zwischen zwei Rechnernetzen kontrolliert z.B.
die Kommunikation zwischen Firmennetz und Internet. Die
eigentliche Firewall ist eine spezielle Software, die dem
Netzadministrator erlaubt einzelne Benutzerprofile zu erstellen,
so daß nicht jeder Benutzer jeden zur Verfügung stehenden Dienst
nutzen kann. Die Firewallsoftware ist zu Beginn per Voreinstellung
so konfiguriert, daß der gesamte ein- und ausgehende Datenverkehr
gesperrt ist. Der Administrator ikann nun mit speziellen Softwaremodulen
einzelne Kommunikationskanäle (Kommunikationsdienste) für einzelne
Benutzer bzw. Benutzergruppen freigeben. Alle anderen Verbindungen,
die nicht ausdrücklich freigeschaltet sind, bleiben blockiert.
Ein weiterer Vorteil der Firewall liegt auf der Hand. Obwohl jedes
Netz abgesichert werden kann, bedeutet es doch einen erheblich
größeren Aufwand, ein Netz, bei dem jeder Rechner ein potentielles
Sicherheitsloch ist, gegen Angriffe von außen zu sichern. Da z.B.
mehrere Rechner eine Verbindung zum Internet besitzen, kann auch
über mehrere Rechner in das System eingebrochen werden, ergo muß
bei einem solchen Netz jeder Rechner einzeln auf den Sicherheitslevel
gebracht werden (sehr zeitaufwendig, daher kostenintensiv). Anders
hingegen sieht es bei einem Netz mit Firewall aus: Es gibt meist
nur diesen einen Zugang zum anderen Netz, d.h. ein Angriff auf
das Netz kann nur über die Firewall erfolgen. Der Administrator
muß nun jedoch nicht mehr alle Rechner kontrollieren und konfiguriren,
sondern er braucht "nur" noch die Firewall entsprechend zu modifizieren,
und erreicht damit eine höhere Sicherheit (Er kontrolliert wer, wann
und mit wem kommuniziert hat, und er erfährt, ob versucht wurde in
das System einzudringen).
Ein weitere Aspekt der Sicherheit einer Firewall ist darin zu sehen,
daß nicht jeder Netzadministrator in Sicherheitsfragen auf dem neuesten
Stand ist , bzw. seien kann. Die Firewall wird aber durch Experten stets
modifiziert, reformiert und den neu auftauchenden Sicherheitsproblemen
angepaßt.
2.0 Angriffsmethoden, um Zugriff auf ein Netz zu erhalten
Um in ein Netz, bzw. gesicherte Netzbereiche einzudringen, gibt es verschiedene
Methoden. Zum einen besteht die Möglichkeit des Angriffes von Außen
(über das Internet, bzw. Telekommunikationswege), die andere Möglichkeit
besteht im Angriff von Innen (z.B. ein gekündigter Mitarbeiter möchte die
Firma schädigen, indem er (a) Daten zerstört, oder (b) Daten an ein
Konkurrenzunternehmen verkauft).
Auf den Angriff von Innen wird hier nicht
weiter eingegangen werden.
2.1 Paßwörter raten
Würde versucht, Paßwörter
willkürlich zu raten, könnten, statistisch gesehen, unter Umständen Jahre vergehen
(die Statistik geht hierbei von der Anzahl der möglichen Kombinationen aus). Da aber
der Angreifer möglichst schnell in ein Netz eindringen will, hat er Wege gefunden,
schneller zu "raten".
Ein Weg ist der, daß der Angreifer sich unter bekannten oder vermuteten
Benutzerkennungen anmeldet, und dann versucht, mit relativ wahrscheinlichen
Paßwörter in das System einzudringen. Obwohl die Zahl der möglichen Paßwörter
immer noch immens ist, funktioniert diese Methode überraschend häufig (Viele Paßwörter
ergeben sich aus dem Arbeitsumfeld, den Hobbies usw.. Zum Teil können bestimmte
Kombinationen in Systemhandbüchern nachgelesen werden, denn die voreingestellten
Zugriffe wurden nicht gelöscht ). Ist der Angreifer erst einmal im System, hat
er den schwierigsten Teil schon geschafft.
Der andere Weg erfolgt über einen Angriff auf das Paßwortsystem. Zuerst
"besorgt" sich der Angreifer eine Paßwortdatei des Systems (entweder über
interne Firmenkontakte, Trojanische Pferde oder Einbruch (eher selten)).
Die Paßwortdatei ist natürlich verschlüsselt, aber im Internet finden sich
genügend Programme zum "cracken" oder dekodieren. Manchmal ist selbst das
nicht nötig, wenn der Angreifer die Möglichkeit hatte den Verschlüsselungsalgorithmus
in Erfahrung zu bringen. Die Chance ein Paßwort in Erfahrung zu bringen, wird kleiner
je länger das Paßwort ist.
Aus diesen Gründen sollte darauf geachtet werden möglichst lange, "unlogische" Kombinationen
aus Buchstaben, Zahlen und Sonderzeichen zu bilden (Die meisten Personen fürchten
allerdings bei solchen "sicheren" Paßwörtern, diese zu vergessen.). Auf gar keinen Fall
darf das Paßwort aufgeschrieben werden, oder gar am Arbeitsplatz liegengelassen
werden (im Falle eines Einbruchs hat der Angreifer um so leichteres Spiel)
2.2 Zugriff durch wiederholen auspionierter Nachrichten
Diese Methode setzt voraus, daß der Angreifer die Möglichkeit hat,
bestimmte Nachrichten abzuhören, was streng genommen schon einen
Einbruch ins System darstellt. Hat z.B. der Angreifer Zugang zu
den Telekommunikationswegen, kann er beim Datenaustausch zwischen
zwei Rechnern die Signal mitschneiden (zuerst wird ja die Benutzer-ID
und das Paßwort übermittelt ), und diesen Mitschnitt später verwenden,
um in das System zu gelangen. Er braucht lediglich den entsprechen
Teil des Mitschnitts (Benutzer-ID und Paßwort) einzuspielen, und
schon hat er das Sicherheitssystem überwunden.
2.3 Tarnangriff
Der Angreifer nutzt eine Tarnung, um eine falsche Identität vorzugaukeln.
Die Identität erhält er durch Ausspähen von Benuzter-ID und Paßwort
(siehe auch 2.2). Eine andere Methode der Tarnung besteht in der Manipulation
des Absenderfeldes einer Nachricht, oder die Manipulation der Adresse der
Netzwerkkarte.
Ist der Angegriffene erst einmal über die Identität getäuscht,
ist er meist leicht dazu zu bewegen, geheime Daten preiszugeben.
2.4 Angriff von aussen über Telekommunikationswege
in Arbeit...
2.5 IP-Spoofing
Bei dieser Art der Attacke wird mit Hilfe einer falschen IP-Nummer dem
angegriffenen System eine falsche Identität vorgetäuscht. Die gegenseitige
Identifikation zweier kommunizierender Netze (Systeme) erfolgt bei den
meisten TCP/IP-Protokollen ausschließlich über die IP-Adresse. Im Internet
sind jedoch sehr viele "Hackertools" als Freeware erhältlich, die es
ermöglichen, eine falsche IP-Adresse vorzutäuschen.
2.6 Datenpakete mit extravaganten TCP-Headern
Diese Angriffsmethode ist sehr simple. Der Angreifer schickt einem der
Netzserver des zu attackierenden Netzes einen unbekannten Paketheader.
Der Server interpretiert diesen Header falsch, und wird so zu
unvorhergesehenen Reaktionen verleitet. In Folge dieser Reaktionen
ist es dem Angreifer dann möglich in das System einzudringen.
2.7 Mißbrauch des Source-Routing
Einem IP-Paket läßt sich die Route, die es nehmen soll, um ans Ziel
zu gelangen, vorschreiben, genauso wie die Route, den das Antwortpaket
zu nehmen hat. Während der Übertragung besteht die Möglichkeit, die
Wegbeschreibung zu manipulieren, so daß nicht der vorgeschriebene,
sichere Weg (z.B. über die Firewall) genommen wird, sondern ein oder
mehrere unkontrollierte Wege.
2.8 Mißbrauch des ICMP-Protokolls
ICMP steht für das Internet-Controll-Message-Protokoll. Es hat die
Aufgabe Fehler- und Diagnosefunktionen zu übermitteln. Leider läßt
es sich zum Ändern der Routingtabellen mißbrauchen, so daß z.B.
nicht geschützte Routen benutzt werden. Oder der Angreifer schleust
über diesen Weg gefälschte destination-unreachable-Pakte in eine
bestehende Verbindung, um diese zu unterbrechen.
2.9 Mißbrauch der Routing-Protokolle
Routing-Protokolle haben die Aufgabe zwei vernetzten Systemen evtl.
Routenänderungen mitzuteilen. So ist es möglich mit einer dynamischen
Routingtabelle zu arbeiten. Für einen Angreifer ist es aber möglich
falsche RIP-Pakete (Route-Information-Protokoll)zu erzeugen, und
so die Systeme zu veranlassen, ungewünschte Routen zu nehmen.
3.0 Mögliche Schäden
Die Palette der möglichen Schäden, die durch einen Angriff auf das
Netz entstehen können, sind ist breit gefächert, und viele solcher
Schäden werden von den meisten Menschen ad hoc gar nicht als solche
erkannt, sondern als eine Art Streich angesehen, obwohl sie äußerst
kriminell sind und den Betriebsablauf erheblich stören.
Behinderung oder Ausfall von Netzdiensten:
Durch Attacken mit z.B. sogenannten Email-Bombern kann der Emailverkehr
einer Firma komplett erlahmen (Email-Bomber schicken eine sehr hohe
Anzahl von sinnlosen Emails an eine Mail-Server (meist auch spezielle
Email-Accounts), so daß dieser überlastet wird (man stelle sich einen
einzigen Email-Account vor, in dem an einem Tag mehrere MB sinnloser
Mails landen. Allein die Downloadzeiten sind immens, abgesehen von
der Arbeit aus diesem Müll noch die wichtigen Emails auszusortieren).
Eine andere, auf dem gleichen Prinzip beruhende Angriffsmöglichkeit ist
das "Zumüllen" eines FTP-Servers.
Ein angegriffenes Netz kann auch als "Lager" für z.B. raubkopierte,
gecrackte oder illegale Software genutzt werden. Diese Software nimmt
zum einem Speicherplatz (aufgrund der mittlerweile recht preiswerten
Speichermedien ein nicht mehr so ins Gewicht fallender Schaden), zum
anderen fällt bei einer Überprüfung des Netzes durch z.B. die
Staatsanwaltschaft ein schlechtes Licht auf den Netzbetreiber
(wie kann denn bewiesen werden, daß diese Software (Daten)
von außen in das System eingespielt wurden?).
Desweiteren kann der Angreifer das eroberte Netz auch dazu nutzen,
in andere Systeme oder Netze einzudringen, indem er sich mit der
Identität des gekaperten Netzes tarnt. Fällt er hierbei auf, führt
die Spur zu dem gekaperten Netz, jedoch nicht zum eigentlichen Täter.
Auch hier besteht wieder das Problem der Beweislast.
Die oben angeführten Schäden sind jedoch harmlos im Vergleich zu den
direkten Schäden, die ein Eindringling anrichten kann. Es besteht
die Möglichkeit Daten zu löschen, Daten zu manipulieren, Software
zu stehlen, Entwicklungsarbeit zu vernichten u.v.m.. Auf diese Weise
kann ein Unternehmen unter Umständen in finanzielle Schwierigkeiten
gebracht werden. Es besteht auch die Gefahr, daß vertrauliche
(vielleicht auch persönliche) Daten in die Öffentlichkeit gelangen
(Man stelle sich vor, sämtliche Dokumente eines Rechtsanwaltes
oder Arztes würden bekannt, hierbei wäre nicht nur der Netzbetreiber,
sondern auch Kunden, Klienten und Patienten geschädigt.).
4.0 Verschiedene Firewall-Konzepte
Circuit-Level-Gateways (CLG)
CLG vermitteln auf der Verbindungsebene als Schalter zwischen den
TCP-Verbindungen. Die CLG schichtet hierbei die Daten zwischen den
Schnittstellen (zwischen externen und internen Partner) um , wobei
in der Regel die Daten selbst nicht kontrolliert werden.
Bei ausgehenden Verbindungen besteht normalerweise keine Gefahr,
im Gegensatz zu Verbindungen, die von außen nach innen erfolgen,
sofern diese allgemein zur Vefügung stehen sollen.
Paketfilter
Paketfilter nutzen die Informationen (Quell-, Zieladresse und Portnummer)
des TCP/IP-Protokolls zur Paketfilterung, mit Hilfe von Access- und Deny-Listen.
Da jeder Router die Option einer Paketfilterung hat, ist dies eine
preiswerte Lösung. Ihr Nachteil besteht in der Schwierigkeit die Access
und Deny-Listen zu erstellen und zu verwalten, sowie der Routerprogrammierung.
Hinzu kommt noch, daß sich in die komplexen Filterregeln leicht Fehler
einschleichen können, die dann deren Beschaffenheit gefährden.
Ein weiter Nachteil besteht darin, daß zu Beginn eines Angriff einige
der Datenpakete vor den Paketfiltern zurückgewiesen werden, so daß
Attacken nicht erkannt oder zurückverfolgt werden können.
Proxy-Server (Application-Level-Gateway)
Application-Level-Gateways leiten Anwendungen weiter, wobei
für jede Anwendung ein eigener Code verwendet wird, der sogenannte
Proxy-Server. Dieser Proxy-Sever untersucht den Verkehr und
vermittelt zwischen interner und externer Seite. Bei dieser
Aufgabe hat er die vollständige Kontrolle über den Verkehr,
und somit die Möglichkeit einer vollständigen Protokollierung
des Datenaustausches.
Standardmäßig ist die TCP/IP-Weiterleitung unterbunden, so daß,
wenn kein für diesen Dienst entsprechender Proxy-Server installiert
ist, keine Verbindung möglich ist.
5.0 Firewallarchitekturen
Einige grundsätzliche Überlegungen zu Firewalls:
Je simpler eine Firewallarchitektur ist, desto
weniger ist sie fehleranfällig, denn wenn mehrere
Komponenten betreut und konfiguriert werden müssen, steigt
auch die Anzahl der Fehlerquellen.
Eine Firewall mit einem hohen Sicherheitsniveau ist teuer
gegenüber einer mit einem niedrigen Sicherheitsniveau.
Bei der Auswahl sollte darauf geachtet werden, daß die
zu treffenden Schutzmaßnahmen im Preis nicht höher als
der zu schützende Gegenwert liegen. Ausnahme: Für persönliche
Daten von Kunden, Klienten oder Patienten ist das höchste
Sicherheitsniveau gerade gut genug, denn im Fall eines
Systemeinbruchs ist nicht mehr der Netz- oder Systembetreiber
der einzig Betroffene (hier hat der Betreiber eine besondere Sorgfaltspflicht).
Die Sicherheit eines Netzes wird durch die Serienschaltung
diverser Sicherheitsstufen, mit jeweils anderem Betriebssystem
(bei gleichem BS. wäre eine mögliche Sicherheitslücke direkt
auf allen Systemen), immens erhöht. Bei einer solchen Architektur
sind der Aufwand der Administration und die Anforderungen an
den Administrator sehr hoch.
Dual-Homed-Host (DHH)
Ein DHH ist ein mit zwei Netzwerkkarten ausgerüsteter Rechner,
mit dem man zwei Netzwerke verbinden kann, ähnlich wie mit
einem Router, jedoch ist die Routingfunktion nicht verfügbar,
wodurch der TCP/IP-Datenaustausch zwischen den Netzen komplett
gesperrt ist.
Nur über Proxy-Server ist eine kontrollierte,
gefilterte Verbindung zwischen den Systemen möglich. Diese
Architektur birgt jedoch ein enormes Risiko, denn ist es einem
Angreifer ersteinmal gelungen in das System einzudringen, ist
das gesamte innere Netz ungeschützt, da keine weiteren Sicherungsmaßnahmen
vorhanden sind.
Screened-Host (SH)
Im internen System ist ein Bastion-Host, zu dem von interner,
als auch externer Seite eine Verbindung aufgebaut werden kann.
Die Verbindungen über diesen Bastion-Host werden über Proxy-Server
abgewickelt, wobei die primäre Sicherheit wieder durch Paketfilterung
erreicht wird. Zu keinem Zeitpunkt jedoch gibt es eine direkte
Verbindung zwischen interner und externer Seite.
Genau wie beim DHH besteht auch hier das Risiko, daß einem
Angreifer, ist er erst einmal im System, nichts mehr entgegenzusetzen
ist.
Screening-Router (SR)
Bei einem SR handelt es sich um einen Router, der zwei Netze
mit Hilfe der Paketfilterung miteinander
verbindet. Dies stellt die billigste Firewall,
aber auch die mit dem niedrigsten Sicherheitslevel dar.
Preiswert, weil bei jeder Netzwerkanbindung ein Router,
auf dem Access- und Denylisten installiert werden können,
vorhanden ist. Für einen geschickten Angreifer ist diese
Architekur z.B. mit IP-Spoofing leicht zu überwinden. Da
ein Router keine Protokollierungsmöglichkeit aufweist, ist
es schwer einen Angriff zu erkennen oder zurückzuverfolgen.
Screened-Subnet (SS)
Diese Architektur ist eine Kombination aus SR und
DHH. Durch die Serienschaltung unabhängiger Module
mit unterschiedlichen Filtern, wird ein höherer
Sicherheitslevel erreicht, da einem Angreifer nach
Überwindung einer Sicherung sofort die nächste Hürde
in den Weg gestellt wird. Diese Architektur kann wie folgt
realisiert werden:
1) Zwei SR (extern+inten) und DHH
2) SR (extern) und DHH
3) SR (intern) und DHH
Durch die fehlende Protokollierungsmöglichkeit der Router
besteht weiterhin die Problematik des Erkennens und
Zurückverfolgung von Angriffen.
Weitere mögliche Architekturen sind :
1) Three-Homed-Host (THH)
2) Screened Subnet mit 2 Bastion-Hosts
6.0 Grenzen einer Firewall
Keine Firewall kann einen absoluten Schutz gegen
ein Eindringen in ein System gewährleisten. Sie kann
lediglich einen Einbruch so schwer wie möglich, und
damit auch so unwahrscheinlich wie möglich machen.
Dies bedeutet, daß eine Firewall zwar großen Schutz,
jedoch keine absolute Sicherheit bietet.
Sie kann Angriffe oder deren Versuche auf niedriger
Protokollebene feststellen, meist abblocken, teilweise
auch protokollieren und zurückverfolgen, gegen Angriffe
auf höherer Ebene ist sie jedoch nutzlos (Sie kann z.B.
Virenbefall nicht verhindern, denn dazu müßte jedes
einzelne Datenpacket zeitaufwendig untersucht werden).
Gegen Angriffe, die aus dem internen Netz heraus verübt
werden, kann eine Firewall ebenfalls nicht schützen,
es sei denn, ein bestimmter Teil des internen Netzes
ist durch eine Firewall geschützt.
Schutz kann die Firewall auch nur dann bieten, wenn
die gesamte Kommunikation mit externen Systemen über
diese Firewall abgewickelt wird. Ein einziger Kommunikationskanal
(z.B. Modem) reicht aus, um das gesamte Netz zu gefährden,
da so die Firewall umgangen werden kann. Aus dem o.a. Argument
geht eindeutig hervor, daß das größte Risikopotential von den
Menschen ausgeht, die mit und in dem Netz arbeiten, denn durch
Unwissenheit und Leichtgläubigkeit können sie einem Angreifer
viele Möglichkeiten des Eindringen öffnen.
Leider hinkt die Entwicklung von Schutzmechanismen immer
den Möglichkeiten des Angriffs hinterher, denn bevor die
Entwickler einer Firewall einen Schutzmechanismus erstellen,
müssen sie zuerst wissen, gegen welche Art des Angriffs geschützt werden muß.
7.0 Betrieb einer Firewall
Um einen guten Schutz durch eine Firewall zu haben muß man
erst eines bedenken: Ein absolut sicheres Netz kann und
wird es niemals geben.
Der erste Grundsatz einer ausgereiften Sicherheitspolitik
heißt:
Die Sicherheit muß stets überprüft und verbessert werden.
Der zweite Grundsatz:
Die Einhaltung der Sicherheitsvorschriften werden ständig überprüft.
Um diese Leitsätze umzusetzen, muß das Netz ständig auf neu
geschaffene Wege, die eine Umgehung der Firewall ermöglichen,
untersucht werden. Des weiteren müssen die angefallenen
Protokollierungsdaten auf Unregelmäßigkeiten untersucht werden.
Damit die Firewall stets auf dem neuesten Sicherheitsstandard
gehalten werden kann, muß sie regelmäßig upgedatet werden, und
der verantwortliche Mitarbeiter hat sich stets über die neuesten
Sicherheitsgefahren zu informieren.
1.0 Was ist eine Firewall, und wozu wird sie benötigt
2.0 Angriffsmethoden, um Zugriff auf ein Netz zu erhalten
2.1 Paßwörter raten
2.2 Zugriff durch wiederholen auspionierter Nachrichten
2.3 Tarnangriff
2.4 Angriff von aussen über Telekommunikationswege
2.5 IP-Spoofing
2.6 Datenpakete mit extravaganten TCP-Headern
2.7 Mißbrauch des Source-Routing
2.8 Mißbrauch des ICMP-Protokolls
2.9 Mißbrauch der Routing-Protokolle
3.0 Mögliche Schäden
4.0 Verschiedene Firewall-Konzepte
5.0 Firewallarchitekturen
6.0 Grenzen einer Firewall
7.0 Betrieb einer Firewall
1.0 Was ist eine Firewall, und wozu wird sie benötigt?
Eine Firewall ist ein(e) Rechner (Rechnerkonstellation), der (die)
die Kommunikation zwischen zwei Rechnernetzen kontrolliert z.B.
die Kommunikation zwischen Firmennetz und Internet. Die
eigentliche Firewall ist eine spezielle Software, die dem
Netzadministrator erlaubt einzelne Benutzerprofile zu erstellen,
so daß nicht jeder Benutzer jeden zur Verfügung stehenden Dienst
nutzen kann. Die Firewallsoftware ist zu Beginn per Voreinstellung
so konfiguriert, daß der gesamte ein- und ausgehende Datenverkehr
gesperrt ist. Der Administrator ikann nun mit speziellen Softwaremodulen
einzelne Kommunikationskanäle (Kommunikationsdienste) für einzelne
Benutzer bzw. Benutzergruppen freigeben. Alle anderen Verbindungen,
die nicht ausdrücklich freigeschaltet sind, bleiben blockiert.
Ein weiterer Vorteil der Firewall liegt auf der Hand. Obwohl jedes
Netz abgesichert werden kann, bedeutet es doch einen erheblich
größeren Aufwand, ein Netz, bei dem jeder Rechner ein potentielles
Sicherheitsloch ist, gegen Angriffe von außen zu sichern. Da z.B.
mehrere Rechner eine Verbindung zum Internet besitzen, kann auch
über mehrere Rechner in das System eingebrochen werden, ergo muß
bei einem solchen Netz jeder Rechner einzeln auf den Sicherheitslevel
gebracht werden (sehr zeitaufwendig, daher kostenintensiv). Anders
hingegen sieht es bei einem Netz mit Firewall aus: Es gibt meist
nur diesen einen Zugang zum anderen Netz, d.h. ein Angriff auf
das Netz kann nur über die Firewall erfolgen. Der Administrator
muß nun jedoch nicht mehr alle Rechner kontrollieren und konfiguriren,
sondern er braucht "nur" noch die Firewall entsprechend zu modifizieren,
und erreicht damit eine höhere Sicherheit (Er kontrolliert wer, wann
und mit wem kommuniziert hat, und er erfährt, ob versucht wurde in
das System einzudringen).
Ein weitere Aspekt der Sicherheit einer Firewall ist darin zu sehen,
daß nicht jeder Netzadministrator in Sicherheitsfragen auf dem neuesten
Stand ist , bzw. seien kann. Die Firewall wird aber durch Experten stets
modifiziert, reformiert und den neu auftauchenden Sicherheitsproblemen
angepaßt.
2.0 Angriffsmethoden, um Zugriff auf ein Netz zu erhalten
Um in ein Netz, bzw. gesicherte Netzbereiche einzudringen, gibt es verschiedene
Methoden. Zum einen besteht die Möglichkeit des Angriffes von Außen
(über das Internet, bzw. Telekommunikationswege), die andere Möglichkeit
besteht im Angriff von Innen (z.B. ein gekündigter Mitarbeiter möchte die
Firma schädigen, indem er (a) Daten zerstört, oder (b) Daten an ein
Konkurrenzunternehmen verkauft).
Auf den Angriff von Innen wird hier nicht
weiter eingegangen werden.
2.1 Paßwörter raten
Würde versucht, Paßwörter
willkürlich zu raten, könnten, statistisch gesehen, unter Umständen Jahre vergehen
(die Statistik geht hierbei von der Anzahl der möglichen Kombinationen aus). Da aber
der Angreifer möglichst schnell in ein Netz eindringen will, hat er Wege gefunden,
schneller zu "raten".
Ein Weg ist der, daß der Angreifer sich unter bekannten oder vermuteten
Benutzerkennungen anmeldet, und dann versucht, mit relativ wahrscheinlichen
Paßwörter in das System einzudringen. Obwohl die Zahl der möglichen Paßwörter
immer noch immens ist, funktioniert diese Methode überraschend häufig (Viele Paßwörter
ergeben sich aus dem Arbeitsumfeld, den Hobbies usw.. Zum Teil können bestimmte
Kombinationen in Systemhandbüchern nachgelesen werden, denn die voreingestellten
Zugriffe wurden nicht gelöscht ). Ist der Angreifer erst einmal im System, hat
er den schwierigsten Teil schon geschafft.
Der andere Weg erfolgt über einen Angriff auf das Paßwortsystem. Zuerst
"besorgt" sich der Angreifer eine Paßwortdatei des Systems (entweder über
interne Firmenkontakte, Trojanische Pferde oder Einbruch (eher selten)).
Die Paßwortdatei ist natürlich verschlüsselt, aber im Internet finden sich
genügend Programme zum "cracken" oder dekodieren. Manchmal ist selbst das
nicht nötig, wenn der Angreifer die Möglichkeit hatte den Verschlüsselungsalgorithmus
in Erfahrung zu bringen. Die Chance ein Paßwort in Erfahrung zu bringen, wird kleiner
je länger das Paßwort ist.
Aus diesen Gründen sollte darauf geachtet werden möglichst lange, "unlogische" Kombinationen
aus Buchstaben, Zahlen und Sonderzeichen zu bilden (Die meisten Personen fürchten
allerdings bei solchen "sicheren" Paßwörtern, diese zu vergessen.). Auf gar keinen Fall
darf das Paßwort aufgeschrieben werden, oder gar am Arbeitsplatz liegengelassen
werden (im Falle eines Einbruchs hat der Angreifer um so leichteres Spiel)
2.2 Zugriff durch wiederholen auspionierter Nachrichten
Diese Methode setzt voraus, daß der Angreifer die Möglichkeit hat,
bestimmte Nachrichten abzuhören, was streng genommen schon einen
Einbruch ins System darstellt. Hat z.B. der Angreifer Zugang zu
den Telekommunikationswegen, kann er beim Datenaustausch zwischen
zwei Rechnern die Signal mitschneiden (zuerst wird ja die Benutzer-ID
und das Paßwort übermittelt ), und diesen Mitschnitt später verwenden,
um in das System zu gelangen. Er braucht lediglich den entsprechen
Teil des Mitschnitts (Benutzer-ID und Paßwort) einzuspielen, und
schon hat er das Sicherheitssystem überwunden.
2.3 Tarnangriff
Der Angreifer nutzt eine Tarnung, um eine falsche Identität vorzugaukeln.
Die Identität erhält er durch Ausspähen von Benuzter-ID und Paßwort
(siehe auch 2.2). Eine andere Methode der Tarnung besteht in der Manipulation
des Absenderfeldes einer Nachricht, oder die Manipulation der Adresse der
Netzwerkkarte.
Ist der Angegriffene erst einmal über die Identität getäuscht,
ist er meist leicht dazu zu bewegen, geheime Daten preiszugeben.
2.4 Angriff von aussen über Telekommunikationswege
in Arbeit...
2.5 IP-Spoofing
Bei dieser Art der Attacke wird mit Hilfe einer falschen IP-Nummer dem
angegriffenen System eine falsche Identität vorgetäuscht. Die gegenseitige
Identifikation zweier kommunizierender Netze (Systeme) erfolgt bei den
meisten TCP/IP-Protokollen ausschließlich über die IP-Adresse. Im Internet
sind jedoch sehr viele "Hackertools" als Freeware erhältlich, die es
ermöglichen, eine falsche IP-Adresse vorzutäuschen.
2.6 Datenpakete mit extravaganten TCP-Headern
Diese Angriffsmethode ist sehr simple. Der Angreifer schickt einem der
Netzserver des zu attackierenden Netzes einen unbekannten Paketheader.
Der Server interpretiert diesen Header falsch, und wird so zu
unvorhergesehenen Reaktionen verleitet. In Folge dieser Reaktionen
ist es dem Angreifer dann möglich in das System einzudringen.
2.7 Mißbrauch des Source-Routing
Einem IP-Paket läßt sich die Route, die es nehmen soll, um ans Ziel
zu gelangen, vorschreiben, genauso wie die Route, den das Antwortpaket
zu nehmen hat. Während der Übertragung besteht die Möglichkeit, die
Wegbeschreibung zu manipulieren, so daß nicht der vorgeschriebene,
sichere Weg (z.B. über die Firewall) genommen wird, sondern ein oder
mehrere unkontrollierte Wege.
2.8 Mißbrauch des ICMP-Protokolls
ICMP steht für das Internet-Controll-Message-Protokoll. Es hat die
Aufgabe Fehler- und Diagnosefunktionen zu übermitteln. Leider läßt
es sich zum Ändern der Routingtabellen mißbrauchen, so daß z.B.
nicht geschützte Routen benutzt werden. Oder der Angreifer schleust
über diesen Weg gefälschte destination-unreachable-Pakte in eine
bestehende Verbindung, um diese zu unterbrechen.
2.9 Mißbrauch der Routing-Protokolle
Routing-Protokolle haben die Aufgabe zwei vernetzten Systemen evtl.
Routenänderungen mitzuteilen. So ist es möglich mit einer dynamischen
Routingtabelle zu arbeiten. Für einen Angreifer ist es aber möglich
falsche RIP-Pakete (Route-Information-Protokoll)zu erzeugen, und
so die Systeme zu veranlassen, ungewünschte Routen zu nehmen.
3.0 Mögliche Schäden
Die Palette der möglichen Schäden, die durch einen Angriff auf das
Netz entstehen können, sind ist breit gefächert, und viele solcher
Schäden werden von den meisten Menschen ad hoc gar nicht als solche
erkannt, sondern als eine Art Streich angesehen, obwohl sie äußerst
kriminell sind und den Betriebsablauf erheblich stören.
Behinderung oder Ausfall von Netzdiensten:
Durch Attacken mit z.B. sogenannten Email-Bombern kann der Emailverkehr
einer Firma komplett erlahmen (Email-Bomber schicken eine sehr hohe
Anzahl von sinnlosen Emails an eine Mail-Server (meist auch spezielle
Email-Accounts), so daß dieser überlastet wird (man stelle sich einen
einzigen Email-Account vor, in dem an einem Tag mehrere MB sinnloser
Mails landen. Allein die Downloadzeiten sind immens, abgesehen von
der Arbeit aus diesem Müll noch die wichtigen Emails auszusortieren).
Eine andere, auf dem gleichen Prinzip beruhende Angriffsmöglichkeit ist
das "Zumüllen" eines FTP-Servers.
Ein angegriffenes Netz kann auch als "Lager" für z.B. raubkopierte,
gecrackte oder illegale Software genutzt werden. Diese Software nimmt
zum einem Speicherplatz (aufgrund der mittlerweile recht preiswerten
Speichermedien ein nicht mehr so ins Gewicht fallender Schaden), zum
anderen fällt bei einer Überprüfung des Netzes durch z.B. die
Staatsanwaltschaft ein schlechtes Licht auf den Netzbetreiber
(wie kann denn bewiesen werden, daß diese Software (Daten)
von außen in das System eingespielt wurden?).
Desweiteren kann der Angreifer das eroberte Netz auch dazu nutzen,
in andere Systeme oder Netze einzudringen, indem er sich mit der
Identität des gekaperten Netzes tarnt. Fällt er hierbei auf, führt
die Spur zu dem gekaperten Netz, jedoch nicht zum eigentlichen Täter.
Auch hier besteht wieder das Problem der Beweislast.
Die oben angeführten Schäden sind jedoch harmlos im Vergleich zu den
direkten Schäden, die ein Eindringling anrichten kann. Es besteht
die Möglichkeit Daten zu löschen, Daten zu manipulieren, Software
zu stehlen, Entwicklungsarbeit zu vernichten u.v.m.. Auf diese Weise
kann ein Unternehmen unter Umständen in finanzielle Schwierigkeiten
gebracht werden. Es besteht auch die Gefahr, daß vertrauliche
(vielleicht auch persönliche) Daten in die Öffentlichkeit gelangen
(Man stelle sich vor, sämtliche Dokumente eines Rechtsanwaltes
oder Arztes würden bekannt, hierbei wäre nicht nur der Netzbetreiber,
sondern auch Kunden, Klienten und Patienten geschädigt.).
4.0 Verschiedene Firewall-Konzepte
Circuit-Level-Gateways (CLG)
CLG vermitteln auf der Verbindungsebene als Schalter zwischen den
TCP-Verbindungen. Die CLG schichtet hierbei die Daten zwischen den
Schnittstellen (zwischen externen und internen Partner) um , wobei
in der Regel die Daten selbst nicht kontrolliert werden.
Bei ausgehenden Verbindungen besteht normalerweise keine Gefahr,
im Gegensatz zu Verbindungen, die von außen nach innen erfolgen,
sofern diese allgemein zur Vefügung stehen sollen.
Paketfilter
Paketfilter nutzen die Informationen (Quell-, Zieladresse und Portnummer)
des TCP/IP-Protokolls zur Paketfilterung, mit Hilfe von Access- und Deny-Listen.
Da jeder Router die Option einer Paketfilterung hat, ist dies eine
preiswerte Lösung. Ihr Nachteil besteht in der Schwierigkeit die Access
und Deny-Listen zu erstellen und zu verwalten, sowie der Routerprogrammierung.
Hinzu kommt noch, daß sich in die komplexen Filterregeln leicht Fehler
einschleichen können, die dann deren Beschaffenheit gefährden.
Ein weiter Nachteil besteht darin, daß zu Beginn eines Angriff einige
der Datenpakete vor den Paketfiltern zurückgewiesen werden, so daß
Attacken nicht erkannt oder zurückverfolgt werden können.
Proxy-Server (Application-Level-Gateway)
Application-Level-Gateways leiten Anwendungen weiter, wobei
für jede Anwendung ein eigener Code verwendet wird, der sogenannte
Proxy-Server. Dieser Proxy-Sever untersucht den Verkehr und
vermittelt zwischen interner und externer Seite. Bei dieser
Aufgabe hat er die vollständige Kontrolle über den Verkehr,
und somit die Möglichkeit einer vollständigen Protokollierung
des Datenaustausches.
Standardmäßig ist die TCP/IP-Weiterleitung unterbunden, so daß,
wenn kein für diesen Dienst entsprechender Proxy-Server installiert
ist, keine Verbindung möglich ist.
5.0 Firewallarchitekturen
Einige grundsätzliche Überlegungen zu Firewalls:
Je simpler eine Firewallarchitektur ist, desto
weniger ist sie fehleranfällig, denn wenn mehrere
Komponenten betreut und konfiguriert werden müssen, steigt
auch die Anzahl der Fehlerquellen.
Eine Firewall mit einem hohen Sicherheitsniveau ist teuer
gegenüber einer mit einem niedrigen Sicherheitsniveau.
Bei der Auswahl sollte darauf geachtet werden, daß die
zu treffenden Schutzmaßnahmen im Preis nicht höher als
der zu schützende Gegenwert liegen. Ausnahme: Für persönliche
Daten von Kunden, Klienten oder Patienten ist das höchste
Sicherheitsniveau gerade gut genug, denn im Fall eines
Systemeinbruchs ist nicht mehr der Netz- oder Systembetreiber
der einzig Betroffene (hier hat der Betreiber eine besondere Sorgfaltspflicht).
Die Sicherheit eines Netzes wird durch die Serienschaltung
diverser Sicherheitsstufen, mit jeweils anderem Betriebssystem
(bei gleichem BS. wäre eine mögliche Sicherheitslücke direkt
auf allen Systemen), immens erhöht. Bei einer solchen Architektur
sind der Aufwand der Administration und die Anforderungen an
den Administrator sehr hoch.
Dual-Homed-Host (DHH)
Ein DHH ist ein mit zwei Netzwerkkarten ausgerüsteter Rechner,
mit dem man zwei Netzwerke verbinden kann, ähnlich wie mit
einem Router, jedoch ist die Routingfunktion nicht verfügbar,
wodurch der TCP/IP-Datenaustausch zwischen den Netzen komplett
gesperrt ist.
Nur über Proxy-Server ist eine kontrollierte,
gefilterte Verbindung zwischen den Systemen möglich. Diese
Architektur birgt jedoch ein enormes Risiko, denn ist es einem
Angreifer ersteinmal gelungen in das System einzudringen, ist
das gesamte innere Netz ungeschützt, da keine weiteren Sicherungsmaßnahmen
vorhanden sind.
Screened-Host (SH)
Im internen System ist ein Bastion-Host, zu dem von interner,
als auch externer Seite eine Verbindung aufgebaut werden kann.
Die Verbindungen über diesen Bastion-Host werden über Proxy-Server
abgewickelt, wobei die primäre Sicherheit wieder durch Paketfilterung
erreicht wird. Zu keinem Zeitpunkt jedoch gibt es eine direkte
Verbindung zwischen interner und externer Seite.
Genau wie beim DHH besteht auch hier das Risiko, daß einem
Angreifer, ist er erst einmal im System, nichts mehr entgegenzusetzen
ist.
Screening-Router (SR)
Bei einem SR handelt es sich um einen Router, der zwei Netze
mit Hilfe der Paketfilterung miteinander
verbindet. Dies stellt die billigste Firewall,
aber auch die mit dem niedrigsten Sicherheitslevel dar.
Preiswert, weil bei jeder Netzwerkanbindung ein Router,
auf dem Access- und Denylisten installiert werden können,
vorhanden ist. Für einen geschickten Angreifer ist diese
Architekur z.B. mit IP-Spoofing leicht zu überwinden. Da
ein Router keine Protokollierungsmöglichkeit aufweist, ist
es schwer einen Angriff zu erkennen oder zurückzuverfolgen.
Screened-Subnet (SS)
Diese Architektur ist eine Kombination aus SR und
DHH. Durch die Serienschaltung unabhängiger Module
mit unterschiedlichen Filtern, wird ein höherer
Sicherheitslevel erreicht, da einem Angreifer nach
Überwindung einer Sicherung sofort die nächste Hürde
in den Weg gestellt wird. Diese Architektur kann wie folgt
realisiert werden:
1) Zwei SR (extern+inten) und DHH
2) SR (extern) und DHH
3) SR (intern) und DHH
Durch die fehlende Protokollierungsmöglichkeit der Router
besteht weiterhin die Problematik des Erkennens und
Zurückverfolgung von Angriffen.
Weitere mögliche Architekturen sind :
1) Three-Homed-Host (THH)
2) Screened Subnet mit 2 Bastion-Hosts
6.0 Grenzen einer Firewall
Keine Firewall kann einen absoluten Schutz gegen
ein Eindringen in ein System gewährleisten. Sie kann
lediglich einen Einbruch so schwer wie möglich, und
damit auch so unwahrscheinlich wie möglich machen.
Dies bedeutet, daß eine Firewall zwar großen Schutz,
jedoch keine absolute Sicherheit bietet.
Sie kann Angriffe oder deren Versuche auf niedriger
Protokollebene feststellen, meist abblocken, teilweise
auch protokollieren und zurückverfolgen, gegen Angriffe
auf höherer Ebene ist sie jedoch nutzlos (Sie kann z.B.
Virenbefall nicht verhindern, denn dazu müßte jedes
einzelne Datenpacket zeitaufwendig untersucht werden).
Gegen Angriffe, die aus dem internen Netz heraus verübt
werden, kann eine Firewall ebenfalls nicht schützen,
es sei denn, ein bestimmter Teil des internen Netzes
ist durch eine Firewall geschützt.
Schutz kann die Firewall auch nur dann bieten, wenn
die gesamte Kommunikation mit externen Systemen über
diese Firewall abgewickelt wird. Ein einziger Kommunikationskanal
(z.B. Modem) reicht aus, um das gesamte Netz zu gefährden,
da so die Firewall umgangen werden kann. Aus dem o.a. Argument
geht eindeutig hervor, daß das größte Risikopotential von den
Menschen ausgeht, die mit und in dem Netz arbeiten, denn durch
Unwissenheit und Leichtgläubigkeit können sie einem Angreifer
viele Möglichkeiten des Eindringen öffnen.
Leider hinkt die Entwicklung von Schutzmechanismen immer
den Möglichkeiten des Angriffs hinterher, denn bevor die
Entwickler einer Firewall einen Schutzmechanismus erstellen,
müssen sie zuerst wissen, gegen welche Art des Angriffs geschützt werden muß.
7.0 Betrieb einer Firewall
Um einen guten Schutz durch eine Firewall zu haben muß man
erst eines bedenken: Ein absolut sicheres Netz kann und
wird es niemals geben.
Der erste Grundsatz einer ausgereiften Sicherheitspolitik
heißt:
Die Sicherheit muß stets überprüft und verbessert werden.
Der zweite Grundsatz:
Die Einhaltung der Sicherheitsvorschriften werden ständig überprüft.
Um diese Leitsätze umzusetzen, muß das Netz ständig auf neu
geschaffene Wege, die eine Umgehung der Firewall ermöglichen,
untersucht werden. Des weiteren müssen die angefallenen
Protokollierungsdaten auf Unregelmäßigkeiten untersucht werden.
Damit die Firewall stets auf dem neuesten Sicherheitsstandard
gehalten werden kann, muß sie regelmäßig upgedatet werden, und
der verantwortliche Mitarbeiter hat sich stets über die neuesten
Sicherheitsgefahren zu informieren.