RZ-Mitteilungen
Nr. 23
Mai 2002
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 23 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/23
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Das Firewall-System des Verwaltungsnetzes

Roland Herbst
roland.herbst@rz.hu-berlin.de

Abstract

Ausgehend vom Funktionsprinzip der grundlegenden Komponenten eines Firewall-Systems wird auf die Spezifik der Einrichtung eingegangen, welche den Netzwerkbereich der Universitätsverwaltung (Verwaltungsnetz) mit dem übrigen Universitätsnetz verbindet. Der folgende Artikel soll dazu dienen, etwas von der Mystik dieses Systems zu nehmen und die Nutzer über den Sinn und Aufbau zu informieren. Die Möglichkeiten und Grenzen des derzeit installierten Systems werden analysiert und Lösungstendenzen angedeutet.

Fast kein Tag vergeht, an dem nicht jemand eine neue Sicherheitslücke in einer Software entdeckt. Dann dauert es nicht lange, bis Programme verfügbar sind, die diese Sicherheitslücken ausnutzen. Vielfach handelt es sich hierbei um so genannte Buffer Overflows, eine Methode, bei der ein Angreifer den Eingabe-Puffer eines Server-Programmes aufgrund der fehlenden Überprüfung der Länge der Eingabe gezielt mit Informationen derart vollschreibt, dass der darin enthaltene schädliche Code ausgeführt wird und somit z. B. vorher geltende Methoden der Authentifizierung gegenüber dem System außer Kraft gesetzt werden. Über diesen Weg kann ein Angreifer dann langfristig das System kompromittieren und z. B. eigene schädliche Software auf den Servern installieren sowie diese für weitere Angriffe nutzen.

Um sich vor solchen und anderen Angriffen aus dem Internet zu schützen, befindet sich zwischen dem Verwaltungsnetz und dem übrigen Universitätsnetz ein Firewall-System, welches vom Rechenzentrum betrieben wird. Schon zu einem frühen Zeitpunkt war man bei uns der Auffassung, dass auch die Anwender des Verwaltungsnetzes Services des Internet für die Erfüllung ihrer dienstlichen Aufgaben benötigen. Der Schutzbedarf der Systeme, Daten und ihrer Anwender in diesem Bereich der Universitätsverwaltung verbot jedoch einen direkten Anschluss an das öffentliche Universitätsnetz.


Was ist denn nun ein Firewall-System?

Schon an diesem Punkt beginnen sich die Experten zu streiten. Immer stärker setzt sich die Auffassung durch, dass ein Firewall-System jegliche Einrichtung ist, die einen vorher ungeregelten IP-Netzwerkverkehr irgendwelchen Reglementierungen unterwirft. Dies fängt bei einem einfachen filternden Router an und hört bei einem ganzen Komplex von verschiedenen interagierenden Systemen auf.

Der ungeregelte Netzwerkverkehr wäre zum Beispiel der zwischen einem Client (z. B. PC) im Netz der Universität oder Ihrem PC zu Hause und einem Server, der sich irgendwo im Internet befinden kann. Per Definition besitzt ein PC eine Internet-Adresse und ist über einen Internet-Service-Provider (ISP) an den Rechner-Verbund des Internets angeschlossen. Für die Nutzer der Humboldt-Universität ist der ISP der DFN-Verein (Verein zur Förderung eines deutschen Forschungsnetzes). Schaltet man in den Kommunikationsweg ein System zum Schutz eines bestimmten Netzwerkbereiches (hier des Verwal tungsnetzes), über das man diesen Datenfluss regeln kann, spricht man von einem Firewall-System.

Die Kommunikation im Internet erfolgt Paket orientiert. Jedes Paket besitzt, vereinfacht ausgedrückt, einen Adress-Teil, einen Teil, der den Dienst beschreibt und einen reinen Daten-Teil. Aus diesem Aufbau heraus resultieren auch die verschiedenen Firewall-Arten. Grob werden sie erst einmal in Paketfilter (Packet Filter, IP-Filter) und Filter auf Anwendungs-Ebene (Application Level Gateways) unterteilt.

Paketfilter (Packet Filter, IP-Filter)

Wenn ein Paket einen Netzwerkknoten passiert, so werden nach und nach die Informationen, die sich darin befinden, extrahiert. Ein Netzwerkknoten kann dabei Ihr eigener PC, ein Server im Internet oder eine sich dazwischen befindliche Netzwerk-Komponente, also auch ein Firewall-System, sein. So ein IP-Paket ist schematisch in der Abb. 1 dargestellt.

image

Abb. 1: IP-Paket

Anhand der Informationen, die sich im IP-Paket befinden, kann man den Informationsfluss im Paketfilter regulieren. Dies betrifft die

  • Quell-Adresse (Source): Adresse des Netzwerkknotens, von dem das Paket stammt,
  • Ziel-Adresse (Destination): Adresse des Netzwerkknotens, an den das Paket adressiert ist,
  • Protokoll-Art (TCP, UDP, ICMP).

Wird das Paket weiter analysiert (ausgepackt), gelangt man innerhalb der Daten des IP-Paketes z. B. zu den Daten des TCP-Paketes, aus dem man nun die betreffenden Ports von Quelle und Ziel der Verbindung, d. h.

  • Quell-Portnummer,
  • Ziel-Portnummer,

entnehmen kann. Diese Informationen können nun genutzt werden, um Filterregeln für einen Paketfilter zu formulieren. Zwei Filterregeln ergeben dabei die Beschreibung einer Verbindung, es wird getrennt der Weg für abgehende und ankommende Pakete beschrieben. So kann man auf den Kommunikationsschichten unterhalb der Anwendung (Netzwerkebene und Transportebene) den Netzwerkverkehr im ersten Schritt regulieren. Die Protokoll-Familie TCP/IP unterscheidet insgesamt vier Schichten, die Netz-Zugangsschicht spielt aber in diesem Kontext keine Rolle (s. Abb. 2).

Modernere IP-Filter merken sich den Zustand einer Verbindung (initialisiert, aufgebaut, beendet), sodass man nur Regeln für eine bestimmte Protokoll-Art formulieren muss, es muss nicht mehr explizit zwischen abgehenden und hereinkommenden Paketen unterschieden werden. Aufgrund dieser Eigenschaft werden sie als dynamische Filter (stateful) bezeichnet. Es ist beabsichtigt, diese Filter auch in unserem System einzusetzen.

image

Abb. 2: Kommunikationsschichten bei TCP/IP-Systemen

Anwendungs-Gateway (Application Level Gateway)

Benötigt man noch Kontrolle über die Art der übertragenen Daten, sind die Grenzen des Paketfilters erreicht. Es werden Filter auf der Anwendungsebene eingesetzt. Erzielt wird dies durch einen Stellvertreter-Mechanismus (Proxy). Aus der einen Verbindung zwischen Client und Server werden zwei Verbindungen, eine zwischen Client und Proxy und eine zwischen Proxy und Server. Hier geht es darum, die Frage zu beantworten, ob auf einem bestimmten Port auch wirklich das Protokoll übertragen wird, welches man dort erwartet oder ob sich dort eventuell ein anderer Dienst befindet. Diese Anwendungs-Gateways sind also kleine Server-Programme und kennen den Inhalt des Protokolls, welches übertragen wird. Somit lassen sich feinere Einstellungen für die über diese Verbindungen übertragenen Daten vornehmen. Beispielsweise kennt der E-Mail-Proxy nur eine minimierte Anzahl von Befehlen, die zum Mail-Versand und -Empfang benötigt werden u.s.w. An dieser Stelle wird das Festschreiben oder Filtern der Informationen, die ein Server über den Client erhält (z. B. User-Agent), ermöglicht. Filtern kann man auch die gestatteten Kommandos innerhalb einer HTTP-Verbindung (z. B. CONNECT, POST, PUT), um z. B. verschlüsselte SSL/TLS-Verbindungen gezielt zu gestatten. Ein weiterer Vorteil eines Anwendungs-Gateways ist, dass die eigentliche Quell-Adresse der Verbindung durch den Proxy ersetzt wird und der angesprochene Server nur mit dem Proxy kommuniziert und keine weitergehenden Kenntnisse über das dahinter liegende Netzwerk und den Client erlangt.

Socks Proxy (Circuit Level Proxy)

Technisch betrachtet liegt zwischen Paketfilter und Anwendungs-Gateway der Socks-Proxy, auch Circuit Level Proxy genannt. Hier befindet sich zwischen dem Quell- und dem Zielsystem ein Proxy, der nicht so tief in ein Datenpaket hineinsehen kann wie ein Anwendungs-Gateway. Es besteht aber dennoch eine „richtige" zusätzliche Client-Server-Verbindung, d. h. der Informationsfluss wird am Proxy unterbrochen, sodass die dahinter liegende Netzwerk-Struktur verborgen bleibt. Viele Clients besitzen diese Funktionalität und somit hat auch diese Proxy-Form eine weite Verbreitung gefunden. Sie können immer dann eingesetzt werden, wenn ein Anwendungs-Gateway für die Anwendung nicht verfügbar ist und die Socks-Funktionalität vom Anbieter schon implementiert ist. Ein bekanntes Beispiel hierfür ist der ICA-Client für Citrix MetaFrame-Verbindungen. Ein solcher Proxy wird für die Anbindung der Rechner der Gehaltsstelle an einen ASP angewendet. Nähere Informationen hierzu finden Sie unter [8].

Ein weiteres Beispiel ist der SSH-Client, ein sicherer Telnet-Ersatz, der über einen solchen Proxy genutzt werden kann. Hat man Zugriff auf die Quellen einer Anwendung, so kann man die Socks-Unterstützung nachträglich hineinkonfigurieren.

Inhaltsverzeichnis

Was ist denn nun ein Fire...

Das derzeitige Firewall-K...

Möglichkeiten und Grenzen...

Fazit ...

Literatur...


Das derzeitige Firewall-Konzept

Die in den vorigen Abschnitten beschriebenen Firewall-Komponenten lassen sich einzeln einsetzen oder zu einem ganzen Firewall-System zusammenschalten. Das im Verwaltungsnetz installierte Firewall-System ist nach dem Konzept des geschützten Subnetzes aufgebaut:

Ein geschützter Netzwerkbereich wird durch zwei Paketfilter von zwei Seiten eingegrenzt. In diesem Netzwerk-Bereich, der Demilitarisierte Zone (DMZ) genannt wird, befinden sich verschiedene Server, die Proxies für die Kommunikation nach außen und innen beherbergen, und die Systeme, die Angriffsversuche protokollieren. Die grobe Struktur ist in Abb. 3 dargestellt.

image

Abb. 3: Firewall-System

Der innere Paketfilter im Verwaltungsnetz ist so konfiguriert, dass folgende Dienste aus dem Netz heraus genutzt werden können:

  • E-Mail (SMTP, IMAP),
  • Domain Name System (DNS),
  • Web (HTTP),
  • FTP download über Web-Proxy,
  • Directory (LDAP).

Auf dem Anwendungs-Gateway sind die entsprechenden Proxies für diese Dienste installiert. Die Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Computer-Magazines „c't" empfehlen, aktive Inhalte im Browser zu deaktivieren:

Da wir dies nicht allen Nutzern des Verwaltungsnetzes selbst zutrauen können, erfolgt diese Filterung zentral am Anwendungs-Gateway. In zunehmendem Maße entstehen jedoch Web-Angebote, die nur noch aus aktiven Inhalten bestehen, also aktive Elemente wie JavaScript, Java, ActiveX und verschiedene Plugins, kleine Zusatzprogramme, die als Ergänzungen eines Web-Angebotes dienen, enthalten. Gelangt ein Nutzer auf ein solches Angebot, so erhält er im ungünstigsten Fall eine leere Seite. Bisher wird nach der Methode verfahren, dass eine solche Seite nach gezielter Anforderung durch den Nutzer von den Firewall-Administratoren nach erfolgter Prüfung des Angebotes freigeschaltet werden kann.

Der äußere Paket-Filter ist so konfiguriert, dass keine Verbindungen in das Verwaltungsnetz hinein möglich sind. Die einzige Ausnahme dieser Regelung besteht in der IPSec-Verbindung, die im Artikel von Herrn Hoke beschrieben ist.

Inhaltsverzeichnis

Was ist denn nun ein Fire...

Das derzeitige Firewall-K...

Möglichkeiten und Grenzen...

Fazit ...

Literatur...


Möglichkeiten und Grenzen des derzeitigen Konzeptes

Möglichkeiten

Der Netzwerkbereich der Universitätsverwaltung und die sich darin befindenden Server und Dienste werden durch das System geschützt. Verbindungsversuche von außen in das Verwaltungsnetz hinein werden abgewehrt, protokolliert und automatisiert ausgewertet.

Infolge des Einsatzes von Programmen zur automatischen Auswertung der Log-Daten werden die Firewall-Administratoren zeitnah über Angriffversuche informiert und können entsprechend reagieren. In zunehmendem Maße werden zusätzliche Systeme zur Einbruchserkennung installiert, die die Wirksamkeit des Firewall-Systems kontrollieren können. Es werden nur bestimmte, im Sicherheitskonzept des Verwaltungsnetzes festgelegte Verbindungen aus dem Verwaltungsnetz heraus gestattet. Durch die Nutzung von Anwendungs-Gateways (Proxies) mit entsprechenden Filtern für aktive Inhalte werden die Clienten des Verwaltungsnetzes geschützt. Die Netzwerkstruktur bleibt für einen sich außerhalb des Netzwerkbereiches der Universität befindenden Betrachter (z. B. der Betreiber eines beliebigen Web-Servers im Internet) unsichtbar, d. h. es wird immer über einen Proxy kommuniziert, der die tatsächliche Quell-Adresse der Verbindung verschleiert.

Grenzen

Sicherheit und Komfort sind kontrovers, daran wird sich auch in Zukunft nichts ändern. Die oben beschriebene Regelung für den Umgang mit aktiven Inhalten kann und wird nicht die Lösung für die Zukunft sein. So werden derzeit andere Varianten untersucht. Ein mögliches Verfahren wäre es, in der DMZ einen Terminal-Server zu installieren, auf den über einen ICA-Client zugegriffen wird und der wiederum einen Web-Proxy befragt. Bei entsprechender Konfiguration könnten so alle Web-Angebote genutzt werden und nur der Inhalt der schon interpretierten Web-Seite würde an den Nutzer übertragen werden.

Ein weiteres Problem stellt der Umstieg auf Windows 2000 als PC-Netzwerk-Betriebssystem dar. In diesem Zusammenhang wird es notwendig sein, Kommunikationsbeziehungen zwischen Windows 2000-Systemen im inneren Verwaltungsnetz und verschiedenen Außenstellen über das Firewall-System hinweg zu ermöglichen. Diese sind bisher schon vorhanden, beruhen aber derzeit auf einem anderen Protokoll (Banyan VINES) und mussten deshalb beim derzeitigen Firewall-Konzept nicht berücksichtigt werden.

Auch hier gibt es schon Überlegungen für einen Lösungsansatz, das Problem ist allerdings vielschichtig. So wird in einem Papier vom Hersteller des Betriebssystems der Vergleich beschrieben, dass man die Möglichkeit hat, die Firewall für die für den Datenaustausch der Systeme notwendigen Ports zu öffnen und sie dabei zu einem „Schweizer Käse" zu machen. Die besseren Methoden sind VPN-Technologien, die wiederum an weiteren Stellen tiefgreifende Konsequenzen nach sich ziehen.

Inhaltsverzeichnis

Was ist denn nun ein Fire...

Das derzeitige Firewall-K...

Möglichkeiten und Grenzen...

Fazit ...

Literatur...


Fazit

Das Firewall-System des Verwaltungsnetzes hat einen festen Platz im Netzwerkkonzept der Universität und wird diesen auch in Zukunft behalten. Im Verlaufe der zurückliegenden Jahre ist es einer Vielzahl von Veränderungen unterworfen worden. So sind zu den ursprünglich angebotenen Diensten immer weitere hinzugekommen und seit Anfang 2001 ist die Universität darüber auch an einen ASP angebunden, was noch höhere Anforderungen an die Verfügbarkeit des Systems stellt.

Literatur

[1] Elizabeth D. Zwicky, Simon Cooper u. D. Brent Chapman: Einrichten von Internet Firewalls. Verlag O'Reilly, 2. Auflage 2001
[3] William Cheswick, Steven Bellovin: Firewalls und Sicherheit im Internet. Verlag Addison-Wesley
[4] Simson Garfinkel, Gene Spafford: Practical UNIX & Internet Security. Verlag O´Reilly, 2. Auflage