Inhalt
1. Einleitung
2. Entwicklung des Internet
3. Gefährdungen bei der Benutzung des
Internets
4. Allgemeine Schutzmöglichkeiten
5. Internet-Firewalls
Die Entwicklung eines globalen Netzes, welches unter Einbeziehung der vorhandenen Telekommunikationsmöglichkeiten in den nächsten Jahren für viele Menschen an Bedeutung gewinnen wird, stellt die Verantwortlichen für diese Systeme in Hinblick auf die gravierenden Sicherheitsprobleme vor eine große Aufgabe.
Viele der neuen Dienste werden dabei direkt oder indirekt von den Möglichkeiten, die das Internet als Prototyp eines weltweiten Netzes in Form von Diensten wie World Wide Web, Gopher oder ftp bietet, Gebrauch machen. Die schon vorhandenen Probleme dieses Netzes, welches als offenes Wissenschaftsnetz in einem demokratischen, dezentralen Umfeld entstanden ist, werden durch die vielen neuen Benutzer, die möglichst schnell das neue Medium benutzen wollen, und durch Anbieter von kommerziellen Diensten enorm vergrößert werden.
Die wichtigsten Schwächen sind Konzeptionsfehler, Fehler, die durch eine falsche Konfiguration oder Programmierung entstehen, und die offene Übertragung der Daten.
Will man nicht das erfolgreiche Konzept eines flexiblen Netzes zum freien
Informationsaustausch zerstören, so ist es dringend nötig, die vorhandenen
Möglichkeiten zur Verbesserung der Sicherheit zu nutzen und weiterzuentwickeln
und vor allem auch die Benutzer über die Gefahren aufzuklären.
Seit der Ankündigung des amerikanischen Vizepräsidenten Al Gore von 1993 mehr als eine Milliarde Dollar für die Entwicklung eines "Information Highway" bereitzustellen, ist die zunehmende Vernetzung der vorhandenen Großrechner- und Client/Server-Umgebungen zu einem globalen Netz in das allgemeine Interesse gerückt. Die heute schon verfügbaren oder zumindest theoretisch realisierbaren Anwendungen sind nur ein kleiner Ausschnitt dessen, was einige große Informationsanbieter und Kommunikationsfirmen für die nächsten Jahre geplant haben, und führen dennoch zu einem exponentiellen Zuwachs der vernetzten Rechner und ihrer Benutzer.
Die zunehmende Bedeutung einer weltweiten Vernetzung zeigt sich auch in der Erklärung des "European Round Table of Industrialists 1994", daß "die Datenautobahnen einen größeren Einfluß auf die künftige Entwicklung von Wirtschaft und Gesellschaft haben werden, als es physikalische Infrastrukturen wie Bahn, Elektrizität und Telefon jemals hatten".
Leider wird, wie auch schon bei früheren Entwicklungen neuer Technologien im Bereich der Informationsverarbeitung, die Sicherheit der Daten und der beteiligten Rechnersysteme als nebensächlich angesehen. Erst Schlagzeilen über Schäden, die durch Mißbrauch oder auch unabsichtliche Fehler entstanden sind, führen zu einer kurzzeitigen Aufmerksamkeit. Dabei wird leicht übersehen, daß ein für jeden erreichbares, weltweites Netz nicht nur viele neue Möglichkeiten bietet, sondern daß auch neue Sicherheitsprobleme auftreten, deren Berücksichtigung für einen sinnvollen Einsatz von entscheidender Bedeutung ist.
Der Begriff der Datenautobahn umfaßt im wesentlichen zwei Bereiche. Zum einen die verlegten Leitungen, seien es nun Kupfer- oder Glasfaser-Kabel oder Satellitenverbindungen, die mit Hilfe neuer Protokolle die anfallenden Datenmengen mit ausreichender Geschwindigkeit übertragen können. Zum anderen gehören hierzu aber auch die Anwendungen und Dienste, die in vielen unterschiedlichen Netzen den Benutzern zur Verfügung gestellt werden. Einen besonderen Platz nimmt in diesem Zusammenhang das Internet ein, welches auch häufig als Version 1.0 der Datenautobahn bezeichnet wird. Es ist in vielen Bereichen, positiven wie negativen, Vorbild für die weitere Entwicklung eines weltweiten Netzes und soll deshalb im folgenden genauer betrachtet werden.
Andere
Anwendungen wie Videoondemand, Pay-TV, Teleshopping, Videokonferenzen, die in
Verbindung des Internet mit vorhandenen Netzen wie Kabelfernsehen oder Telefon
in vielen Haushalten benutzt werden sollen, befinden sich noch in einer
Testphase. So z.B. im Rahmen des Pilotprojektes "Multimedia Baden-Württemberg",
bei dem im Sommer 1995 ca. 4000 Haushalte über Glasfasernetze verbunden werden.
Es bleibt abzuwarten, inwieweit diese Projekte von den Verbrauchern akzeptiert
werden und überregionale Bedeutung erlangen.
Der Beginn des Internet liegt im Jahre 1969 mit dem Aufbau des ARPA-Netzes (Advanced Research Projects Agency), welches durch das amerikanische Verteidigungsministerium initiiert worden ist. Es folgte die Festlegung auf die Protokolle TCP und IP im Jahre 1974 und die überwiegende Benutzung von Rechnern mit dem Betriebssystem UNIX. Anfang der 80er Jahre wurde das inzwischen entstandene Wissenschaftsnetz CSnet über Gateways mit dem ARPAnet verbunden, wobei aber die Aufteilung in viele kleinere Subnetze beibehalten wurde. Ende der 80er Jahre schließlich erfolgte der Übergang zum NSFnet (National Science Foundation) und in den letzten Jahren der Übergang zu privaten Internet-Providern. Parallel dazu gibt es auch in Deutschland neben dem Wissenschaftnetz WIN eine Reihe von kommerziellen Internet-Providern.
Nach einer Abschätzung der National Science Foundation über die Anzahl der angeschlossenen Hosts gibt es z. Zt. über 70 Millionen Benutzer des Internet.
Da die Entwicklung des Internet vorwiegend im wissenschaftlichen Bereich stattgefunden hat, in dem der freie Austausch von Informationen Vorrang hat, ist eine sehr flexible und von einer zentralen Verwaltung weitgehend unabhängige Struktur entstanden. Diese ermöglicht es, daß pro Monat mehrere 10.000 neue Rechner angeschlossen werden und die Menge der frei verfügbaren und zum Teil sehr ausgereiften Software in etwa gleichem Maße zunimmt. Auf der anderen Seite steigt aber mit jedem neuen Benutzer, der sich nicht ausreichend mit den Gefährdungen auseinandersetzt, auch die Zahl der möglichen Opfer von Computerkriminalität, wobei die Höhe des Schadens um so größer wird, je mehr in Zukunft die kommerzielle Nutzung zunimmt.
Da es eine zentrale Kontrollinstanz, die jeglichen Mißbrauch verhindert, nicht geben kann, ist die Aufklärung der Benutzer über die nicht unerheblichen, aber dennoch zum größten Teil vermeidbaren Gefährdungen für die weitere Entwicklung des Internet von großer Bedeutung. Allerdings sollte dem Benutzer auch die Freiheit gelassen werden, über seine persönlichen Sicherheitsanforderungen selber entscheiden zu können. 3. Dienste und Anwendungen im Internet
Ein Grund für den enormen Zuwachs der Teilnehmerzahlen im Internet stellen die neuen Anwendungen dar, die es auch Anfängern mit Hilfe einer graphischen Oberfläche ermöglichen, auf die riesigen Datenmengen weltweit zuzugreifen. Dies reicht von Programmen und Betriebssystemen über Kochrezepte und Reiseinformationen verschiedener Länder bis zur Hilfestellung bei persönlichen Problemen. Es gibt fast kein Gebiet, zu dem sich nicht irgendwo in dieser globalen Datenbank Informationen finden lassen.
Die anfänglich im Internet vorhandenen Diensten zur Informationsgewinnung waren zeilenorientiert.
Es sind:
telnet :
Erlaubt ein Einloggen auf einem entfernten Rechner und das Starten dort vorhandener Programme, z. B. Bibliothekskataloge oder Online-Datenbanken. Alle Daten einschließlich des Paßwortes werden unverschlüsselt übertragen.
ftp
(file transfer protocol): Erlaubt das Kopieren von Dateien zu und von entfernten Rechnern. Dies wird häufig für jeden Interessierten ohne Zugangskontrolle ermöglicht(anonymous ftp), um die Informationen (wie z.B. neue Programme) für jeden zugänglich zu machen.
ftp
Archie :
Ein Programm, welches in regelmäßigen Abständen (z.B. täglich oder wöchentlich) alle bekannten ftp
Usenet News:
Dieser Dienst, der früher mit Hilfe des UUCP Protokolls über serielle Leitungen zwischen verschiedenen UNIX Rechnern abgewickelt wurde, erlaubt die Teilnahme an Tausenden von Diskussionsforen (News Groups), die von Gruppen über spezielle Probleme bestimmter Betriebssysteme bis zu allgemeinen Diskussionen über Politik reichen. Um den Datenverkehr nicht ausufern zu lassen und um die Verwendung vernünftiger Umgangsformen sicherzustellen, gibt es für das Versenden eigener Mitteilungen eine "Netiquette". Um die Qualität der Diskussionsbeiträge zu erhöhen, werden manche News Gruppen moderiert.
EMail:
Der wohl am meisten verbreitete Dienst im Internet erlaubt den Austausch von elektronischen Nachrichten zwischen verschiedenen Benutzern weltweit. Neben dem Internet Protokoll smtp gewinnt auch das OSI X.400 Protokoll immer mehr an Bedeutung. Ein mit Hilfe von EMail abgewickelter Dienst sind Mailing-Listen. Dies sind Diskussionsforen über eng begrenzte Themen, deren Beiträge man erst zugesandt bekommt, wenn man sich eingeschrieben hat, die also im Gegensatz zu den News nur an einen eingeschränkten Benutzerkreis versandt werden.
Ein erster Schritt zu einer mehr Bildschirmorientierten Anwendung bietet Gopher . Hierbei handelt es sich um einen Dienst, der seine Informationen in Menüs anbietet. Der Benutzer kann zwischen verschiedenen Menüpunkten wählen, hinter denen sich wieder Untermenüs, Dateien oder logische Verbindungen zu anderen Gopher
Eine Volltextsuche in weltweit verteilten Datenbeständen wird mit Hilfe von WAIS (Wide Area Information Server) möglich. Anfragen von Clients, die es sowohl zeilenorientiert als auch für graphische Oberflächen gibt, werden über das Z39.50 Protokoll an die
WAIS Server geschickt, die die Suche in entsprechend organisierten Datenbanken starten.
Die Anwendung mit den höchsten Zuwachsraten (und deshalb auch schon als "Killer-Anwendung" bezeichnet) ist das World Wide Web (WWW). Die sehr leicht zu bedienenden Clients ermöglichen den Zugriff auf Informationen mit Hilfe des HyperText Transfer Protokolls (HTTP). Unter HyperText versteht man die Möglichkeit, unterschiedliche Daten, also z.B. auch Graphiken und Sound, miteinander in einem Netz aus Informationsknoten zu verknüpfen, auf die der Anwender nach Belieben zugreifen kann. Diese Daten können sich auf verschiedenen Servern befinden, also z.B. auch auf ftp
Die
ansprechende Gestaltung des Informationsangebotes, seine weltweite Verbreitung
und die leichte Bedienbarkeit führen zu einer immer stärkeren
Kommerzialisierung. So gibt es nicht nur in den USA sondern auch in Deutschland
Internet-Shops, bei denen man Bücher, Schallplatten u.a. bestellen kann. Die
hiermit verbundenen Sicherheitsprobleme, wie z.B. die offene Übertragung einer
Kreditkartennummer, zeigen allerdings, daß das Internet in seiner heutigen Form
für kommerzielle Anwendungen in größerem Umfang nicht geeignet ist.
Im folgenden werden einige der wesentlichen Probleme beschrieben, die bei der Benutzung des Internet auftreten. Für fast alle dieser Probleme gibt es Lösungen, die in den folgenden Kapiteln, in der einschlägigen Literatur oder auch in Beratungen durch das BSI aufgezeigt werden.
Durch den Anschluß eines für sich alleine sicheren Unix-Systems an ein Netz, sei es ein Inhouse-LAN oder auch das Internet, entstehen Gefährdungen dadurch, daß die Vielzahl neuer Programme, die für die verschiedenen Zugänge notwendig sind, fehlerhaft konfiguriert sein können oder Programmierfehler enthalten. Während der Zugang zu einem Stand-Alone-System im wesentlichen durch den Login-Prozeß geregelt wird, existiert für jeden Dienst, der über einen Netzzugang ermöglicht werden soll, ein eigener Daemon-Prozeß, der falsch konfiguriert oder fehlerhaft sein kann.
Eindringlinge mit hohem Kenntnisstand über Fehler in diesen Programmen oder sogar im System-Kern können diese dann ausnutzen, bevor der Administrator diesen Kenntnisstand erreicht und die Sicherheitslücken schließen kann. So nutzte z.B. der Autor des Internet-Wurms einen Fehler in der Routine gets des Programms fingerd aus, um den Speicher mit einer Rücksprungadresse auf eine SUID
Andererseits können fertige "Hackprogramme" oder bekannte Bugs auch bei geringem Kenntnisstand hohen Schaden anrichten. So testet z.B. das Programm ISS (Internet Security Scanner) systematisch beliebig viele Systeme auf häufig vorhandene Konfigurationsfehler wie einen Guest Account ohne Paßwort oder falsch exportierte Dateisysteme.
Eine große Gefährdung geht von falsch konfigurierten Diensten aus, deren Kontrollmechanismen dann leicht zu umgehen sind oder anders als vorgesehen arbeiten. Der WWW-Client Mosaic beispielsweise bietet die Möglichkeit, Skripten ausführen zu lassen, die jede beliebige Befehlsfolge enthalten können und über die der Anwender nur in einer kleinen Statuszeile informiert wird. Diese Option läßt sich allerdings bei der Installation abschalten.
Einer der großen Vorteile des Internet, die Möglichkeit einer weltweiten Kommunikation mit Hilfe eines einheitlichen Protokolls (TCP/IP) und einer einheitlichen Adreßstruktur, verhindert andererseits aber auch die Einrichtung von geschlossenen Benutzergruppen, die bei anderen Netzen durch den Glauben an einen vertrauenswürdigen Netzbetreiber möglich sind. Unter bestimmten Bedingungen sind geschlossene Benutzergruppen durch eine verschlüsselte Übertragung der Daten simulierbar.
Eine der größten Gefährdungen bei der Benutzung des Internet stellt der Verlust der Vertraulichkeit durch ein Mitlesen der versandten Daten und der Verlust der Integrität durch die Manipulation der Daten dar. Viele der im Internet benutzten Dienste übertragen die Benutzernamen und Paßwörter offen, so daß jeder, der privilegierten Zugang zu einem der an der Übertragung beteiligten Gateways, Router oder Server hat, diese Daten lesen oder verändern kann. Dieses Problem war auch Thema eines Anfang 1994 herausgegebenen CERT Advisory mit dem Titel "Ongoing Network Monitoring Attacks", welches eine große Resonanz in der Presse hatte. Hierbei wurden sogenannte sniffer
Das Mitlesen der versandten Daten ermöglicht auch sogenannte Replay Attacks, bei denen einmal zur Authentisierung benutzte Daten, wie z.B. verschlüsselte Paßwörter, von einem Angreifer bei einem späteren Zugangsversuch wieder eingespielt werden.
Ein besonderes Problem stellt auch der Einsatz von PCs in einem LAN dar, da hier jeder Benutzer Programme zum Mitlesen oder Verändern der Daten ablaufen lassen kann. Auch der Schutz, den die Einführung der sogenannten privilegierten Ports (Portnummer < 1024) bieten sollten, wird durch nicht vertrauenswürdige Rechner in einem LAN unwirksam.
Einige TCP/IP spezifische Gefährdungen sind in [1] beschrieben. Die wichtigsten sind:
IP-Spoofing : Der mit diesem Ausdruck bezeichnete Konzeptionsfehler der TCP/IP Protokoll-Umgebung wurde schon im Jahre 1985 von Robert Morris beschrieben [2]. Der Fehler beruht darauf, daß bei vielen Diensten - insbesondere auch bei Firewall-Anordnungen
Weitere Dienste die hiervon bedroht werden, sind rsh, rexec, X-Window , RPC-basierende Dienste wie NFS und der TCP-Wrapper, der ansonsten ein sehr sinnvoller Dienst zur Einrichtung einer Zugangskontrolle für TCP/IP-vernetze Systeme ist. Leider sind auch die in der Schicht zwei (ISO/OSI-Modell) eingesetzten Ethernet- oder Hardware-Adressen leicht zu fälschen und somit für eine Authentisierung nicht viel brauchbarer.
In LANs, in denen das Address Resolution Protocol (ARP) eingesetzt wird, sind sehr viel wirkungsvollere Spoofing-Angriffe möglich. Es reicht dann meist schon, die Kontrolle über einen der Rechner im LAN zu bekommen, um das gesamte Netz zu kompromittieren.
Source Routing: Der Mißbrauch des Routing-Mechanismus und -Protokolls ist wahrscheinlich die einfachste protokollbasierte Angriffsmöglichkeit. Man nutzt hierbei aus, daß sich in einem IP-Paket der Weg, auf dem das Paket sein Ziel erreichen soll oder den die Antwortpakete nehmen sollen, vorschreiben läßt, so daß nicht die durch die Routing Tabellen angegebenen sicheren Wege benutzt werden.
Auch der Einsatz von dynamischem Routing stellt eine Angriffsmöglichkeit dar, da es möglich ist, Routing-Informationen an einen Rechner zu schicken, die dieser in der Regel ungeprüft zum Aufbau seiner Routing-Tabellen benutzt. Weitere Sicherheitsüberlegungen im Zusammenhang mit Routing finden sich in [16].
ICMP : Das Internet Control Message Protocol läßt sich in mehrfacher Weise mißbrauchen. Zum einen können über Redirect Pakete die Routing-Tabellen eines Rechners geändert werden. Zum anderen lassen sich durch gefälschte Destination Unreachable oder Time to Live Exceeded Pakete "denial of service" Angriffe durchführen, durch die bestehende Verbindungen unterbrochen werden können.
Die Gefahren durch diese Konzeptionsfehler lassen sich verringern, wenn die in einer TCP/IP-Verbindung zwischen zwei Rechnern benutzten Sequenznummern zufällig gewählt werden, so daß es für einen Dritten nicht möglich ist, die nächste Nummer zu erraten und für ein gefälschtes Paket zu verwenden.
Viele Programme, die für die ungehinderte Weitergabe von Informationen in einem "offenen" Umfeld gedacht waren, liefern potentiellen Angreifern Daten, die diese mißbrauchen können. Hierzu gehören z.B. der finger
Der Einsatz eines Domain Name Systems (DNS), das für die Umsetzung eines Internet-Namens wie rechner1.universität.de in die zugehörige Adresse zuständig ist, stellt eine weitere Gefahrenquelle dar, da ein Angreifer durch die Übernahme dieses Servers die Möglichkeit hat, gefälschte Nummern zu verschicken, so daß jeglicher Verkehr von ihm kontrolliert werden kann. Ein DNS-Server sollte also an einer besonders geschützten Stelle im Netz stehen!
3.6 Spezielle Gefährdungen beim Einsatz einiger ausgewählter Netzdienste
Für alle Netzdienste im Internet existieren die zwei im Abschnitt 3.3 beschriebenen Probleme, nämlich der fehlende Schutz vor Verlust der Integrität und Vertraulichkeit und die unzureichende Authentisierungsmöglichkeit. Sie lassen sich nur durch eine verschlüsselte Übertragung verbunden mit einem geeigneten Authentisierungsalgorithmus abwenden. Im folgenden werden nur darüber hinausgehende Gefährdungen und einige Maßnahmen zur Verbesserung der Sicherheit dargestellt.
Auf der Serverseite werden Dateisysteme exportiert, auf die alle oder nur bestimmte Clients mit vorgegebenen Rechten zugreifen können. Auch hier ist die Authentisierung zwischen Client und Server ein Problem, so daß nur Dateisysteme exportiert werden dürfen, die keine sicherheitsrelevanten Informationen enthalten. Auch sollten nur lesende Zugriffe erlaubt werden. Bei der Neuinstallation muß darauf geachtet werden, daß nicht ungewollt Dateisysteme freigegeben werden. Ist der Einsatz von NFS nicht nötig, muß auf jeden Fall auch der Start der zugehörigen Kontrollprogramme ( mountd, nfsd ) verhindert werden. Auf der Clientseite muß beim Mounten die Option nosuid eingesetzt werden, damit keine SUID
Einige der wesentlichen zu beachtenden Maßnahmen sind, daß keine ausführbaren Programme oder Dateien als Empfänger erlaubt werden, daß keine relativen Pfade benutzt werden, daß .forward
Auf Grund seiner Komplexität waren im sendmail
Eine wesentliche Gefährdung geht auch von der Tatsache aus, daß keine Authentisierung zwischen den Partnern einer Mailübertragung stattfindet, so daß prinzipiell jeder Benutzer Nachrichten mit einer falschen Absenderangabe verschicken kann. So führt z.B. die folgende Eingabe zu einer Mail mit dem gefälschtem Absender root@ Empfänger-Rechner und gefährlichem Inhalt:
telnet Empfänger-Rechner 25
> HELO abcdef
> MAIL From: root@Empfänger-Rechner
> RCPT To: Empfänger@Empfänger-Rechner
> DATA
> Lieber Benutzer, dies ist eine Nachricht von Ihrem Systemmanager.
> Das System wird gleich heruntergefahren. Bitte loggen Sie sich aus !
>.
> QUIT
Der Verlust der Authentizität läßt sich durch den Einsatz asymmetrischer Verschlüsselungsverfahren verhindern, wobei allerdings immer noch die Gefahr einer Verkehrsflußanalyse gegeben ist.
Zusammenfassend kann man den zur Zeit im Internet stattfindenden Mailverkehr eher mit dem Versand nicht unterschriebener Postkarten vergleichen als mit dem Versand von Briefen!
Dateien, die aus dem Internet geholt werden, können Code enthalten, der nur beim
"Betrachten" und ohne Rückfrage beim Benutzer ausgeführt wird. Dies ist z.B. bei
Makros in Winword-Dateien der Fall und wurde zum Erstellen von sogenannten
Makro-Viren ausgenutzt. Auch neue Programmiersprachen wie ActiveX, Javascript
oder Java, die für Anwendungen im Internet entwickelt worden sind, besitzen bei
falscher Implementierung der Kontrollfunktionen ein Schadpotential.
Für alle in den vorherigen Kapiteln beschriebenen Gefährdungen gibt es ausreichende Schutzmöglichkeiten, so daß eine vernünftige Benutzung des Internets möglich ist. Die wesentlichen Punkte sind:
Die nächste Version des IP Protokolls (IPv6) wird neben der Erweiterung des Adreßraums auch eine Verbesserung des Schutzes der übertragenen Daten in Form von zusätzlichen Headern bieten. Eine Überprüfung von Integrität und Authentizität wird mit Hilfe des Authentication-Header möglich sein und eine Verschlüsselung privater Daten mit Hilfe des Privacy-Header. Für einen umfassenden Einsatz im Internet wäre allerdings ein weltweit einheitliches Schlüsselmanagement erforderlich. Aber schon lokale Lösungen z.B. auf der Basis von X.500 sind ein wesentlicher erster Schritt, um den Benutzern Vertrauen in eine elektronische Kommunikation mit unbekannten Partnern zu geben.
Im Zusammenhang mit Softwarefehlern ist es wichtig, sich auch über die Vorteile frei verfügbarer Software aus dem Internet Gedanken zu machen. So ist es z.B. möglich, eine eigene Verifikation des Quellcods durchzuführen; eine Information über Fehler und eine Beseitigung findet in der Regel sehr schnell statt, und es ist möglich, einheitliche Software auf verschiedenen Plattformen einzusetzen. Gerade letzteres ist in einem heterogenen Netz ein nicht zu unterschätzender Sicherheitsvorteil!
Eine Internet-Firewall (i.f. auch kurz als Firewall bezeichnet) ist eine Anordnung von Hardund Software, die als alleiniger Übergang zwischen zwei zu trennenden TCP/IP Netzen dient, von denen das eine einen höheren Schutzbedarf hat.
Die Firewall hat nur diesen Zweck und darf keine weiteren Dienste (z.B. Remote-Login) erbringen. Ein Zugang zur Firewall darf nur über eine gesicherte Konsole möglich sein.
Sie baut auf einer für das zu schützende Netz definierten Security-Policy auf und gestattet nur die dort festgelegten Verbindungen.
Diese Verbindungen müssen nach IP-Adresse, Dienst und Benutzer getrennt festgelegt werden können.
Alle korrekt aufgebauten Verbindungen müssen protokolliert werden, alle abgewiesenen sollten protokolliert werden.
In diesem Kapitel werden die wesentlichen Bestandteile einer Firewall vorgestellt. Es sind dies die Security-Policy, der Packet-Filter und das Application-Gateway.
In der Security-Policy muß festgelegt werden, welche Dienste (siehe Kapitel 5.3) für welche Benutzer und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen. Alle anderen Dienste werden verboten!
Es muß festgelegt werden, ob und welche der übertragenen Nutzinformationen gefiltert werden sollen (z.B. Kontrolle auf Computer-Viren).
Es muß festgelegt werden, welche Informationen protokolliert werden und wer die Protokolle auswertet.
Die Security-Policy sollte so beschaffen sein, daß sie auch zukünftigen Anforderungen gerecht wird, d.h. es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden. Jede spätere Änderung muß streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden.
Es ist nötig, Ausnahmeregelungen insbesondere für neue Dienste und kurzzeitige Änderungen (z.B. Tests) festzulegen.
Es muß sichergestellt werden, daß alle relevanten Maßnahmen durchgeführt werden.
Folgende Fragen müssen geklärt werden:
Packet-Filter sind Router oder Rechner mit spezieller Software, welche die in den Schichten drei und vier der TCP/IP Protokollfamilie (IP, ICMP, ARP, TCP und UDP) vorhandenen Informationen zum Filtern der Pakete benutzen. Hierzu werden Access- bzw. Deny-Listen benutzt.
Folgende Forderungen sind an Packet-Filter zu stellen :
Ein Application-Gateway ist ein Rechner, der die in der Anwendungsschicht vorhandenen Informationen zum Filtern von Paketen oder Verbindungen nutzt.
Dies können z.B. Benutzernamen in Verbindung mit einer starken Authentisierung, spezielle Informationen in den übertragenen Daten (z.B. Kontrolle auf Computer-Viren) oder die in Kapitel 5.3 spezifizierten Informationen der Anwendungsschicht sein. Ein Application-Gateway bietet darüber hinaus die Möglichkeit, einen einheitlichen Zugang zum zu schützenden Teilnetz zu schaffen und die Struktur dieses Netzes zu verdecken. Die auf dem Application-Gateway laufenden Filter-Prozesse werden als Proxy-Server bezeichnet.
Folgende Forderungen sind an Application-Gateways zu stellen:
Die folgenden kurzen Beschreibungen der am häufigsten im Internet verwendeten Protokolle und Dienste sollen als Hinweis dienen, welche Informationen von diesen Protokollen übertragen werden und somit für eine Filterung durch eine Firewall zur Verfügung stehen.
Bei einer TCP/IP Kommunikation baut in der Regel ein Client-Prozeß von einem zufälligen Port mit einer Portnummer >1023 eine Verbindung zu einem Server-Prozeß mit einer Portnummer <1024 (wellknownport) auf. Die Ports mit einer Nummer <1024 werden auch als privilegierte Ports bezeichnet, da sie nur von Prozessen mit Root-Berechtigung benutzt werden dürfen. Da diese Festlegung aber nicht allgemein verwendet wird, sollte sie nicht für ein Sicherheitskonzept gebraucht werden.
Es werden zunächst die Protokolle der unteren Schichten beschrieben und in den folgenden Kapiteln die Protokolle der Anwendungsschicht.
Das IP (Internet Protocol) ist ein verbindungsloses Protokoll und entspricht der Schicht 3 des ISO/OSI Modells. Ein IP-Header enthält u.a. zwei 32-Bit Adressen ( IP-Nummern ) für Ziel und Quelle der kommunizierenden Rechner, eine Nummer zur Identifikation des Transportprotokolls (z.B. 6 für TCP, 17 für UDP und 1 für ICMP), einige Bits für optionale Dienste und eine Checksumme, die sich nur auf den Header bezieht (RFC 791).
Die IP-Nummern lassen sich in den Netzwerk- und den Hostteil zerlegen. Da sie nicht durch kryptografische Verfahren geschützt werden, können sie nur in ganz bestimmten Topologien (s. Kapitel 5.5) zur Authentisierung benutzt werden.
Das ARP (Address Resolution Protocol) dient dazu (RFC 826), zu einer 32-Bit großen IP-Adresse die zugehörige 48-Bit große Hardwareoder Ethernet-Adresse zu finden. Falls in einer internen Tabelle des Rechners kein entsprechender Eintrag gefunden wird, wird ein ARP-Broadcast-Paket mit der unbekannten IP-Nummer ausgesandt. Der Rechner mit dieser IP-Nummer sendet dann ein ARP-Antwort-Paket mit seiner Hardware-Adresse zurück. Da die ARP-Antwort-Pakete nicht manipulationssicher sind, können sie nur in ganz bestimmten Topologien (s. Kapitel 5.4) verwendet werden.
Das ICMP (Internet Control Message Protocol) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen für IP zu transportieren (RFC 792). Es wird intern von IP, TCP oder UDP angestoßen und verarbeitet und kann auf der Benutzerebene durch den Befehl ping verwendet werden.
Die Meldung Destination Unreachable wird z.B. erzeugt, wenn ein Rechner oder ein Netz nicht erreichbar ist, und kann dazu mißbraucht werden, alle Verbindungen zwischen den beteiligten Rechnern zu unterbrechen.
Die Meldung Redirect wird ausgesandt, wenn ein Gateway erkennt, daß das Paket direkt an ein anderes Gateway geschickt werden kann, also bisher ein Umweg benutzt wurde. Der kürzere Weg wird dann in die Routing-Tabelle des Absenders eingetragen. Dieses kann mißbraucht werden, um unerwünschte Routen zu konfigurieren.
Routing-Protokolle wie RIP (Routing Information Protocol, RFC 1388) oder OSPF (Open Shortest Path First, RFC 1247) dienen dazu, Veränderungen der Routen zwischen zwei vernetzten Systemen an die beteiligten Systeme weiterzuleiten und so eine dynamische Änderung der Routing-Tabellen zu ermöglichen. Es ist leicht möglich, falsche RIP-Pakete zu erzeugen und somit unerwünschte Routen zu konfigurieren. Dynamisches Routing sollte also nur in ganz bestimmten Topologien angewendet werden.
Das TCP (Transmission Control Protocol) ist ein verbindungsorientiertes Protokoll der Transportschicht (RFC 793). Die Korrektheit der Übertragung wird durch Sequenznummern, Prüfsummenbildung mit Empfangsquittung, Quittung mit Zeitüberwachung und einer Segmentübertragungswiederholung nach Quittungszeitablauf sichergestellt. Der Header enthält u.a. zwei 16-Bit Portnummern, die zur Identifikation der Kommunikationsendpunkte dienen und die über eine standardisierte Zuordnung (wellknownports) mit den Diensten der Anwendungsschicht verbunden sind. Da sie nicht durch kryptografische Verfahren geschützt werden, können sie nur in ganz bestimmten Topologien zur Authentisierung benutzt werden.
Der die Verbindung aufbauende Prozeß wird als Client, der die Verbindung entgegennehmende Prozeß als Server bezeichnet.
Das erste bei einem Verbindungsaufbau übertragene Paket ist i.d.R. das einzige, welches ohne ein gesetztes Bestätigungsflag (ACK) übertragen wird. Auf diese Weise ist eine Unterscheidung zwischen Verbindungsaufbauund Datenübertragungsphase möglich.
Das UDP (User Datagram Protocol) ist ein verbindungsloses Protokoll der Transportschicht (RFC 768). Es gibt keine Transportquittungen oder andere Sicherheitsmaßnahmen für die Korrektheit der Übertragung. Der Header enthält u.a. zwei 16-Bit Portnummern (siehe TCP), die unabhängig von denen beim TCP-Protokoll benutzten sind. Da sie nicht durch kryptografische Verfahren geschützt werden, können sie nur in ganz bestimmten Topologien zur Authentisierung benutzt werden. Da in der Protokolldefinition keine Unterscheidung zwischen einem Verbindungsaufbau und einer Datenübertragung vorgesehen ist, muß diese Unterscheidung von der Firewall übernommen werden.
Das Telnet-Protokoll erlaubt einem Benutzer, eine Terminal-Sitzung auf einem entfernten Rechner durchzuführen und definiert hierzu virtuelle Ein- und Ausgabe-Einheiten (Network Virtual Terminals), zwischen denen Verbindungsparameter ausgehandelt werden müssen (RFC 854).
Um mit dem Kommando Telnet auf einen anderen Rechner zugreifen zu können, muß auf diesem der Telnet-Daemon laufen. Standard-Port für eine Telnet-Sitzung ist der Port 23. Andere Portnummern lassen sich als Parameter angeben, wodurch auch eine Verbindung zu anderen Server-Prozessen hergestellt werden kann.
Da Telnet vollständigen Zugang zu einem Remote-Host für einen Benutzer ermöglicht, muß dieser Zugang durch eine starke Authentisierung geschützt werden.
Ferner besteht die Gefahr, daß sich ein Angreifer auf dem Übertragungsweg in eine autorisierte Telnet-Verbindung eingeschaltet hat, z.B. um sicherheitsrelevante Informationen abzuhören oder um eigene Befehle in die Telnet-Verbindung einzugeben. Daher sollte eine verschlüsselte Übertragung möglich sein.
Das File Transfer Protocol (FTP) ermöglicht den Austausch von Dateien zwischen entfernten Rechnern (RFC 959).
Bei Benutzung von FTP werden zwei Verbindungen aufgebaut, wobei die Kommandos über Port 21 übertragen werden und die Daten über Port 20. Um den Austausch von Befehlen zwischen Rechnern verschiedener Betriebssysteme zu ermöglichen, definiert FTP eine Reihe von Standardnetzbefehlen. Diese sind nicht identisch mit den Kommandos der Benutzeroberfläche. Der FTP-Client übersetzt die Kommandos der Benutzeroberfläche in die entsprechenden Standardnetzbefehle. Für die Firewall sind die Standardnetzbefehle relevant, da nur diese tatsächlich über TCP/IP übertragen werden. Sie sind im RFC 959 festgelegt.
Während der Client die Kommandoverbindung zum Port 21 des Servers aufbaut, ist der Server für den Aufbau des Datenkanals von seinem Port 20 zu einem Port (>1023) des Clients verantwortlich. Dies stellt eine Sicherheitslücke dar, da sich Angreifer als Server ausgeben könnten. RFC 1579 schlägt daher vor, den Verbindungsaufbau umzudrehen und seitens des Clients den Standardnetzbefehl PASV statt PORT zu verwenden. Hierdurch wird erreicht, daß der Server eine zufällige Portnummer berechnet und auf diesem Port die Datenübertragung erwartet. Der Client kann dann eine Verbindung zu diesem Port aufbauen, der TCP-Verbindungsaufbau findet also vom sicheren ins unsichere Netz statt!
Alle Befehle, die Dateien oder Verzeichnisse manipulieren oder lesen ( CWD, CDUP , RETR, STOR, DELE, LIST, NLIST ), müssen an eine entsprechende Rechteverwaltung gekoppelt sein. Zugriffe nicht vertrauenswürdiger Benutzer werden damit auf bestimmte Dateien eingeschränkt oder ganz unterbunden. Dies setzt einen starken Authentisierungsmechanismus voraus.
Auch der Befehl SYST , mit dem ein Client nach der Betriebssystemversion des Servers fragt, sollte an eine Rechteverwaltung gekoppelt sein bzw. für nicht vertrauenswürdige Benutzer gesperrt werden.
Ferner muß es möglich sein, die Übertragung der Dateien, der Verzeichnisinformationen und der Paßworte zu verschlüsseln.
Das Simple Mail Transfer Protocol (SMTP) ist ein einfaches Protokoll für die Übertragung der elektronischen Post im Internet, das aus wenigen Kommandos besteht. Auch SMTP arbeitet über TCP und verwendet den SMTP-Daemon. Der Standard-Port zur Kommunikation über SMTP ist der Port 25 (RFC 821).
Da mit den Befehlen vrfy und expn interne Informationen abgerufen werden können, sollte die Verwendung dieser Befehle nur innerhalb des geschützten Netzwerks erlaubt werden. Für nicht vertrauenswürdige Benutzer sind vrfy und expn zu sperren. Die Firewall sollte in der Lage sein, SMTP-Verbindungen zwischen vertrauenswürdigen Benutzern zu verschlüsseln. Voraussetzung ist auch hier ein starker Authentisierungsmechanismus.
Der DNS (Domain Name Service) dient zur Umsetzung von Rechnernamen in IP-Nummern und umgekehrt und stellt ferner Informationen über im Netz vorhandene Rechnersysteme zur Verfügung. Er benutzt den Port 53, das Protokoll UDP und/oder TCP (RFC 1034 und 1035).
Ein Domain-Name-System besteht aus drei Elementen:
A Der Domain-Namens-Raum
besteht aus zwei Bäumen, die eine Umwandlung von Rechner-Namen in IP-Nummern bzw. von IP-Nummern in Rechner-Namen ermöglichen. Die Daten werden in Resource-Records (RR) gespeichert, die für den ersten Baum Einträge wie HINFO und MX enthalten und für den zweiten Baum, für inverses Suchen, sogenannte PTR-Record s.
B DNS-Server (Name-Server)
sind Programme, die Domain-Bäume oder Teilbäume verwalten. Wird über einen bestimmten Teilbereich die gesamte Information gehalten, wird dieser Bereich in Zonen eingeteilt und der DNS-Server als Autorität ( Primary-Server ) für diese Zone bezeichnet.
C Resolver
sind Programme bzw. Schnittstellen, die im Auftrag eines Clients Informationen vom DNS-Server laden. Sie suchen den richtigen DNS-Server, interpretieren die Antworten und geben die verlangte Information an das aufrufende Programm zurück. Bei dem Programmpaket BIND z.B. ist der Resolver eine Menge von Büchereifunktionen, die in andere Programme eingebunden werden (z.B. Telnet, FTP,...).
Typische Funktionen sind:
Die übertragenen Informationen werden nicht durch kryptographische Verfahren geschützt, so daß durch gefälschte Daten Spoofing-Angriffe möglich sind! Dies sollte insbesondere bei den DNS-Antworten aus dem Internet berücksichtigt werden.
Das NNTP (Network News Transfer Protocol) wird für die Übertragung von Newsartikeln benutzt. Der Standard-Port für den Newsserver ist der Port 119. Die wichtigsten Befehle sind in RFC 977 festgelegt.
Die Firewall muß in der Lage sein, den Transport bestimmter News-Gruppen ganz zu verhindern oder nur für einige Rechner zuzulassen. Es muß sichergestellt werden, daß beim Versenden eigener News keine Informationen über das zu schützende Netz (z.B. die Rechernnamen) ins unsichere Netz gelangen.
Das HTTP (Hypertext Transfer Protokoll) wird für die Übertragung von Daten zwischen WWW-Clients und WWW-Servern benutzt. Es werden vier Operationen unterstützt: Connection (der Standardport des Servers ist der TCP Port 80), Request, Response und Close.
Die Request Operation kann entweder aus einem Simple Request der Form " GET URL" bestehen oder aus einem Full Request der Form " Method URL Protocol-Version <CR> <LF> [*HTRQ Header] [ <CR><LF> Data]".
Response Pakete enthalten die HTTP-Version, Status Informationen und Daten, die mit einem Header gem. RFC 822 oder einem MIME konformen Header versehen sind. Spezielle Felder (z.B. Content-Type ) oder Dateiendungen erlauben die Bestimmung des Datentyps (z.B. Text, Grafik, Audio,...).
Die Firewall muß in der Lage sein, die Befehle eines HTTP-Paketes zu analysieren und durch Filter einzuschränken. So muß es z.B. möglich sein, ein POST und die damit verbundene Änderung einer Datei zu verbieten. Die Filter müssen benutzerabhängig (mit Hilfe einer starken Authentisierung) und rechnerabhängig unterscheidbar sein.
Die übertragenden Daten müssen nach ihrer Art unterschieden werden können, und es muß möglich sein, spezielle Dateitypen auf bestimmte Informationen zu untersuchen. Sollten für die Verarbeitung der übertragenen Daten weitere Prozesse nötig sein (z.B. ein externer Viewer oder eine Shell), muß es möglich sein, die Ausführung dieser Prozesse vorher vom Benutzer bestätigen zu lassen.
Diese Dienste sollten nicht über eine Firewall hinweg eingesetzt werden.
Vorteile: |
|
|
|
Nachteile: |
|
|
|
|
|
|
|
|
Diese Anordnung kann nur in kleinen Netze eingesetzt werden, in denen alle Rechner gegen Angriffe abgesichert sind!
Diese Anordnung besteht aus einem Application-Gateway mit zwei Netz-Interfaces, welches zwischen den beiden Teilnetzen eingesetzt wird (siehe Abb. 2). Es muß so konfiguriert werden, daß keine Pakete ungefiltert passieren können (IP-Forwarding abschalten).
Vorteile: |
|
|
|
|
|
Nachteile: |
|
|
|
|
|
|
Ein zusätzlicher Schutz läßt sich durch den Einsatz eines Packet-Filters vor dem Gateway erreichen, wie z.B. durch einen vorhandenen Router. In diesem Fall müßten Router und Gateway durchbrochen werden, um Zugang zum zu schützenden Netz zu erhalten.
Diese Anordnung besteht aus einem Application-Gateway und einem oder zwei Packet-Filtern. Die Packet-Filter befinden sich vor und/oder hinter dem Gateway und bilden mit diesem ein Teilnetz (Screened Subnet oder DMZ). Die Filterregeln werden so gestaltet, daß jede Verbindung von innen oder außen über das Gateway gehen muß.
Vorteile: |
|
|
|
|
|
|
|
|
|
|
|
Nachteile: |
|
|
|
|
|
|
Festlegung der allgemeinen Bedingungen gem. Kapitel 5.2. Speziell beantwortet werden muß:
Aufstellen der Filterregeln:
Die Regeln sollten in einer Tabelle zusammengefaßt werden, deren eine Achse die Zielrechnernummern und deren andere Achse die Quellrechnernummern enthält. Die Einträge enthalten dann die erlaubten Portnummern. Hierbei sollte beachtet werden, daß eine Filterung der in den Packet-Filter eingehenden Pakete durchgeführt werden sollte. Außerdem müssen sie so konfiguriert werden, daß als Absenderadresse nur die Nummern der an dem Interface angeschlossenen Rechner zugelassen werden. Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing Angriffen.
Verwaltung:
Auf Grund der in den vorigen Kapiteln beschriebenen Vor- und Nachteile der verschiedenen Anordnungen kann nur eine Screened-Subnet Anordnung mit einem Gateway mit einem Interface (Abb. 4) oder einem Dualhomed Gateway (siehe Abb.2) empfohlen werden. Im letzteren Fall befindet sich das Gateway zwischen dem zu schützenden und dem unsicheren Netz und muß auf jeden Fall passiert werden. D.h. Verbindungen, für die keine Proxy-Programme existieren, sind nicht möglich. Die flexiblere, aber unsicherere Lösung eines Gateways (siehe Abb.3) mit nur einem Interface sollte deshalb nur in Ausnahmefällen benutzt werden.
Die beteiligten Rechner müssen so eingerichtet werden, daß nur die unbedingt notwendigen Programme auf ihnen laufen, diese richtig konfiguriert sind und alle bekannten Schwachstellen beseitigt werden.
Externe Zugänge
Weitere externe Zugänge zum zu schützenden Netz z.B. über einen Modempool sollten wie Zugänge aus dem unsicheren Netz behandelt werden. Dies läßt sich erreichen, in dem z.B. ein Terminalserver mit angeschlossenen Modems auf die unsichere Seite der Firewall gestellt wird, so daß ein Zugang von dort nur über Telnet zum internen Rechner durchgeführt werden kann.
Abb. 2: Screened Subnet mit Dualhomed Gateway.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät vereint werden können (siehe Abb.3), wobei aber auf die dann zusätzlich auftretenden Sicherheitsprobleme besonders geachtet werden muß. So kann z.B. das ansonsten sichere Application-Gateway durch die Übernahme der Funktionen des externen DNS-Servers angreifbar werden, wenn in der DNS-Software ein Fehler ist.
Abb. 3: Screened Subnet mit Application-Gateway an einem separaten Router-Interface.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät vereint werden können. Dies ist für den externen Mail- und DNS-Server angedeutet.
Anordnung von Informationsservern
Informationsserver, die für die Bereitstellung von Informationen an externe Benutzer dienen, müssen außerhalb der Firewall stehen und wie andere im Internet vorhandene Server betrachtet werden. Ihre Verwaltung sollte entweder lokal oder über spezielle zeitlich begrenzte Zugänge vom geschützten Netz erfolgen. Die Daten sollten auf schreibgeschützten Datenträgern liegen.
Gibt es Daten, die nur für die Benutzer des zu schützenden Netzes erreichbar sein sollen, ist es sinnvoll, weitere Informationsserver auf der inneren Seite der Firewall (siehe Abb.2) einzusetzen. Diese sind dann von außen nicht erreichbar und gegen Angriffe von innen durch den Packet-Filter geschützt.
Anordnung der Mailserver
Ein Mailserver innerhalb des geschützten Netzes wird zur Verwaltung der Alias-Datenbank, für einen evtl. POP-Daemon oder auch als Gateway zum Übergang in ein anderes Mailsystem (z.B. X.400) eingesetzt. Alle internen Mails werden an diesen Server geschickt und von dort ggf. über einen externen Mailserver nach außen weitergeleitet.
Der externe Mailserver im äußeren Netz stellt die Verbindungen mit externen Rechnern her und nimmt die Mails von dort entgegen, so daß die interne Struktur des geschützten Netzes verdeckt wird. Diese Funktion kann auch vom Application-Gateway wahrgenommen werden.
Durch diese Konfiguration wird erreicht, daß interne Mails nicht in das äußere Netz gelangen und eine einheitliche Adressstruktur benutzt werden kann.
Abb. 4: Anordnung der Mail-Server.
Mails zwischen Rechnern im zu schützenden Netz verlassen das Netz nicht, da sie vom internen Mail-Server weitergeleitet werden, der auch die interne Alias-Datenbank verwaltet. Mails an externe Rechner werden über das Gateway an den externen Mail-Server geschickt und von dort weitergeleitet. Für Mails von externen Rechnern verweist der MX-Eintrag (vom externen DNS-Server, siehe Abb. 3) auf den externen Mail-Server. Dieser schickt die Mails dann an den internen Mail-Server weiter. Die Funktionalität des externen Mail-Servers kann u.U. auch vom Gateway wahrgenommen werden.
Anordnung der DNS-Server
DNS-Informationen sollten vor der Außenwelt, d.h. dem Internet, verborgen werden. Der bekannteste Ansatz zur Umsetzung dieser Forderung geht von einer speziellen Anordnung zweier DNS-Server (Nameserver) aus. Ein DNS-Server im zu schützenden Netz verdeckt dessen Struktur und kommuniziert mit einem DNS-Server im äußeren Netz, um Namen von externen Rechnern umzusetzen. Da DNS-Clients sich nicht notwendigerweise mit einem DNS-Server auf derselben Rechnern unterhalten müssen, ist es möglich, beide Prozesse auf unterschiedlichen Rechnern ablaufen zu lassen.
Der externe DNS-Server muß so konfiguriert werden, daß er behauptet, die Autorität für die Domän des zu schützenden Netzes zu sein ( Primary-Server ). Natürlich weiß dieses System nur das, was der Außenwelt bekanntgegeben werden soll, also Namen und IP-Nummern des externen Mailservers, des Application-Gateways und des externen Infoservers. Es handelt sich dann um einen Public-DNS-Server.
Der interne DNS-Server muß auch so konfiguriert werden, daß er behauptet, die Autorität für die Domain des zu schützenden Netzes darzustellen. Im Gegensatz zum externen DNS-Server verwaltet dieser Privat-DNS-Server aber alle internen DNS-Informationen und leitet Suchanfragen interner Rechner über externe Hosts an den externen DNS-Server weiter.
Alle DNS-Clients einschließlich der auf dem Application-Gateway müssen so konfiguriert werden, daß sie immer den internen DNS-Server benutzen (z.B. mittels Einträgen in der Datei /etc/resolv.conf ).
Fragt nun ein interner Client nach einem internen Rechner, wird der interne DNS-Server benutzt.
Fragt ein interner Client oder ein Client auf dem Application-Gateway nach einem externen Rechner, wird der interne DNS-Server befragt, der wiederum den externen DNS-Server befragt, der wiederum das Internet befragt, das eine Antwort zurückgibt.
Ein externer Client, der nach einem internen Host fragt, erhält die eingeschränkte Liste vom externen DNS-Server.
Der eingesetzte Packet-Filter muß so konfiguriert werden, daß zwischen den Servern nur der DNS-Dienst gestattet ist, d.h. DNS Port 53 als Quell- und Zielport. Die Freigabe weiterer Ports (>1023) ist also nicht nötig!
Abb. 5: Anordnung der DNS-Server.
Der
Private-DNS-Server ist der Primary-DNS-Server für das zu schützende Netz und
reicht Anfragen über externe Rechner an den Public-DNS-Server weiter. Der Client
auf dem Gateway ist so konfiguriert, daß zunächst der Private-DNS-Server gefragt
wird, der die Anfrage dann evtl. an den Public-DNS-Server weiterreicht. Der
Public-DNS-Server ist für externe Rechner der Primary-DNS-Server für das zu
schützende Netz, enthält aber nur die Einträge der Rechner, die außen bekannt
sein sollen.
6. Glossar
Application-Gateway:
Rechner, der die Informationen der Anwendungsschicht filtert und gem. spezieller Regeln Verbindungen verbieten oder erlauben kann.
Bastion-Host:
Application-Gateway, das exponiert steht und als erster Teil einer Firewall angegriffen wird.
Dualhomed Gateway:
Application-Gateway, das mit zwei Netz-Interfaces ausgerüstet ist und als alleiniger Übergang zwischen zwei Netzen eingesetzt wird.
IP-Spoofing:
Angriffsmethode, bei der falsche IP-Nummern verwendet werden, um dem angegriffenen Rechner eine falsche Identität vorzuspielen.
MIME (Multipurpose Internet Mail Extension):
Erweiterung des Mail-Standards (RFC822) für Multimedia-Anwendungen
Packet-Filter:
Rechner oder Router, der die Informationen der unteren Schichten filtert und gem. spezieller Regeln Pakete weiterleitet oder wegwirft.
POP (Post Office Protocol):
Protokoll für die Übertragung von Mails von einem Server (Post Office) an einen Mail-Client.
Proxy-Programm:
Programm, das auf einem Application-Gateway läuft und den Verbindungsaufbau zum Zielrechner durchführt, nachdem eine Authentisierung des Benutzers stattgefunden hat, und die Daten gem. der Informationen der Anwendungsschicht filtert.
RFC (Request For Comments):
Sammlung von Standards, Vorschlägen für Standards und sonstige Texte, die das Internet betreffen.
Screened-Subnet:
Teilnetz zwischen einem zu schützenden Netz und einem unsicheren Netz, in dem Firewall-Komponenten für die Kontrolle der Verbindungen und Pakete sorgen.
Screening-Router:
wie Packet-Filter.
Starke Authentisierung:
Authentisierungsverfahren, das nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt werden kann.
URL (Uniform Resource Locator):
Standardisierte Adresse für Informationen im Internet
X.400:
ISO/OSI Standard für den Austausch von Dokumenten
am 01.02.2002 Aktualisiert by Reini