M 2.73 Auswahl eines geeigneten Firewall-Typs
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Nachdem eine Sicherheitspolitik für die Firewall festgelegt worden ist, muß
entschieden werden, mit welchen Komponenten die Firewall realisiert werden
soll. Dafür ist eine geeignete Anordnung auszuwählen.
Es gibt beispielsweise die folgenden Anordnungsmöglichkeiten
- Ausschließlicher Einsatz eines Paket-Filters
Diese Anordnung besteht ausschließlich aus einem Paket-Filter, der die
Informationen der unteren Schichten filtert und gemäß spezieller Regeln Pakete
weiterleitet oder abweist.
- Dual-homed Gateway
Diese Anordnung besteht aus einem Application-Gateway, das mit zwei
Netz-Interfaces ausgerüstet ist und als alleiniger Übergang zwischen zwei
Netzen eingesetzt wird. Application-Gateways filtern Informationen auf Schicht
7 des OSI-Schichtenmodells. Das Dualhomed Gateway muß so konfiguriert werden,
daß keine Pakete ungefiltert passieren können, d. h. insbesondere, daß
IP-Forwarding abgeschaltet werden muß.
Bei einem Screened-Subnet handelt es sich um ein Teilnetz zwischen einem zu
schützenden Netz und einem externen Netz, in dem Firewall-Komponenten für die
Kontrolle der Verbindungen und Pakete sorgen.
Ein Screened-Subnet besteht aus einem Application-Gateway und einem oder
zwei Paket-Filtern. Die Paket-Filter befinden sich vor und/oder hinter dem
Gateway und bilden mit diesem ein Teilnetz. Ein Screened-Subnet kann z. B. ein
Dual-homed Gateway enthalten. Die Filterregeln werden so gestaltet, daß jede
Verbindung von innen oder außen über das Gateway gehen muß.
Folgende Kombinationen sind möglich
Im folgenden werden Vor- und Nachteile der jeweiligen
Anordnungsmöglichkeiten aufgezeigt.
Ausschließlicher Einsatz eines Paket-Filters
Vorteile:
- leicht realisierbar, da die Funktionalität von vielen Routern geliefert
wird
- leicht erweiterbar für neue Dienste
Nachteile:
- IP-Spoofing u.U. möglich
- alle Dienste, die gestattet werden sollen, müssen auf allen Rechnern, die
erreicht werden können, sicher sein
- komplexe Filterregeln
- keine Testmöglichkeiten, es ist insbesondere nicht möglich festzustellen,
ob die Filterregeln in ihrer Reihenfolge verändert werden, was bei einigen
Routern geschieht, um den Durchsatz zu steigern
- keine ausreichende Protokollierungsmöglichkeit
Diese Anordnung kann nur in kleinen Netze eingesetzt werden, in denen alle
Rechner gegen Angriffe abgesichert sind.
Dualhomed Gateway
Vorteile:
- umfangreiche Protokollierung möglich
- interne Netzstruktur wird verdeckt
Nachteile:
- relativ hoher Preis (da ein leistungsfähiger Rechner mit zwei
Netz-Interfaces benötigt wird)
- Probleme bei neuen Diensten
- die Übernahme des Application-Gateways durch den Angreifer führt zu einem
vollständigen Verlust der Sicherheit
Ein zusätzlicher Schutz läßt sich durch den Einsatz eines Paket-Filters vor dem
Gateway erreichen, wie z. B. durch einen vorhandenen Router. In diesem Fall
müßten Router und Gateway durchbrochen werden, um Zugang zum zu schützenden
Netz zu erhalten.
Screened-Subnet
Vorteile:
- kein direkter Zugang zum Gateway möglich (bei Konfigurationen 1 und 2)
- die Struktur des internen Netzes wird verdeckt
- vereinfachte Regeln für die Paket-Filter
- zusätzliche Sicherheit durch einen zweiten Paket-Filter (bei
Konfigurationen 1 und 2)
- durch den Einsatz mehrerer Gateways läßt sich die Verfügbarkeit
steigern
- umfangreiche Protokollierung möglich
Nachteile:
- hoher Preis (da ein leistungsfähiger Rechner mit ein oder zwei
Netz-Interfaces sowie mindestens ein Paket-Filter benötigt wird)
- wenn in einem Screened-Subnet mit einem Application-Gateway mit einem
Interface die Paket-Filter manipuliert werden (siehe Konfiguration 2, 4 und 6),
ist eine direkte Verbindung unter Umgehung des Gateways möglich. Dies kann
evtl. auch eine gewünschte Funktionalität sein (z. B. bei neuen Diensten)
Auf Grund der oben beschriebenen Vor- und Nachteile der verschiedenen
Anordnungen kann nur ein Screened-Subnet mit einem Dualhomed Gateway
(Konfiguration 1) empfohlen werden. In diesem Fall befindet sich das Gateway
zwischen dem zu schützenden und dem externen Netz und muß auf jeden Fall
passiert werden.
Auf dem Application-Gateway laufen sogenannte Proxy-Prozesse, die den
Verbindungsaufbau zum Zielrechner durchführen, nachdem eine Authentisierung des
Benutzers stattgefunden hat, und die Daten gemäß den Informationen der
Anwendungsschicht filtern. Verbindungen, für die keine Proxy-Prozesse
existieren, sind nicht möglich.
Die flexiblere, aber unsicherere Lösung eines Application-Gateways mit nur
einem Interface (Konfiguration 2) sollte nur dann benutzt werden, wenn die
höhere Felexibilität unverzichtbar ist.
Die beteiligten Rechner müssen so eingerichtet werden, daß nur die unbedingt
notwendigen Programme auf ihnen laufen, diese richtig konfiguriert sind und
alle bekannten Schwachstellen beseitigt werden.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.