Firewall Architekturen

Brandschutzarchitekturen

Im Anschluss an diesen allgemeinen Artikel über Firewall-Architekturen sind Sie nun mit den grundlegenden Konzepten vertraut. Netzwerk, in eine Bastion umgewandelt und als Firewall genutzt. Die Motivation, Firewalls zu betreiben.

Firewallarchitekturen

Um den Dual Homed-Host wird eine Dual Homed Host-Architektur erbaut. Er wird zwischen dem internem und dem kritischem Netzwerk (Internet) platziert. Das Routing zwischen den beiden Netzwerken könnte also der Rechner selber vornehmen, aber die Routing-Funktion ist für den Gebrauch in der Firewallarchitektur inaktiv. So werden IP-Pakete nicht von einem Netzwerk zum anderen geleitet.

So kann ein Computer außerhalb der Firewall und ein Computer innerhalb der Firewall nur mit dem Dual Homed Host korrespondieren, aber nicht unmittelbar mit anderen. Die folgende Grafik veranschaulicht die Netzwerkkonfiguration einer Dual-Homed-Host-Architektur: Diese stellt Services über einen separaten Routers zur Verfügung, der als Paket-Filter fungiert. Der Service wird von eigenen Rechnern erbracht, meistens vom Bastion Host selbst.

Der Paketfilter auf dem Monitoring-Router ist so eingestellt, dass nur über das Netzwerk eine Verbindung zum Bastion-Rechner hergestellt werden kann. Im Vergleich zur Systemarchitektur mit überwachten Hosts wird diese durch ein Border Network erweitert. Das bedeutet, dass sich das Grenznetzwerk (auch DMZ genannt) zwischen dem Internetz und dem Internetz aufhält. Zwischen der Außenwelt und dem inneren Netzwerk können auch mehrere Grenznetzwerke errichtet werden.

Der einfachste Typ dieser Struktur hat zwei Monitoringrouter, die an das Border Network angebunden sind. Es wird zwischen dem Innen- und dem Außenrouter unterschieden. Daher muss ein Hacker beide Routers passieren, um auf das Netzwerk zugreifen zu können. Für die Systemarchitektur mit überwachten Hosts muss nur ein einziger vorhandener Rechner überwunden werden.

8.3.4 Beispielhafte Firewall-Architekturen

Eine sehr einfache Firewall kann bereits mit einem Paketfilter aufgebaut werden. Gewöhnlich wird hierfür ein Screening-Router eingesetzt. Dualhomed Host: In dieser Systemarchitektur wird ein Multi-User-Rechner, der (mindestens) über zwei Netzwerkschnittstellen und sowohl mit dem internen als auch dem externen Netzwerk verbunden ist, zu einer Bollwerk erweitert und als Firewall eingesetzt.

Entsprechende Proxys erlauben die Verständigung mit Partner im anderen Netzwerk und stellen die Übereinstimmung mit den in der Security Policy definierten Richtlinien sicher. Forwarding, d.h. ein automatisch erfolgendes Weiterleiten von IP-Paketen zwischen den Netzwerken, das so genannte IP-Forwarding, wird in der Regel durch die Bollwerke verhindert. Dadurch wird die Effektivität der Proxy-Server sichergestellt und die Möglichkeit geschaffen, die Strukturen des Netzwerks vor dem äußeren Viewer zu verstecken.

Danach kann er nur noch die Bastei sehen und wenn überhaupt, nur über die Proxys mit den inneren Rechnern kommunizieren. Bitte beachte, dass viele UNIX-Systeme standardmäßig als Routers arbeiten und damit IP-Weiterleitung verwirklichen, wenn die Rechner über mehr als eine Netzwerkschnittstelle verfügen. Daher müssen Sie die IP-Weiterleitung für sie vollständig deaktivieren, da sonst alle IP-Pakete durch die Firewall geleitet würden, so dass sie ihre Bedeutung verlieren würden.

Durch die im Core integrierte Firewall-Funktionalität ist Linux 2.x sehr flexibel. Dabei kann der Verwalter wählen, ob er ein IP-Paket an das andere Netzwerk weiterleiten, zerstören oder an ein Application Gateway weiterleiten möchte. Dabei ist zu beachten, dass die sofortige Verfügbarkeit dieser Geräte die Betriebssicherheit des Privatnetzes gefährden kann.

Geschirmter Host: Diese Systemarchitektur nutzt eine Verbindung aus einem Screening-Router und einer Bollwerkseinheit. Er zerstört Datenpakete, die gemäß der Sicherheitsrichtlinie nicht durch die Firewall gelangen dürfen. Dies schließt in der Regel diejenigen ein, die weder von der Bastei kommen noch auf sie ausgerichtet sind, da normalerweise nur die Bastei mit dem Netz kommuniziert.

Die anderen Computer im Privatnetz können nur über Proxys auf der Festung auf das lnternet zugreifen. Der Paketfilter erlaubt in besonderen Situationen Direktverbindungen zwischen dem Innen- und Außennetz, so dass keine Proxys erforderlich sind und die gesammelten Meldedaten nicht den Weg über die Bollwerkstraße gehen müssen.

Wenn es einem Angriff gelungen ist, die Festung zu bezwingen oder den Screening-Router zu gefährden, kann er unbehindert in das Privatnetzwerk vordringen. Der architekturüberprüfte Server ist potenziell angreifbar für Attacken aus dem Privatnetzwerk. Legt ein dort ansässiger Computer die IP-Adresse der Basis als Absender-Adresse für die von ihm generierten IP-Pakete fest, können diese unter Umständen unmittelbar, also am Bastions-Host vorbeigeführt, da Routern die Falschmünzerei in der Regel nicht auffallen, weil sie Layer-2-Adressen (z.B. Ethernet) nicht evaluieren.

Hinweis: Unterschiedliche Angriffe auf Computer im Streckennetz beruhen auf der zielgerichteten Verfälschung von Daten wie beispielsweise IP-Adressen, DNS- oder NIS-Einträgen und Routing-Informationen. Der Missbrauch der gerade besprochenen Anschrift der Festung ist vor allem das IP-Spoofing. Mit Linux kann ein gesiebter Server auf einer einzelnen Festplatte realisiert werden.

Im Linux-Kern der Basis nimmt die Firewall die Aufgabe des Screening-Routers an. Abgeschirmtes Subnetz: Die Gesamtflexibilität und Betriebssicherheit der Firewall kann weiter erhöht werden, indem die Basis in ein eigenes Teilnetz verschoben wird, das sowohl vom inneren als auch vom äußeren Netzwerk durch einen Abgleich-Router geschirmt ist (daher Abgeschirmtes Subnetz).

Mit einer solchen Multi-Level-Lösung soll die höchstmögliche Rest-Sicherheit auch nach dem Versagen eines Teiles der Firewall oder deren Bewältigung durch einen Agenten aufrechterhalten werden. Wenn es sich bei der Basis um einen Dual-Homed-Host handhabt, kann oder sollte die unmittelbare Verknüpfung zwischen den in der Figur gezeigten internen und externen Routern weggelassen werden.

Dies zwingt uns dazu, dass die Verständigung zwischen dem internen Netzwerk und dem Intranet in der Praxis in der Praxis nur über die Basis möglich ist. Das bedeutet natürlich, dass Verknüpfungen, für die keine Proxys erver zur Auswahl standen, nicht realisierbar sind. Aus Gründen der Sicherheit liegt der Schwerpunkt auf der Verwendung eines Dual-Homed-Hosts als Basis, der für die Verständigung über die Firewall in jedem Falle durchgereicht werden muss.

Nach Ansicht des BSI sollte eine Verständigung ohne Aufnahme der Festung nur in Einzelfällen erlaubt sein. Ein an das Privatnetzwerk angeschlossener interner Screening-Router hindert einen aus dem Streckennetz in die Festung eingedrungenen Agenten daran, den Datendurchsatz des Internets abzufangen. Bei ihm werden nur die Datenpakete gesehen, die zwischen dem Internetzugang und dem Privatnetzwerk über die Firewall übertragen werden.

Es ist ratsam, den internen Fräser sehr vorsichtig zu projektieren, damit er nur die wirklich nötige Verständigung zwischen dem internen Netzwerk und dem Internetz auf der einen Seite und zwischen der Basis und dem internen Netzwerk auf der anderen Seite zulässt. Letztere begrenzen den Angriffsschaden, den ein Spieler erleiden kann, wenn es ihm gelingt, die Festung zu bezwingen. Beispielsweise sollte der Dienstanbieter sicherstellen, dass die Basis nur mit dem Mailserver und nicht mit irgendeinem anderen Computer im Privatnetzwerk über SFTP verbunden werden kann.

Der oben im geschirmten Hauptrechner genannte IP-Spoofing-Angriff aus dem firmeneigenen Netzwerk kann nun durch den firmeneigenen Fräser im geschirmten Nebennetz unterbunden werden, da sich die Festung und der Angreifercomputer in verschiedenen Nebennetzen in der Nähe des Hauptrechners des Rechners nachvollziehen lassen. Die Paketfilterung wird in der Realität nahezu ausschließlich über den eingebauten Screening-Router durchgeführt.

Daher muss man sie und die Festung sehr gut und ohne Rücksicht auf den Außenrouter absichern. Möglicherweise wird der Netzfilter des externen Roboters nur zum Sperren von gefälschten Paketen aus dem Netz benutzt, die jedoch eine Quell-IP-Adresse haben, die zu dem Unternetz in dem sich die Festung gerade aufhält, gehören. Der Innenrouter kann diese Funktion nicht ausführen.

Wird der Außenrouter nur sehr wenige Datenpakete blockieren, sind sowohl die Basis als auch der Innenrouter von aussen gut angreifbar. Dies hat den unschätzbaren Nebeneffekt, dass die Festung diese Angriffe verfolgen und ausgiebig dokumentieren kann. In einer Firewall-Installation kann es Sinn machen, mehrere Stützpunkte zu bedienen, z.B. eine pro zulässiges Kommunikationsprotokoll.

Wird die Verbindung zum Stromnetz über einen Routenplaner hergestellt, wie es oft der Fall ist, können die von aussen ankommenden Datenpakete auf der Grundlage des Ziel-Ports unmittelbar an die für den gewünschten Service verantwortliche Basis weitergeleitet werden. Damit wird der oft erwünschte Nebeneffekt erreicht, dass das komplette Privatnetzwerk von außerhalb unter exakt einer IP-Adresse zugänglich ist, und zwar ungeachtet der inneren Beschaffenheit seiner Firewall, die als zentrale Einstiegsstelle fungiert.

Selbstredend erhöht der Gebrauch von mehreren Bastions-Hosts den Arbeitsaufwand für die unverzichtbare Systemüberwachung der Firewallcomputer. Denkbar günstiger wäre die Verwendung eines eigenen Servercomputers im firmeneigenen Netzwerk für jeden zu betreuenden Service (WWW, Mail, News,....) und der Schutz aller dieser Datenserver mit einer einzigen, leistungsfähigen Serverbasteiung.

Mehr zum Thema