Diplomarbeit Skalierbare Hochverfügbarkeitslösungen mit Lastverteilung für E-Commerce Sites Mai 2000
2.4 Firewalls
Bei einer Firewall handelt es sich um ein System, bei dem der Übergang zwischen einem unsicheren Netz (z.B. Internet) zu einem privaten Netz abgesichert wird (Abb. 2.21). Durch technische und administrative Maßnahmen muß dafür gesorgt werden, daß jede Kommunikation zwischen den beiden Netzen nur über die Firewall geführt wird.80 Auf einer Firewall werden Sicherheitsmechanismen implementiert, die den Übergang sicherer, kontrollierter und beherrschbarer machen. Die Datenpakete werden analysiert, die Kommunikationspartner- und beziehungen kontrolliert, sicherheitsrelevante Ereignisse protokolliert (Logging81) und bei Verstößen oder Angriffen wird alarmiert. Mit Hilfe des Firewall-Systems wird verhindert, das unauthorisierte Benutzer aus dem Internet Zugriff auf das private Netz erhalten. Jede Nachricht wird von der Firewall untersucht und, soweit sie nicht den spezifizierten Sicherheitskriterien entspricht, nicht weitergeleitet. Firewalls können als Softwarelösung, als Hardwarelösung, sowie als Kombination aus beidem implementiert sein.82
Abbildung 2.21 : Firewall-System83
Um die interne Netzstruktur zu verbergen, kann durch die Firewall eine Network Address Translation (NAT)84
- Statische Zuordnung: Dabei steht für jede private IP-Adresse aus dem internen Netz eine bestimmte öffentliche IP-Adresse bei der Firewall bereit. Bei jedem Paket aus dem internen Netz wird dann von der Firewall die Quell-IP-Adresse des Absenders durch die öffentliche IP-Adresse ersetzt. Dadurch sind zwar die internen IP-Adressen verborgen, nicht jedoch die interne Netzstruktur.
- Dynamische Zuordnung: Hierbei wird von der Firewall einer internen IP-Adresse dynamisch eine Adresse aus einem IP-Adress-Pool zugewiesen. Diese Zuweisung ist nur temporär, d.h. nach Beendigung einer Session steht die zugewiesene IP-Adresse wieder im Pool zur Verfügung.
- Network Adress Port Translation (NAPT): Die Firewall weist mehreren oder allen internen IP-Adresse nur eine öffentliche IP-Adresse zu. Wenn von einer internen IP-Adresse aus eine Session aufgebaut wird, protokolliert die Firewall in ihrer NAT-Table die zugehörige Quell-Portnummer.85 Ein IP-Paket, welches aus dem Internet kommt, kann dann mit Hilfe der NAT anhand der Portnummer dem eigentlichen Adressaten zugeordnet werden.86
Bei den heutigen Firewalls unterscheidet man im wesentlichen vier Konzepttypen87:
- Statischer Paketfilter : Ein statischer Paketfilter prüft IP-Pakete anhand der IP-Quell- und Ziel-Adresse, der TCP/UDP-Portnummer und des Acknowledge-Bits. Bei einem TCP- Sessionaufbau ist beim ersten Paket das Acknowledge-Bit nicht gesetzt. Nur dieses Paket wird überprüft, alle nachfolgenden Pakete werden anstandslos durchgelassen, da Pakete mit Acknowledge-Bit von den empfangenden Rechnern verworfen werden, wenn kein vorhergehender Sessionaufbau erfolgte. Da bei UDP-Paketen keine verbindungsorientierte Kommunikation stattfindet und UDP-Dienste nicht an feste Portnummern gebunden sind, kann die Sicherheit durch statische Paketfilter nicht ausreichend gewährleistet werden.
- Dynamische Paketfilter : Ein dynamischer Paketfilter beinhaltet einen statischen Paketfilter, ermöglicht aber zusätzlich sicheren UDP-Verkehr. Der dynamische Paketfilter speichert die Adressen und Ports von nach außen gesendeten UDP-Paketen. Nur solche Pakete aus dem Internet können die Firewall passieren, die vom selben Rechner und vom selben Port kommen, an den ein vorheriges UDP-Paket adressiert wurde, und deren Ziel derselbe Rechner und derselbe Port ist, von dem das vorherige UDP-Paket ausging. Ein UDP-Paket, dass aus dem Internet von einem dem Paketfilter unbekannten Rechner kommt, wird verworfen.
- Applikationsfilter : Beim Einsatz eines Applikationsfilters werden die Datenpakete der verschiedenen Anwendungsprogramme von der Firewall kontrolliert. Dabei sorgen verschiedene Proxy88-Dienste, welche jeweils für eine Anwendung zuständig sind, für eine Filterung und Weiterleitung der Anwendungsdaten. Der jeweilige Proxy untersucht dabei die Nutzdaten der Anwendungsprogramme und entscheidet, ob Befehle, Dateiangaben oder Programme der Sicherheitspolitik entsprechen.
- Überwachter Applikationsfilter : Überwachte Applikationsfilter sind Applikationsfilter, die ihrerseits durch Paketfilter sowohl gegenüber dem externen als auch dem internen Netz abgeschirmt sind. Dadurch wird der Applikationsfilter vor Angriffen aus dem Internet und aus dem internen Netz geschützt. Außerdem können Dienste wie DNS89 und SMTP90 getrennt nach internem und externem Netz implementiert werden, wodurch die Struktur des internen Netzes verborgen werden kann und die Angriffsmöglichkeiten verringert werden.
Abbildung 2.22 : Firewall mit Demilitarisierter Zone91
Informationen, die über das Internet öffentlich zugänglich sein sollen, werden im allgemeinen auf Servern innerhalb einer Demilitarisierten Zone (DMZ) zur Verfügung gestellt (Abb. 2.22). Bei einer DMZ handelt es sich um einen Bereich zwischen zwei überwachten Applikationsfiltern. Diese Positionierung macht einen direkten Zugriff von außen über das ganze Firewall-System auf Rechnersysteme im zu schützenden Netz überflüssig. Für die Öffentlichkeit bestimmte Daten werden vom zu schützenden Netz auf die Internet Server der DMZ überspielt. Die dedizierte Funktionalität der Server innerhalb der DMZ ermöglicht eine spezifische Implementation der Sicherheitsmechanismen, wodurch die Anzahl der Angriffsmöglichkeiten reduziert wird.
Auch von Routern werden Mechanismen zur Paketfilterung angeboten. Dabei handelt es sich in der Regel um statische Paketfilter, damit sich der Aufwand der Sicherheitsadministration möglichst auf den Common Point of Trust -die Firewall- konzentrieren kann. In vielen Netzwerken werden deshalb die Router, über die die Anbindung an das Internet realisiert ist, die sogenannten Border Router, dazu eingesetzt, den ankommenden Datenverkehr vorzufiltern, bevor die eigentliche Filterung durch die Firewall stattfindet. Die Paketfilter der Border Router werden dabei möglichst einfach konfiguriert, so dass nur bestimmte Anwendung, wie z.B. NetBios, nicht weitergeleitet werden.
80Die Firewall stellt den Common Point of Trust dar
81engl.: Protokollieren relevanter Ereignisse in einer Log-Datei
82vgl. <31>
83aus: [13], S. 37
84vgl. <32>
85Die Portnummern müssen von der Firewall verändert werden, um eine rückwertige Eindeutigkeit zu gewährleisten.
86vgl. [8], Kap. 3.2; <33>
87vgl. [14], S. 120 ff.
88engl.: Stellvertreter
89Domain Name System
90Simple Mail Transfer Protocol
91aus: [13], S. 185