|
IT-Security:
Ansätze zur Prävention
Die vor kurzem
veröffentlichte Studie „Computer
Crime and Security Survey 2003“ von
CSI und FBI zeigt auf, dass 98% der befragten
Unternehmen Firewalls als eine der verwendeten
Schutzmassnahmen gegen Gefahren aus dem
Internet einsetzen. Diese Studie wird jährlich
erstellt. Rund 530 Unternehmen unterschiedlicher
Grösse und aus diversen Branchen werden
befragt. Erstaunlich sind die Antworten
der Befragten: 78% (2002: 74%) der Angriffe
stammen aus dem Internet, 18% (2002: 12%)
aus Dial-In und nur gerade 30% (2002: 33%)
von internen Systemen (Mehrfachnennungen
waren möglich). In der Praxis wird
die Anzahl der Angriffe von internen Systemen
aus höher ausfallen. In der Regel sind
diese aber schwerer erkennbar als die Angriffe
aus dem Internet.
Firewall: die klassische
Sicherheitsmassnahme
Die Angreifer entwickeln
immer neue Methoden, um die installierten
Security-Massnahmen zu umgehen. Die Firewall
ist ein klassisches Beispiel einer Sicherheitsmassnahme.
Zwar haben fast alle Unternehmen eine Firewall,
die den Datenzugriff aus dem und ins Internet
regelt, doch diese Firewall alleine hat
meistens keine Chance, komplexe Angriffe
abzuwehren.
Firewalls arbeiten
auf den OSI Layern 3 und 4, d.h. sie entscheiden
aufgrund der IP-Adressen, des Protokolls
(TCP/UDP/ICMP) und der Portnummer, ob ein
Dienst zugelassen ist. Die Firewall unterscheidet
sich vom einfachen Paket Filter dadurch,
dass der Zustand einer Verbindung überwacht
wird. In diesem Fall wird von sogenannten
Stateful Firewalls gesprochen. Die Stateful-Inspection-Technologie
wurde von der Firma Check Point Technologies
erfunden und patentiert. Bei Stateful Firewalls
wird nur der Verbindungsaufbau definiert,
z.B. der Web-Zugriff vom internen Netzwerk
in das Internet. Im Gegensatz zu Paket Filtern,
bei denen für jede Verkehrsrichtung
Anfrage und Antwort, bzw. an jedem Interface
ein Filter definiert wird. Die Stateful
Firewall überwacht die Anfrage und
weiss genau, welche Antwortpakete erlaubt
sind. Die meisten Firewall-Hersteller unterstützen
heute dieses Konzept.
Moderne Firewalls können
nicht nur dynamisch die benötigten
Ports für die Antwortpakete öffnen.
Sie überprüfen auch den Inhalt
des Pakets bis auf Layer 4. Bei TCP beispielsweise
wird überprüft, ob die Sequence-,
die Acknowledgement-Nummer und die TCP Flags
dem Status der Verbindung entsprechen. Beim
Feststellen einer Unregelmässigkeit
wird die Verbindung unterbrochen. Dieser
Sicherheitsmechanismus schützt vor
Angriffen auf TCP-Ebene.
Die meisten komplexeren
Angriffe auf Unternehmensnetzwerke basieren
nicht auf den Protokollen der Layer 3 und
4, sondern auf Applikationsprotokollen,
wie HTTP (Web-Zugriff), FTP (File-Transfer)
und SMTP (Mail-Dienst).
HTTP-Verkehr im
Detail
HTTP wird für
zwei Bereiche eingesetzt. Einerseits für
den Zugriff der eigenen Benutzer auf Webserver
im Internet, andererseits für den Zugriff
aus dem Internet auf firmeneigene Webserver
in der DMZ.
Der Zugriff auf
Webserver im Internet muss über den
TCP Port 80 auf der Firewall erlaubt sein,
damit die Benutzer auf die Webseiten zugreifen
können. Für die Firewall ist dies
kein Problem, sie lässt die Anfragen
über Port 80 zu. Immer mehr Applikationsentwickler
benutzen HTTP sozusagen als „Transportprotokoll“
für ihre Anwendungen. Die Firewall
erkennt nicht, dass es sich dabei nicht
um „normale“ Webzugriffe handelt.
Peer-to-Peer-Applikationen oder Audio/Video
Streams werden oft über HTTP transportiert.
Auch Hacker nutzen diese Möglichkeit
aus.
(Abbildung
1)
Eine sehr
bekannte Hacker-Technik ist das Tunneling
von Applikationen über Port 80. Der
Angreifer versucht dem internen Benutzer
per Mail, per CD-ROM oder über einen
vom Benutzer initiierten Download ein Stück
Malicious Mobile Code anzubieten. Der Code
wird als harmlose Applikation getarnt. Im
Hintergrund wird jedoch eine ausgehende
Verbindung über Port 80 auf einen vordefinierten
Server im Internet aufgebaut. Aus Sicht
der Firewall ist diese Verbindung erlaubt.
Eine sehr bekannte
Hacker-Technik ist das Tunneling von Applikationen
über Port 80. Der Angreifer versucht
dem internen Benutzer per Mail, per CD-ROM
oder über einen vom Benutzer initiierten
Download ein Stück Malicious Mobile
Code anzubieten. Der Code wird als harmlose
Applikation getarnt. Bei Ausführung
der Applikation erscheint auf dem Bildschirm
eine belanglose Information. Im Hintergrund
wird jedoch eine ausgehende Verbindung über
Port 80 auf einen vordefinierten Server
im Internet aufgebaut. Über diese erlaubte
Verbindung tunnelt der Angreifer seine Anwendung,
z.B. einen Keyboard Sniffer oder eine Command
Shell. Der Angreifer hat somit vollen Zugriff
auf den Rechner des Benutzers. Für
die Firewall ist immer noch alles in Ordnung
und die Verbindung wird durchgelassen. Dieses
Angriffsszenario macht deutlich, dass es
heute nicht ausreicht, nur eine Firewall
zu implementieren. Um solch einen Angriff
zu verhindern, müssen zusätzliche
Sicherheitsmechanismen eingesetzt werden.
Hier stehen generell zwei unterschiedliche
Strategien zur Auswahl, die sich bei Bedarf
auch kombinieren lassen.
Mögliche Strategien
zur Sicherung des Unternehmensnetzwerks
(Abbildung 2)
Der klassische
Ansatz schützt das Unternehmensnetzwerk
durch die Implementation eines Application
Gateway. Benutzer, die auf Services im Internet
zugreifen möchten, müssen sich
zuerst am Application Gateway authentisieren.
Verläuft die Authentisierung erfolgreich,
wird vom Application Gateway aus eine Verbindung
zum Zielsystem im Internet aufgebaut. Mit
dieser Technologie können auch eigene
Webserver geschützt werden (Reverse
Proxy).
Der zweite
Lösungsansatz besteht in der Erweiterung
der Firewall-Funktionalität bis auf
Layer 7. Diese Funktionalität wird
als Application Intelligence bezeichnet.
Application Intelligence definiert die Überprüfung
von Applikationsprotokollen auf Layer 7.
Der Unterschied zum Application-Gateway-Ansatz
liegt darin, dass der Benutzer nicht merkt,
dass seine Verbindung abgesichert wird.
Die Firewall liest und verarbeitet ohne
Performance-Einbussen mehr Informationen
aus den für die Stateful Inspection
eingelesenen Paketen.
Der klassische Ansatz
schützt das Unternehmensnetzwerk durch
die Implementation eines Application Gateway,
auch bekannt als Proxy, der im internen
Netzwerk eingesetzt wird. Benutzer, die
auf Services im Internet zugreifen möchten,
müssen sich zuerst am Application Gateway
authentisieren. Verläuft die Authentisierung
erfolgreich, wird vom Application Gateway
aus eine Verbindung zum Zielsystem im Internet
aufgebaut. Auf dem Application Gateway können
Filter definiert werden, die den HTTP-Verkehr
kontrollieren.
Der zweite Lösungsansatz
besteht in der Erweiterung der Firewall-Funktionalität
bis auf Layer 7. Check Point Technologies
verfolgt als erster Hersteller von Stateful
Firewalls diesen Ansatz. Diese Funktionalität
wird als Application Intelligence bezeichnet.
Application Intelligence definiert die Überprüfung
von Applikationsprotokollen auf Layer 7.
Der Unterschied zum Application-Gateway-Ansatz
liegt darin, dass der Benutzer nicht merkt,
dass seine Verbindung abgesichert wird.
Es bestehen keine Performance-Einbussen
und die Anmeldung ist optional. Die Firewall
liest und verarbeitet mehr Informationen
aus den für die Stateful Inspection
eingelesenen Paketen. Dieser neue Ansatz
bietet sich nicht nur für ausgehende
Verbindungen an. Auch Verbindungen vom Internet
her auf die eigenen Webserver lassen sich
mit diesem Mechanismus absichern. Diese
Funktion bietet u. a. Schutz vor Cross-Site-Scripting-Attacken
und vor direkten Angriffen auf den Webserver
(Code Red, Nimda, etc.). Falls ein Unternehmen
Webservices nutzt (Kommunikation zwischen
Webservern) und Meldungen über das
auf XML basierende SOAP (Simple Object Access
Protocol) ausgetauscht werden, so ist es
nun möglich, diese Meldungen auf der
Firewall zu überprüfen. Die Meldungen
werden mit einem zugelassenen Schema verglichen.
Entsprechen die Meldungen nicht einem dieser
Schemen, werden sie verworfen.
Die Application-Gateway-Technologie
bietet auch für eingehende Verbindungen
eine Alternative zur Firewall mit Layer
7 Funktionalität. Anstelle des Proxy
kommt ein Reverse Proxy zum Einsatz, der
den Zugriff auf die eigenen Webserver regelt.
Ein Besucher aus dem Internet kommuniziert
nur mit dem Reverse Proxy und dieser baut
die Verbindung zum Webserver auf.
Fazit
Der Application-Gateway-Ansatz
hat sich schon über Jahre bewährt.
Zu beachten gilt, dass die Application Gateways
stark limitiert sind bezüglich Anzahl
Protokolle, die sie unterstützen. Konkret
heisst das, dass für die unterschiedlichsten
Applikationen verschiedene Application Gateways
eingesetzt werden müssen. Die Application
Gateways müssen zudem entsprechend
ihrer Funktion an der geeigneten Stelle
im Datenpfad platziert werden, d.h. für
dieselbe Funktion sind vielfach mehrere
Geräte nötig.
Der Firewall-Ansatz
mit Application Intelligence (Layer 7) muss
sich zuerst in der Praxis bewähren.
Der grosse Vorteil dieses Ansatzes ist,
dass die Firewall die Applikationsprotokolle
schon vor dem Eintritt in das Unternehmensnetzwerk
prüft und entscheidet, ob das Paket
weitergeleitet wird. Somit belasten Pakete,
die verworfen werden, nicht unnötig
die Ressourcen des Unternehmens. Anhand
der Risikobetrachtung wird in der Security
Policy eines Unternehmens definiert, bei
welchen Anwendungen eine solche Firewall
zum Einsatz kommt. Der Firewall-Ansatz dient
als optimale Präventionsmassnahme und
ist als Komplettlösung nicht so kostenintensiv
wie dediziert aufgebaute Funktionsmodule.
In der Praxis
werden beide Möglichkeiten koexistieren
und sich ergänzen. Beispielsweise dient
der Proxy im internen Netzwerk in vielen
Fällen noch als Cache und ist mit einem
Virenscanner kombiniert, der die HTTP-Daten
auf Viren überprüft. Zum Schutz
der eigenen Webserver eignet sich die Firewall
mit Application Intelligence hervorragend,
da oft aus Kostengründen auf den Schutz
der eigenen Webserver mit Reverse Proxies
verzichtet wird.
top
|
