90 4 Integration von Firewalls in das Unternehmensnetzwerk 4.1 4.1.1 Absicherung des Internetzugangs mit einer Firewall Ausgangssituation Unser mittelständisches Unternehmen verwendet derzeit das Internet für den EMail-Austausch und das Surfen im WWW. Außerdem befindet sich auf einem Webserver der Internetauftritt des Unternehmens. fe0/0 fe0/1 140.252.90.225 DNS-Server Webserver 140.252.90.189 140.252.90.188 fe1/0 140.252.90.185 router_ext Cisco 37xx Zum CPE, Internet Squid-Proxy 140.252.90.230 fe0/0 172.25.250.1 fe1/0 Mail-Relay 140.252.90.190 fe0/1 140.252.90.254 Zwischennetz 140.252.90.224/27 DMZ 140.252.90.184/29 fe1/1 fe0/2 172.25.250.30 router_int Cisco 37xx Abb. 4–1 Ausschnitt des Unternehmensnetzwerks vor dem Aufbau einer Firewall 4.1 Absicherung des Internetzugangs mit einer Firewall 91 Für diese Anwendungen werden die Protokolle SMTP (E-Mail-Austausch), HTTP (Surfen und Internetauftritt), FTP (Downloads beim Surfen) sowie DNS (Namensauflösung für E-Mail, Surfen und Webserver) benötigt. Die beteiligten Server sind das Mail-Relay, der DNS-Server, der Webserver sowie der Squid-Proxy. Die ersten drei Server befinden sich in einem gemeinsamen Netz mit der Adresse 140.252.90.184/29, das an das Interface fe1/0 mit der IP-Adresse 140.252.90.185 des Routers router_ext angebunden wird. Diese IPAdresse ist zugleich die Default-Route für die drei Server. Der Squid-Proxy hat die IP-Adresse 140.252.90.230 und befindet sich im Zwischennetz. Der für die Absicherung des Internetzugangs relevante Ausschnitt des Unternehmensnetzwerks ist in Abb. 4–1 dargestellt. Aus den eingangs erläuterten Anwendungen im Bereich Internet ergeben sich Kommunikationsbeziehungen zwischen dem Internet und dem Unternehmen (siehe Tab. 4–1). Nr. Quelle Ziel Protokoll Bemerkung 1 Internet Mail-Relay SMTP Empfangen von Mails 2 Mail-Relay Internet SMTP Senden von Mails 3 Squid-Proxy Internet HTTP/S, FTP Surfen 4 Internes Netz und Internet Webserver HTTP/S 5 Internet DNS-Server DNS (UDP) Abfragen der IP-Adresse des Webservers 6 DNS-Server Internet Bestimmung und Auflösen von MX-Records beim Versenden von Mails im Auftrag des Mail-Relays Namensauflösung für das Surfen im Auftrag des Squid-Proxys DNS (UDP) Zugriff auf den Internetauftritt des Unternehmens Tab. 4–1 Kommunikationsbeziehungen mit dem Internet Das Unternehmen hat derzeit als einzige Sicherheitsmaßnahme eine Access-Control-Liste (ACL) auf dem Router router_ext implementiert, mit der eingehender Netzwerkverkehr gefiltert werden soll. Sie bildet die Kommunikationsbeziehungen aus Tab. 4–1 ab und wird an das externe Interface fe0/0 gebunden (siehe Abb. 4–2). Die Nummern hinter den Kommentarzeichen # beziehen sich auf die laufende Nummer in Tab. 4–1 und stellen für das bessere Verständnis den Bezug zwischen der Regel und der zugehörigen Kommunikationsbeziehung her. Obwohl die Access-Control-Liste mit dem Ziel installiert wurde, eingehenden Netzwerkverkehr (also die Kommunikationsbeziehungen mit den Nummern 1, 4 und 5 aus Tab. 4–1) zu filtern, müssen auch für die Antwortpakete von ausgehenden Verbindungen (Nummern 2, 3 und 6) Regeln definiert werden, da die Pakete ansonsten vom Router verworfen werden. 92 4 Integration von Firewalls in das Unternehmensnetzwerk Da UDP ein statusloses Protokoll ist und somit kein established-Flag wie bei TCP existiert, müssen in der letzten Regel, in der die Antwortpakete von DNS-Anfragen des DNS-Servers gefiltert werden, sämtliche UDP-Ports oberhalb von 1023 freigeschaltet werden. Dies zeigt erneut die Problematik statischer Access-Control-Listen. Router(config)#ip access-list extended incoming # 1 Router(config-ext-nacl)#permit tcp any host 140.252.90.190 eq smtp # 2 Router(config-ext-nacl)#permit tcp any host 140.252.90.190 gt 1023 established # 3 Router(config-ext-nacl)#permit tcp any host 140.252.90.230 gt 1023 established # 4 Router(config-ext-nacl)#permit tcp any host 148.252.90.188 eq www # 4 Router(config-ext-nacl)#permit tcp any host 140.252.90.188 eq 443 # 5 Router(config-ext-nacl)#permit udp any host 140.252.90.189 eq domain # 6 Router(config-ext-nacl)#permit udp any eq domain host 140.252.90.189 gt 1023 Router(config-ext-nacl)#exit Router(config)# interface FastEthernet0/0 Router(config-if)# ip access-group incoming in Abb. 4–2 ACL zur Filterung der Kommunikation mit dem Internet 4.1.2 Das Sicherheitsproblem Obwohl der Sinn und Zweck des Einsatzes von Firewalls zur Absicherung des Internetzugangs für die meisten Leser offensichtlich sein dürfte, wollen wir trotzdem kurz begründen, weshalb Firewalls am Übergang zwischen Internet und Firmennetz unverzichtbar sind. Generell ist der Einsatz von Firewalls immer dann sinnvoll, wenn ein Gefährdungspotenzial für ein bestimmtes Netzwerk besteht. Durch die Internetanbindung wird das Firmennetz ein Bestandteil des öffentlichen und anonymen Internets, so dass ohne weitere Schutzmaßnahmen ein hohes Gefährdungspotenzial für das interne Netzwerk des Unternehmens vorhanden ist (siehe auch Exkurs »Wer greift uns an?«). Einige dieser Gefahren, bei weitem jedoch nicht alle, können durch FirewallTechnologie eingeschränkt werden. Dazu gehört vor allem der unerlaubte oder unautorisierte Zugriff auf die Netzwerkdienste des Unternehmens. Läuft zum 4.1 Absicherung des Internetzugangs mit einer Firewall 93 Beispiel auf einem Webserver der FTP-Dienst, weil er für die Administration des Servers benötigt wird, heißt das noch lange nicht, dass das gesamte Internet ebenfalls FTP-Verbindungen zum Webserver aufbauen darf. Der unerwünschte Zugriff auf Netzwerkdienste ist häufig der Einstiegspunkt für weitergehende Angriffe, die das Ziel haben, tiefer ins Unternehmen vorzudringen und unternehmensspezifische Informationen auszuspähen. Firewalls am Übergang zwischen Internet und Firmennetz können dies verhindern und stellen daher eine unverzichtbare Komponente dar. Viele andere Gefahren wie etwa Denial-of-Service-Angriffe oder applikationsgetriebene Angriffe können von Firewalls nur unzureichend oder gar nicht verhindert werden. Eine klassische Firewall, die einen Webserver schützt, kann zum Beispiel nicht erkennen, dass ein Eingabefeld eines HTML-Formulars mit einer überlangen Eingabe gefüllt wurde, die bei der Auswertung durch die Webanwendung einen Pufferüberlauf provoziert und einen Einbruch in den Webserver ermöglicht. Die Firewall muss Verbindungen auf den Port 80 des Webservers, über den der Angriff stattfindet, zulassen, da andernfalls kein Zugriff auf die Webanwendung möglich wäre. Solche und zahlreiche andere Gefahren lassen sich mit Technologien wie Trusted Operating Systems oder Applikationsfilter (z.B. Web Application Firewalls) verhindern oder zumindest in ihren Auswirkungen einschränken. Exkurs: Wer greift uns an? Man unterscheidet meist zwischen drei Arten von Angreifern. Die größte Gruppe machen die Amateur-Hacker, die so genannten Cracker, aus. Cracker haben häufig das Ziel, Webseiten zu verunstalten oder Denial-of-ServiceAngriffe durchzuführen. Cracker gehen wenig strukturiert vor und verwenden im Internet veröffentlichte Tools, die sie technisch oft nicht durchschauen. Jugendliche Cracker werden auch als Script Kiddies bezeichnet. Die nächste Kategorie sind professionelle Hacker, die technisch äußert versiert sind, zielgerichtet vorgehen und für ihre Tätigkeit häufig bezahlt werden. Im Gegensatz zu Crackern versuchen sie meist keinen öffentlich sichtbaren Schaden anzurichten, sondern haben das Ziel, als Spione Informationen auszuspähen und dabei unentdeckt zu bleiben. Die dritte Gruppe schließlich sind frustrierte Mitarbeiter, die aufgrund ihrer (ehemaligen) Betriebszugehörigkeit über Insider-Informationen wie Netzwerktopologie, User-Accounts oder gar über spezielle Zugänge zum Firmennetz verfügen. Solche Angreifer versuchen der Firma Schaden zuzufügen, sei es als bezahlter Spion durch Datendiebstahl oder aufgrund von Rachegelüsten durch das Einschleusen von Viren. 94 4.1.3 4 Integration von Firewalls in das Unternehmensnetzwerk Netzwerkseitige Integration der Firewall Nachdem das Sicherheitsproblem identifiziert und mit einer Firewall eine Technologie zur Entschärfung des Problems gefunden wurde, stellt sich als Nächstes die Frage nach der richtigen Platzierung der Firewall im Netzwerk des Unternehmens. Platzierung der Firewall Eine Firewall zur Filterung unerwünschter Netzwerkzugriffe aus dem Internet sollte möglichst nahe am Internetzugang stehen. Wenn Sie den Netzwerkplan aus Abb. 4–1 betrachten, entdecken Sie zwei sinnvolle Platzierungsmöglichkeiten für die Firewall. Die erste Möglichkeit ist der Austausch des Routers router_ext durch eine Firewall. Der router_ext ist die erste Netzwerkkomponente hinter dem Internetzugang. Bei der zweiten Variante wird die Firewall zwischen den beiden Routern router_ext und router_int platziert. Variante 1 hat den Vorteil, dass die Netzwerk-Interfaces der Firewall dieselben IP-Adressen und Netzwerkmasken wie der Router router_ext hätten, so dass auf den umliegenden Servern keine Änderungen an der Netzwerkkonfiguration erforderlich wären. Bei Variante 2 hingegen wird eine neue Layer-3-Komponente in das Netzwerk integriert, so dass auf den davor bzw. dahinter liegenden Routern router_ext bzw. router_int jeweils das Interface fe0/1 sowie einzelne RoutingEinträge umkonfiguriert werden müssten. Dafür hat diese Variante den Vorteil, dass auf dem Router router_ext weiterhin Access-Control-Listen implementiert werden könnten und so eine Vorfilterung des Netzwerkverkehrs vorgenommen werden kann. Zudem ist die Variante flexibler, da bei einem Providerwechsel oder beim Ausbau des Internetzugangs keine Eingriffe in die Netzwerkkonfiguration der Firewall erforderlich werden. Beide Platzierungsvarianten sind in der Praxis häufig anzutreffen. Wir entscheiden uns aufgrund der höheren Flexibilität dafür, Variante 2 umzusetzen. Integration in das Netzwerk Um die Firewall netzwerkseitig zwischen den beiden Routern router_ext und router_int zu integrieren, unterteilen wir das bisher verwendete Zwischennetz 140.252.90.224 mit der Maske 255.255.255.224 (d.h. /27) in zwei gleich große Subnetze 140.252.90.224 und 140.252.90.240 mit der Netzwerkmaske 255.255.255.240 (d.h. /28). 4.1 Absicherung des Internetzugangs mit einer Firewall 95 fe0/0 Mail-Relay 140.252.90.190 FW-Mgmt 10.10.60.5 Interface4 140.252.90.225 Internet-Firewall Mgmt-DMZ 10.10.60.0/28 Zum CPE, Internet Interface3 10.10.60.1 Interface2 140.252.90.241 DMZ 140.252.90.184/29 Interface1 140.252.90.185 DNS-Server Webserver 140.252.90.189 140.252.90.188 Transfernetz 140.252.90.240/28 fe1/0 fe0/1 140.252.90.254 router_ext Cisco 37xx zum router_int Abb. 4–3 Integration der Internet-Firewall 1: Schaffung eines neuen Transfernetzes zwischen router_ext und der Firewall Dem Netz zwischen dem Router router_ext und der Firewall weisen wir die Netzwerkadresse 140.252.90.240/28 zu und nennen es Transfernetz (siehe Abb. 4–3). Aus diesem Netz vergeben wir die erste IP-Adresse 140.252.90.241 an die Firewall und die letzte IP-Adresse 140.252.90.254 an den Router. In der Praxis sieht man sehr häufig, dass die erste oder die letzte IP-Adresse eines Netzes dem Router oder Gateway zugewiesen wird. Um korrekt zu sein: Es ist nicht die erste bzw. letzte, sondern die zweite bzw. vorletzte IP-Adresse. Die erste Adresse eines 96 4 Integration von Firewalls in das Unternehmensnetzwerk Netzes ist stets die Netzwerkadresse (in unserem Fall 140.252.90.240), und die letzte Adresse ist die Broadcast-Adresse (140.252.90.255). zum CPE, Internet router_ext Interface4 140.252.90.225 Internet-Firewall Mail-Relay 140.252.90.190 Mgmt-DMZ 10.10.60.0/28 Interface3 10.10.60.1 Interface2 140.252.90.241 DMZ 140.252.90.184/29 Interface1 140.252.90.185 DNS-Server Webserver 140.252.90.189 140.252.90.188 Transfernetz 140.252.90.240/28 FW-Mgmt 10.10.60.5 fe0/0 172.25.250.1 fe1/0 Squid-Proxy 140.252.90.230 fe0/1 140.252.90.238 Zwischennetz 140.252.90.224/28 fe1/1 fe0/2 172.25.250.30 router_int Cisco 37xx Abb. 4–4 Integration der Internet-Firewall 2: Schaffung eines neuen Zwischennetzes zwischen Firewall und router_int Der zweite Bereich 140.252.90.224/28 wird dem Netz zwischen der Firewall und dem internen Router (siehe Abb. 4–4) zugeordnet. Die Firewall erhält die untere IP-Adresse (140.252.90.225), der Router router_int die obere Adresse 4.1 Absicherung des Internetzugangs mit einer Firewall 97 (140.252.90.238) aus diesem Bereich. Der Squid-Proxy kann seine IP-Adresse behalten (140.252.90.230), jedoch muss die Netzwerkmaske angepasst werden. Erforderliche Umkonfiguration der umliegenden Komponenten Als Folge der Aufteilung des Netzes 140.252.90.224/27 in zwei Subnetze müssen die IP-Adresse, die Netzmaske und die Routing-Konfiguration der umliegenden Router und Server gemäß Tab. 4–2 angepasst werden. Komponente IP-Adresse Netzmaske Routing router_ext Gateway-Adresse nach innen: Interface fe0/1: Interface fe0/1: 140.252.90.254 statt 255.255.255.240 statt 140.252.90.241 statt 140.252.90.254 255.255.255.224 140.252.90.225 router_int Keine Änderung Interface fe0/1 Interface fe0/1: 140.252.90.238 statt 255.255.255.240 statt 255.255.255.224 140.252.90.254 Squid-Proxy Keine Änderung 255.255.255.240 statt Keine Änderung 255.255.255.224 Tab. 4–2 Erforderliche Umkonfigurationen an router_ext, router_int und am Squid-Proxy 4.1.4 Bildung von DMZs Bei Internet-Firewalls werden üblicherweise die aus dem Internet erreichbaren Server wie Mail-Relay, DNS-Server oder Webserver in einer gemeinsamen DMZ platziert. Diese Server sind einem höheren Gefährdungspotenzial ausgesetzt als zum Beispiel der Squid-Proxy, der über das Internet nicht angesprochen werden kann. Gelingt es einem Angreifer, in einen der Server einzubrechen, kann er sich zwar innerhalb der DMZ frei bewegen, befindet sich aber noch lange nicht im internen Firmennetz. Manchmal wird der öffentliche Webserver sogar in einer eigenen DMZ platziert, da er in der Regel das beliebteste Angriffsziel ist und die Gefahr, dass in ihn eingebrochen wird, ohne weitere Schutzmaßnahmen am höchsten ist. Bei einem erfolgreichen Einbruch wären in diesem Fall die anderen öffentlich erreichbaren Server nicht direkt gefährdet, da sie sich in einer anderen DMZ der Firewall befinden. Eine DMZ ist also eine Sicherheitszone, deren Server einem höheren Gefährdungspotenzial ausgesetzt sind als andere an die Firewall angeschlossene Netze. Die Firewall hat die Aufgabe, die Kommunikation zwischen diesen Netzen zu reglementieren. Unser Unternehmen hat mit dem Mail-Relay, dem DNS-Server und dem Webserver drei Server, die über das Internet erreichbar und somit einer besonderen Gefahr ausgesetzt sind. Für diese Server sollte daher eine gemeinsame DMZ vorgesehen werden. Die Betrachtung des Ausgangszustands in Abb. 4–1 zeigt, 98 4 Integration von Firewalls in das Unternehmensnetzwerk dass die drei Server bereits ein eigenes Netz bilden, das an den Router router_ext angebunden wurde. Da wir mittlerweile eine Firewall haben, entfernen wir das Netz von diesem Router und binden es als DMZ an das Interface 1 der Firewall an (siehe Abb. 4–3). Die Firewall erhält dieselbe Adresse wie das entsprechende Interface des Routers, so dass auf den Servern keinerlei Umkonfiguration erforderlich ist. Auf dem Router router_ext kann anschließend das Interface fe1/0 deaktiviert werden. Für das DMZ-Netz 140.252.90.184/29 muss jetzt allerdings eine statische Route mit der Gateway-Adresse 140.252.90.241 hinzugefügt werden, damit IP-Pakete für die DMZ ihr Ziel erreichen. Die auf dem Router installierten Access-Control-Listen können unverändert beibehalten werden. Der Router router_ext ist ab sofort nicht mehr Gegenstand unserer Betrachtungen. In den Netzwerkplänen verwenden wir ab Abb. 4–4 daher an Stelle der Detaildarstellung mit Interface-Namen und IP-Adressen ein Platz sparendes Piktogramm. 4.1.5 Das Produkt: Check Point FireWall-1 Als Produkt für die Internet-Firewall wird in unserem Unternehmen die FireWall1 von Check Point eingesetzt. Die FireWall-1 ist ein Beispiel für einen dynamischen Paketfilter. Vom technischen Standpunkt aus hätten wir grundsätzlich auch andere Paketfilter-Produkte wie eine Cisco PIX oder eine Netscreen-Firewall von Juniper Networks heranziehen können. Wir haben uns an dieser Stelle jedoch für den Marktführer entschieden. Alternativ zu dynamischen Paketfiltern findet man zur Absicherung des Internetzugangs manchmal auch Proxy-basierte Firewall-Produkte von Herstellern wie BorderWare, Symantec oder GeNUA an. Obwohl mit Proxy-basierten Firewalls eine sehr hohe Sicherheit erreicht werden kann, ist ihre Verbreitung eher gering. Dies liegt unter anderem an der technologisch bedingten Unflexibilität (siehe Abschnitt »Probleme von Proxy-Firewalls«, S. 52). In Abb. 4–4 sehen Sie, dass mit der Management-DMZ (abgekürzt MgmtDMZ) eine weitere DMZ an die Firewall angebunden wurde. In der Management-DMZ befindet sich die Management-Station (auch Management-Modul genannt) der FireWall-1, die Check Point als SmartCenter bezeichnet. Im Kapitel »Management von Firewalls«, S. 221, gehen wir ausführlich auf die Management-Architektur der FireWall-1 und anderer Produkte ein. Für den Augenblick genügt es zu wissen, dass die Konfiguration der FireWall-1 auf der ManagementStation vorgenommen wird. 4.1.6 Sun als Plattform Der eigentliche Paketfilter (synonym Enforcement-Modul) sowie die Management-Station der Check Point FireWall-1 werden in unserem Unternehmen unter
© Copyright 2024 ExpyDoc
