Inhaltsverzeichnis

1.  Einleitung.  1

2.  Definition.  1

3.  Was gilt es zu erreichen?  1

3.1  Wie sicher ist Sicher?  1

4.  Arten von Firewalls.  2

4.1  Hard- oder Software.  2

4.2  Stateless (Static) IP Filtering Firewalls.  2

4.2.1  Zusammenfassung Stateless Filtering.  2

4.3  Stateful IP Filtering Firewalls.  3

4.4  Application Level Gateways (Proxy)  3

4.5  Hybrid Level Gateways.  4

5.  Vor- und Nachteile von Firewalls.  4

6.  Weshalb Personal Firewalls schlecht sind.  5

6.1  Gründe gegen den Einsatz von Personal Firewalls.  5

6.2  Self Denial of Service (SelfDOS)  6

6.3  Fazit Personal Firewalls.  6

7.  Quellen  7

Anhang   

I.  Angriffsarten.  8

I.  I Denial of Service (DOS)  8

I.  II Distributed Denial of Service (DDOS)  8

I.  III Firewall Piercing  8

Benjamin Machuletz - Firewalls - 19.08.05

1. Einleitung

In der heutigen Zeit sind Daten ein besonders zu behandelndes Gut. In jeglicher erdenklichen Situation werden Daten bewusst oder unbewusst erfasst, die durch elektronische Systeme (z.B. Computersysteme) verarbeitet werden. Das Internet bildet ein stetig wachsendes Netzwerk zur Übertragung von Daten jeglicher Art. Gerade vertrauliche Daten sind daher besonders zu schützen. Damit vertrauliche Daten, z.B. Firmengeheimnisse, Personaldaten usw. nicht in die Hände von unberechtigten Personen gelangen, werden verschiedene Arten von Sicherheitsmassnahmen angewandt. Firewalls bilden einen erheblichen Bestandteil bei der Realisierung individueller Sicherheitskonzepte. Ziel von sog. Firewalls ist es den Zugriff auf und von Netzwerken einzuschränken.

2. Definition

Was ist eigentlich eine Firewall? Eine Firewall ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. Firewalls bestehen daher in der Regel aus mehreren Komponenten. Durch Einsatz einer Firewall werden die Sicherheitsinstrumente auf einen zentralen Punkt konzentriert. Meistens werden Firewalls eingesetzt um private von öffentlichen Systemen zu trennen. Sie können aber auch eingesetzt werden, um Übergriffe aus anderen Teilnetzen eines Intranets zu verweigern bzw. zuzulassen. Der Ausdruck Firewall ist für sog. Personal Firewalls also gänzlich unangebracht.

3. Was gilt es zu erreichen?

Eine Firewall soll eine Arbeitsumgebung vor unberechtigten Zugriffen schützen, aber dabei die eigenen Möglichkeiten so wenig wie möglich einschränken. D.h. Sicherheit steht immer im Verhältnis zu der zu erreichenden Produktivität.

3.1 Wie sicher ist Sicher?

Eine 100%ige Sicherheit kann niemand gewährleisten. Selbst das beste Sicherheitskonzept gilt als knackbar. Der Sinn eines solchen Konzepts ist es, den unberechtigten Zugriff möglichst auszuschliessen bzw. zu erschweren. Stehen Kosten- und Zeitaufwand ein System zu knacken mit den zu erlangenden Daten nicht überein, ist es nicht mehr rentabel Zugriff auf das System zu erlangen. Sicherheit ist zudem kein käufliches Produkt, Sicherheit wird vermittelt. Dabei müssen Administratoren wie auch andere Mitarbeiter dahingehen geschult werden.

Seite 1 von 8

Benjamin Machuletz - Firewalls - 19.08.05

4. Arten von Firewalls

Es gibt verschiedene Arten von Firewall Systemen. Für alle Systeme gilt aber folgende Regel: Erst sperren des gesamten Netzwerkverkehrs und nur wirklich notwendige Verbindungen dürfen die Firewall passieren.

4.1 Hard- oder Software

Firewall-Systeme gibt es als Software, die auf einem dafür vorgesehenen Server installiert wird oder als Hardwarevariante. Hardware-Lösungen enthalten Software die bestenfalls speziell auf die Hardware abgestimmt ist. Welches nun die eleganteste Variante ist, kann nicht 100%ig geklärt werden, da es für beide Varianten immer ein Pro und Contra gibt. Softwareprodukte, speziell OpenSource, bieten die Möglichkeit, sich anhand des Sourcecodes von der korrekten Funktionsweise selbst zu überzeugen.

4.2 Stateless (Static) IP Filtering Firewalls

Die Stateless Firewalls oder auch Static Firewalls sind ein etwas älteres Konzept. Sie arbeiten auf Schicht 3-4 des ISO/OSI-Schichtenmodells (Vermittlungsschicht-Steuerungsschicht). Daher werden die Pakete nicht ausgepackt. Es werden lediglich die Header jedes einzelnen Pakets begutachtet und anhand vordefinierter Regeln entschieden, ob diese zugelassen oder verworfen werden. Ausnahmen gibt es keine. Diese Regeln können auf ein- und ausgehende Daten gleichermassen angewandt werden. IP-Filter sind im Gegensatz zu anderen Konzepten leicht realisierbar und ressourcenschonend (CPU-Zeit). Eine sehr gut ausgeprägte Implementierung einer Stateless-Firewall ist das OpenSource Projekt IPFilter/Netfilter. Wie der Name schon sagt, sind diese Art von Firewalls statisch. Existiert also eine Route (Portweiterleitung) auf ein System im internen Netz, so ist sie ständig vorhanden. Zusätzlich ergeben sich Probleme bei komplizierteren Protokollen wie z.B. FTP. Um diesen Problematiken entgegenzukommen, wurden Stateful IP Filtering Firewalls entwickelt.

4.2.1 Zusammenfassung Stateless Filtering

Nach folgenden Kriterien können Filterregeln aufgestellt werden: - IP, TCP, UDP, ICMP können - Quell- und Zieladresse

- Quell- und Zielport bei TCP und UDP oder Type-Code bei ICMP - Eingangs- und Ausgangsinterface

Seite 2 von 8

Benjamin Machuletz - Firewalls - 19.08.05

4.3 Stateful IP Filtering Firewalls

Stateful Packet Filter arbeiten nach dem gleichen Schema wie Stateless Packet Filter. Weiterhin sind sie in der Lage, Verbindungen zu überwachen. Das bedeutet, sie können dynamisch entscheiden, ob ein Datenpaket an einem bestimmten Port vertrauenswürdig ist, oder nicht. Stateful IP Filter sind in der Lage zu überprüfen, ob z.B. ein FTP-Paket das von aussen durch das Firewall System will, zu einem Stream gehört, der von einem Client im lokalen Netzwerk initiert wurde.

4.4 Application Level Gateways (Proxy)

Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Schichtenmodells. Für jeden Dienst (HTTP, FTP) muss ein Proxy vorhanden sein. Das Gateway vermittelt dann die Daten zwischen lokalem und öffentlichem Netzwerk. Es nimmt also Anfragen eines Clients am Proxydienst entgegen und leitet sie nach Prüfung an den entsprechenden Server im Internet weiter. Antworten eines Servers werden zurück an das Gateway geschickt und nach Prüfung wieder an den Client ausgeliefert. Ein direkter Austausch von Daten zwischen Client und Zielrechner findet also nicht statt.

Proxys sind in der Lage eine Inhaltsfilterung (Content Filter) durchzuführen. Damit ist es möglich, z.B. bekannte Angriffsszenarien auf Anwendungsebene zu filtern.

Da der Aufwand, für jeden Dienst einen Proxy-Dienst bereitstellen zu müssen, sehr aufwendig ist, gibt es Socks4 und Socks5 Proxys. Socks-Proxys bieten den Clients im privaten Netzwerk einen Port an (meistens 1080) über den der Client dem Proxy mitteilt, welche Zielserver erreicht werden soll und welcher Dienst gefordert ist. Der Socks-Proxy kommuniziert dann anstelle des Clients mit dem Server und vermittelt die Daten.

Socks4 Proxys beschränken sich darauf, Verbindungsanfragen zu verarbeiten, Proxy-Regeln umzusetzen und Anwendungsdaten weiterzuleiten. Auf Authentifizierungsmechanismen wird vollständig verzichtet. Weiterhin unterstützen sie nur TCP-Verbindungen. Socks5 erweitert den Umfang mit starken Authentifierungsmechanismen und UDP-Unterstützung.

Seite 3 von 8

Benjamin Machuletz - Firewalls - 19.08.05

Hinweis: Auf einem ALG darf kein Routing aktiviert sein, da sonst an dem Proxy vorbeigeroutet würde.

4.5 Hybrid Level Gateways

Hybrid Level Gateway vereinen die Funktionalitäten des Application Level Gateways und der Stateful IP Filtering Firewall.

5. Vor- und Nachteile von Firewalls

Firewalls sind in der heutigen Zeit unerlässlich, daher spielt es keine Rolle welche Nachteile dadurch entstehen. Solange die Zweckmäßigkeit zu den zu schützenden Daten im Verhältnis zu dem Firewall-Konzept erhalten bleibt, können solche Systeme transparent in die Arbeitsumgebung integriert werden. Angriffe auf Computersysteme aus dem Internet sind an der Tagesordnung. Jedes an einem größeren Netzwerk angeschlossene System ist ein potenzielles Ziel für Angriffe jeglicher Art.

Seite 4 von 8

Benjamin Machuletz - Firewalls - 19.08.05

6. Weshalb Personal Firewalls schlecht sind

Personal Firewalls (im weiteren PF) werden in der Windows-Welt als die Top-Produkte schlechthin dargestellt. Viele Magazine oder die Presse, ja sogar selbst in Fernsehausstrahlungen wie 'Gallileo' meine ich es schon gesehen zu haben, werben für PFs. Dies geschieht sicher nicht aus dem Grund, weil diese Produkte 'Gut' sind, eher handelt es sich dabei um Marketing. Fachzeitschriften existieren davon, werbewirksame Artikel über ein Produkt zu verfassen. Im Folgenden werden einige Punkte aufgeführt, die selbsternannte Sicherheitsexperten anscheinend außer Acht gelassen haben.

6.1 Gründe gegen den Einsatz von Personal Firewalls

PFs arbeiten auf Layer 7 (Anwendungschicht - Application Layer). Das bedeutet, dass Daten ersteinmal in das System hereinkommen müssen. Dabei werden die Daten bereits von anderen Diensten auf niedrigeren Schichten bearbeitet. Handelt es sich also um einen Angriff auf einen Dienst einer niedrigeren Schicht, so kann die PF dieses erst feststellen, wenn es zu spät ist. Einige Hersteller setzen allerdings bereits Filterregeln ein die auf Schicht 3 und 4 (IP-Filter) arbeiten. Es ändert aber trotzdem nichts an der Sicherheit des Systems. - PFs erhöhen die Gesamtmenge an ausführbarem Code auf dem Computer und senken damit die Gesamtsicherheit des Systems. Da Software NIE fehlerfrei ist und auch PFs davon nicht ausgenommen sind, schafft man mit dem Einsatz einer solchen auf dem Computer genau das Gegenteil von Sicherheit. PFs können genau so gut Angriffen ausgesetzt werden, wie andere Dienste auch.

- PFs bieten keinen Schutz, da sie auf dem gleichen System ausgeführt werden, wie andere Applikationen (Internet Explorer, MS Outlook, usw.). Diese Applikationen können von einem Trojaner als Wirtsapplikation benutzt werden. Da dem Internet Explorer in den meisten Fällen als vertrauenswürdige Applikation der Zugriff auf das Internet erlaubt wird, ist er ein erstklassiger Wirt. Da viele Windows-Benutzer aus Bequemlichkeit als Administrator an ihrem System arbeiten erschwert die Angelegenheit zunehmend. Bei Windows 9x-Varianten kann sowieso jeder machen was er will.

- PFs bieten keinen Schutz gegen Trojaner die Methoden wie IP over HTTP verwenden, da in den meisten Fällen das HTTP-Protokoll als vertrauenswürdig eingestuft wird. - PFs bieten oft 'schwachsinnige' Konfigurationsoptionen. Eine sehr bekannte ist zum Beispiel der sog. Stealth-Mode. Dabei wird die PF veranlasst, auf ICMP-Echo-Requests (PING) nicht mehr zu antworten. Keine Antwort ist genau so gut wie 'Hallo, ich bin am Netz'. Wäre ein System nicht erreichbar, so würde der letzte Router die Fehlermeldung 'Destination

Seite 5 von 8

Benjamin Machuletz - Firewalls - 19.08.05

unreachable' an das Anfragende System schicken (RFC 792 -Internet Control Message Protocol-).

6.2 Self Denial of Service (SelfDOS)

Personal Firewalls lassen sich oftmals durch manipulierten Datenverkehr austricksen.

6.3 Fazit Personal Firewalls

PFs erhöhen keinesfalls die Sicherheit des zu schützenden Hostsystems. Eher beeinträchtigen sie die Leistungsfähigkeit und erweitern die Angriffsfläche.

Seite 6 von 8

Benjamin Machuletz - Firewalls - 19.08.05

7. Quellen

Doku der Uni Jena

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html Firewall Arten

http://www.nm.ifi.lmu.de/Praktika/ws0405/rnp/vorbesprechung/ip3-handout.pdf Bundesamt fuer Sicherheit http://www.bsi.de Doku TU Chemnitz

http://www-user.tu-chemnitz.de/~opm/hackgui Firewall Präsentation

http://www4.informatik.uni-erlangen.de/Lehre/SS03/PS_KVBK/talks/Folien-Firewalls.pdf Personal Firewalls

http://www.nabooisland.com/publications/pffaq/ Personal Firewalls CCC http://copton.net/vortraege/pfw/index.html Firewalls

http://www.iscl.de/BA/wwi00v4/folien_1-37_20030513-Teil2.pdf

Seite 7 von 8

Benjamin Machuletz - Firewalls - 19.08.05

Anhang

I. Angriffsarten

I. I Denial of Service (DOS)

Das Ziel von DOS-Angriffen ist es einen bestimmten Host im Netzwerk an seiner Arbeit zu hindern. Dieses kann zum einen durch Überfluten mit Daten, z.B. Unmengen unnütze Anfragen an einen HTTP-Server, passieren. Zum anderen können Fehler im Betriebssystem oder Fehler in anderen Diensten Telnet, SSH, MySQL, o. ä. ausgenutzt werden um einen bestimmten Dienst auf dem System zu überlasten oder zum Absturz zu bringen.

I. II Distributed Denial of Service (DDOS)

DDOS Angriffe sind mit den DOS Angriffen identisch. Der Unterschied zum DOS besteht darin, dass der Angriff von vielen Hosts gleichzeitig durchgeführt wird. In den meisten Fällen wird ein Host über das Netzwerk mit einem Virus befallen, dieser Virus baut dann zu einem gegebenen Zeitpunkt eine Verbindung zu dem zu störendem Host im Internet oder ähnlichem Netzwerk auf.

I. III Firewall Piercing

Eine weitere Variante, Daten an einem Firewall-System vorbeizuschleusen, ist das sog. 'Firewall Piercing'.