Diplomarbeit  Datensicherheit im Unternehmen - Netzwerksicherheit mit Firewalltechnologie  

Seite   

Inhaltsverzeichnis   I

Abk  ürzungsverzeichnis  IV

Abbildungsverzeichnis   VI

1.  Einleitung  1

2.  Netzwerke  2

2.1  Entstehung von TCP/IP  2

2.2  ISO/OSI-Referenzmodell  3

2.3  TCP/IP-Protokoll  4

2.3.1  Internet Protocol  4

2.3.2  Internet Control Message Protocol  5

2.3.3  Transport Control Protocol  6

2.3.4  User Datagram Protocol  7

3.  Sicherheitsprobleme  8

3.1  Sicherheitsprobleme IP-Protokoll  8

3.1.1  Spoofing-Angriff  8

3.1.2  Denial-of-Service Attacke  9

3.1.3  Routing Angriffe  10

3.2  Sicherheitsprobleme ICMP-Protokoll  11

3.2.1  Angriffe zum Verbindungsabbruch  11

3.2.2  Gezielte Umleitung von Paketen  11

3.2.3  Dedizierte Denial-of-Service Attacken  12

3.3  Sicherheitsprobleme des TCP- und UDP-Protokoll  12

3.3.1  TCP Sequenznummerangriff  13

3.3.2  Session Hijacking  13

3.4  Sicherheitsprobleme des Domain Name Service  14

3.4.1  DNS-Spoofing  15

Thorsten  Schäfer WI 00 A Seite  I

Seite 3.5 Sicherheitsprobleme des World Wide Web 16 3.5.1 Cookies 16 3.5.2 Common Gateway Interface 17 3.6 Electronic Mail 17 3.7 File Transfer Protokoll 18 3.8 Telnet Dienst 18 4. Gefahren für das Netzwerk 19 4.1 Angreifer 19 4.2 Angriffe 20 4.2.1 Externe Angriffe 20 4.2.2 Interne Angriffe 21 4.3 Gefahren durch Software und Programme 22 4.3.1 Viren 22 4.3.2 Würmer 23 4.3.3 Trojanische Pferde 24 4.4 Sicherheitsziele und -anforderungen 25 4.4.1 Vertraulichkeit 25 4.4.2 Verfügbarkeit 26 4.4.3 Integrität 26 4.4.4 Der „gute“ Ruf 26 5. Firewall 27 5.1 Allgemeine Grundlagen 27 5.2 Ziele einer Firewall 28 5.3 Funktion 29 5.3.1 Paketfilter 30 5.3.1.1 Vor- und Nachteile 31

Thorsten Schäfer WI 00 A Seite II

Seite 5.3.2 Proxies 31 5.3.2.1 Vor- und Nachteile 32 5.3.3 Network Address Translation 33 5.3.3.1 Vor- und Nachteile 34 6. Firewallkonzepte 35 6.1 Zentrale Firewall 35 6.2 Kaskadierte Firewall 36 6.3 Perimeter Netzwerk 36 6.4 Screening Router 37 6.5 Dual-Homed Host 38 6.6 Bastion Host 39 6.7 Screened Host 39 6.8 Screened Subnet 40 7. Fazit 42 Anhang A Abbildungen A B Firewall Hardware J C Firewall Software M D Quellenverzeichnis N Bestätigung Q

Thorsten Schäfer WI 00 A Seite III

Abkürzungsverzeichnis

ALG Application Level Gateway ARPANET Advanced Research Project Agency Network CGI Common Gateway Interface CLG Circuit Level Gateway d.h. das heißt DARPA Defense Advanced Projects Research Agency DMZ Demilitarized Zone DNS Domain Name Service DoS Denial of Service ECM Privacy Enhanced Mail etc. et cetera FTP File Transfer Protocol HTML Hypertext Markup Language HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IP Internet Protokoll

ISO/OSI

LAN Local Area Network MIME Multipurpose Internet Mail Extension Protocol NAT Network Adress Translation PGP Pretty Good Privacy POP Post Office Protocol RIP Routing Information Protocol RPC Remote Procedure Call SMTP Simple Mail Transfer Protocol

Thorsten Schäfer WI 00 A Seite IV

SNMP Simple Network Management Protocol SSL Secure Socket Layer TCP Transmission Control Protocol TCP/IP Transmission Control Protocol/Internet Protocol TFTP Trivial File Transfer Protocol UDP User Datagram Protocol URL Uniform Resource Location WWW World wide web z.B. zum Beispiel

Thorsten Schäfer WI 00 A Seite V

Abbildungsverzeichnis

Abbildung Beschreibung Seite 1 ISO/OSI-Referenzmodell A 2 Gegenüberstellung von OSI und TCP/IP mit seinen Protokollen A 3 Format eines IP-Pakets B 4 ICMP-Protokoll-Fehlermeldungen B 5 Beispiele für Port-Belegung B 6 3-Phasen-Handshake C 7 TCP-Sequenznummernangriff C 8 DNS-Spoofing Angriff D 9 CGI-Skript D 10 Grundprinzip einer Firewall E 11 Funktion eines Proxy E 12 Network Address Translation F 13 Zentrale Firewall (Choke Point) F 14 Perimeter Netzwerk mit einer Firewall G 15 Perimeter Netzwerk mit mehreren Firewalls G 16 Dual-Homed Host H 17 Bastion Host H 18 Screened Subnet I

Thorsten Schäfer WI 00 A Seite VI

1. Einleitung

„Industriespionage mal anders: Kein Einbruch in der Nacht, keine bestochenen Mitarbeiter, die geheime Daten an die Konkurrenz verkaufen, sondern ein modifizierter Wurm, der Festplatten automatisch nach sensiblen Daten durchforscht und diese an seinen Absender schickt.“ 1

Im Februar 2003 berichtete die PC WELT, dass gezielte Industriespionage mit Hilfe von Wurm-Programmen durchgeführt wurde. Ebenso zeigt das Bundeskriminalamt in der Polizeilichen Kriminalstatistik der Bundesrepublik Deutschland für das Jahr 2002 ² , dass im Jahr 202 im Bereich Computerkriminalität 57.488 Straften erfasst wurden. Ausdrücklich wir genannt, das der Bereich Datenveränderung/Computersabotage stark zugenommen hat (über 50 % im Vergleich zu 2001). Diese Tatsachen müssen Firmen bzw. deren Verantwortlichen den Anstoß geben um sich um die Sicherheit ihres eigenen Netzwerkes Gedanken zu machen. Kein Unternehmen kann es sich erlauben ihre wichtigsten Daten und/oder ihre ITbasierende Produktionsumgebung zu verlieren. Ein Verlust der Kontrolle über die eigenen Systeme können unternehmen in den Ruin treiben, sie wären den Angreifern bis aufs letzte ausgeliefert.

Aus diesen Gründen gibt es zum Schutz der Netzwerke sogenannte Firewalls, die in dieser Arbeit behandelt werden.

¹ http://www.pcwelt.de/news/viren_bugs/29049/ Stand: 02.06.2003

² http://www.bka.de/pks/pks2002/index2.html Stand: 02.06.2003

Thorsten Schäfer WI 00 A Seite 1

2. Netzwerke

In diesem Kapitel beschreibe ich die Entstehung von Netzwerken und das Internet, der Quelle der meisten Gefahren und Angriffe auf eine lokales Netzwerk. Ebenso beschreibe ich die Funktion der gängigsten Protokolle, die zum Verständnis der auf ein Netzwerk ausgehenden Gefahren dienen. Diese Beschreibungen dienen auch dazu die Funktionen und Maßnahmen der Firewall zu verstehen.

„Unter einem Rechnernetz (engl.: computer network) verstehen wir ein räumlich verteiltes System von Rechner(n), Steuereinheit(en) und peripheren Geräten, die durch Datenübertragungseinrichtungen und -wege miteinander verbunden sind. Die Begriffe Rechnernetz, Netz und Netzwerk sind nicht klar voneinander abgrenzbar und werden synonym verwendet.“ 3

In der Anfangszeit der Netzwerke, welche damals hauptsächlich von großen Bildungseinrichtungen und dem Militär genutzt wurden, bestanden diese meist aus einem zentralen Großrechner und einer Anzahl von Peripheriegeräten, die sternförmig angeschlossen waren. Alle Transaktionen wurden auf dem Großrechner durchgeführt. Aber als die Anforderungen an diese Systeme immer weiter angestiegen sind, wurden in den 70er Jahren, die heute am häufigsten verbreitete Form der Computernetzwerke, die Client-Server-Architektur erschaffen. Die Entwicklung wurde durch einen extremen Preisverfall auf dem Computermarkt beschleunigt und so der Netzwerksektor auch für den privaten Haushalt geöffnet. 4

2.1 Entstehung von TCP/IP

Die in der Praxis am häufigsten vorkommenden Netzwerke, die Client-Server-Netzwerke sind meist Netzwerke mit TCP/IP-Architektur. Ebenso ist das größte öffentliche Netzwerk, das Internet, auch auf TCP/IP-Architektur basierend. Im Jahr 1969 wurde ein Projekt der DARPA (Defense Advanced Projects Research Agency) unter dem Namen ARPANET (Advanced Research Project Agency Network) ins Leben gerufen, was der Vorgänger des heutigen Internet ist. In erster Linie stellte das ARPANET Hochgeschwindigkeitsverbindungen zwischen wichtigen Rechnern der öffentlichen Einrichtungen und Bildungs- und Forschungseinrichtungen zur Verfügung. In diesem Netzwerk konnten seine Benutzer Daten von Rechner zu Rechner übertragen und Mails versenden. Während des Projekts stelle sich heraus, dass es die Mög-

³ sieheHansen, HR (1998): Wirtschaftsinformatik I. Lucius & Lucius Verlag. S. 1029

⁴ vgl. Hansen, HR (1998): Wirtschaftsinformatik I. Lucius & Lucius Verlag. S. 1029 ff.

Thorsten Schäfer WI 00 A Seite 2

lichkeit gibt beliebige Netzwerke miteinander zu verbinden. In den 70er Jahren mündete dieses Projekt in der Schaffung des TCP/IP-Standards. Damit TCP/IP in das BSD-Unix-System implementiert und dafür entwickelt werden konnte, subventionierte die DARPA die Gründung der Firma Bolt Beranek and Newman Inc. (BNN), Ab Januar 1983 arbeiteten dann alle an das ARPANET angeschlossenen Rechner mit TCP/IP. 5

2.2 ISO/OSI-Referenzmodell

Um Nachrichten miteinander austauschen zu können müssen Sender und Empfänger nach einen festgelegtem Protokoll Daten transformieren können. Hierfür wird das ISO/OSI-Referenzmodell (siehe Abbildung 1) verwendet. Es besteht aus sieben Schichten, jede dieser Schichten hat zur Aufgabe nachrichten der darüber liegenden Schicht entgegenzunehmen und mit Hilfe der Dienste der darunter liegenden Schicht weiter zu leiten. Jede Schicht fügt in Form eines Headers ihre Steuerinformation an die Nachricht an. Ist über ein physikalisches Medium übertragen worden, empfängt die Bitübertragungsschicht des Empfängers die Daten und entfernt vor der Weitergabe in die nächst höhere Schicht die Steuerdaten ihrer Partnerschicht des Senders. Werden Daten zwischen zwei nicht benachbarten Endsystemen weitervermittelt, werden nur die Protokolle der Schichten 1 - 3 benötigt. Der Datenaustausch nicht direkt verbundener Endsysteme werden über Vermittlungsrechner, beispielweise mit Routern oder Gateways durchgeführt. ⁶ Die sieben Schichten des ISO/OSI-Referenzmodell: ⁷ Die ersten vier Schichten werden dem Transportsystem, die nächsten drei Schichten dem Anwendungssystem zugeordnet. N Bitübertragungssicht (physical layer): es werden alle physikalischtechnischen Eigenschaften der Übertragungsmedien zwischen den verschiedenen End- bzw. Transitsystemen festgelegt.

N Sicherungssicht (data link layer): sichert die Bitübertragungssicht gegen Übertragungsfehler auf Übertragungsteilstrecken ab. Es wird aus einen potentiell fehlerbehafteten Kommunikationskanal einen für die Anwendungsinstanzen fehlerfreier Übertragungsweg erzeugt.

N Vermittlungssicht (network layer): hier werden die Zielsysteme über mehrer Transitsysteme hinweg adressiert, ebenso die Wegsteuerung der Nachrichten durch das Netz, ebenso wird die Flusskontrolle zwischen End- und Transitsys-

⁵ vgl.Siyan, K, Hare, C. (1995): Internet Firewalls & Netzwerksicherheit. SAMS. S. 26 - 27

⁶ vgl. Eckert, C. (2001): IT-Sicherheit. Oldenbourg. S. 41

⁷ vgl. Hansen, H.R. (1998): Wirtschaftsinformatik I. Lucius & Lucius Verlag. S. 1048 ff.

Thorsten Schäfer WI 00 A Seite 3

temen geregelt, was eine Überlastung der Übertragungswege und Rechner verhindert und eine gerechte Verteilung der Bandbreite ermöglicht. N Transportschicht (transport layer): stellt den Anwendungsinstanzen die mit Hilfe der unteren drei Schichten hergestellten Endsystemverbinden bereit. N Kommunikationssteuerungsschicht (session layer): es werden Sprachmittel zur Steuerung von Kommunikationsbeziehungen, d.h. Sitzungen bzw. Sessions, die aufgebaut, nach einer durch das Transportsystem verursachten Unterbrechung wieder aufgenommen und geordnet abgebaut werden können, zur Verfügung gestellt.

N Datendarstellungssicht (presentation layer): hier haben Anwendungsinstanzen die Möglichkeit Vereinbarungen über die Datenstruktur für den Datentransfer auszuhandeln.

N Anwendungsschicht (application layer): es werden die anwendungsspezifischen Funktionen einer Kommunikation vereinbart, es wird der inhaltsbezogene Aspekt berücksichtigt.

2.3 TCP/IP-Protokoll

TCP/IP ist kein eigenständiges Protokoll (siehe Abbildung 2), sondern es besteht aus eine Menge von Protokollen. Von jedem Protokoll wird ein bestimmter Dienst ausgeführt. ⁸ Im TCP/IP-Protokoll wirken das Internet Protocol (IP), das Internet Control Message Protocol (ICMP), das Transmission Control Protocol (TCP) und das User Datagram Protocol (UDP) zur Kommunikation mit.

2.3.1 Internet Protocol

Das Internet Protocol (IP) übernimmt die Aufgaben der Netzwerkschicht. Der bereitgestellte, unzuverlässige Dienst ist paketvermittelt und verbindungslos. Die Datenpakete werden zum Zielsystem geroutet, dabei können mehrere Vermittlungsrechner durchlaufen werden. Die größte mögliche IP-Paketlänge beträgt 65.535 Bytes, aber je nach Netzwerkinfrastruktur können diese IP-Pakete in kleinere Fragmente aufgeteilt werden, so ist beispielsweise im Ethernet die Paketgröße auf 1.500 Bytes beschränkt. Jedes der IP-Pakete besitzt seinen eigenen IP-Header und eine Teildatenmenge. Vom IP-Protokoll wird nicht gewährleistet, dass gesendete Pakete bzw. Fragmente vollständig,

⁸ vgl. Siyan, K, Hare, C. (1995): Internet Firewalls & Netzwerksicherheit. S. 27

Thorsten Schäfer WI 00 A Seite 4

in der gesendeten Reihenfolge oder überhaupt beim Empfänger ankommen. Jedes IP-Paket muss für eine richtige Vermittlung über Sender und Empfänger inne haben, hierbei handelt es sich auf IP-Ebene um Rechner, welche mittels einer IP-Adresse identifiziert werden. Das IP-Paket besteht aus unterschiedlichen Feldern (siehe Abbildung 3), die grob zwischen Header und Nutzdaten unterschieden werden können. Die bei einem Angriff am häufigsten betroffenen Felder im IP-Header sind Fragment-Offset, Flags, Identifikation, Sende-Adresse, Empfangs-Adresse und IP-Optionen. N In Identifikation, Flags und Fragment-Offset werden bei zerlegten IP-Paketen die Informationen zum zusammensetzen gespeichert. N Sende-Adresse und Empfangsadresse enthalten die IP-Adressen der kommunizierenden Rechner.

N IP-Optionen können zusätzliche Funktionen erfüllen, die relevantesten Optionen sind Loose Source Routing und Strict Source Routing. Mit ihnen wird der Weg des IP-Paketes zum Empfänger bestimmt. 9

2.3.2 Internet Control Message Protocol

Das Internet Control Message Protokoll (ICMP) ist neben dem IP-Protokoll auf der Vermittlungsschicht (network layer) als Hilfsprotokoll zur Steuerung und Überwachung angesiedelt. Das ICMP-Protokoll tauscht Fehlermeldungen zwischen Rechnern im Netzwerk aus. Die mit Hilfe des IP-Protokolls verschickten Daten können nicht immer an ihrem Ziel ankommen, da auf dem Weg beispielsweise falsch konfigurierte, überlastete und ausgefallenen Rechner und Router stehen könnten. Um diese entstandenen Fehler, die nicht hardwarebasierend gemeldet werden können, wurde das ICMP-Protokoll standardisiert. Ursprünglich sollte das ICMP-Protokoll nur Informationen und Fehlermeldungen zwischen Routern austauschen, so ist es aber heute auf jedem Rechner, der das TCP/IP-Protokoll installiert hat, vorhanden. Die Kommunikation von IP-Software zweier Rechner wird durch das ICMP-Protokoll ermöglicht. Das ICMP-Protokoll ist kein Protokoll zur Fehlerbeseitigung, sondern nur zur Fehlermeldung. ¹⁰ Da das ICMP-Protokoll auf dem IP-Protokoll aufbaut, wird es von diesem als Protokoll einer höheren Schicht behandelt. Die Nachrichten des ICMP-Protokoll haben immer einen vollständigen IP-Header, die eigentlichen ICMP-Protokoll Meldungen sind aber im IP-Datenteil untergebracht. ICMP-Meldungen haben unterschiedliche Formate, aber

⁹ vgl. Eckert, C. (2001): IT-Sicherheit. Oldenbourg. S. 45 ff.

¹⁰ vgl. http://goethe.ira.uka.de/seminare/grk/icmp/ Stand: 06.05.2003

Thorsten Schäfer WI 00 A Seite 5

immer drei gemeinsame Felder, welche Typ, Code und 16-Bit Kopf-Prüfsumme sind. Wenn von einem ICMP-Paket eine Fehlerbedingung angezeigt wird, beinhaltet es immer den Kopf und die ersten 64 Bit Nutzdaten des Paketes welches die Ursache des Fehlers war, um die Anwendung feststellen zu können. Der am häufigsten verwandte Dienst des ICMP-Protokoll ist das testen der Erreichbarkeit und Statusabfragen im Netzwerk. Wenn ein System ein Echo-Paket empfängt, muss es eine Echo-Antwort mit allen enthaltenen Nutzdaten senden. Dieses Vorgehen wird mit dem ping-Befehl ausgelöst. Wenn ein Paket nicht weitergeleitet werden kann, werden folgende Fehlehrmeldungen ausgegeben (siehe Abbildung 4): 11

2.3.3 Transport Control Protocol

Das Transport Control Protocol (TCP) setzt auf dem IP-Protokoll auf und ist ein zuverlässiges, verbindungsorientiertes Protokoll der Transportschicht (transport layer). Aus der Sicht der aufsetzenden Anwendungsprogramme arbeitet es Datenstrom orientiert, den, von den Anwendungen erhaltenen kontinuierlichen Datenstrom wandelt es in Datenpakete um. Wird das TCP-Protokoll von einer Anwendung zum Aufbau einer logischen Verbindung zwischen zwei Endsystemen veranlasst, übergibt die Anwendung die Daten Datenstrom orientiert an die TCP-Ebene. Der Datenstrom wird in TCP-Pakete umgewandelt, und das TCP-Protokoll fügt seinen Header hinzu und leitet diese an die IP-Schicht weiter. Es wird nach dem Datentransport zum Zielrechner überprüft, ob die Datenpakete in richtiger Reihenfolge angekommen sind, diese Kontrolle erfolgt über die Vergabe von Sequenznummern. Das Eintreffen von Paketen wird durch bestätigen von Acknowledgements beim Absender durch den Empfänger durchgeführt. Bei Fehlerfällen werden die Pakete erneut übertragen. Ende zu Ende-Verbindungen können durch das TCP-Protokoll zwischen zwei Endsystemen, einzelnen Prozessen und Diensten hergestellt werden. Um die Endpunkte der unterschiedlichen Dienste zu identifizieren wird das Port-Konzept (siehe Abbildung 5) verwendet. Ein Port ist eine 16-Bit Adresse. Dienste, zu welchen eine Verbindung aufgebaut werden soll, werden an einen Port gebunden. Der, an einen Dienst gebundene Dienstprozess hat die Aufgabe an dem verbundenen Port auf eingehende Nachrichten zu lauschen und diese zu bearbeiten. Portmapper stehen auf der Anwendungsebene zur Verfügung, welche die Realisierung der Zuteilung von Port-Adressen durchführen. Allgemein bekannte Netzdienste besitzen eine eindeutige Portnummer. Portadressen @ 256 bezeichnet man als

¹¹ vgl. http://www.tik.ee.ethz.ch/tik/education/lectures/PPS/internet_praktikum/Unterlagen/Handouts_pdf/ICMP.pdf

Stand: 06.05.2003

Thorsten Schäfer WI 00 A Seite 6