Grundlagen und Informationstexte

Die Nutzung eines Virenscanners, die regelmäßige Pflege der genutzten Software durch Einspielen von Sicherheitsupdates und das Abschalten nicht benötigter Dienste auf Arbeitsplatzrechnern und Servern erhöht die Sicherheit eines Systems deutlich und wirksam.

Diese Maßnahmen helfen allerdings nicht weiter, wenn ein unbenutzter Dienst nicht abgeschaltet werden kann oder dem Anwender gar nicht bewußt ist, daß da noch weitere Programme im Hintergrund arbeiten. Sicherheitsupdates und aktualisierte Virenscanner helfen erst dann, wenn ein Problem bekannt geworden ist. Oft kursieren die Informationen über neue Sicherheitslücken für einige Zeit im Untergrund bevor die Softwarehersteller darauf aufmerksam werden und dann mit der Entwicklung eines Updates beginnen können. In dieser Zeit ist das System ungeschützt.

Eine Firewall (dt.: Brandmauer) ist ein Konzept, die genau diesem Problem begegnet, indem eine zweite Verteidigungslinie geschaffen wird. Das folgende Bild veranschaulicht dieses Konzept ein wenig. Eine Firewall trennt das Internet und das private Netzwerk durch eine sogenannte demilitarisierte Zone.

Zwischen dem Internet und der demilitarisierten Zone befindet sich ein Router, der ein- und ausgehende Datenströme mit Hilfe eines Paketfilters kontrolliert. Der Paketfilter wird in dem Bild durch die linke Mauer bildlich dargestellt. Er erlaubt eine Verbindung aus dem Internet zu genau definierten Diensten auf den Rechnern in der demilitarisierten Zone bzw. von den Rechnern der demilitarisierten Zone in das Internet. Nicht erwünschte Dienste werden vom Paketfilter ebenso blockiert wie Versuche, aus dem privaten Netzwerk direkt auf das Internet zuzugreifen.

Ein zweiter Router zwischen der demilitarisierten Zone und dem privaten Netzwerk blockiert den Zugriff auf nicht zugelassene Dienste außerhalb des privaten Netzwerks. Er erlaubt nur die Verbindung zu erwünschten Diensten auf den Rechnern in der demilitarisierten Zone und unterbindet einen Zugriff aus dem Internet in das private Netzwerk.

Die Rechner in der demilitarisierten Zone werden als Bastion Hosts bezeichnet. Auf ihnen laufen spezielle Programme, sogenannte Proxies, die die eingehenden Verbindungen annehmen und dann selbst eine Verbindung für die gewünschten Daten aufbauen. Die eingehenden Daten werden zwischengespeichert, die ausgehende Verbindung geschlossen und die Daten kontrolliert. Nur wenn die Daten in Ordnung sind, werden sie über die wartende erste Verbindung übermittelt.

Durch dieses Konzept ist sichergestellt, daß zwischen dem Internet und dem privaten Netzwerk nie eine direkte Verbindung hergestellt wird. Damit können im privaten Netzwerk bestehende Sicherheitslücken oder vergessene Dienste nicht aus dem Internet angegriffen werden. Im Optimalfall achtet man weiterhin darauf, daß die Router auf beiden Seiten der demilitarisierten Zone von unterschiedlichen Herstellern stammen. Damit muß ein Angreifer immer mindestens zwei Systeme überwinden, um das private Netzwerk angreifen zu können. Die erste Hürde ist der Internet-seitige Paketfilter, die zweite Hürde ist entweder der Bastion-Host oder der zweite Paketfilter. Mit dieser Methode wird der Aufwand für einen Angriff hoch getrieben. Zum gegenwärtigen Zeitpunkt scheitern automatisierte Methoden regelmäßig an diesem Konzept, und ein händischer Angriff erfordert viel Fachwissen.

Nun ist nicht jeder Anwender in der Lage, für sein Heimnetzwerk einen derartigen Aufwand zu treiben. Die Software-Industrie hat auf das wachsende Sicherheitsbedürfnis bei schmalem Geldbeutel mit den sogenannten Personal "Firewalls" reagiert. Bei diesem Konzept entfällt die demilitarisierte Zone und die beiden Paketfilter werden zu einem einzigen Filter zusammengefaßt. Mangels Router wird der Paketfilter dann im System des zu schützenden Rechners verankert.

So elegant diese Methode auch erscheint, so gefährlich ist sie doch. Zum einen gibt es keinen Bastion Host, der die Kommunikation zwischen dem zu schützenden Arbeitsplatzrechner und dem Internet voneinander entkoppelt und vor geschickt manipulierten Datenströmen schützt. Die Personal Firewall läuft auf dem gleichen Rechner wie die Programme des Anwenders. Somit kann die Personal Firewall vom Angreifer einfach deaktiviert werden, wenn es ihm gelingt eine Schwachstelle im Anwendungsprogramm zu finden. Damit die Personal Firewall ihren Auftrag der Paketfilterung erfüllen kann, benötigt sie relativ weitreichende Rechte auf dem System. Damit muß gar nicht mehr das Anwendungsprogramm oder das Betriebssystem angegriffen werden, man kann auch die Personal Firewall selbst angreifen. Im Endeffekt ist ein durch eine Personal Firewall "geschütztes" System stärker gefährdet als ein richtig konfiguriertes und aktuelles System ohne Personal Firewall. Daher auch die Anführungszeichen bei der ersten Erwähnung dieses Konzeptes. Das Fatale an diesen Programmen ist, daß sie dem Anwender ein trügerisches Gefühl der Sicherheit vermitteln.

Ein den Personal Firewalls deutlich überlegeneres Konzept stellt der providerbasierte Paketfilter von Engert Netzwerkdienste dar. Dieser Paketfilter ist ein ganz normaler Paketfilter, der von Kunden individuell in mehreren Stufen konfiguriert werden kann. Statt auf einem Eingangsrouter verrichtet der Filter seine Arbeit bereits auf dem Access-Router von Engert Netzwerkdienste. Das hat den schönen Nebeneffekt, daß bereits die Verbindungsstrecke zwischen dem Kunden und Engert Netzwerkdienste von den Scans der Viren und anderen automatisierten Angriffen entlastet wird und damit zum Beispiel das automatische Beenden einer Verbindung nach einer gewissen Zeit der Inaktivität wieder funktioniert. Verfügt man über einen Eingangsrouter mit Anschlüssen für zwei Ethernet-Netze und mit einem Paketfilter, kann man damit das oben beschriebene Firewall-Konzept bereits vollwertig umsetzen. Wer den Aufwand für den zusätzlichen Router scheut, hat zumindest die von den Personal Firewalls versprochene aber nicht eingehaltene Funktionalität zur Verfügung. Der eingehende Datenstrom wird gefiltert und kritische Daten werden zu einem großen Teil vom System des Anwenders ferngehalten. Selbst wenn das System des Anwenders erfolgreich angegriffen wurde, bleibt der Paketfilter wirksam und kann so Schlimmeres verhüten. Einen Nachteil hat allerdings auch der providerbasierte Paketfilter: Wechselt man absichtlich oder unabsichtlich (zum Beispiel bei einem Dialer) den Provider oder den Einwahlaccount, ist das System wieder ungeschützt. Sobald man allerdings einen Router verwendet, ist diesem Szenario ein relativ massiver Riegel vorgeschoben. Tatsächlich trat bei allen Kunden von Engert Netzwerkdienste vor der Einführung des providerbasierten Paketfilters etwa ein Virenbefall pro Tag auf. Seit der Einführung des Paketfilters vor über einem Jahr reduzierte sich diese Anzahl auf zwei Fälle, einer davon trat bei einem Neukunden auf, dessen Rechner schon vorher befallen war. Dank des Paketfilters wurde dieser Befall entdeckt.