|
Kapitel 8: Firewalls 8Firewalls8.1EinleitungDie vorangegangenen Kapitel befaßten sich mit der Frage, wie man die Sicherheit im ISDN durch den Einsatz kryptographischer Methoden verbessern kann. In diesem Kapitel geht es darum, wie sich manche Sicherheitslücken auch ohne diese Mittel schließen lassen. Das Konzept der firewalls ist heute aus dem Internet bekannt. Die Metapher basiert auf Feuerschutzwänden (firewalls), die in Gebäuden an ganz bestimmten Stellen gezielt eingebaut werden, um verschiedene Bereiche voneinander so abzutrennen, daß bei einem Brand in einem Bereich die angrenzenden Bereiche jenseits der Schutzmauer nicht in Mitleidenschaft gezogen werden. Beim Einsatz von elektronischen firewalls in Computer- und Kommunikationsnetzen verfolgt man dasselbe Ziel: Aneinander angrenzende Bereiche sollen voneinander getrennt werden, um die Sicherheit zu erhöhen. Alles, was in einem Bereich Schaden anrichten könnte und aus einem anderen Bereich stammt, wird abgeblockt. Dieses Kapitel untersucht die Einsatzmöglichkeiten von Firewalls im ISDN. Als diensteintegrierendes Telekommunikationsnetz hat das ISDN viele Gemeinsamkeiten mit dem Internet. Deshalb wird zunächst der firewall-Ansatz des Internet beschrieben und dann auf die verschiedenen Einsatzgebiete im ISDN übertragen. 8.2Firewalls im InternetMit zunehmender Verbreitung des Internet und mit steigenden Rechner- und Benutzerzahlen stieg auch das Sicherheitsbedürfnis. Etwa 1994 wurde deshalb das firewall-Konzept für die Anwendung im Internet aufbereitet. Seitdem wächst die Zahl der eingesetzten Produkte stetig. 8.2.1FunktionsweiseEine Firewall agiert als Filter. Zwei Netzbereiche werden über genau einen Übergang (Gateway) miteinander verbunden.1 Dieser Übergang kann die Aufgabe der Firewall übernehmen. Dann werden alle Pakete in beiden Richtungen analysiert, bevor sie weitergeleitet werden. Unzulässige Pakete werden verworfen. Dabei kann nach Absender- oder Empfängeradresse oder auch nach dem Inhalt der Pakete gefiltert werden. Im Internet werden Firewalls üblicherweise verwendet, um Firmennetze an das globale Netzwerk anzuschließen. Damit wird zum einen den Mitarbeitern Zugriff auf das gesamte Internet gewährt und zum anderen können selbst Daten für den Abruf durch Geschäftspartner und Interessenten bereitgestellt werden. Bei einer solchen Firewall zwischen einem Firmennetz und dem Internet kann man verschiedene Paketfilter sinnvoll einsetzen, je nach der Richtung, in der die Daten fließen: Eingehende Datenpakete können nur für tatsächlich existierende Empfänger (IP-Adressen)2 entgegengenommen werden. Außerdem kann man die möglichen Absender der Datenpakete einschränken: Entweder empfängt man Daten nur von einem festen Kreis vertrauter Rechner oder man schließt besonders wenig vertrauenswürdige aus. Auch für ausgehende Datenpakete kann man besonders unsichere Empfänger ausschließen oder nur bestimmte zulassen. Man kann auch festlegen, daß nur bestimmte Rechner Daten an Empfänger außerhalb des eigenen Netzbereichs schicken dürfen. Damit lassen sich beispielsweise öffentliche Terminals im Besucherbereich eines Unternehmens nicht für anonyme e-mails mißbrauchen. Außerdem können Datenpakete nach ihrem Inhalt gefiltert werden. Damit kann man einen Rechner zum Beispiel nur für bestimmte Dienste öffnen. Alle externen Rechner dürfen dann zwar prinzipiell auf ihn zugreifen, aber eben nur für bestimmte Dienste. Die Kombination aus diesen Regeln ermöglicht eine sichere und flexible Konfiguration eines Netzwerks. Das Regelwerk wird aber schnell sehr komplex und dadurch schwer zu überblicken. Das birgt die Gefahr in sich, daß sich ein Unternehmen für sicher hält, aber eine schwerwiegende Lücke im Abwehrmechanismus übersehen hat. Damit ein Teil der Daten im Firmennetz intern und extern zur Verfügung stehen kann, ohne daß darunter die Sicherheit der Daten leiden muß, installiert man am besten eine zweistufige Firewall: aus: c’t 4/97 Seite 312 Zwischen den beiden Routern sind die Rechner angesiedelt, auf die sowohl aus der Firma heraus als auch von Außen zugegriffen werden soll. Dazu gehören zum Beispiel Webserver oder Loginserver für Außendienstmitarbeiter. Hinter dem inneren Router befindet sich das gesamte restliche Firmennetz. Der äußere Router läßt nur Pakete nach innen, die an einen der Rechner im Zwischennetz gerichtet sind. Alle anderen Pakete werden herausgefiltert. Nach außen können aber alle Pakete passieren, die für irgendeinen Rechner außerhalb des Firmennetzes bestimmt sind. Der innere Router läßt keinerlei Pakete durch, die von Außerhalb kommen. Es ist nur für Pakete der eigenen Rechner im Zwischennetz durchlässig. Nach Außen können dagegen alle Pakete passieren. 8.2.2BetriebsmodiEs gibt zwei grundsätzliche Philosophien für den Einsatz einer Firewall: Entweder ist alles erlaubt, was nicht ausdrücklich verboten ist oder es ist alles verboten, was nicht ausdrücklich erlaubt ist. Unter Sicherheitsaspekten ist es besser, alles zu verbieten, was nicht ausdrücklich erlaubt ist. Das kann aber gerade bei der Einführung neuer Dienste und Merkmale zu Problemen führen, weil diese erst freigegeben werden müssen. Flexibler aber weniger sicher ist es, alles zu erlauben, was nicht ausdrücklich verboten ist. Das wiederum führt aber zu Problemen, wenn neu entdeckte Sicherheitslücken nicht sofort geschlossen werden. Über sie ist dann ein ungehinderter Zugriff durch die Firewall hindurch möglich. Beim Filtern nach Absender- oder Empfängeradressen oder dem Inhalt von Paketen kann es zu Widersprüchen kommen. Einem Rechner kann prinzipiell erlaubt sein, auf einen anderen zuzugreifen, aber der Zugriff auf einen bestimmten Dienst kann grundsätzlich verboten sein. Auch hier muß man sich für eine Sicherheitsphilosophie entscheiden: Man kann alles zulassen, was nicht von allen Regeln verboten wird oder alles verbieten, was von mindestens einer Regel verboten wird. Die sicherere Variante ist es, alles zu verbieten, sobald dadurch eine Regel verletzt würde. Sie schränkt aber auch gleichzeitig am stärksten ein. 8.2.3ProdukteFirewalls für das Internet gibt es sowohl als Hard- als auch als Softwarelösung. Die Softwarelösung ist preiswerter, eignet sich aber nur für kleinere Netzsegmente, da sie einen geringeren Datendurchsatz erreicht als Hardware. Die Software wird auf einem Rechner mit zwei Netzwerkkarten installiert. Jede Karte ist an ein Netzwerksegment angeschlossen. Bevor Datenpakete aus dem einen in das andere Netzwerksegment geschickt werden, prüft die Software sie nach den oben beschriebenen Regeln. Unzulässige Pakete werden verworfen, zulässige über die andere Netzwerkkarte in das Zielsegment geleitet. 8.2.4Problem IP-SpoofingDie derzeitige Version des Netzwerkprotokolls TCP/IP hat keine ausreichenden Sicherheitsmechanismen. Insbesondere sieht sie keine starke Authentifizierung vor. Es ist leicht, Datenpakete mit gefälschter Absenderadresse zu erzeugen, um firewalls zu überlisten. Diesen Angriff nennt man „IP-Spoofing“. Er macht die oben beschriebenen Filterung der Absenderadresse nutzlos, da ein Angreifer lediglich eine IP-Adresse eines vertrauten Rechners vortäuschen muß. Das Problem läßt sich weitgehend dadurch lösen, daß man im äußeren Gateway sehr restriktiv filtert. Dann können zwar gefälschte Anfragen nach Innen gelangen, die eigentlich interessanten Antworten nach Außen bleiben aber im Gateway hängen. 8.3Firewalls im ISDNIm ISDN bietet es sich an, alles zu verbieten, was nicht ausdrücklich erlaubt ist. Denn hier treten Änderungen am Protokoll nur selten auf und es ist die sicherere Variante. Firewalls lassen sich - wie oben beschrieben - jeweils am Übergang zwischen zwei getrennten Bereichen einsetzen. Daraus ergeben sich folgende Einsatzgebiete im ISDN:
Sie werden in den folgenden Abschnitten beschrieben. 8.4Firewalls in ISDN-TK-AnlagenFür die Sicherheit innerhalb einer ISDN-TK-Anlage ist der Betreiber selbst verantwortlich. In Kapitel wird eine Reihe von Schwachstellen in solchen Anlagen beschrieben und Angriffe gezeigt, die diese Schwachstellen ausnutzen. 8.4.1Firewall im D-KanalViele Anlagen verwenden intern zusätzliche Protokollelemente im D-Kanal. Sie sind in der internationalen D-Kanal-Spezifikation nicht enthalten und steuern anlageninterne Leistungsmerkmale. Ein Angreifer kann in Kenntnis des verwendeten Anlagentyps solche Protokollelemente von Außen erzeugen und beispielsweise einen Raum abhören, indem er das Mikrofon des darin befindlichen Telefons aktiviert. Mit Hilfe von Firewalls kann man Angriffe abblocken, die von außen über den D-Kanal kommen, indem alle international nicht spezifizierten Protokollelemente durch eine D-Kanal-Firewall gefiltert werden, wenn sie von außen kommen. Auch ausgehende D-Kanal-Pakete kann man durch die Firewall prüfen lassen. Damit lassen sich Verbindungen zu bestimmten, nicht vertrauenswürdigen Anschlüssen verhindern. Außerdem können verbotene Datenübertragungen im D-Kanal (user-to-user-signalling3) erkannt und verhindert werden. Ohne diese Hilfe wäre es Innentätern leichter möglich, geheime Daten telefonisch nach Außen zu transportieren. Zur Zeit werden in der Industrie erste D-Kanal-Firewalls entwickelt. Sie werden frühestens 1998 am Markt verfügbar sein. 8.4.2Absichern des FernwartungszugangsAngriffe über den Fernwartungszugang umgehen die Firewall, weil sie als normale Datenverbindungen über einen B-Kanal zu einer Nebenstelle in der TK-Anlage aufgebaut werden. B-Kanäle werden transparent durchgeschaltet und nicht verarbeitet, so daß sie auch kritische Befehle für die Anlagenprogrammierung enthalten können. Um den Fernwartungszugang abzusichern, kann man die in Abschnitt beschriebenen Mittel verwenden oder aber die Anlagensoftware so entwerfen, daß sie bestimmte kritische Befehle über einen Fernwartungszugang nicht annimmt. Hier sind die Anlagenhersteller gefordert. Ein solches Vorgehen kommt einer Firewall im Fernwartungszugang gleich. 8.5Firewalls in Vermittlungsstellen8.5.1Schutz vor Angriffen über TeilnehmerleitungenAuch der Betreiber eines Telekommunikationsnetzes muß sich vor Angriffen von Seiten der Teilnehmer schützen. Hier ist ebenfalls der D-Kanal als Steuerkanal der kritischste Punkt. Wie in Kapitel beschrieben, läßt sich auch die Vermittlungsstellensoftware von außen über den D-Kanal eines beliebigen Anschlusses angreifen. Die Netzbetreiber verwenden deshalb an den Teilnehmeranschlüssen ebenfalls Filter für die D-Kanal-Befehle, die in ihrer Funktionalität einer Firewall gleichkommen. Sie prüfen beispielsweise die übermittelte Rufnummer des Anrufers bei einem Verbindungsaufbau. Nur wenn es sich um eine der Nummern handelt, die diesem Anschluß zugewiesen sind, wird sie weitergeleitet. Andernfalls wird sie mit einer gültigen Rufnummer des Anschlusses überschrieben. Die Aufgaben der Filter sind bereits in den ETSI-Standards für den D-Kanal festgelegt. Dort gibt es zu jedem Protokollelement einen Anhang, in dem beschrieben wird, wie das Element aufgebaut ist und welche Fehler gefiltert werden müssen. Dazu gehören beispielsweise zu lange oder zu kurze Daten zu einem Befehl u.ä. Ein Angreifer kann sich aber diese Standards besorgen und sieht genau, welche Pakete gefiltert werden. Wenn das Protokoll eine Lücke enthält, kann er sie für seinen Angriff ausnutzen. Dieser Schutz bietet deshalb keine echte Sicherheit, weil quasi die Konfiguration der Firewall offenliegt. 8.5.2Schutz vor Angriffen über das ZeichengabenetzAuch aus Richtung des Zeichengabenetzes lassen sich die Vermittlungsstellen angreifen. Es ist zwar schwieriger, erst einmal in das Zeichengabenetz hineinzukommen, dann ist ein Angriff auf beliebige Vermittlungsstellen eines Netzbetreibers aber leicht. Denn die Vermittlungsstellen sind gegen das Zeichengabenetz nicht abgesichert. Sie vertrauen ihm blind. Hier ließe sich die Sicherheit durch den Einsatz von Firewalls ebenfalls erhöhen. Alle eingehenden Pakete, die nicht dem Standard entsprechen oder für Angriffe geeignet sind, könnten gefiltert werden. Darüber hinaus wäre es an dieser Stelle sinnvoll, in einer der vorhandenen Überwachungseinrichtungen des AcceSS-7-Systems4 Alarm auszulösen, sobald kritische Pakete erkannt wurden. 8.6Firewalls im Zeichengabenetz8.6.1In den ZeichengabepunktenDie Zeichengabepunkte sind in den meisten Fällen Vermittlungsstellen. Sie vertrauen den anderen Knoten des Zeichengabenetzes. Zum Schutz der Vermittlungsstellen vor Angriffen aus dem Zeichengabenetz können wie oben beschrieben eingehende Nachrichten in den Vermittlungsstellen gefiltert werden. Außerdem können in den Vermittlungsstellen alle in Richtung Zeichengabenetz ausgehenden Nachrichten gefiltert werden. Alle Pakete, die nicht den Normen entsprechen oder im Verdacht stehen, Schaden anzurichten werden verworfen. Auch hier kann optional Alarm in einer Kontrollstelle ausgelöst werden. 8.6.2An den NetzübergängenAn den Übergängen der Zeichengabenetze wird bereits gefiltert. Die in Abschnitt beschriebenen Gateways zwischen den Netzen der einzelnen Netzbetreiber und dem nationalen Netz sowie zwischen den nationalen Netzen und dem internationalen Netz übernehmen neben dem routing der Zeichengabepakete diese Aufgabe. Pakete, die nicht dem Standard entsprechen werden nicht in das Zielnetz weitergeleitet sondern verworfen. So schützen die einzelnen Netzbetreiber ihre Telekommunikationsnetze vor Angriffen aus anderen, möglicherweise weniger gut geschützten Netzen. Hier ist es ebenfalls sinnvoll, die Pakete nicht nur zu verwerfen, sondern eine Überwachungsstelle zu informieren. Solche Überwachungsstellen gibt es ohnehin in den Zeichengabenetzen. Sie sind stets über die Auslastung und die Funktionsbereitschaft der einzelnen Netzbereiche informiert. Wenn Sie zusätzlich auch von allen gefilterten Paketen Kenntnis erhalten, können sie deren Ursprung ermitteln und gegen sich so gegen weitere Angriffe aus dieser Richtung noch besser schützen. Ein so entdeckter Angreifer muß sich zumindest andere Wege suchen, um sein Opfer weiterhin attackieren zu können. 1 Wegen der besseren Ausfallsicherheit können auch mehrere Gateways existieren. Sie müssen dann alle nach den gleichen Regeln filtern. 2 Im Internet werden alle Rechner weltweit eindeutig durch ihre IP-Adresse (4 Bytes) adressiert 3 siehe Abschnitt 4 siehe Abschnitt |
[Contrib]
[Sicherheit im ISDN]
Kapitel 8: Firewalls