IT-Sicherheit gegenüber der externen Netzumgebung (Internet)
|
IT-Sicherheit gegenüber der externen Netzumgebung (Internet) |
n1o4 bearb. am 01.10.2015 | copyright by | |
Wenn man von IT-Sicherheit redet, muss man das Thema zunächst näher einschränken, denn ganz grob gibt es beispielsweise Sicherheitsanforderungen im internen Firmennetz hinsichtlich des Zugriffs der Mitarbeiter auf Daten und Geräte sowie die Ausfallsicherheit der Systeme und natürlich die Sicherheit gegenüber der äußeren Netzwerk-Umgebung = Internet, die wir hier behandeln wollen. Wir betrachten die Aufstellung eines Netzes und die Absicherung gegenüber Angreifern aus dem Internet:
|
Abgrenzung zum Privatanwender bzw. zur Hobby-Firewall |
Der Privatanwender kauft einen WEB-Anschluss und erhält heutzutage von seinem Provider "ready to go" ein Gerät montiert oder sogar nur zum Einstecken in die Telefonsteckdose. In diesem Gerät sind die eigentlich separat zu betrachtenden Funktionsmodule Splitter, Modem, Router und WLAN-Router verbaut und festverdrahtet. Das Ganze wird dem Kunden als "Router" verkauft und hat obendrein noch eine Firewall, die sich ein-und ausschalten lässt. (mehr aber auch nicht) Es handelt sich dabei um ein Großserien-Gerät, welches pro Provider 10.000-fach ausgeliefert wird ... und daher haben im Lieferzustand alle diese Geräte dasselbe Administrationspasswort ! Zusammen mit der Möglichkeit für den Provider, das Gerät von der Ferne aus zu warten, braucht man sich also nicht zu wundern, warum plötzlich ein Hackerangriff in der Größenordnung von 800.000 Kunden eines deutschen Großproviders gelingt. Um es klar zu sagen: solche Geräte im Kostenbereich zwischen 80 und 120 EUR haben an der Sicherheitsnahtstelle eines Unternehmens zum öffentlichen Internet schon aus diesen Gründen nichts verloren. Dazu kommt, dass die dort installierten Firewalls durch den Mangel des Einbindens mehrerer Netzwerkkarten und Mangel an Konfigurierbarkeit per se für die im Weiteren vorgestellten Maßnahmen nicht geeignet sind. |
|
|
|
||
|
Professionelle Firewall |
Die Aufgabe der Firewall ist es, verschiedene Netze erst einmal grundsätzlich voneinander zu trennen und nur in speziell konfigurierten Ausnahmen überhaupt einen definierten Datenverkehr zuzulassen. Zudem dürfen sie nicht durch "Fernwartung" seitens des Providers korrumpierbar sein. Es muss sich dabei nicht um ein CISCO-Produkt zu 5.000 EUR handeln. So tut es etwa die als Freeware im Internet erhältliche Software-Firewall IPCop vollauf. Was letztlich -und zwar in beiden Fällen- Geld und Zeit kostet, ist die Planung des Netzwerks, also die Festlegung dessen, was man überhaupt will und die Umsetzung. |
|
|
Netze auf der Firewall |
An der Firewall laufen (mindestens) drei Netze zusammen, welche man durch Farben bzw. Farbnamen kennzeichnet: GREEN In diesem Netz befindet sich das normale inhouse-Firmennetz (welches gegen das Internet zu schützen ist), also Server und Arbeitsplätze . RED Das ist das gefährliche öffentliche Internet mit vermuteten potentiellen Angreifern. ORANGE Dies ist die sog. "demilitarisierte Zone" (DMZ). In dieser Zone stehen Rechner bzw. Server, die -über die Firewall- Außenkontakt mit RED, also dem öffentlichen Internet haben. Typische Beispiele sind WEB-Server und Terminalserver für Fernarbeitsplätze. Wichtig: diese Server können ihrer Aufgabe gemäß zwar aus dem öffentlichen Internet erreicht werden, sind aber selbst nicht datenhaltig. Für jede Farbe bzw. für jedes der genannten Netze ist eine physikalische Netzwerkkarte mit eigener IP-Adresse vorhanden. Während die Adresse von RED vom Provider vorgegeben wird (das ist die öffentliche IP-Adresse), werden die Adressbereiche von GREEN und ORANGE vom Administrator festgelegt. Ein Beispiel: für GREEN ist der Adressrange 192.168.10.xxx und für ORANGE 192.168.15.xxx, wobei für xxx die Zahlenwerte von 001 bis 254 stehen. |
|
|
Firewall-Konfiguration
Beispiel WEB-Server |
Um trotz der generellen Trennung der Netze durch die Firewall einen genau definierten Datenaustausch zwischen GREEN und ORANGE zuzulassen, muss man verstehen, dass als Ergänzung zur IP-Adresse eines Rechners ein sog. Port verwendet wird. Im PC-Bereich gibt es üblicherweise Portnummern von 1 - ca. 65.0000. Diese Ports werden dazu verwendet, jeweils einen bestimmten Dienst zuzulassen. Dies ist dann der Fall, wenn der Port geöffnet ist. Die Firewall in der Grundeinstellung verschließt alle diese Ports und riegelt ORANGE und GREEN von RED daher 100%ig ab.. Wollen wir aber eine Verbindung nach ORANGE zu unserem WEB-Server zulassen, dann müssen wir der Firewall explizit sagen, dass sie den Port 80 (Standard-Port für den http-Dienst) hin zum WEB-Server mit der IP 192.168.15.100 (als Beispiel) zulassen soll mit der Folge, dass unser WEB-Server jetzt vom Internet aus erreichbar ist, aber ausschließlich für den http-Dienst und nicht etwa für andere Zwecke wie Anmelden an diesem Server etc. Vom öffentlichen Netz aus gesehen ist nur die RED-IP-Adresse der Firewall zusehen, nicht aber die ORANGE-IP des eigentlichen WEB-Servers. Damit ist es bereits nicht leicht, das Ziel anzugreifen, denn es ist nicht sichtbar und PING-Versuche werden von der Firewall abgewiesen. Da aber allgemein bekannt ist, dass der http-Dienst den Port 80 benutzt, können wir zur Verwirrung des vermuteten Angreifers zusätzlich den Schritt machen, eine andere Portnummer für diesen Dienst zu benutzen. Die Portnummern zwischen 50.000 und 60.000 sind nicht durch Standard-Dienste belegt und somit frei für solche Verwendungen. |
|
|
|
||
|
Zugriff ins grüne Netz ORANGE <=> GREEN |
Wenn unser WEB-Server nicht nur graphische Seiten anzeigen soll, sondern lesend oder schreibend auf Daten zugreifen soll, die sich etwa in einer Datenbank im grünen Netz befinden, müssen für die benötigten Dienste Ports zwischen ORANGE und GREEN geöffnet werden. Ein solcher Datenbank-Zugriff erfolgt i.d.R. über ein sog. PHP-Script und an dieser Stelle besteht ein Sicherheitsrisiko dann, wenn der Programmierer vergessen hat, dass per se der Quellcode einer Internet-Seite in jedem Browser angezeigt wird. So sollten auf keinen Fall etwa die primär verwendeten Anmeldedaten dort auslesbar sein. Beachtet man dies und trifft die entsprechenden Vorkehrungen, kann dieses Sicherheitsrisiko jedoch vermieden werden. |
|
|
|
||
|
Fernarbeitsplätze via Terminalserver |
Für die Einrichtung von Fernarbeitsplätzen gilt dasselbe Prinzip wie beim WEB-Server, nur die benötigten Dienste und Ports sind andere. |
|
|
Der Proxy-Server oder: der kontrollierte Weg ins Internet |
Wie oben gesagt, riegelt die Firewall den Weg von RED (Internet) nach GREEN (internes Netz) vollständig -mit Ausnahme der definierten "Löcher"- ab. Doch umgekehrt, also von GREEN Richtung Internet lässt die Firewall jeden Datenverkehr unkontrolliert zu. Genau diese Eigenschaft machen sich z.B. Trojaner zunutze: einmal im grünen Netz angelangt funken sie ungehindert Informationen vom internen Netz nach draußen.(Deswegen funktionieren auch beispielsweise Statusberichte an Microsoft so hervorragend.) |
|
| Der Proxy-Server ist gewissermaßen das Gegenstück der Firewall: er regelt den zulässigen Datenverkehr von innen nach außen, also von GREEN nach RED. Allerdings muss man dazu folgendes sagen: ein Standard-Proxyserver lässt nach der Installation zunächst entweder alles offen oder er riegelt alles ab. Die erste Option ist sinnlos, denn dazu braucht man keinen Proxy. Die zweite Option würde jeden Zugang zum Internet verhindern, was aus praktischen Gründen wenig Sinn macht. | ||
| => Die Verwendung eines Proxy-Servers zur Kontrolle des ausgehenden Datenverkehrs macht Sinn, aber nur dann, wenn es einen Administrator gibt, welcher diesen Proxy auch verwaltet bzw. die zu definierenden Ausgangsfilter den sich im Laufe der Zeit ändernden Anforderungen anpaßt. | ||
|
Malware-Scanner und Betriebssystem-Updates |
Dass Updates des Betriebssystem-Herstellers aktuell gehalten werden müssen, versteht sich mittlerweile als Allgemeinwissen. Dasselbe gilt natürlich für eingesetzte Malware-Scanner jeder Art. Gefahren werden anhand vorhandener Erkennungsmuster erkannt und täglich werden neue Gefahren produziert und auf die Reise durchs Internet geschickt. Es ist ein Wettlauf: wer ist schneller im Unternehmen angekommen; der Virus oder das Erkennungsmuster ? Zur Sicherheit ist davon auszugehen, dass der Virus gewinnt und dagegen hilft nur "Sichern, was das Zeug hält". An dieser Stelle verweisen wir auf unsere Ausführungen im Menuepunkt "interne IT-Sicherheit". |
|
| Die Windows-Firewall |
Aber es gibt doch die Windows-Firewall ! Wie passt diese denn in das Bild ? |
|
|
Diese Einordnung ist ganz einfach: die Windows-Firewall bzw. die lokale Firewall eines Rechners schützt eben diesen Rechner, auf dem sie läuft, aber nicht das Netz, in dem der Rechner steht. Eine lokale Firewall und eine Netzwerk-Firewall, wie sie oben beschrieben wurde, sind zwei Paar Schuhe. |
| Der böswillige Angriff | Böswillige Angriffe lassen sich grob in zwei Gruppen unterteilen: | |
|
Industriespionage |
Die Spionage versucht, an Informationen i.d.R. aus dem internen Netz des Angriffsziels zu kommen: Auslesen von Datenbanken, Kopieren von Dateien und Mitlesen des Email-Verkehrs. Sie ist dabei um vollständige Unauffälligkeit bemüht bzw. versucht, keine Spuren zu hinterlassen. Daher wird sie tunlichst vermeiden, irgendwelche Schäden anzurichten. | |
|
Terrorismus |
Der Terrorismus hat das Ziel, die Infrastruktur des Angriffsziels zu beschädigen bzw. lahmzulegen. In diese Kategorie fallen sowohl die auf's Gradewohl verbreiteten Viren und Trojaner, aber auch auch -weit gefährlicher- durch vorangegangene gezielte Spionage gut vorbereiteten Angriffe auf Ziele wie etwa Kraftwerke, Einrichtungen des Behörden etc.. |