hitforum.deErfahrungsaustausch für IT-Professionals

Sicherheit im Internet - Firewalls

Unser "Erfahrungsaustausch: Internet für LAN" im Oktober 2000 hat gezeigt, dass das Thema "Sicherheit im Internet - Firewalls" auf reges Interesse stößt.

Daher haben wir diesem Thema am 30. Mai 2001 eine eigene Veranstaltung mit einem Vortrag zum Thema Firewalls gewidmet.

Die folgenden ausgewählten und kommentierten Links sollen allen Firewall-Interessierten helfen, sich weiter über das Thema "Sicherheit im Internet - Firewalls" zu informieren.

Die URL-Angaben der Links sind alle auch im Klartext angegeben, damit diese Seite auch ausgedruckt noch einen Nutzen hat :-) .


Bücher

Zwicky, Cooper, Chapman: Einrichten von Internet Firewalls, 2. Auflage!
http://www.oreilly.de/catalog/fire2ger/

Zwicky, Cooper, Chapman: Building Internet Firewalls, 2nd Edition!
http://www.oreilly.de/catalog/fire2/index.html

Othmar Kyas; Markus a Campo: IT Crackdown - Sicherheit im Internet
http://www.mitp.de/vmi/mitp/index.php?pTyp=detail&pWert=0848

Stefan Strobel: Firewalls - Einführung, Praxis, Produkte
http://www.dpunkt.de/buecher/autor/61.html

Norbert Pohlmann: Firewall-Systeme
http://www.mitp.de/vmi/mitp/index.php?pTyp=detail&pWert=0988

Claudia Eckert: IT-Sicherheit - Konzepte - Verfahren - Protokolle
http://www.oldenbourg.de/cgi-bin/rotitel?T=25298

Wolfgang Barth: Das Firewall Buch
Grundlage, Aufbau und Betrieb sicherer Netzwerke mit Linux
(Frisch erschienen, nutzt bereits "iptables")
http://www.susepress.de/de/katalog/3_934678_40_8/

Robert Ziegler: Linux Firewalls
Konzeption und Implementierung für kleine Netzwerke und PCs
http://www.mut.de/shop/sh-info.asp?ID=3827258499


BSI

Eine der ersten Anlaufstellen für Informationen zum Thema "Sicherheit im Internet" ist sicherlich das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu allererst sei auf die beiden frei verfügbaren Studien zu den Themen "Firewalls" und "Intrusion-Detection" verwiesen:

BSI: Firewall-Studie
http://www.bsi.de/literat/studien/firewall/fwstud.htm

BSI: Intrusion-Detection-Systeme (debis)
http://www.bsi.de/literat/studien/ids/ids-stud.htm

Weiterhin gibt es ebenso frei verfügbar eine Vielzahl interessanter Artikel von Mitarbeitern des BSI:

Thomas Veit: Sicherheitsüberprüfung einer Internet-Anbindung
http://www.bsi.bund.de/literat/tagung/sikon99/vt_021.htm

BSI: Empfehlungen zum Schutz vor Computer-Viren aus dem Internet
http://www.bsi.de/taskforce/viren.htm

BSI: Sicherheit beim Betrieb von Web-Servern
http://www.bsi.bund.de/fachthem/sinet/webserv/webserv.htm

BSI: Empfehlungen zum Schutz vor verteilten Denial of Service-Angriffen http://www.bsi.bund.de/taskforce/ddos.htm

BSI: Erkennung und Behandlung von Angriffen aus dem Internet
http://www.bsi.de/taskforce/literatur/angriff.htm

BSI: Faltblatt: Sicherheit im Internet
http://www.bsi.bund.de/literat/faltbl/sinet.htm

BSI: Dr. Fuhrberg: Sicherheit im Internet
http://www.bsi.bund.de/literat/doc/sinetdoc/sinetstd.htm

Thomas Veit, BSI: Sicherheit im Internet (Systems 2000)
http://www.bsi.de/literat/doc/HdSys2000SI.pdf

Thomas Veit, BSI: Firewallsysteme - Konzeption – Implementation -Audit
http://www.bsi.bund.de/literat/tagung/cebit00/vt_071.htm

BSI: Sicherheitsanforderungen an einzelne Firewall-Komponenten
http://www.bsi.de/literat/doc/fw-anf.htm


Paketfilter auf Linuxbasis

Paketfilter auf Linux-Basis sind eine beliebte Firewall-Technik. Während der erste Artikel noch die Realisierung mit "ipfwadmin" schildert, gibt es für die Linux-Gemeinde bereits zwei Nachfolger hierzu. Zum einen "ipchains" (ab Kernel 2.2) und jetzt brandneu (s.u.) "netfilter" bzw. "iptables" (ab Kernel 2.4):

Thomas Veit, BSI: Linux-Paketfilter auf einer Diskette (ipfwadm)
http://www.bsi.de/literat/doc/linux/pfl_030.htm

Frank Bernard: Brandschutz-2.2 (ipchains)
http://www.linuxwall.de/german/artikel/artikel.1.html

Frank Bernard: Brandneuer Schutz
Firewalling im neuen Kernel Linux 2.4
http://www.linuxwall.de/german/artikel/artikel.2.html

Frank Bernard: Schnellschutz
Firewall in Linux 2.4 mit iptables konfigurieren
http://www.linuxwall.de/german/artikel/artikel.3.html


Litte Idiot

Unter der einprägsamen Internet-Adresse "little-idiot" stellt Guido Stepken u.a. das "Firewall Handbuch für Linux" und einen empfehlenswerten Workshop-Beitrag zur Verfügung.

Guido Stepken: Firewall Handbuch für LINUX 2.0 und 2.2
Version 3.0, 30. August 1999
http://www.little-idiot.de/firewall/

Guido Stepken: Angriffe auf Firewalls
Guido Stepken hat im März 1999 beim 6. DFN-CERT-Workshop "Sicherheit in vernetzten Systemen" in Hamburg einen höchst interessanten Vortrag über Angriffe auf Firewalls gehalten.
http://www.little-idiot.de/firewall/workshop2.pdf


FAQs und HOWTOs

Nun wird es aber höchste Zeit, auf die FAQs zum Thema Firewalls und die einschlägigen Linux-HOWTOs zu verweisen:

de.comp.security.firewall FAQ
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Curtin / Ranum: Internet Firewalls: Frequently Asked Questions
http://www.interhack.net/pubs/fwfaq/

The World Wide Web Security FAQ
http://www.w3.org/Security/Faq/www-security-faq.html

Marc Grennan: Firewall and Proxy Server HOWTO
http://www.grennan.com/Firewall_HOWTO.html
http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html

Rusty Russell: Linux IPCHAINS-HOWTO
http://www.ssc.com/mirrors/LDP/HOWTO/IPCHAINS-HOWTO.html
http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html

David Ranch: Linux IP Masquerade HOWTO
http://www.ssc.com/mirrors/LDP/HOWTO/IP-Masquerade-HOWTO.html
http://www.linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html


Know Your Enemy

Wer sind nun aber diejenigen, die in andere Rechnersysteme eindringen und wie ist der Stand ihres technischen Know-Hows? Dieser Frage geht das Projekt "Honeynet" nach. "Honig-Netze" sollen Eindringlinge anziehen. Daher werden hier auch keine Abwehrmaßnahmen ergriffen, solange die Eindringlinge nicht versuchen, vom gehackten System aus anderweitig Schaden anzustellen. Stattdessen werden die Schritte der Eindringlinge intensiv überwacht, um festzustellen, wie es um das Know-How der Eindringlinge steht und welche eventuell neuen Methoden sie verwenden. Hier findet sich u.a. auch der Artikel "The Tools and Methodologies of the Script Kiddie".

Know Your Enemy
http://project.honeynet.org/papers/
http://www.enteract.com/~lspitz/honeypot.html


www.sicherheit-im-internet.de

Folgende Links stammen von einer Website, die gemeinsam vom BSI mit den Bundesministerien BMWi und BMI betrieben wird:

Spezifische Sicherheitsanforderungen der Internet-Dienste
http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=38&tsid=98&tdid=58

Sicherheit mit Struktur -  ISO/OSI Schichtenmodell und TCP/IP
http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=38&tsid=98&tdid=57


DFN-CERT

Im Deutschen Forschungs Netzwerk (DFN) gibt es natürlich auch eine Stelle, die sich mit Sicherheitsfragen beschäftigt. Hier findet man u.a. den sehr empfehlenswerter "Leitfaden zur Absicherung von Rechnersystemen in Netzen" und die Sicherheits-Bulletins.

DFN-CERT Sicherheitsbulletins
http://www.cert.dfn.de/infoserv/dsb/


Lance Spitzner

Lance Spitzner hat einiges zum Thema Firewalls beizutragen. Unter dem nächsten Link findet sich eine Übersicht über seiner Veröffentlichungen. Anschließend verweisen wir noch auf einige ausgewählte Beiträge von ihm.

Lance's Security Papers
http://www.enteract.com/~lspitz/papers.html

Sehr häufig werden Firewalls mit gängigen Rechnersystemen und Windows NT oder SUN Solaris eingesetzt. Hier ist es dann von nicht zu unterschätzender Bedeutung, die Systeme entsprechend zu "härten", damit sie sich für den Einsatz als Firewall eignen und möglichst wenig Angriffsflächen bieten.
Hierzu erfahren wir etwas bei Lance Spitzner:

Lance Spitzner: Armoring NT
http://www.enteract.com/~lspitz/nt.html

Lance Spitzner: Armoring Linux
http://www.enteract.com/~lspitz/linux.html

Lance Spitzner: Armoring Solaris
http://www.enteract.com/~lspitz/armoring.html


Checkpoint Firewall-1

Nach diversen Studien (u.a. IDG) ist der Marktführer im Bereich der kommerziellen Firewalls das Produkt "Firewall-1" von Checkpoint, dem Erfinder der "Stateful Inspection". Daher beschäftigen sich viele Websites speziell mit der Firewall-1:

Lance Spitzner: Building Your Firewall Rulebase
http://www.enteract.com/~lspitz/rules.html

Lance Spitzner: Understanding the FW-1 State Table
http://www.enteract.com/~lspitz/fwtable.html

Lance Spitzner: FW-1 Troublehooting Tips
http://www.enteract.com/~lspitz/tips.html

Lance Spitzner: Intrusion Detection for FW-1
http://www.enteract.com/~lspitz/intrusion.html

Phoneboys Informationen zur FW-1
http://www.phoneboy.com

Hier finden wir auch den folgende Beitrag zweier TÜV-Mitarbeiter, die Sicherheitslücken bei der FW-1 4.0 aufgedeckt haben:

TUV: Lopatic, McDonald: A Stateful Inspection of FW-1
http://www.phoneboy.com/fw1/docs/bh2000/blackhat-fw1.txt


Hochverfügbarkeit mit StoneGate

Marktführer hin oder her, es ist immer noch Bewegung im Firewallmarkt.

Unter den "Newcomern" beachtenswert ist StoneGate von der finnischen Firma StoneSoft. Hier wird die Firewall-Software direkt zusammen mit einem gehärteten linux-basierten Betriebssystem ausgeliefert, man braucht also nur noch die passende Hardware (Intel-PC oder Sparc). Kein Aufwand mehr damit, das Betriebssystem vorher einzuspielen, zu patchen, zu härten und im laufenden Betrieb auf dem neuesten Stand zu halten.

StoneSoft ist übrigens nicht wirklich neu im Firewall-Business, von denen stammt die langjährig bewährte Hochverfügbarkeitslösung für CheckPoint Firewalls: StoneBeat.

So wundert es natürlich nicht, dass in der StoneGate Lösung Hochverfügbarkeit direkt schon enthalten ist. Firewall-Gateway können als Cluster aufgesetzt werden, wobei bei Ausfall eines Gateways die anderen dessen Aufgaben ohne Verbindungsabbruch übernehmen.

Selbst für den Fall, dass es beim Internet-Provider Störungen gibt, kann man hier vorsorgen. Der Anschluss parallel über meherer Provider ist ohne die Mühen des Routingprotokolls BGP möglich, Verbindungen werden mittels eines ausgeklügelten Loadbalancing-Algorithmus auf die funktionierenden Provider verteilt.

http://www.stonesoft.com/products/StoneGate/


Application Level Gateways

Grob vereinfacht gibt es zwei unterschiedliche Typen von Firewalls: Paketfilter und Application Level Gateways. Real existierende Firewall-Produkte können von dem einen oder anderen Typ sein oder eine Mischform darstellen.
Während beim Paketfilter lediglich IP-Pakete (bzw. TCP, UDP oder ICMP) nach Quell- und Zieladresse (bzw. Quell- und Zielport) untersucht und dann durchgelassen oder abgewiesen werden, verfolgt ein Application Gateway einen anderen Ansatz.
Hier wird keine Verbindung durchgelassen. Vielmehr endet die hereinkommende Verbindung auf dem Gateway und das Gateway baut eine weiterführende Verbindung auf. Sodann vermittelt das Gateway auf dem Application Level (daher der Name) zwischen den Verbindungen. Wenn man so will, betätigt es sich als Übersetzer. Dies hat den Vorteil, dass eine Menge Angriffe inhaltlicher Art erkannt und abgewehrt werden können.

Der folgende Artikel vergleicht die Techniken von Application Gateways und der sogenannten Stateful Inspection, womit im Grunde zwei verschiedene Firewalls verglichen werden, Gauntlet und Check Point. Ansschliessend finden sich noch Links auf Application Level Gateway Produkte.

F.M.Avolio: Application Gateways and Stateful Inspection
A Brief Note Comparing and Contrasting
http://www.avolio.com/papers/apgw+spf.html

Gauntlet
http://www.securecomputing.com

GeNUGate
Die Firma Genua bietet eine Kombination von Paketfilter und Application Level Gateway (entsprechend den Empfehlungen des BSI) und hat seit der CeBIT 2002 eine Zertifizierung nach "ITSEC E3 hoch":
http://www.genua.de/produkte/ggfamilie/index_html


Weiterführende Links

Internet Firewalls - Resources
http://www.cerias.purdue.edu/coast/firewalls/

Tools and Resources
http://www.netpr.com/tools_resources
Infos zu folgenden Security-Themen:

  • Introduction
  • Security Policy Information
  • System Integrity
  • General Firewall Information
  • Routing and Addressing
  • DNS
  • Sendmail
  • NTP (Network Time Protocol)
  • Authentication
  • Operating System Information
  • Network Associates Gauntlet Firewall
  • Check Point FireWall-1
  • Axent Raptor Firewall
  • VPNs/IPSec/PKI
  • Response Teams and Advisories
  • General Security Links
  • Network Presence Papers & Presentations
  • Security Publications

Diese Auswahl von Links erhebt keinen Anspruch auf Vollständigkeit. Das wäre auch vermessen, da es im Web jede Menge guter Informationen zu unseren jeweiligen Themen gibt. Korrekturen oder Hinweise auf weitere Websites zum Thema per E-Mail oder Webmail unter Kontakt immer herzlich willkommen.

BUCHTIPPS
Rezensionen unserer Leser