Firewall-Regelwerk

aus Wikipedia, der freien Enzyklopädie

In einem Firewall-Regelwerk wird definiert, welcher Verkehr durch eine Firewall erlaubt und welcher verboten ist. Die Regeln werden für jedes Paket (bei Stateful Firewalls für jede neue Verbindung) der Reihe nach geprüft und die erste zutreffende Regel wird angewendet. Die Reihenfolge der Regeln ist daher relevant.^[1] Eine Firewall-Regel setzt sich in der Regel aus sechs Komponenten zusammen:

1. Absender-IP-Adresse (auch Netzwerk-Adressen wie z. B. 192.168.0.0/24)
2. Ziel-IP-Adresse
3. Netzwerkprotokoll (TCP, UDP, ICMP, …)
4. Port-Nummer (bei TCP und UDP)
5. Aktion (erlauben, verwerfen oder ablehnen)
6. Loggen ja/nein

Machen Firewall-Systeme bieten darüber hinaus noch die Möglichkeit einzelne Regeln zu kommentieren oder zeitabhängig zu aktivieren. Eine Möglichkeit des Kommentierens von Regeln, IP-Adressen und Diensten ist sehr nützlich um unbenutzte Regeln oder Teile davon identifizieren und löschen zu können, insbesondere da das Aufräumen eines unübersichtlich gewordenen Regelwerks nach der Methode Versuch und Irrtum auf einer produktiven Firewall praktisch unmöglich ist.

Die Port-Nummer hat nur beschränkt Einfluss darauf, welcher Dienst tatsächlich über diese Regel laufen darf. Es ist beispielsweise technisch möglich eine SSH-Verbindung so zu konfigurieren, dass die statt über ihren Standardport TCP 22 über TCP 80 für HTTP läuft. Dies kann nur eine Application Layer Firewall verhindern.

Bei größeren Regelwerken lässt sich die Übersichtlichkeit steigern mit Systemen, in denen sich Adresse oder Dienste in Gruppen zusammenfassen lassen, z. B. könnte eine Gruppe „Maildienste“ die Mitglieder SMTP, POP3 und IMAP haben. Eine andere Möglichkeit der Definition von IP-Adressen und Portnummern sind Zahlenbereiche, z. B. 10.0.0.30–10.0.0.40 oder Port 135–139. Bei IP-Adressen ist dies in der Verarbeitung allerdings langsamer als Netzbereiche mit Netzmaske anzugeben.

Inhaltsverzeichnis 1 Sicherheitsgrundsätze 2 Logging 3 Stealth Regel 4 ICMP Regeln 5 Ablehnen oder Verwerfen 6 Quellen 7 Siehe auch

[Bearbeiten] Sicherheitsgrundsätze

Das ideale Regelwerk einer Firewall ist immer so aufgebaut, dass grundsätzlich jeder Netzwerk-Verkehr verboten ist und die erwünschten Verbindungen erlaubt werden ("Whitelist" Strategie).^[2] Die andere Variante, nur unerwünschten Verkehr zu verbieten und alles andere zu erlauben, kann im schnellen Wandel der IT-Welt niemals als sicher betrachtet werden. Die Absender- und Ziel-Adressen werden in der Regel immer numerisch und nicht als DNS-Name angegeben, um verhindern, dass ein Angreifer durch Änderungen im DNS auf das Regelwerk Einfluss nehmen kann.

[Bearbeiten] Logging

Logdateien dienen der Nachvollziehbarkeit des Netzwerk-Verkehr und der Fehlersuche. Das Logging kann auf der Firewall selber erfolgen wenn diese eine eingebaute Festplatte hat, oder auf einem entfernten Log-Host. In diesem Falle kommen teils proprietärere Protokolle oder Syslog zum Einsatz. Müssen die Log-Dateien revisionssicher aufbewahrt werden empfiehlt sich ein System, dass einen Log-Host benutzt und für den Fehlerfall lokal loggen kann.^[3][4] Für die Auswertung von Logdateien ist es sehr hilfreich, wenn jeder Regel eine einzigartige Nummern zugewiesen werden kann, damit die Einträge den entsprechenden Regeln zuordnen werden können.

Manche Firewalls loggen jedes einzelne Netzwerk-Paket, andere erstellen einen Logeintrag pro Verbindung. Grundsätzlich loggt eine Firewall alle Verbindungen. Ausnahmen werden nur gemacht, wenn einzelne Regeln so viele Logeinträge produzieren, dass es zu technischen Problemen oder Geschwindigkeitseinbußen kommt. Dies kann z. B. bei Denial of Service-Angriffen passieren oder wenn Würmer im Netzwerk aktiv sind. Eine Möglichkeit dies zu vermeiden, ist eine eigene Regel für diese Wurmangriffe, welche nicht geloggt wird.

[Bearbeiten] Stealth Regel

Eine Stealth Regel dient dem Eigenschutz der Firewall und verbietet alle Verbindungen zu ihr selber. Da die Reihenfolge der Regeln relevant ist, müssen davor noch die Administrations-Dienste für die Firewall erlaubt werden, damit diese Pakete nicht auch verworfen werden. Warum eine Stealth Regel notwendig ist, wird aus folgendem Beispiel ersichtlich:

• Die Firewall hat auf einem Interface die IP-Adresse 10.0.0.1
• Es gibt eine Regel, die allen Firmen-PCs SSH-Verbindungen zu den Servern im Netz 10.0.0.0/24 erlaubt.

Da 10.0.0.1 auch ein Teil des Netzes 10.0.0.0/24 ist, dürften alle PCs in diesem Netz auf den SSH-Port der Firewall zugreifen, was die Firewall für Innentäter angreifbarer machen würde.

[Bearbeiten] ICMP Regeln

ICMP dient im Netzwerk zum Austausch von Fehler- und Informationsmeldungen, kann aber auch für Angriffe im Netzwerk missbraucht werden. Da ICMP komplett zu blockieren oder komplett zu erlauben zu viele Probleme verursachen würde, empfehlen Fachleute die folgenden Typen freizuschalten:^[5]

• ICMP Unreachable
• ICMP Unreachable, Fragmentation Needed (wird verwendet von Path MTU Discovery)
• ICMP Time Exceeded in Transit (TTL expired in transit bei traceroute unter UNIX und tracert unter Windows)
• ICMP Echo Request (Ausgehend, wird benutzt von Ping)

Alle anderen ICMP-Typen werden nur nach Bedarf freigeschaltet, bei einer Firewall ins Internet restriktiver als bei einer zwischen zwei internen Netzen. Wegen des Missbrauchpotenzials ist der Typ ICMP-Redirect in der Regel gesperrt. ICMP Echo Request eingehend zu erlauben erleichtert Außenstehenden zwar die Fehlersuche, ermöglicht Crackern aber auch das Auskundschaften des Netzes. Außerdem gibt es auch in ICMP Echo immer wieder Sicherheitslücken wie z.B. Ping of Death und andere.^[6][7]

Werden ICMP-Unreachable-Fragmentation-Needed-Pakete an einem Punkt der Route gefiltert, zum Beispiel durch ein einfaches „ICMP deny“, kann es zu Übertragungsproblemen kommen, wie im Artikel Maximum Transmission Unit beschrieben.

[Bearbeiten] Ablehnen oder Verwerfen

Bei unerwünschten Verbindungen gibt es zwei Möglichkeiten mit spezifischen Vor- und Nachteilen. Beim Verwerfen (auch „Drop“) des Pakets, bekommt der sendende Rechner keine Nachricht darüber, dass sein Verbindungsversuch blockiert wurde. Beim Ablehnen (auch „Deny“ oder „Reject“) bekommt der Sender mitgeteilt, dass die Verbindung abgelehnt wurde. Die Mitteilung erfolgt entweder über ICMP-Unreachable oder bei TCP mit einem Reset-Paket. Das Ablehnen hat den Nachteil, dass das Netz zusätzlich noch mit den Ablehungs-Paketen belastet wird, insbesondere bei Denial of Service-Angriffe kann dies eine Rolle spielen. Außerdem kann dies bei Paketen mit gefälschter Absender-Adresse zu weiteren, unerwünschten Nebenwirkungen führen. Der Nachteil des Verwerfens ist, dass der Sender erst nach einem Timeout von dem missglückten Verbindungsversuch erfährt. Probleme bereitet dies mit dem Ident-Protokoll, das oft zusammen mit IRC und selten noch mit SMTP eingesetzt wird. Eine Kompromiss ist es, dass im internen Netz abgelehnt wird (für die leichtere Fehlersuche) und nur aus Richtung Internet verworfen wird.

[Bearbeiten] Quellen

1. ↑ Das Firewall Ruleset (Protectus.de)
2. ↑ BSI Grundschutzkataloge: Auswahl und Einrichtung geeigneter Filterregeln
3. ↑ BSI: Integration und IT-Revision von Netzübergängen
4. ↑ BSI Grundschutzkataloge: Protokollierung der Sicherheitsgateway-Aktivitäten
5. ↑ Verwendung und Missbrauch von ICMP (Hakin9)
6. ↑ Sicherheitslücken in Ciscos IOS (Heise.de, 25.1.2007)
7. ↑ Ein Ping - und Solaris gerät in Panik (Heise.de, 31.1.2007)

[Bearbeiten] Siehe auch

• Paketfilter
• Stateful Packet Inspection