Firewall HackingGuide

12.09.2007

Cracker at the gates? Firewalls entwickeln sich kontinuierlich. Dank ihrer Rolle als Netzwerk-Flaschenhälse und Enforcement Points sind sie an der richtigen Stelle positioniert, um Kontrollen und manchmal andere Arten von Funktionen zu implementieren, die nicht streng zur traditionellen Verkehrsfilterung gehören.

Zusätzlich mussten sich Firewalls an die neuen Technologien und Bedrohungen anpassen, die das einundzwanzigste Jahrhundert mitgebracht hat.

Wenn Sie sich die am weistest verbreiteten kommerziellen Firewalls anschauen, werden Sie eine umfangreiche Reihe von Features sehen, die nicht unbedingt zu traditonellen Rolle einer Firewall gehören. Hier kann man wirklich viele Beispiele finden.

Virtual Private Network

Virtual Private Network(VPN), Zertifikatsinstanz, Inhaltsüberprüfung, Intrusion Detecion, VLAN Unterstützung etc. Diese Features wurden über die Jahre eingefügt, um Unternehmen mehr Flexibilität zu bieten, und Firewalls auf effektive, skalierbare und einfach zu steuernde Art einsetzen zu können. Besonders Virtual Private Network ist bemerkenswert. Es ist ein Computernetz, das zum Translokation persönlicher Daten ein öffentliches Netz, wie zum Beispiel das Internet nutzt. Es ermöglicht demzufolge eine geschützte Übertragung über ein unsicheres Netzwerk. Somit können Teilnehmer eines Virtual Private Network Daten, wie in einem LAN, umwechseln. Die einzelnen Benutzer selbst müssen zu diesem Zweck nicht direkt verbunden sein, denn die Konnektivität wird über das öffentliche Netz verschlüsselt. Durch die Anwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gwarantiert werden. Aus Sicherheitsgründen ist es erforderlich, auf den VPN-Gateways den Datenverkehr zu durchsehen und Paketfilter einzusetzen. Anderenfalls wäre es sehr leicht möglich, Computerwürmer, Trojaner oder andere Schadsoftware in das persönliche Netzwerk einzuschleusen. VPN-Gateways sollten deswegen immer in Verbindung mit einer Firewall eingesetzt werden. In besseren Firewalls (zum Beispiel CISCO PIX-Serie) findet man deshalb schon gebrauchsfertige VPN-Lösungen.

Gute VPN-Software verwendet Authentizität und Prüfsummen, um sich vor Manipulation der Daten zu schützen. Ebenso werden Sequenznummern benutzt, um Replay-Attacken zu verhindern.

Es ist ungewöhnlich, viele dieser Features gebündelt in OpenSource-Firewalls, wie netfilter/iptabels oder pf zu sehen, da diese typischerweise einem modularen Design folgen. Wenn Sie zusätzliche Funktionalität wollen, müssen Sie sie selbst hinzufügen. Es ist möglich, ohne viel Aufwand, die Möglichkeiten Ihrer Firewall zu erweitern, um zusätzliche Funktionalität wie Intrusion Detection (Eindringlingserkennung), Intrusion Prevention (Eindringlingsschutz), Honeypotting oder Virtualisierung zu bieten.

Eindringlingserkennung

Intrusion Detection ist die Kunst, unsachgemäße, inkorrekte oder ungewöhnliche Aktivität in einem Netzwerk zu erkennen. In einfachen Worten heisst das, dass Sie, so schnell wie möglich, herausfinden wollen, wenn eines Ihrer Systeme kompromittiert wurde.

Eine Weiterentwicklung dieses Konzepts ist Intrusion Prevention, welche die gleiche Methodik anwendet, um Angriffe zu stoppen, anstatt (oder zusätzlich dazu) sie zu entdecken. Vorbeugung ist besser als Entdeckung, aber nur, wenn Sie garantieren können, dass eine bestimmte Aktivität bösartig ist. Das ist eine schwierige Aufgabe und das ist der Grund, warum Intrusion Prevention Systems (IPS) normalerweise in den Intrusion Detection Mode fallen, wenn sie nicht sicher über eine bestimmte Art von scheinbar bösartiger Aktivität sind. Als Intrusion Prevention Systeme (IPS) werden Intrusion Detection Systeme (IDS) bezeichnet, die über die reine Generierung von Vorfällen hinausgehen, Funktionen bereitstellen, die somit einen entdeckten Angriff verhindern können.

Es gibt eigens für Intrusion Detection Systeme und IPS entwickelte Geräte, aber wäre es nicht schön, wenn wir das mit unseren Firewalls erledigen könnten? Das ist möglich und tatsächlich behinhalten die am weitest verbreiteten kommerziellen Firewalls bereits elementare bis fortgeschrittene Intrusion Detection Systeme und IPS- Möglichkeiten.

Ein Intrusion Detection System (IDS) ist generell ein System – Hardware oder Software, das zur Erkennung von Angriffen auf ein Computersystem oder Computernetz dient. Der Begriff betrifft meistens Systeme, die mit dem Internet verbunden sind. Exakt eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen somit die Sicherheit von Netzwerken.

Es gibt auch OpenSource-Programme, die Ihnen das ermöglichen. Beginnen wir mit Intrusion Detection Systeme. Es gibt viele Möglichkeiten, IDS zu realisieren. Eine ist die Benutzung spezifischer IDS-Softwarewie, zum Beispiel: snort [1].

OpenSource-Programme

Snortist wohl das meistverbreitete Intrusion Detection Systeme. Es arbeitet hauptsächlich signaturbasiert, da es auf Verkehrsmustern beruht, die charakteristisch für einen bestimmten Angriff sind. Nach diesen Mustern sucht snort im Netzwerkverkehr.

Oft kann man aber IDS ohne eine spezifische Software betreiben. Firewalls sind zum Beispiel eine großartige Quelle für Daten zur Intrusion Detection. Warum?

Firewalls haben dafür zu sorgen, dass die Richtlinien des Unternehmens (Regeln, die festlegen, was erlaubt und was verboten ist) auf Netzwerkebene durchgestzt werden. Eine richtig konfigurierte Firewall wird keine unnötigen Dienste und Services zulassen und sie wird alle Verletzungen der Richtlinien protokollieren. Diese Logfiles sind die Daten für unser Intrusion Detection Systeme. Wichtig ist allerdings, dass diese Logfiles auch gelesen und ausgewertet werden.

Welche Tools kann ich benutzen, um diese Logüberwachung und Erkennung zu erledigen?

Es gibt eine Vielfalt von Tools [2], die Firewall-Logüberwachung erledigen können, von den einfachsten (wie IPTables Log Analyzer oder fwlogwatch für Netfilter/IP-Tabellen oder hatchet für OpenBSD pf) zu den anspruchsvollsten Sicherheitsinformationsmanagement-Engines (wie OSSIM), welche Ihre Firewall-Aktivität mit anderen Sicherheits-, Netzwerk- und Systemlogs in Beziehung setzen kann.

PSAD

Es gibt auch noch ein anderes Tool für Linux, das sogar noch Intrusion Detection Systeme orientierterer als die vorher genannten sind: PSAD [3]. PSAD benutzt Linux netfilter/iptables Logdateien für sein Vorgehen und kann Scanerkennung, Signaturerkennung (basierend auf snort-Signaturen), passives Fingerprinting, Alarmieren und vieles mehr durchführen. Wenn Sie PSAD mit seinem Begleittool fwsnort [4] kombinieren, können Sie sogar die Anwendungsebenensignatur von snort benutzen (dank der netfilter/iptables Fähigkeiten zur Zeichenkettenanpassung).

Die PSAD-Installation ist recht einfach. Sie werden fertig installierbare PSAD-Pakete für die meisten Linux-Distributionen finden. PSAD arbeitet mit der Überwachung der Lognachrichten, die iptables an syslog sendet. Um sofort loszulegen, müssen Sie zuerst syslog so konfigurieren, dass Kernelnachrichten nach /var/lib/psad/psadfifo weiter-/umgeleitet werden, so dass der PSAD Dämon sie erhalten kann:

Nun loggen Sie Ihre netfilter/iptables-Nachrichten an syslog, aber. was loggen Sie?

Sie können Ihre aktuelle iptables-Konfiguration mit: iptables -L -vn aufrufen. Können Sie irgendwelche LOG-Zeilen sehen? Standardmäßig loggt Linux keine verworfenen oder abgelehnten Pakete, wenn Sie eine Standard DENY- oder REJECT-Richtlinie setzen (Standardrichtlinien werden mit dem iptables -P Befehl festgelegt). Sie müssen eine händische Konfiguration einsetzen, um das tun zu können. Schauen Sie sich Listing 1 an.

Nachdem wir die Firewall-Protokollierung konfiguriert haben, ist es an der Zeit, PSAD zu konfigurieren. Die PSAD-Konfiguration ist auch nicht kompliziert: sogar wenn es eine Menge Optionen gibt, die Sie sich zurechtschneiden können, müssen Sie typischerweise nur die Datei /etc/psad/psad.conf editieren, um Ihre E-Mailadresse, den Hostnamen und das HOME-Netzwerk ein bisschen mehr zu spezifizieren. Starten Sie dann den Dämon:

und warten Sie einfach auf Alarme, entweder über E-Mail oder durch PSAD-Logdateien, die in /var/log/psad gespeichert werden. Sie können Logbeobachtungssoftware wie swatch [5] benutzen, um diese Logdateien zu überwachen, wenn Sie anspruchsvolle Aktionen vornehmen wollen, nachdem ein Alarm aufgetreten ist. Sie haben nun ein einfaches IDS am Laufen!

Extrusion Detection

Wenn Sie diese Art von Tool in Ihren externen Firewalls einsetzen, gibt es etwas Wichtiges zu beachten: in der heutigen feindlichen Internetumgebung werden Sie tausende von Angriffen von Außen erhalten, was sehr schnell dazu führen wird, dass Sie Ihre PSAD-Alarme deaktivieren oder ignorieren. Die empfohlene Vorgehensweise bei Ihren externen Firewalls ist, den ausgehenden Verkehr, zu betrachten. Eine Strategie, die als Extrusion Detection [6] bekannt ist. In der heutigen Umgebung, wo clientseitige Angriffe und botnets (Armeen kompromittierter Hosts, die Hacker benutzen, um Denial of Service-Angriffe durchzuführen, SPAM zu senden etc.) die Regel sind, wird es effektiver sein, zu schauen, was Ihr Netzwerk verläßt (zumindest was nach Draußen geblockt wird, wenn Ihre Firewall richtig konfiguriert ist) als das, was reinkommt. An Ihren internen Firewalls werden Sie möglicherweise in der Lage sein, beide Richtungen zu überprüfen.

Intrusion Prevention

Intrusion Prevention ist kein Ersatz für Eindringlingserkennung, sondern eher eine Vervollständigung. Keine Sicherheitstechnologie ist perfekt und Intrusion Prevention ist keine Ausnahme. Allerdings gibt es einige Möglichkeiten, um sie auszutricksen. Die Kombination verschiedener hostbasierten und netzwerkbasierten Intrusion Detection und Prevention Techniken wird die besten Ergebnisse bieten. Dieser mehrlagige Verteidigungsansatz, Verteidigung in die Tiefe genannt, hat sich als die beste Methode bewährt, um heutige System- und Netzwerkinfrastrukturen zu schützen. Vergessen Sie zudem nicht die alte Redensart: Vorbeugung ist ideal, aber Erkennung ist ein Muss. Früher oder später werden Sie gehackt (das ist eine Tatsache), aber was Sie sich definitiv nicht leisten können, ist, es nicht zu wissen.

Es macht durchaus Sinn, IPS und Firewalls in derselben Box zu kombiniert, da sie eine Menge häufiger Charakteristika teilen. Sie sind linear mit dem Verkehr, lassen ihn fallen oder lassen ihn durch, entsprechend einer Reihe vordefinierter Regeln. Im Fall der Firewall haben diese Regeln mit Ports, Protokollen und Verbindungsstati zu tun. Im Fall des IPS haben diese Regeln mit Paket-Charakteristika und Inhalten und Verkehrsprofilen zu tun.

snort_inline

Welches Tool in der OpenSource Welt können wir nun für Intrusion Prevention benutzen?

Die Antwort ist snort_inline, eine Erweiterung zu snort, das mit netfilter/iptables verworfenen Paketen interagiert, die von der snort-engine als bösartig identifiziert wurden.

Honeywall [7] ist eine bootbare CD, die bereits eine vorkonfigurierte Version von snort und snort_inline bietet und in honeynet Umgebungen eingesetzt wurde.

Wenn Sie mehr Informationen über Honeynet benötigen, dann finden Sie sie auf der Honeynet-Projektwebseite [8].

Und wenn Sie snort_inline für Produktionszwecke benutzen wollen, laden Sie es sich einfach von der Snort Webseite herunter und installieren Sie es mit:

snort_inlineKonfigurationsoptionen sind in der snort_inline.conf-Datei gespeichert. Im Regel-Verzeichnis werden Sie eine gute Anzahl an Regeln finden, die bösartige Verkehrsmuster identifizieren. Untersuchen wir eines davon:

Diese Regel wird jedes Paket verwerfen, das zu einem Versuch gehört, einem Chatchannel von unserer Organisation nach Außen hin beizutreten. Es macht viel Sinn, eine solche Regel heutzutage in unseren Organisationen anzuwenden. Warum? Einfach weil botnets von diesem Mechanismus Gebrauch machen, um kompromittierte Hosts zu kontrollieren. Es könnte möglich sein, diese Regel nicht universell auf Ihre gesamte Organisation anzuwenden, wenn es den Benutzern erlaubt ist, einen Chat zu benutzen, aber es wird definitiv eine Menge Sinn machen, es auf Ihren Server-Netzwerken anzuwenden, da Ihre Server niemals einen Chat benutzen sollten.

An diesem Punkt könnten Sie sich fragen, wie snort_inline in der Lage ist, die Ladung der Pakete zu sehen. Dieser Mechanismus unterscheidet sich leicht vom PSAD-Fall, den wir zuvor vorgestellt haben, sogar wenn wir in diesem Fall auch die Möglichkeiten der mächtigen netfilter/iptables-Engine benutzen.

Netfilter/iptableshat die Möglichkeit, mehrere Ziele für den Verkehr zu definieren, wie ACCEPT, DROP, QUEUE oder RETURN.

QUEUE & Co.

QUEUE (welches auf einem Kernel-Modul namens ip_queue basiert) ist ein Mechanismus, um Pakete aus dem Stack für die Warteschlange zum Benutzerbereich weiterzuleiten, wo snort_inline sie in diesem Fall erhält und verarbeitet. Es wird dann möglich sein, diese Pakete zurück an den Kernel zu senden, zusammen mit der Entscheidung von snort_inline, das spezifiziert, was mit den Paketen gemacht werden soll (wie ACCEPT oder DROP). Diese Entscheidung wird erreicht, indem die von netfilter/iptables behandelten Pakete inspiziert werden und der Regelsatz auf jedes einzelne davon angewendet wird.

Ein cooles Feature von snort_inline ist, dass es Ihnen tatsächlich ermöglicht, die Pakete zu modifizieren, bevor sie wieder in den Kernel gegeben werden. Eine Regel, die eine solche Aktion durchführen würde, wäre:

In dem Fall sollte man das GET-Schlüsselwort mit BET ersetzen, was effektiv einen vermutlich bösartigen HTTP-Download verhindert kann. Damit sollte eigentlich ein Angriff verhindert werden, ohne eine Session zu unterbrechen. Würden Sie das Packet verwerfen und somit die Session unterbrechen, könnte der Angreifer durch die Anwesenheit eines IPS alamiert werden. Wie Sie sich sicher vorstellen können, ist diese Methode nicht narrensicher und wird nur bei den unerfahrensten Angreifern funktionieren.

false positives

Wichtig zu erwähnen sind false positives (Falsche Positive). Wie Sie bestimmt wissen, ist ein false positive einfach ein falscher Alarm. In der Welt der IDS sind false positives ein Problem. Besonders weil sie die Möglichkeit haben, die Analysten zu verwirren und sogar oft zu überladen.

In der Welt des Intrusion Prevention Systems sind false positives noch gefährlicher, da eine legitime Verbindung unterbrochen wird. Stellen Sie sich vor, dass diese eine Verbindung kritisch ist. Das ist der Grund, warum IPS-Regelsätze vorsichtig konfiguriert werden müssen, und warum der Hauptwert eines bestimmten Intrusion Prevention Systems die Genauigkeit seiner Signaturen ist.

Unglücklicherweise pflegt die OpenSource-Gemeinschaft aktuell keine effiziente Intrusion Prevention Systems-Signatur. Eine Ausnahme hier könnten vielleicht die Regelsätze sein, die vom Honeynet-Projekt geboten werden. Allerdings werden diese nicht periodisch aktualisiert, sondern nur bei der Veröffentlichung einer neuen Honeywall CD-Version. Die snort-Regeln sind frei erhältlich, aber sie sind Intrusion Detection System orientiert. Denn wenn sie direkt in Intrusion Prevention Systems Signaturen umgewandelt werden, entsteht ein großes Risiko von Denial of Service.

Honeypots

An diesem Punkt haben Sie gesehen, wie Sie Ihre Firewall benutzen, um Eindringlinge zu entdecken und sich sogar vor diesen schützen. Es gibt immer noch eine Million Dinge, die Sie mit Ihrer Firewall machen können, um die Sicherheit Ihrer Organisation zu erhöhen. Eines davon ist Honeypotting (von Honeypot).

Entsprechend der übereinstimmenden Definition, die von den Mitgliedern der Honeypots Mailingliste bei Securityfocus [9] erreicht wurde, ist ein Honeypot eine Ressource, deren Wert angegriffen oder kompromittiert wird. Diese breite Definition schafft Raum für eine große Anzahl an Honeypot-Typen [10], -Strategien und -Ansätze, von sehr einfach zu sehr komplex, welche nicht zwingenderweise technisch sein müssen. Einige von ihnen können in Ihrer Firewall eingesetzt werden.

Einer der vielen Nutzen für Honeypots ist, Angreifer zu verwirren. Wenn sie versuchen, Ihre Organisation anzugreifen und Menge möglicher Opfer, offene Ports, Protokolle, Dienste, Systeme, Netzwerke etc. finden, wird es für sie sehr viel schwieriger sein, zu identifizieren, welche die wertvollen Ressourcen sind (natürlich nur, wenn sie keine Insiderinformationen haben), und das wird sie typischerweise zwingen, lauter zu sein – was die Wahrscheinlichkeit, entdeckt zu werden, erhöht.

Wie können Sie das also in Ihrer Firewall machen? Das ist ziemlich einfach. Benutzen Sie die netfilter/iptables REDIRECT-Fähigkeiten. Es gab tatsächlich ein Programm, The Tiny Honeypot[11] (THP), entwickelt von George Bakos, das unter anderem Nutzen aus dieser Strategie zog. The Tiny Honeypot war eine Reihe von Skripten, die einer Malware-Sammlung gewidmet waren. Die Idee war recht einfach. Alle Ports in einem bestimmten Linuxsystem wurden an einen einzelnen Port weitergeleitet, wo ein Listener (Netcat-Typ im einfachsten Fall, Service-aware im anspruchsvollsten) auf die Verbindungsversuche antworten und die ausgetauschten Daten (die oft Malware enthalten) protokollieren würde. Die netfilter/iptables-Einträge, die die möglich machten, waren:

Wir werden The Tiny Honeypot nicht weiter ausführen, da es von einer mächtigeren Software ersetzt wurde, nämlich nepenthes [12].

Es gibt einen anderen sehr interessanten Ansatz, in dem Honeypots in Ihrer Firewall benutzt werden können und das ist der Tarpit-Modus. Ein Tarpit, manchmal Sticky Honeypot genannt, ist eine Art defensiver Honeypot, dessen Auftrag darin besteht, Netzwerkverbindungen abzubremsen, wie die, die typischerweise beobachtet werden, wenn Wurminfektionen die Organisation plagen.

TCP- Phasen

Wie Sie wissen, werden TCP-Verbindungen in 3 Phasen aufgebaut: SYN, SYN-ACK, ACK (auch als TCP 3-Way-Handshake bekannt). Das Transmission Control Protocol (TCP) ist eine Abmachung (Protokoll) darüber, auf welche Art und Weise Daten zwischen Computern auswechselt werden sollen. Alle Betriebssysteme heutiger Computer beherrschen TCP und können es für den Datenaustausch mit anderen Rechnern verwenden.

Das Tarpit antwortet zwar auf bösartige Verbindungsanfragen, bleibt dann aber still und baut somit die Verbindung nicht fertig auf. Der bösartige Host wird eine gewisse Zeit lang versuchen zu verifizieren (typischerweise 10-20 Minuten), ob die Verbindung aktiv ist oder nicht, bevor es zum timeout kommt.

Der Vorteil ist, dass viel Energie des angreifenden oder des infizierten host damit verschwendet wird, das tarpit zu infizieren. Somit bleibt weniger Zeit, mögliche verwundbare Opfer im Netz zu attackieren.

Der bösartige Host hat eine bestimmte Menge an Ausdauer, das heisst, eine begrenzte Anzahl an Verbindungen, die er offen halten kann.

Es gibt diverse Programme, die zu Tarpitting in der Lage sind. Das erste und bekannteste davon ist LaBrea [11], das geboren wurde, um den Code Red Wurm zu bekämpfen, und welches in seiner zweiten Version sogar einen noch anspruchsvolleren Mechanismus als den oben beschriebenen implementiert hat.

Netfilter/iptablesführte zur Enstehung von TARPIT, welches LaBrea v1 Verhalten imitiert. Stellen Sie sich vor, Sie begegnen einer Infektion durch einen Wurm, der die Portnummer 31337/tcp trifft. Was Sie tun können, ist einfach den folgenden Eintrag in Ihrer Firewall zu erstellen:

Von diesem Moment an, wird jeder infizierte Host, der an der Firewall auf Port 31337 ankommtge-tarpitted.

Einfach, oder? Wenn Sie die Wirkung vergrößern wollen, können Sie auf der Routerebene die unbenutzten IP-Adressen Ihres IP-Adressbereichs an ein Linuxsystem weiterleiten, das nicht als Router agiert. Schalten Sie dann einfach IP-forwarding ein und fügen Sie hinzu:

Beachten Sie bitte, dass das Tarpit-Modul in Ihrem Kernel möglicherweise nicht standardmäßig aktiviert oder konfiguriert ist.

Transparente Firewalls

Es gibt eine sehr interessante und nützliche Art, Firewalls zu nutzen, nämlich dem Transparente Modus, zumindest in der Layer-2 Ebene ohne Routing. Nicht alle Firewalls (besonders die kommerziellen) unterstützen transparentes Firewalling, aber das tun glücklicherweise die beiden bekanntesten OpenSource Firewalls, netfilter/iptables und OpenBSD pf.

Um gerecht zu sein, hängt die Fähigkeit einer Firewall, transparent zu sein, nicht nur vom Firewall-Code ab. Das Betriebssystem muss in der Lage sein, im überbrückten Modus (engl. bridged mode) zu arbeiten. Linux und OpenBSD sind neben anderen dazu in der Lage.

Wie können Sie das, zum Beispiel in Linux machen? Um eine Brücke zu erstellen, brauchen Sie offensichtlich zwei Schnittstellen, beispielsweise eth0 und eth1 (diese Schnittstellen haben typischerweise keine IP-Adresse). Nun müssen Sie nur diese Schnittstellen ansprechen, eine Brücke erstellen (z.B. Br0), die beiden Schnittstellen an die Brücke binden und die Brücke ansprechen. Schauen Sie sich Listing 2 an.

Nun können Sie die Standard-Firewallregeln an die entsprechende Schnittstelle binden. Zum Beispiel, um DNS-Verkehr an Ihren DNS-Server zu erlauben:

Virtuelle Firewalls

Wie Ihnen möglicherweise aufgefallen ist, wird unsere Computerwelt immer virtueller. Es ist schon lange so, dass unsere Systeme so mächtig sind, dass sie die meiste Zeit ungenutzt sind und dass unsere Netzwerke ihre Bandbreite selten ausnützen (wenn Peer-to-Peer in Ihrer Organisation verboten ist, zumindest).

Es gibt eine klare Antwort auf diese Situation – die Virtualisierung.

In der Welt der Systeme haben wir Technologien wie Vmware, Virtual PC, Xen oder Parallel gesehen, die Benutzern erlauben, etliche Betriebssysteme zur gleichen Zeit zu benutzen. In der Netzwerkwelt sind VLANs seit geraumer Zeit als nützliche Technologie aufgekommen, um isolierte Netzwerksegmente zu schaffen (obwohl VLANs nicht als sicherer Trennungsmechanismus von der Sicherheitsgemeinschaft betrachtet werden). VLANs (Virtual Local Area Networks; deutsch virtuelle lokale Netzwerke) sind eine Möglichkeit, einen physischen Switch in isolierte Umgebungen zu teilen, ähnlich als wenn man mehrere physisch separate Switche hätte. Als ob alle existierenden Anschlüsse im Switch in Gruppen Ihres Wunsches gruppiert wären, so dass ein Host in einer Gruppe nicht in der Lage wäre, mit host einer anderen Gruppe zu kommunizieren, ausser über einen externen Router (nun, manchmal kann der Switch auch wie ein Router agieren, aber gehen wir an dieser Stelle nicht auf diese Komplikation ein).

Es gibt ein Konzept namens trunking, das Ihnen ermöglicht, mehrer VLANs auf einen einzelnen Port zusammenzufassen. Das ist sehr nützlich, wenn Sie ein VLAN über verschiedene Switche erweitern wollen oder wenn Sie allen Verkehr an ein Gerät weiterleiten wollen, das VLAN-basiertes Routing oder Filterung beherrscht, so wie eine virtuelle Firewall, wie wir unten erklären. Aber wie identifizieren Sie, welches Paket zu welchem VLAN gehört, wenn alle VLANs über das selbe Kabel laufen? Die 802.1q-Spezifikation definiert, wie sich virtuelle LANs verhalten müssen: Um zu identifizieren, zu welchem VLAN ein bestimmter Frame gehört (wir nennen tatsächlich Pakete Frames, wenn wir über das Netzwerklayer sprechen), wird ein Identifizierer (Tag) hinzugefügt: Das ist die VLAN-Nummer.

Große kommerzielle Unternehmen betreiben eine Menge Aufwand und haben Interesse daran, VLANs in die Netzwerk-Infrastruktur zu integrieren (was auch Secure Network Fabric – Sichere Netzwerkstruktur genannt wird). Das heisst, dass offensichtlich VLAN-Unterstützung nun eine Voraussetzung für heutige und zukünftige Firewalls ist. Glücklicherweise treffen wieder einmal OpenSource-Firewalls die Erwartungen, da sie bereits seit langer Zeit VLAN-basierte Filterung unterstützen.

Um auf VLAN basis arbeiten zu können, müssen VLAN-Schnittstellen (Schnittstellen, die in der Lage sind, 802.1q-Verkehr zu verstehen) existieren. In Linux ist das einfach, und es wird mit dem folgenden Befehl erstellt:

Dies würde eine virtuelle Schnittstelle eth0.2 erstellen, die zum VLAN 2 verbunden wäre. Außerdem muss die eth0 Netzwerkkarte mit einem Trunk-Port verbunden sein, der Linux-Host muss das 8021q-Kernelmodul geladen haben (modprobe 8021q) und die VLAN-Utilities müssen auf dem System installiert sein.

Nun ist die Erstellung einer Regel, die auf der neuen Schnittstelle arbeitet, sehr intuitiv.

Das würde sämtlichen Verkehr auf dem VLAN2 (Schnittstelle eth0.2) verwerfen.

Immer noch mehr

Bis zu diesem Punkt haben wir einige der gebräuchlichsten zusätzlichen Firewall-Features abgedeckt, aber es gibt viele mehr.

Wenn Sie sich eine leistungsfähige Firewall wie pf ansehen, werden Sie bemerken, dass es immer noch viel mehr gibt:

  • Honeypotting-Features mit Dämons wie spamd, der Ihnen ermöglicht, sich gegen Spammer zur Wehr zu setzen;
  • Pf's passive Fingerabdruck-Fähigkeiten – eine Technologie, die die Identifizierung des Remote-Betriebssystems ermöglicht, indem sie nur die Paketheader inspizieren Daserlaubt Ihnen, Regeln passend zum Remote-Betriebssystem zu erstellen, das versucht, sich mit Ihrer Firewall zu verbinden;
  • Es ist möglich, QoS (Quality of Service)-Eigenschaften zu benutzen, um eine bestimmte Bandbreite für Ihre kritischen Anwendungen zu reservieren;
  • Hohe Verfügbarkeit, welche im Falle von pf auf einem offenen Protokoll namens CARP basiert, was Ihnen sicherzustellt, dass Ihre Infrastruktur belastbar auf einzelne Ausfallpunkte in der Firewallebene sein wird;
  • Scrubbing bietet pf die Fähigkeit, alte Systeme mit schwachen TCP-Stacks zu schützen, indem die Netzwerkcharakteristika der Pakete auf ihrem Weg nach Draußen verändert werden (Sachen wie die TCP-Sequenznummer);
  • Und nicht zuletzt authpf, ein leistungsfähiger Mechanismus, um Filterung auf Benutzerbasis durchzuführen.

Verschiedene kommerzielle Tools können viele der verschiedenen Features, die wir in diesem Artikel behandelt haben, und einige mehr implementieren.

Ein Gebiet, auf das kommerzielle Firewalls seit einigen Jahren speziell Kurs nehmen, ist Content Filtering (Inhaltsüberprüfung).

Da clientbasierende Angriffe häufiger werden, wird der Bedarf an Anwendungsebenen-Kontrolle (zum Beispiel Webverkehr, E-Mailverkehr, etc.) auch immer größer. Organisationen wollen kontrollieren können, auf welche Seiten Ihre Mitarbeiter surfen. Somit wird die Firewall die Anwendung verstehen müssen, die sie filtert, um Verkehr anhand von anspruchsvolleren Kriterien zu stoppen oder zu erlauben. Das ist für bösartigen Verkehr machbar, selbst wenn relativ anspruchsvolle Malware gegenwärtig ist. Allerdings ist zu bedenken, dass Contentfiltering auch den Verkehr verlangsamt. Das ist der Grund, warum Firewall-Lieferanten Protokolle entwickelt haben, die es ihren Produkten ermöglichen, sich mit externen Einheiten zusammenzuschließen, die speziell dafür entworfen wurden (ein bekanntes Beispiel ist CheckPoints OPSEC).

Kurz gesagt – wie Sie sehen, gibt es viele Dinge, die Sie mit Ihrer Firewall machen können (und ich bin mir sicher, dass ich immer noch Einiges vergessen habe!).

Fazit

Ich hoffe, an diesem Punkt haben Sie eine klare Idee einiger Extradinge, die Sie mit Ihrer Firewall tun können.

Firewalls sind heute viel mehr als Filtereinheiten, und Firewallsoftware, wie netfilter/iptables oder pf bietet eine starke Basis, auf die sich eine Reihe zusätzlicher Sicherheitstechnologien stützen.

Es ist sicher, dass wir innerhalb weniger Jahre höchst ausgeklügelte Firewalls mit fortgeschrittenen IPS-Fähigkeiten und anderen Features sehen werden, was wiederum die Sicherheit unserer Organisation und die Steuerbarkeit der Sicherheitsinfrastruktur verbessern wird. Vergessen Sie jedoch nicht, dass Sie sich niemals auf eine einzelne Einheit oder Technologie verlassen sollten, um die ganze Sicherheit Ihres Unternehmens zu gewährleisten.

Im Internet

[1] http://www.snort.org – Snort;
[2] http://www.jessland.net/JISK/IDS_IPS/Log_Analysis/Tools.php – Log Analysis, SIM & SEM Tools;
[3] http://www.cipherdyne.org/psad/ – PSAD;
[4] http://www.cipherdyne.org/fwsnort/ – fwsnort;
[5] http://swatch.sourceforge.net/ – swatch;
[6] http://www.awprofessional.com/title/0321349962 – Extrusion Detection: Security Monitoring for Internal Intrusions – Richard Bejtlich – Ed. Addison-Wesley; ISBN 0321349962;
[7] http://www.honeynet.org/tools/cdrom/: Honeywall CD-ROM;
[8] http://project.honeynet.org – The Honeynet Project;
[9] http://www.securityfocus.com/archive/119 – Honeypots Mailing Liste bei Securityfocus;
´ [10] http://www.jessland.net/Honeypots/Types.php – Honeypot Types;
[11] http://www.alpinista.org/thp/ – The Tiny Honeypot;
[12] http://nepenthes.mwcollect.org/ – Nephentes;
[13] http://www.hack-busters.net/LaBrea/ – LaBrea;
[14] http://www.jessland.net/JISK/Architecture.php – Security Architecture.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

  • Proaktive Sicherheit im Web 2.0

    Proaktive Sicherheit im Web 2.0

    Das Internet funktioniert heute anders als früher. Im heutigen Internet, oft als „Web 2.0“ bezeichnet, verschwimmen die Grenzen des Unternehmens, und dies wirkt sich auch auf die Netzwerksicherheit aus. Anwendungen werden heute über das Internet ...

    weiterlesen
  • Firewall HackingGuide

    Firewall HackingGuide

    Cracker at the gates? Firewalls entwickeln sich kontinuierlich. Dank ihrer Rolle als Netzwerk-Flaschenhälse und Enforcement Points sind sie an der richtigen Stelle positioniert, um Kontrollen und manchmal andere Arten von Funktionen zu implementieren ...

    weiterlesen
  • IT-Sicherheit: strategische Herausforderung für Unternehmen

    IT-Sicherheit: strategische Herausforderung für Unternehmen

    Datenschutz, Sicherheit beim Mobile Computig, Compliance. Das sind nur einige der Schlagworte, die um das Thema IT-Sicherheit kreisen. Die Debatte hat in den letzten Jahren an Brisanz zugelegt. Dazu tragen auch Berichte über den Steuerskandal ...

    weiterlesen
  • IT-Sicherheit ist unentbehrlich bei der Auslagerung von Daten in die "Cloud"

    IT-Sicherheit ist unentbehrlich bei der Auslagerung von Daten in die "Cloud"

    Die finanziellen Schäden, die Unternehmen durch Datendiebstähle entstehen, sind nur schwer zu beziffern. Aktuelle Studien sind sich in ihren Einschätzungen allerdings darüber einig, dass Hacker und andere Cyberkriminelle ...

    weiterlesen
  • Web 2.0: Reputationsrisiko Mitarbeiter?

    Web 2.0: Reputationsrisiko Mitarbeiter?

    81,8 Prozent der Berufstätigen Menschen in Deutschland nutzen das Internet (Quelle: ARD/ZDF-Onlinestudie 1998 – 2008). Dabei sind die Zeiten, in denen nur passiv Informationen abgerufen wurden, lange vorbei.

    weiterlesen
alle Artikel zum Thema

Autor

  • Jess Garcia

Jess Garcia ist Gründer und Geschäftsführer von JSS – Jessland Security Services

Artikel einreichen

Top Artikel

  1. Zehn Gebote für optimale End-Point-Security
  2. Complete Security
  3. Das Geschäft der Anderen mit Ihren Kundendaten
  4. Security-Framework "made in Germany"
  5. Schleichende Datenkorruption

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht