slider

Kapitel 9: „Firewall-System“ - Prof. Dr. Norbert Pohlmann

Kapitel 9: „Firewall-System“


Übungsaufgabe 1

Was ist die grundlegende Idee einer Firewall?

Lösung:

Ein Firewall-System sichert und kontrolliert den Übergang von einem zu schützenden Netz zu einem unsicheren Netz. Ein Firewall-System lässt erlaubte Kommunikation durch und blockiert nicht gewünschte Kommunikation. Analogien sind zum einen ein Pförtner und zum anderen eine Brandmauer.

Übungsaufgabe 2

Warum kann ein Paket-Filter, nicht ohne besonderen Aufwand erkennen, zu welcher Anwendung gewisse Pakete gehören?

Lösung:

Ein Paket-Filter kontrolliert nur den Port, aber nicht, ob über einen Standard-Port wirklich die vorgesehene Anwendung umgesetzt wird. Daher kann mit Port-Hopping die Kontrolle eines Paket-Filter umgangen werden.

Übungsaufgabe 3

Beschreiben Sie die Zusammenarbeit zwischen dem „Einbindungs- und Durchsetzungsmodul“, „Analysemoduls“ und „Entscheidungsmoduls“ in einem Firewall-Element.

Lösung:

Einbindungs- und Durchsetzungsmodul: Das Einbindungs- und Durchsetzungsmodul realisiert die Einbindung des Firewall-Elements in das Kommunikationssystem sowie die Durchsetzung der im Regelwerk festgehaltenen Sicherheitspolitik. Die angekommenen Protokollelemente werden dem Analysemodul übergeben.

Analysemoduls: Im Analysemodul werden die Protokollelemente den Möglichkeiten des Firewall-Elements entsprechend analysiert. Die Ergebnisse der Analyse werden an das Entscheidungsmodul weitergeleitet.

Entscheidungsmoduls: Im Entscheidungsmodul werden die Analyseergebnisse ausgewertet und mit den im Regelwerk festgelegten Definitionen der Sicherheitspolitik verglichen. Falls das Protokollelement erlaubt ist, wird das Durchsetzungsmodul darüber informiert.

Übungsaufgabe 4

In Abb. 9.18 ist ein Unternehmensnetz dargestellt. Können Sie ein Cyber-Sicherheitsproblem erkennen? Wenn ja, welches?

Unternehmensnetzwerk
Abb. 9.18: Unternehmensnetzwerk

Lösung:

Das Smartphone umgeht die zentrale Firewall-Lösung, und kommuniziert über das Mobilfunknetz mit Diensten im Internet. Damit kann ein Angreifer die Kommunikationsverbindung potentiell nutzen, um darüber einen Angriff auf das interne Netz durchzuführen.

Übungsaufgabe 5

Sie betreiben eine Firma die Serien und Filme als Streams im Internet anbietet. Neben den aktuellen Serien, die Ihre Kunden sehen können, haben Sie ebenfalls noch unveröffentlichte Filme, die sie gesondert sichern wollen. Wie können Firewalls einsetzt werden, um dieses Ziel zu erreichen?

Unternehmensnetzwerk
Abb. 9.19: Unternehmensnetzwerk

Lösung:

Unternehmensnetzwerk

Übungsaufgabe 6

Die Mitarbeiter in Ihrem jungen Start-Up wollen mittels Video Telefonie mit ihren Kunden kommunizieren. Allerdings haben Sie Sicherheitsbedenken gegenüber der einzusetzenden Software, aber lassen sich letztlich von ihren Mitarbeitern überzeugen, die Technologie einzusetzen. Nun wollen Sie eine Firewall nutzen, um trotzdem einen hohen Schutz zu garantieren. Welches Firewall System würden sie einsetzen?

Lösung:

Applikation Firewall

Übungsaufgabe 7

Einer Ihrer Server weißt eine Sicherheitslücke auf, die der Angreifer aus der Entfernung ausnutzen kann. Wenn der Angreifer auf einer gewissen Seite eine spezielle Zeichenkette eingibt, stürzt Ihr System ab. Kann eine Firewall vor einem solchen Angriff schützen?

Lösung:

In der Regel nicht, da der Angreifer Zugriff auf die Webseite haben darf. Ebenfalls ist es nicht die Aufgabe der Firewall nach der Zeichenkette in den Paketen zu suchen, die das Problem verursacht haben (aufwendig und langsam).

Übungsaufgabe 8

In ihrer Firma kommt es immer wieder zu Problemen, dass Schadsoftware per Mail in Ihr Firmennetzwerk gelangt. Ihr Chef spricht Sie, als Firewall-Experten der Firma, drauf an, dass Sie die Firewalls besser konfigurieren müssen, um das Problem in den Griff zu bekommen. Was sagen Sie Ihm?

Lösung:

Es ist nicht die Aufgabe der Firewall die bösartige Software zu erkennen. Die Firewall unterbindet ungewollte Zugriffe auf das Netzwerk. Mails, die an den Mail -Server gehen, sind nicht ungewollt.

Übungsaufgabe 9

Bitte kreuzen Sie die folgenden Aspekte an.

 Cyber-Sicherheitsmechanismen
Firewall-System
Gewährleistung von Cyber-SicherheitsbedürfnissenVertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-SicherheitsstrategienVermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen
Reaktion auf Angriffe
Diese Tabele ist auf Ihrem Gerät nicht anzeigbar.

Lösung:

 Cyber-Sicherheitsmechanismen
Firewall-System
Gewährleistung von Cyber-SicherheitsbedürfnissenVertraulichkeitX (wenn VPN genutzt wird)
AuthentifikationX (wenn Dienst genutzt wird)
AuthentizitätX (wenn VPN und Authentifikation genutzt wird)
IntegritätX (wenn VPN genutzt wird)
Verbindlichkeit 
Verfügbarkeit 
Anonymisierung / Pseudomisierung 
Cyber-SicherheitsstrategienVermeiden von Angriffen 
Entgegenwirken von AngriffenX
Erkennen von Angriffen 
Reaktion auf Angriffe 

Übungsaufgabe 10

Beschreiben Sie den Grundgedanken und die Zielsetzung eines High-Level-Security-Firewall-Systems!

Lösung:

Ein High-Level-Security-Firewall-System fasst mehrere aktive Firewall-Elemente zusammen, sodass ein Höchstmaß an Sicherheit garantiert werden kann.

Der Grundgedanke und die Zielsetzung eines High-Level-Security-Firewall-Systems lassen sich durch folgende Punkte beschreiben:

  • Einfache Regeln: Die Anordnung der Elemente ermöglicht eine einfache Definition der Regeln für die einzelnen aktiven Firewall-Elemente. Aus der Sicht des Packet Filters kommuniziert immer nur das Application Gateway mit den IT-Systemen des entsprechenden Netzes.
  • Gegenseitiger Schutz: Die Packet Filter sorgen dafür, dass nicht jeder auf das dual-homed Application Gateway zugreifen darf, und schützen damit das dual-homed Application Gateway selbst.
  • Geschachtelte Sicherheit: Wer auf ein zu schützendes Netz zugreifen will, das durch ein High-Level-Security-Firewall-System abgeschottet wird, muss verschiedene Barrieren überwinden: zuerst einen Packet Filter, dann ein dual-homed Application Gateway und zum Schluss wieder einen Packet Filter.
  • Verschiedene Betriebssysteme: Aus Sicherheitsgründen verwenden High-Level-Security-Firewall-Lösungen für die verschiedenen aktiven Firewall-Elemente verschiedene Betriebssysteme: ein LINUX-Betriebssystem für das dual-homed Application Gateway und ein Real-Time-Betriebssystem für die Packet Filter. Eventuell auftretende Betriebssystemfehler oder Lücken wirken sich dadurch nur jeweils auf ein aktives Firewall-Element aus.
  • Unterschiedliche Einbindungs- und Analysemöglichkeiten: Außerdem arbeiten die verschiedenen aktiven Firewall-Elemente mit unterschiedlichen Strategien (Sicherheitsansätzen). Die Packet Filter interpretieren die übertragenen Pakete von unten nach oben auf der Netzzugangs-, der Netzwerk- und der Transportebene. Das dual-homed Application Gateway interpretiert die Kommunikation auf der Anwendungsebene. Auch hier können sich mögliche Schwächen der Einbindungs- und Analysemöglichkeiten nur jeweils auf ein aktives Firewall-Element auswirken.
  • Separates Security-Management: Das separate Security-Management stellt viele eigene Sicherheitsmechanismen wie Zugangskontrolle, Rechteverwaltung, Verschlüsselung und Protokollierung zur Verfügung und sorgt auf diese Weise ebenfalls für High-Level Security.

Das Ganze ist mehr als die Summe der Einzelteile!

Alle diese Sicherheitsmechanismen zusammen garantieren ein höheres Maß an Sicherheit als jeder Sicherheitsmechanismus für sich alleine, so wie bei einem Auto der Sicherheitsgurt, der Airbag, der Seitenaufprallschutz und die Knautschzone zusammen ein Höchstmaß an Sicherheit bieten.

Übungsaufgabe 11

Nennen und beschreiben Sie die konzeptionellen Grenzen eines zentralen Firewall-Systems.

Lösung:


  1. Hintertüren
    Ein Firewall-System schützt genau die Kommunikationsverbindungen, die darüber erfolgen. Gibt es Kommunikationsübergänge am Firewall-System vorbei (backdoors), hat das Firewall-System keine Sicherheitswirkung mehr. Deshalb ist es absolut wichtig, dass keine weitere Verbindung zwischen dem unsicheren Netz und dem zu schützenden Netz besteht, damit das „Common Point of Trust“-Konzept realisiert werden kann. Dafür sind entsprechende personelle und organisatorische Sicherheitsmaßnahmen nötig.
  2. Interne Angriffe
    Ein Firewall-System bietet Cyber-Sicherheitsdienste zur Abschottung gegen das unsichere Netz oder zur Kontrolle der Kommunikation zwischen dem unsicheren Netz und dem zu schützenden Netz. Das Firewall-System selbst bietet nur einen sehr geringen Schutz vor internen Angriffen. Um internen Angriffen entgegenzuwirken, müssen weitere ergänzende Sicherheitsmechanismen eingeführt werden.
  3. Wissen und Hypothese
    Mit einem Firewall-System können durch theoretisches Wissen und praktische Erfahrungen Fehlerursachen verhindert werden. Gerade bei innovativen Anwendungen und Technologien, wie dem Internet, wird mit einer Vielzahl von Hypothesen gearbeitet. Daher gibt es einen Bereich des Neuen, Unbekannten und auch Unerwünschten und Unvorhersehbaren, was mithilfe eines Firewall-Systems nicht beherrscht werden kann, weil dieses nur auf Ereignisse reagieren kann, die bereits eindeutig bekannt sind. Hier liegt eine Grenze von Firewall-Systemen. Diesem kann nur mit weiteren, modular ergänzten Sicherheitsmechanismen entgegenwirkt werden.
  4. Richtige Sicherheitspolitik und richtige Umsetzung der Sicherheitspolitik
    Ein Firewall-System kann nur die Sicherheitsdienste erbringen, die eingerichtet sind. Deshalb ist es von besonderer Bedeutung, dass eine Sicherheitspolitik erarbeitet wird, die darstellt, welche Ressourcen (IT-Systeme, Kommunikationseinrichtungen, Daten usw.) im zu schützenden Netz einen hohen Schutzbedarf haben und wie sie geschützt werden sollen. Außerdem muss definiert werden, auf welche Weise die Sicherheitsmechanismen für die Aufrechterhaltung des sicheren Betriebs eines Firewall-Systems periodisch überprüft werden.
  5. Security versus Connectivity
    Je kleiner die Menge erlaubter Aktionen ist, umso geringer ist das Risiko, dass ein Schaden auftreten kann. Jeder Teilnehmer, jedes IT-System, das über ein Firewall-System kommunizieren darf, stellt ein zusätzliches Risiko dar. So stellen zum Beispiel auch die erlaubten Kommunikationspartner ein Risiko dar, falls sie unberechtigte Kommunikationsverbindungen nutzen. Aus diesem Grund ist zu beachten: so wenig wie möglich/nötig über das Firewall-System zulassen, damit ein Höchstmaß an Cyber-Sicherheit erreicht werden kann.

    Je mehr erlaubt ist, umso größer ist das Risiko der Verwundbarkeit. Wenn nichts erlaubt ist, kann über das Netz auch kein Schaden auftreten. Wenn alles erlaubt wird, kann auch das Risiko eines Schadens nicht reduziert werden. In beiden Fällen ist ein Firewall-System überflüssig. Hier wird das Spannungsfeld zwischen „security und connectivity“ deutlich. Mithilfe eines Firewall-Systems sollen die Vorteile der Kommunikation nach außen genutzt, aber der mögliche Schaden durch diese Handlungen begrenzt werden.

Übungsaufgabe 12

Kann mit einem Firewall-System eine 100-prozentige Sicherheit erreicht werden?

Lösung:

Es gibt in der Praxis keine 100-prozentige Sicherheit bei Firewall-Systemen.

Es gibt aber definierte Cyber-Sicherheitsmechanismen und Cyber-Sicherheitskriterien, um das Maß an Cyber-Sicherheit zu erhöhen oder die Unsicherheiten zu verringern. Dabei muss für die konkrete Anwendung ein praxisgerechter Sicherheitsansatz realisiert werden. Praxisgerechte Sicherheit von Firewall-Systemen ist dann gegeben, wenn mit den verfügbaren Ressourcen, durch die bekannten Angriffe und mit vertretbarem Aufwand das Firewall-System nicht überwunden werden kann.

Kapitel 9: „Firewall-System“ Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten