Aufbau einer Internet-Schutzzone

Einleitung:

Beim Aufbau einer Internet-Schutzzone gibt es einiges zu beachten. Fragen des Anschlusses und der Konfiguration der Firewall, Mail- und Web-Server, der Router und des IDS (Intrusion Detection System) müssen geklärt werden. Hier wird nun die Vorgehensweise zur Anbindung der Systeme vorgestellt und mit Beispielen belegt. In einigen speziellen Fällen kann die Reihenfolge variieren.

Im folgenden Bild sind zwei der meisten Ankopplungen an das Internet vorgestellt:

Vorgehensweise beim Aufbau einer Schutzzone:

1.)     Aufbau der dreistufigen Schutztopologie

Eine Internet-Schutzzone sollte dreistufig aufgebaut werden, wobei die Sicherungssysteme von verschiedenen Herstellern stammen sollten. Die Mehrstufigkeit und die unterschiedlichen Systemen dienen dem Ausgleich von möglichen Schwachstellen. Zum Internet (rote Wolke) wird ein Paketfilter eingesetzt. Üblich sind hier Router mit sog. ACL-Listen (ACL=Access Control List = Zugriffsliste); gefolgt von einer Firewall (z.B. Application-Level-Firewall) und danach wiederum ein Router der das LAN abgrenzt. Zwischen Firewall und Zugangsrouter „Internet„ oder an der Firewall selbst (getrennt durch ein separate Schnittstelle) ist die DMZ (demilitarisierte Zone) angebunden. In der DMZ sind öffentliche zugängliche Server (z.B. Web oder Mail) angeschlossen. Durch die DMZ wird eine gesicherte Schutzzone für die Server aufgebaut und gewährleistet.

Zu beachten sind die Zugriffe von externer Seite (z.B. Wartungszugänge für Server, VPN mit Partnern etc.), diese sollten in eigenständigen DMZ angebunden werden (alle natürlich mit zusätzlicher Verschlüsselung).

In manchen Fällen (wenn das Budget es erlaubt) kann eine mehrstufiger Aufbau von Firewall-Systemen erfolgen.

2.)     Der Externer Router „Internetrouter“

Die erste Barriere ist der Router zum Internet. Hier sollten restriktive eingehende und ausgehende Filter (ACL) aktiviert werden. Der sicherste Weg zur Programmierung ist immer noch der Consolen-Port am Router. Sollte die Entfernung zum Router zu groß sein ist eine gesicherte Verbindung (z.B. mittels ssh) einzurichten. Der erste Schritt beim Programmieren ist – jeglicher Datenverkehr zum Router wird aus Sicherheitsgründen blockiert. Log-Dateien oder snmp-Meldungen des Routers sind an einen Server in der DMZ (dieser ist natürlich nicht öffentlich erreichbar) zu senden. Beachten Sie das ich hier von Ihren eigenen Router spreche, d.h., das ggf. Ihr Router dem Router vom Internet-Provider folgt!

3.)     Die Firewall

Die zweite Barriere und somit die Hauptschutzkomponente sollte die Firewall sein. Welcher Typ von Firewall eingesetzt wird hängt vom jeweiligen Bedürfnis des Unternehmens ab. Siehe hierzu im Inhalt auf www.datahelp.de unter Firewall-Typen nach. Die Hauptaufgabe einer Firewall ist den Verbindungsaufbau (der übrigens nur von innen nach außen erfolgen sollte) zu kontrollieren und wenn möglich den Datenstrom zu analysieren (inhaltliche Überwachung). Hierfür kommen nur Applikation-Level Firewalls in Frage. Jeglicher nicht zur Policy passender Datenverkehr muss blockiert und gemeldet werden (im Inhalt finden Sie einen Artikel zu Firewall-Policy`s). Die Konfiguration sollten nur geschulte vertrauenswürdige Personen durchführen. Fehler in der Konfiguration können fatale Folgen für die Sicherheit und somit für das Image des Unternehmens nach sich ziehen.

4.)     Der Interne Router

Der interne Router bildet die dritte Barriere und trennt das interne LAN von der Firewall. Das entstehende Netz zwischen Router und Firewall wird meistens für zentrale Server verwendet. Der interne Router sollte ebenfalls mit ACLs abgesichert werden. Dies verhindert Angriffe von innen, die in ihrer Anzahl der Anzahl von externen Angriffen weit überschreiten können.

5.)     Server in der DMZ

Alle öffentlichen aber auch alle nicht öffentlichen Server in der DMZ sollten alle nicht benötigten Dienste deaktiviert haben und eigene Log`s mitschreiben. Unbedingt zu beachten ist der Datenfluss von LAN zum Server – Verbindungsaufbau nur aus dem LAN. Vermieden werden sollte der Datenfluss – Verbindungsaufbau DMZ-Server zum LAN! Der Mailverkehr ins LAN sollte über die Applikation-Level Firewall extra abgesichert und kontrolliert werden. Zugriffe von Server zu Server sollten wenn möglich unterbunden werden, damit ein Angreifer sich nicht von Server zu Server „hangeln“ kann.

6.)     Erweiterung auf Content-Security Gateways

Für aufwendige Inhaltskontrolle (z.B. zum Einsatz kommend um Firmengeheimnisse zu schützen, versteckte Angriffe zu erkennen etc.) basierend auf der Applikationsebene (siehe dazu OSI-Referenzmodell im Inhalt unter Allgemeines) kommen spezielle Gateways zum Einsatz. Funktionen wie Mailverkehranalyse (z.B. Virenscanner, Kontrolle aktiver Inhalte, ausführbare Dateien etc.), analog Webverkehr, sowie Datenflusskontrolle sind selbstverständlich. Proxyeinsatz für die Protokolle ssl, http, ftp, smtp etc. an zentraler Stelle sind nicht nur sinnvoll sondern bieten einen erhöhten Schutzfaktor für das abzusichernde Unternehmen. Gleichzeitig erhöht sich aber der Managementaufwand und dieser kann wiederum nur durch geschultes vertrauenswürdiges Personal kompensiert werden.

7.)     Firewall-Management

Konfigurationen, Log-File-Übertragungen, ggf. Zugriffe auf bestimmt Systeme (z.B. IDS) unterliegen hohen Sicherheitsanforderungen:

-          Erreichbarkeit nur vom LAN aus (der Einsatz von externen Zugriffen sollte vermieden werden, evtl. VPN-Einsatz)

-          MAC- und / bzw. IP-Adress-Beschränkungen (nur Administrator-PCs)

-          Starke Authentisierung zur Zugangskontrolle (z.B. OneTimePass / Zertifikate / starke Passwörter)

-          Starke Verschlüsselung des Datenverkehrs zwischen Admin-PCs und den Systemen (mind. 3DES besser AES 256)

-          Log`s zur Protokollierung an den Systemen (besonders bei Konfigurationsänderungen)

-          Benachrichtigung, ggf. Alarme bei unerlaubten Zugriffen

-          Restriktion der Administration (Einsatz von Privilegienrichtlinien)

-          usw.

8.)     Intrusion Detection / Prevention Systeme (IDS / IPS)

Der Einsatz von IDS / IPS ist selbstverständlich. Angeschlossen werden die Systeme in der Schutzzone (DMZ), ggf. im LAN und im Internet-Segment mit weiteren Sensoren. Aufgabe ist das erkennen und abwehren von Angriffen aus dem Internet und aus dem LAN. Lokale ID-Systeme auf den Servern ist wiederum selbstverständlich. Als langjähriger Administrator kenne ich die Probleme um das IT-Budget, aber hier sollte nicht gespart werden!

9.)     Patch- und Security-Management

Die Systeme in der DMZ (z.B. Web-, Mail-Server) und die LAN-Server unterliegen einem hohen Risiko. Hier sollten aktuelle Patches der OS-Hersteller eingestellt und getestet werden. Die Workstations der Mitarbeiter betrifft dies ebenfalls.

Internet-Zugang und die Schutzzonen sind mind. vierteljährlich einem Security-Audit zu unterziehen (z.B. mittels Penetration Test, Scanner etc.). Beim auffinden von Schwachstellen sind diese entsprechend zu beseitigen und ggf. Gegenmaßnahmen zu entwickeln.

10.)  Mitarbeiter-Schulung

Es sind organisatorische Handlungsweisen für Internet, Mailverkehr etc. zu planen und den Mitarbeiten in verständlicher Schulung / Anweisung zu unterrichten. Ein Mitarbeiter kann alle Schutzsystem im Unternehmen aushebeln – gewollt oder ungewollt. Angriffsmaßnahmen und deren Abwehr von Innen wird zunehmend zu einem Problem und überfordert viele Administratoren.

Weitere Informationen unter dem Punkt:   Firewall   im Inhalt !

Suche nach Literatur (hier klicken)

Letzte Bearbeitung:       05 / 2004     -   Bitte beachten Sie das Copyright und die Hinweise im Inhalt unter www.datahelp.de

Copyright ©       www.datahelp.de

Modifizierung oder Weitergabe an Dritte nur mit Einverständnis des Autors gestattet !