Gezielte Hackerangriffe finden heute meist nicht mehr auf Netzwerkebene statt, sondern richten sich direkt gegen die Anwendungsschicht.

Besonders oft unzureichend geschützte Dienste wie HTTP (Port 80) und HTTPS (Port 443) sind für die Angreifer von besonderem Interesse. Hinzu kommen neue Technologien wie Voice-over-IP und Videokommunikation, die oft über die klassischen Datennetze mit verarbeitet werden. IT-Verantwortliche stehen vor der Frage, welche Schutzwälle angesichts dieser Herausforderungen angemessen sind, um auch zukünftig sicher, aber auch performant über Netzwerke kommunizieren zu können.

Alle Firewalls werden an der Schnittstelle zwischen zwei verschiedenen Netzwerken installiert, so dass der ein- und ausgehende Datenverkehr den Sicherheitsrichtlinien des Unternehmens entspricht. Sie kontrollieren die elektronische Kommunikation und entscheiden darüber, ob Verbindungen akzeptiert, verschlüsselt oder vollständig blockiert werden.Die traditionelle Aufgabe einer Firewall ist die Realisierung von Zugriffskontrollen für Netzwerk-Ressourcen.

Dementsprechend beherrschte dieser Aspekt bislang auch das Design und die Konzeption der eingesetzten Firewall-Technologien. Heute werden Firewalls aber immer häufiger zum Schutz sensibler Teilbereiche eines LAN oder zur Absicherung einzelner PCs eingesetzt. Auf Grund ihrer Konzeption gewährleisten zwar die meisten Firewalls eine effektive Zugangskontrolle, aber nur eine kleine Anzahl kann auch die Anwendungsebene zuverlässig vor Angriffen schützen.

Um der wachsenden Bedrohung durch Applikations- basierte Attacken effektiv begegnen zu können, müssen Firewalls einen umfassenden und mehrschichtigen Schutz bieten. Sicherheit kann nur erreicht werden,wenn Angriffe sowohl auf Netzwerk- als auch auf Applikationsebene abgewehrt werden und gleichzeitig solide Zugangskontrollen für IT-Ressourcen gewährleistet sind.

Im Laufe der Zeit haben sich drei grundlegend verschiedene Firewall-Technologien entwickelt: Paket-Filter, Stateful-Inspection-Firewalls und Application-Level-Gateways. Der Paket-Filter ist ein Router, der IP-Pakete zur Unterscheidung zwischen der erlaubten und unerlaubten Nutzung von Kommunikationsdiensten sowohl nach Quell- und Zieladresse sowie nach Quellund Zielport filtert.Paket-Filter-Firewalls untersuchen die Pakete des Datenstroms auf der Netzwerkebene und sind damit unabhängig von Applikationen, so dass ein gutes Maß an Performance und Skalierbarkeit gewährleistet ist.

Gleichzeitig bieten Paket-Filter-Firewalls aber wesentlich geringeren Schutz als andere Technologien. Ursache hierfür ist, dass Paket-Filter den Kontext von Kommunikationsverbindungen nicht verstehen können, weshalb sie für Hacker einfach zu umgehen sind.

Stateful-Inspection ist eine von Check Point entwickelte und patentierte Technologie und hat sich als De-facto-Standard für Firewalls durchgesetzt. Das Prinzip der Stateful-Inspection basiert darauf, dass jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.Zusammen mit der hierin integrierten Application- Intelligence-Technologie steht eine Firewall-Lösung zur Verfügung, die sowohl auf Netzwerkals auch auf Anwendungsebene Schutz bietet.

Application-Level-Gateways verwenden Agenten, so genannte Application-Proxies, um Kontextinformationen in den Entscheidungsprozess einzubeziehen und so das Sicherheitsniveau zu erhöhen. Jede einzelne Anwendung benötigt dabei einen eigenen Proxy, so dass die Skalierbarkeit beeinträchtigt wird und die Unterstützung für neue Applikationen zusätzlichen Aufwand verursacht.Aus diesem Grund konzentrieren sich Application-Level-Gateways oftmals auf die Sicherheit einzelner Applikationen wie Web-Server oder bieten nur Zugangskontrollen für Anwendungen ohne dedizierten Schutz vor Angriffen. Darüber hinaus weisen Application-Level- Gateways auf der Netzwerkebene meist nur einen sehr begrenzten Funktionsumfang auf.

Stateful-Inspection

Die Stateful-Inspection-Technologie ist heute überwiegend Bestandteil von Enterprise-Firewall- Systemen, hält aber zunehmend auch Einzug in Desktop-Firewalls. Stateful-Inspection umschreibt eine Technik der zustandsabhängigen Analyse und Reaktion bei der Überwachung aller ein- und ausgehenden Verbindungen.

Anders als simple Paketfilter kann eine Stateful- Inspection-Firewall den Informationsfluss in Echtzeit sowohl bezüglich der Session-Information als auch der anwendungsspezifischen Information analysieren.Möglich wird das,indem der Zustand (State = Status) und die dadurch ausgelösten Reaktionen sämtlicher Verbindungen und sämtlicher Protokolle verfolgt werden.

Die IP-Pakete werden auf der Netzwerkschicht entgegen genommen, von einem Analysemodul inspiziert, das dynamisch im Betriebssystemkern geladen wird, und gegenüber einer Zustandstabelle abgeglichen. Die Regeln, nach denen das Modul agiert, kann der Administrator sehr differenziert vergeben.

Für die Kommunikationspartner stellt sich eine Firewall mit Stateful-Inspection als eine direkte Leitung dar, die nur für eine den Regeln entsprechende Kommunikation durchlässig ist.

Im Out-of-Band-Betrieb erfolgt die Wartung und Konfiguration nicht über TCP/IP. Die Firewall besitzt dann keine eigene IP-Adresse, so dass keine Möglichkeit besteht, sie über TCP/IP direkt aus den angeschlossenen Netzwerken anzusprechen oder auf diesem Wege anzugreifen.Optional führt die Firewall ein Rewriting durch, das heißt die Pakete werden vor dem Weitersenden nach vorgegebenen Regeln transformiert.

Die Stateful-Inspection-Firewall sammelt alle Status-relevanten Informationen, die für Sicherheitsentscheidungen erforderlich sind. Die so gewonnenen Daten werden in dynamischen Statustabellen gespeichert und können für die Bewertung nachfolgender Verbindungsversuche genutzt werden. Die Speicherung der Daten ist wichtig, da die Hauptaufgabe einer Firewall darin besteht, unaufgefordert eingehende Verbindungen zu blocken, aber Antworten von Servern, die durch interne Clients befragt wurden, passieren zu lassen. Der Status einer berechtigten Verbindung ist stets in der Zustandstabelle zu finden.

Zu den gespeicherten Daten zählen:

•  Header-Informationen des Pakets (Quelladresse, Zieladresse,Protokoll, Quellport,Zielport, Paketlänge),
•  TCP- und IP-Fragmentinformation (wie Nummer des Fragments oder Nummer der Sequenz),
•  Paket-Re-Assemblierung, Anwendungsart und Kontextbestätigung,
•  eingehendes Interface der Firewall,
•  ausgehendes Interface der Firewall,
•  Layer-2-Information (zum Beispiel die ID des LAN) sowie
•  Datum und Zeit des Eingangs und Ausgangs eines Pakets.

Die Echtzeitüberprüfung stellt sicher, dass nur Pakete zugelassen werden, die die zu erwartenden Parameter und Attribute der Sitzung mitbringen, während alle anderen Pakete abgewiesen werden.Ein Stateful-Inspection-Firewallsystem ist also in der Lage, exakt die notwendigen TCP- und UDP-Ports einer Verbindung zu erkennen und ermöglicht auf diese Weise eine Eingrenzung der zu öffnenden Ports.

Die Überprüfung auf Zustands- und Kontextinformationen wird laut Patent als »stateful« bezeichnet, das heißt, die Analyse und die zu erwartenden Reaktionen (state) zusammen mit der Zustands- und Kontextinformationsüberprüfung (stateful) fließen in der Technologie des Stateful- Inspection-Firewallsystems zusammen.Konzeptionell vereinigt Stateful-Inspection bereits die Schutzmöglichkeiten von Paket-Filter und Application- Level-Gateway, so dass diese beiden Funktionen nicht in getrennten Komponenten realisiert werden müssen.Durch die Integration einer so genannten Application-Intelligence- Technologie in seine Firewall-1 bietet beispielsweise der Security-Spezialist Check Point eine umfassende Lösung, die sowohl auf der Netz- als auch auf der Anwendungsschicht arbeitet und eine Reihe weiterführender Funktionen zur Erkennung und Abwehr von Angriffen auf der Anwendungsebene bietet.

Die konsequente Weiterentwicklung der Stateful- Inspection-Technologie gewährleistet nicht nur die Identifikation des Datenverkehrs sowie von darin verborgenen Angriffen auf Paketebene, sondern erlaubt auch eine kompromisslose Analyse des gesamten Stroms der in einer Verbindung enthaltenen Daten.Attacken,welche auf die Applikationsebene abzielen, können nicht mehr auf einzelne oder kleinere Gruppen von Paketen lokalisiert werden, sondern sind typischerweise über viele Pakete verteilt.Prominente Beispiele wie Cross-Site-Scripting oder SQL-Injection- Attacken zeigen auf einfache Weise, dass die Erkennung von aktuellen Bedrohungen auch aktuelle Technologien,wie Application-Intelligence benötigt.

Besondere Beachtung verdient hier auch die Untersuchung von Daten, die als ausführbarer Binärcode über Netzwerke ausgetauscht werden. Hierbei kann nur durch strukturelle Betrachtung des simulierten Verhaltens dieses Codes Erwünschtes von Unerwünschtem unterschieden werden. Diese in Application-Intelligence enthaltenen Verfahren stellen einen grundlegenden Fortschritt im Bereich proaktiver Angriffserkennung dar und sind vielfach in der Lage, auch vor Angriffen zu schützen, die heute noch nicht bekannt sind. Diese Technologie ist bereits seit zwei Jahren durch weltweiten Einsatz vielfach erprobt und hat ihre Leistungsfähigkeit bei allen großen Schädlingsattacken, wie Blaster, Nimbda oder ASN unter Beweis gestellt.

Eine weitere Stärke stellt gerade im Vergleich zum Application-Level-Gateway die hohe Flexibilität bei der Anpassung an neu verwendete Protokolle,Protokollversionen und Dialekte dar. Gerade im Bereich VoIP haben bereits heute sehr viele Anwender von der frühzeitigen Integration von vielfältigen Sicherheitsmechanismen profitiert. Während andere Technologien aufwändig neu entwickelt werden müssen, steht hier ein modulares Konzept zur Verfügung, das auf umfassende und langjährige Erfahrung im Bereich der IP-Security zurückgreift und sich in einem durchgängigen Konzept auch auf die Sicherung vor den neuen Bedrohungsszenarien fokussieren kann.

Gerade die für die Zukunft absehbare Nutzung von IP-Netzen als universaler Informationskanal – vor dem Hintergrund der weiteren Digitalisierung der gesamten Medienlandschaft vor allem auch für Sprach- und Videokommunikation – wird im Bereich Datensicherheit und Verfügbarkeit von der hohen Adaptionsfähigkeit in Verbindung mit höchsten Sicherheitsstandards profitieren können.

Hier greifen in vollem Umfang alle Kriterien, mit denen sich Stateful-Inspection bereits in den 90er Jahren als Standard für das Firewalling etabliert hat.Vor allem die aus der Verschmelzung von Stateful-Inspection mit Application-Intelligence resultierende, hohe Performanz und die uneingeschränkte Flexibilität, etwa bei der Adaption oder generellen Erweiterung moderner Sicherheitstechnologien, sind Voraussetzung für eine benutzerfreundliche und bedarfsgerechte Security-Umgebung, die auch künftigen, noch komplexeren Sicherheitsanforderungen gerecht werden wird.

Dr. Christoph Skornia,
Technical Manager,
Check Point Software Technologies