Firewalls und VPN-Gateways sind grundlegende Komponenten zur Sicherung von IT-Systemen. Üblicherweise arbeiten diese Komponenten wie Router und sind an zentraler Stelle für große Netzwerkbereiche oder ganze Unternehmen installiert. Weitergehende Möglichkeiten beim dezentralen Schutz oder dem externen Netzwerkzugang bieten Firewalls mit Stealth-Mode-Technologie.

Stealth-Mode-Firewalls gestatten das Filtern des Datenverkehrs, ohne eine Unterteilung in Teilnetze vornehmen zu müssen.

Der Begriff »Stealth« – englisch für »Heimlichkeit« – kommt ursprünglich aus dem militärischen Umfeld. Damit werden Techniken bezeichnet, die die Ortung eines Flugzeugs oder Schiffes per Radar erschweren. In Anlehnung daran bedeutet »Stealth« im IT-Security-Bereich eine Firewall für Anwendungen oder Netzwerkfunktionen so »unsichtbar« zu machen, dass sie diese nicht behindert. Den Unterschied zu herkömmlichen Firewalls verdeutlicht ein Blick auf die grundlegenden Konzepte der digitalen Brandmauern.

Firewalls sind üblicherweise auf Routern implementiert, die Datenverkehr zwischen getrennten IP-Netzen vermitteln. Die Verwendung einer oder mehrerer Firewalls setzt daher eine Segmentierung und gegebenenfalls eine Umgestaltung des oder der Netze voraus. Damit werden die typischen Einsatzszenarien abgedeckt, bei denen eine Enterprise-Level-Firewall den Internet-Zugang eines Unternehmens absichert oder Firewalls zwischen Abteilungen und Netzwerksegmenten einer Firma platziert sind. Aktuelle Ereignisse, zum Beispiel die Verbreitung des Sasser-Wurms, zeigen jedoch, dass diese Szenarien nur unzureichend vor gegenwärtigen Bedrohungen schützen. Würmer und sich selbst verbreitende Viren bedrohen auch einzelne Rechner innerhalb der gesicherten Netze. Zentrale Firewalls und Mailserver allein vermögen dies nicht zu verhindern. So stellen beispielsweise private, von externen Accounts heruntergeladene E-Mails eine Gefahr dar. Ebenso könnte das Notebook eines Außendienstmitarbeiters ein interner Seuchenherd sein. Ist ein derartiger Schädling erst einmal ins Firmennetz gelangt, sind die klassischen Schutzmaßnahmen am zentralen Zugang wirkungslos.

Diesen Bedrohungen kann man nur durch die Absicherung einzelner Rechner mit jeweils einer zugeordneten Hardware-Firewall begegnen. Dieses Modell bringt aber Herausforderungen mit sich: Die Hardware darf nicht zu teuer sein und muss gleichzeitig einen hohen Datendurchsatz erreichen, denn sie arbeitet im lokalen Netz mit entsprechend hohen Durchsätzen.

Nicht zu vernachlässigen ist auch die Konfiguration: Im klassischen Router-Modell für Firewalls wäre ein lokales Teilnetz oder NAT für jeden einzelnen Rechner mit Firewall notwendig, was aber in typischen Szenarien wegen der sich ergebenden Routing-Probleme oder der verwendeten Protokolle – insbesondere in Windows-Umgebungen – nicht praktikabel ist. Benötigt wird eine Lösung, die bezogen auf die gegebene Netzwerktopologie transparent beziehungsweise unsichtbar ist, also im »Stealth-Mode« arbeitet.

Stealth-Mode-Firewalling

Stealth-Mode-Firewalls sind auf einer Bridge implementiert und gestatten das Filtern des Datenverkehrs, ohne eine entsprechende Unterteilung in Teilnetze vornehmen zu müssen. Stealth-Mode-Firewalls sind sowohl als kommerzielle Produkte als auch im Open-Source-Bereich verfügbar.

Bridges sind bezogen auf die Netzwerktopologie transparent. Leistungsfähige Bridges und Bridging-Firewalls sind administrierbar, das heißt, sie verfügen über eine eigene IP-Adresse, über die man sie im Netzwerk erreichen und konfigurieren kann. Im Fall der individuellen Absicherung würde dies für jeden gesicherten Rechner eine zweite IP-Adresse zur Konfiguration der zugeordneten Firewall notwendig machen. Insbesondere im Umfeld dynamischer Adressvergabe (DHCP) fiele so ein erheblicher zusätzlicher Konfigurationsaufwand an.

Selbstkonfigurierender Stealth-Mode

Dieser Aufwand entfällt mit dem speziellen Stealth-Mode, wie er in Innominates »mGuard« implementiert ist. Die Firewall erkennt die Netzwerkdaten – IP- und MAC-Adresse – »seines« geschützten Rechners und übernimmt diese Daten für sich selbst. Dabei werden die Parameter ständig überwacht und die Konfiguration entsprechend angepasst. Somit ist die Mguard unter der Adresse ihres Rechners im Netzwerk erreich- und konfigurierbar, sofern der Zugriff aus dem jetzt als unsicher eingestuften Firmennetzwerk erfolgt. Vom zu schützenden Rechner aus erfolgt die Administration immer unter einer festgelegten IP-Adresse (1.1.1.1), um keine Adressierungskonflikte innerhalb des Netzwerkes zu erzeugen.

Die Stealth-Mode-Firewall der Innominate-Mguard lässt sich – je nach Sicherheitspolitik im Unternehmen – sehr einfach oder sehr komplex konfigurieren. So kann beispielsweise die Paketlaufrichtung ausreichender Indikator für erlaubte oder zu blockende Aktivitäten sein. Ein deutlich höheres Sicherheitsniveau lässt sich durch detailliertere Einstellungen erzielen, für die entsprechende zentrale Management-Tools existieren. So werden etwa sich selbst verbreitende E-Mail-Viren wirkungsvoll eingedämmt, wenn Mail-Verbindungen (POP, SMTP, MAPI) nur zu den Mailservern der Firma zugelassen werden. Durch ein derartiges striktes Policy-Management, das den Datenverkehr auf die tatsächlich notwendigen Verbindungen beschränkt, steigt die Sicherheit im Firmennetz erheblich.

VPN-Verbindungen

Eine weitere wesentliche Funktion des Einzelplatzschutzes ist die Bereitstellung von VPN-Verbindungen. Für vorgegebene Verbindungen, identifiziert durch die IP-Adressen, werden die Datenpakete aus der Bridge entnommen und durch die IPsec-Routinen geleitet. Damit ergibt sich wie bei der Firewall der Vorteil, dass die zu schützenden Rechner kein VPN unterstützen müssen. Auch liegen die notwendigen Schlüssel nicht mehr auf dem jeweiligen Rechner, sondern sind in der Firewall vor dem unautorisierten Zugriff sicher. Für besonders sicherheitsrelevante Verbindungen innerhalb des Firmennetzes können VPN-Tunnel verwendet werden. Zugriffe von und zu externen Partnern lassen sich auf einen einzelnen Zielrechner im Firmennetz beschränken. Somit kann man etwa eine Fernwartung eines Geräts durch den VPN-Tunnel erlauben, durch ein gleichzeitiges Einschränken der Firewall-Regeln aber das Ausbrechen aus dem gesicherten Bereich verhindern. Der Nutzer des Fernzugriffs erhält dabei volle Kontrolle über das freigegebene Gerät, die Kontrolle über die Firewall mit dem VPN-Gateway verbleibt dagegen beim Administrator.

Um die besprochenen Szenarien abdecken zu können, wurde das bekannte Prinzip transparenter Firewalls in wesentlichen Punkten erweitert. Basis für die Realisierung ist ein Embedded-Linux-Betriebssystem. Die gegenwärtig verwendete, ausgereifte Kernelversion 2.4 verfügt noch nicht über die Unterstützung von Firewall-Funktionen im Bridge-Betrieb, so dass der »ebtables/bridge-netfilter« Patch verwendet werden muss.

Automatische Erkennung der Topologie

Um die Vergabe eigener IP-Adressen für die Firewall-Appliance zu vermeiden und stattdessen die Daten des geschützten Rechners zu verwenden, wird der durchlaufende Datenverkehr analysiert. Aus den Netzwerkpaketen werden die Adressinformationen entnommen. Über das Konfigurationsmanagement erfolgt dann die entsprechende (Um-)Konfiguration der Dienste. Hierbei ist es einfach, die IP- und MAC-Adresse des Rechners zu erkennen und somit Verbindungen zwischen Rechner und Firewall zu ermöglichen.

Schwieriger ist die Bestimmung der restlichen Netzwerktopologie, da es keine zuverlässige Möglichkeit gibt, die Subnetzmaske, Defaultroute oder statische Routen zu ermitteln. Da aber die Firewall für das Versenden von Paketen im Rahmen administrativer Dienste (Fernadministration, NTP, Nameservice, Systemlogging) beziehungsweise von VPN-Verbindungen die entsprechenden Routen bekannt sein müssen, wird hier die Unterstützung des geschützten Rechners in Anspruch genommen. Durch gezieltes »Anpingen« des Rechners »verrät« er die notwendigen Informationen zum Auffinden des jeweiligen Routers. Hierbei muss gar nicht die volle Topologie ausgeleuchtet werden, es genügt, die MAC-Adresse für den Zielrechner oder den entsprechenden Router herauszufinden.

Hierzu sendet beispielsweise die Mguard einen ICMP-Echo-Request mit der IP-Absenderadresse des entsprechenden Zielrechners. Der Rechner antwortet mit einem ICMP-Echo-Reply, wobei er seine eigenen Routing-Informationen verwendet. Der ICMP-Echo-Reply-Frame hat somit als IP-Zieladresse die des Zielrechners und als Ethernet-Zieladresse die MAC-Adresse des Zielrechners beziehungsweise des Gateways zum Erreichen des Zielrechners. Die Mguard extrahiert diese Informationen aus dem Datenstrom und kann damit seine Routing-Informationen ergänzen. Die Bestimmung und Pflege dieser Daten wird durch einen eigenen Dienst auf der Firewall übernommen.

Bridging und Routing

Während Bridges sich bei der Weiterleitung des Verkehrs nur an den MAC-Adressen orientieren (Layer-2 im ISO-Schichtmodell), richtet sich der Datentransfer auf einem Router nur nach den IP-Adressen (Layer-3). Die Datenströme für den Stealth-Mode der Mguard erfordern es allerdings, diese Trennung aufzuheben. Ein Datenpaket, das vom zu schützenden Rechner per VPN-Tunnel zu einem Kommunikationspartner gesendet werden soll, muss aus dem Datenstrom der Bridge entnommen werden. Hierzu wird mit Hilfe der Ebtables-Funktionen anhand der IP-Adressen das Datenpaket erkannt und zum lokalen Routing auf der Firewall umgeleitet. Dort wird das Paket durch die IPsec-Komponente gesandt, um dann in verschlüsselter Form weitergeleitet zu werden. Entsprechendes gilt in der Gegenrichtung.

Die Firewall verwendet die IP-Adresse des geschützten Rechners. Damit ergeben sich Probleme beim lokalen Routing. Denn die Firewall muss die lokal zu verarbeitenden Pakete von den weiterzuleitenden Paketen unterscheiden. Hierzu werden verschiedene Mittel kombiniert: Mit den Netfilter/Iptables-Firewallfunktionen können Datenpakete mit internen Markierungen versehen werden. Basierend auf diesen Markierungen lassen sich die Routing-Entscheidungen durch Regeln im Policy-Routing beeinflussen.

Info Literatur

• Ebtables/Bridge Netfilter Patch, http://ebtables.sourceforge.net/

• Netfilter/iptables Firewallfunktionen, www.netfilter.org/

Fazit

Durch die Verwendung des Stealth-Mode vereinfacht sich die Integration einer Hardware-Sicherheitslösung in bestehende und zu erstellende Netze, da die Einführung der Sicherheitskomponenten die Netzwerktopologie nicht beeinflusst. Somit stellen Einzelplatz-Appliances wie die Innominate-Mguard eine ideale Ergänzung zu den großen Unternehmens-Firewalls dar und sind beispielsweise für die Absicherung des Remote-Zugriffs, etwa aus dem Home-Office oder vom Außendienst, unverzichtbar. Dr. Lutz Jänicke, Chief Technology Officer, Innominate Security Technologies