Firewalls im Unternehmenseinsatz

1;Inhaltsverzeichnis;6
2;Vorwort;12
2.1;Was wir mit diesem Buch erreichen wollen;12
2.2;Zielgruppe;13
2.3;Der Aufbau dieses Buches;14
3;Teil I: Einführung;18
3.1;1 Tatort: Das Testnetzwerk;20
3.1.1;1.1 Aufbau des Testnetzwerks;23
3.1.1.1;1.1.1 Server- und PC-Landschaft;24
3.1.1.2;1.1.2 Internetanbindung und Webplattform;27
3.1.1.3;1.1.3 Remote-Access-Zugänge;33
3.1.1.4;1.1.4 IP-Adresskonzept;35
3.1.2;1.2 Layer-2-Switche und VLANs im Umfeld von Firewalls;38
3.1.2.1;1.2.1 VLANs und Layer-2-Attacken;38
3.1.2.2;1.2.2 Topologische Aspekte von VLANs;40
3.2;2 Technologien in Umfeld von Firewalls;44
3.2.1;2.1 Was ist eine Firewall?;44
3.2.2;2.2 Einiges zu TCP/IP;45
3.2.2.1;2.2.1 Header und Kapselung;45
3.2.2.2;2.2.2 Fragmentierung;47
3.2.2.3;2.2.3 Ports und Netzwerkverbindungen;47
3.2.3;2.3 Paketfilter;49
3.2.3.1;2.3.1 Statische Paketfilter;49
3.2.3.2;2.3.2 Dynamische Paketfilter;53
3.2.4;2.4 Proxy-Firewalls;61
3.2.4.1;2.4.1 Vorteile von Proxy-Firewalls;63
3.2.4.2;2.4.2 Probleme von Proxy-Firewalls;63
3.2.5;2.5 Firewalls in der Praxis: Hybrid-Technologie;65
3.2.5.1;2.5.1 Hybrid-Firewalls auf Paketfilter-Basis;65
3.2.5.2;2.5.2 Hybrid-Firewalls auf Proxy-Basis;66
3.2.5.3;2.5.3 Die Begriffe "Firewall-Umgebung" und "DMZ";66
3.2.6;2.6 Weitere Aufgaben von Firewalls;67
3.2.6.1;2.6.1 Logging, Alerting und Accounting;68
3.2.6.2;2.6.2 Authentifizierung;69
3.2.6.3;2.6.3 Adressübersetzung;70
3.2.6.4;2.6.4 Verschlüsselung;73
3.2.6.5;2.6.5 Content Security;74
3.2.6.6;2.6.6 Intrusion Prevention;77
3.3;3 IP-Forwarding;84
3.3.1;3.1 Verarbeitung von Netzwerkverkehr im PC-Router;86
3.3.2;3.2 Routing und Forwarding;88
3.3.3;3.3 Eine Appliance mit PC-Architektur: Cisco PIX Firewall;90
3.3.4;3.4 PC-Architekturen ausreizen: Check Point SecureXL API;90
3.3.5;3.5 Nutzung der SecureXL API Beispiel 1: Check Point FireWall- 1 Performance Pack und Nokia IPSO ab rev. 3.8;91
3.3.6;3.6 Verarbeitung von Netzwerkverkehr in echten Routern;93
3.3.7;3.7 Nutzung der SecureXL API Beispiel 2: Nortel Networks Alteon Switched Firewall System (ASFS);95
4;Teil 2: Implementierung und Betrieb von Firewalls;98
4.1;4 Integration von Firewalls in das Unternehmensnetzwerk;100
4.1.1;4.1 Absicherung des Internetzugangs mit einer Firewall;101
4.1.1.1;4.1.1 Ausgangssituation;101
4.1.1.2;4.1.2 Das Sicherheitsproblem;103
4.1.1.3;4.1.3 Netzwerkseitige Integration der Firewall;105
4.1.1.4;4.1.4 Bildung von DMZs;108
4.1.1.5;4.1.5 Das Produkt: Check Point FireWall-1;109
4.1.1.6;4.1.6 Sun als Plattform;109
4.1.1.7;4.1.7 Alternative Plattformen;115
4.1.1.8;4.1.8 Installation der Check Point FireWall-1;117
4.1.1.9;4.1.9 Konfiguration der Check Point FireWall-1;119
4.1.2;4.2 Aufbau einer Intranet-Firewall;135
4.1.2.1;4.2.1 Ausgangssituation;135
4.1.2.2;4.2.2 Sicherheitsprobleme und Lösungsansätze;140
4.1.2.3;4.2.3 Modifikation der Ausgangssituation;146
4.1.2.4;4.2.4 Netzwerkseitige Integration der Firewall;147
4.1.2.5;4.2.5 Das Produkt: Cisco PIX;150
4.1.2.6;4.2.6 Funktionsweise und Interna der Cisco PIX;151
4.1.2.7;4.2.7 Installation der Cisco PIX;153
4.1.2.8;4.2.8 Konfiguration der Cisco PIX;153
4.1.2.9;4.2.9 Ausblick;166
4.1.3;4.3 Grenzen von Firewalls;171
4.2;5 Virtual Private Networks und sichere Verbindungen;172
4.2.1;5.1 Überblick über VPN-Technologien;175
4.2.1.1;5.1.1 Layer-2-basierte VPNs: ATM;175
4.2.1.2;5.1.2 Layer-3-basierte VPNs: MPLS;176
4.2.1.3;5.1.3 IPSec-VPNs (Layer 3 und Layer 4);178
4.2.1.4;5.1.4 Applikationstunnel auf Layer 4: SSL-VPNs;179
4.2.2;5.2 IPSec = AH + ESP + (IPcomp) + ISAKMP/IKE;179
4.2.2.1;5.2.1 IP Authentication Header (AH);180
4.2.2.2;5.2.2 IP Encapsulation Security Payload (ESP; RFC 2604);181
4.2.2.3;5.2.3 Internet Key Exchange (IKE);188
4.3;6 VPNs im Umfeld von Firewalls;192
4.3.1;6.1 Remote-Access-VPNs;194
4.3.1.1;6.1.1 IPSec-basierte Remote-Access-VPNs;195
4.3.1.2;6.1.2 Anforderungen an IPSec-basierte Remote-Access-VPNs;197
4.3.1.3;6.1.3 SSL-basierte Remote-Access-VPNs

3 IP-Forwarding (S. 73-74) Wir werden uns jetzt genauer anschauen, wie Netzwerkverkehr in Rechnern mit mehreren Netzwerkkarten (im Folgenden "PC-Router" genannt) und in Routern (im Folgenden "echter Router" genannt) verarbeitet wird. Dazwischen betrachten wir die Check Point SecureXL API, die die Performance steigert, ohne die Hardwarearchitektur verändern zu müssen. Abschließend werfen wir noch einen Blick auf die Stellung von Beschleunigerkarten. In der Vergangenheit war die Basis einer Firewall systemseitig meist ein (Unix-)Rechner mit mehreren Netzwerkkarten (engl. "multihomed host"). Im Folgenden werden sie "hostbasierte Firewalls" genannt (andere Autoren sprechen auch von "softwarebasierten" Firewalls). In jüngster Zeit drängen immer mehr Appliances auf den Markt, die von außen betrachtet scheinbar ziemlich einfach aus mehreren Netzwerkkarten und ein paar Kontrolllampen aufgebaut sind. Es sind Appliances im Handel, die neben den einschlägigen Vorteilen (siehe: "Exkurs: Appliance") eine auf den Netzwerkverkehr zugeschnittene Architektur haben und gegenüber Hosts bessere Durchsatzraten bieten. Die Hardwarearchitektur nähert sich dabei immer mehr der von Routern an. Stark vereinfacht ausgedrückt ist ein Router umso leistungsfähiger, je mehr Aufgaben von der Netzwerkkarte erledigt werden können, ohne Rechenzeit der zentralen CPU zu benötigen und ohne den Datenbus mit Verkehr zusätzlich zu belasten. Wie wir sehen werden, handelt es sich bei Routern in der Regel um eng umrissene Routing- bzw. Switching-Entscheidungen, die von der zentralen CPU auf die Intelligenz der Netzwerkkarte verlagert werden. Bei Firewalls bzw. Firewall-Appliances verfolgen die Hersteller zur Entlastung der CPU zwar das gleiche Prinzip, jedoch sind die zu verlagernden Aufgaben wesentlich anspruchsvoller. Details im Paketkopf oder Datenteil müssen mit manuell erstellten Adress- und Servicelisten (Access-Listen oder Regelwerk) verglichen werden und benötigen daher CPU-Leistung. Wenn ein Paket bei der Netzwerkkarte einer Firewall ankommt, wird es entweder verworfen, geroutet oder von der zentralen CPU weiterverarbeitet (NAT, Verschlüsselung, Logging usw.). Eine Sonderstellung nehmen die so genannten Beschleunigerkarten ein, die sowohl für Router wie auch für hostbasierte Firewalls nahezu aller Betriebssysteme erhältlich sind. Diese Karten erledigen die für die Verschlüsselung von IPSec-Verbindungen notwendigen Rechnungen und befreien die zentrale CPU von dieser Aufgabe. Exkurs: Appliance (dt. Apparat, Gerät) Der Begriff "Appliance" bezieht sich weder auf die Größe, die Hardware und auch nicht auf den Preis einer Netzwerkkomponente. Es ist ein vom Hersteller für einen bestimmten Einsatzzweck vorkonfiguriertes Gerät, das sich vom Endanwender über ein browserbasiertes GUI administrieren lässt. Bezogen auf ein Firewall-Appliance heißt das konkret, dass die nötigen Software-Pakete vorinstalliert sind und Parameter wie zum Beispiel IPAdressen der Netzwerkinterfaces, Hostname, DNS, statische Routen usw. sich über ein GUI weiter konfigurieren lassen. Ein zusätzlicher, bei Firewalls ganz wichtiger Aspekt, ist, dass die Härtung des Systems schon vom Hersteller übernommen wurde und wirklich nur die für den jeweiligen Verwendungszweck allernötigsten Pakete und Dienste vorhanden sind.