Exchange und Firewalls

Seite 1/6

Wer würde heute schon einen Exchangeserver ungeschützt in das Internet stellen?. Niemand oder? Ich würde zumindest nicht. Zumindest rudimentäre Filter sollten das System gegen Angriffe und Missbrauch von außen schützen. Das Prinzip Security through obscurity (http://en.wikipedia.org/wiki/Security_through_obscurity) ist nicht wirklich ein brauchbarer Schutz. Besser ist da dann doch Secure by design (http://en.wikipedia.org/wiki/Secure_by_design)

Brauch ich eine Firewall ?

Nun ja, würden Sie in Zeiten von AIDS ungeschützt mit jedermann/frau .. ?  und genau das ist das Internet. Durch den Anschluss sind sie eine erreichbare Stelle in dem größten Netzwerk mit Millionen von Nutzern. Und auch hier gibt es absichtliche und unabsichtliche Angreifer.

Wenn Sie im Internet vertreten sind, dann bezwecken Sie damit etwas, und immer wenn einer was will, besteht eine Wechselwirkung mit jemandem Anderen, z.B.: einem Mitbewerber. Teilweise ist es einfach nur sportlicher Ehrgeiz oder Selbstdarstellung, die Personen dazu verführt, andere Websites oder Server zu stören,  lahm zu legen oder Inhalte zu verändern. Wenn ihre Firmendaten nicht wichtig sind, dann können Sie sich das Geld für das Türschloss, die Alarmanlage, den Tresor, das Bandschließfach und den Wachschutz sparen. Sieht so ihr Büro aus ? Nein ?. Aber den Zugang über das Internet würden Sie ungeschützt bereitstellen ?.

Sie brauchen Schutz und das Internet braucht Schutz vor ihnen. Also lesen Sie bitte weiter, um für ihre Umfeld die passende Lösung zu finden. Sie brauchen eine Firewall. Nur ob Sie nun 1000 DM oder 30.000 DM kosten soll, das ist noch nicht entschieden und hängt von ihren Anforderungen ab

Aber installieren sie auf ihrem Einzelplatzcomputer, mit dem Sich sich an das Internet verbinden eine Personal Firewall wie ZoneAlarm, SyGate, Norton und andere und schauen Sie an was passiert. In Zeiten von DSL und Flatrate und fertigen Skripten und Programmen können Sie die Portscans und Zugriffsversuche bald gar nicht mehr zählen. Weitere Informationen zum persönlichen Schutz finden Sie z.B. Unter www.staysafeonline.info. Nur eine Seite mit Tools für Angreifer http://packetstormsecurity.nl/assess.html und so können Webseiten dann aussehen: www.alldas.org , www.illegalaccess.de). Unter http://scan.sygatetech.com können Sie sich dann selbst scannen.

Welche Firewall soll ich einsetzenĀ ?

Ihre wichtigste Frage möchte ich zu erst behandelt: Welche Firewall ist die Beste ?.
Es gibt keine Empfehlung. es gibt nur eine passende Firewall für den jeweiligen Einsatzzweck.

Wenn sie eine kleine Firma sind, deren Anbindung an das Internet nur dazu genutzt wird, um zu surfen und Mails zu senden und zu empfangen, dann könnten Sie mit einem Router mit restriktiven Portfiltern und eingehendem NAT hinkommen. Zum Surfen sollten Sie sich einen Proxyserver gönnen. Damit sind sie immer noch besser dran, wie die Privatpersonen, die quasi ohne einen Schutz sich in das Internet einwählen.

Selbst wenn die selbst einen Webserver und eine VPN Gegenstelle aufstellen wollen, kommen sie eventuell noch mit einem Portfilter und einem gut gesicherten Betriebssystem hin. Aber die ein oder andere Ausfallzeit sollten sie dann schon in Kauf nehmen können.

Aber ab einer bestimmten Größe sollten Sie sich doch Gedanken über DMZ, Contentfiltering, Stateful Inspection etc. machen. Und spätestens jetzt wird es zu technisch, als dass es hier weiter zu erklären ist.

Meine Erfahrungen mit Firewalls sind gemischter Natur. Da Net at Work selbst seit 1995 eine Standverbindung zum Internet hat, können Sie mir einige Erfahrungen schon zugestehen. Es gibt Firewalls als Hardware (Cisco PIX, Router mit Filtern etc.), Selbstbaulösungen auf LINUX bzw. mit TIS und einige andere "gesicherte Dinge", die sich häufig per Java Applet administrieren lassen etc.). Alle behaupten sicher zu sein und die Software der Firewall ist schon ein wichtiger Aspekt der Sicherheit. Aber keine Software ist fehlerfrei. Daher ist es auch wichtig, wie schnell ein Hersteller auf erkannte Fehler reagiert. 

Aber die größte Fehlerquelle ist der Mensch bei der Konfiguration. Und eine Firewall "lebt" wie ein Netzwerk ständig Veränderungen unterworfen ist. Vergessen Sie erst mal die "Software" selbst, sondern denken Sie an die Instanz, die die Firewall Ding pflegen und überwachen soll. Und dann kommt die Frage: WELCHES Betriebssystem können Sie oder ihre Mitarbeiter am besten und wie wichtig ist eine klare übersichtliche "einfache" Verwaltung ?.

Aus dem Aspekt ist mein aktueller Favorit eine Checkpoint auf Basis von Windows NT. Ich möchte mich gar nicht an der Diskussion beteiligen, welches OS sicherer ist, denn jede hat ihre Fehler. Was die eine durch Open Source und viele freie Entwickler als Vorteil hat, sind bei der anderen Plattform die Möglichkeiten und Verpflichtung, keine Sicherheitslücken zu lassen. Checkpoint FW-1 unter NT sichert sehr gut das System ab. Die Schwäche ist auch hier wieder der Administrator davor. Überlegen Sie einfach, auf welchem System sie selbst sich zutrauen, ein Update einzuspielen. Und das ist dann auch die Plattform für ihre Firewall.

Hinzu kommt, dass Ich noch nie so eine übersichtliche Administratoroberfläche gesehen habe, wie die Managementkonsole von Checkpoint. Da können sich andere Produkte wie auch der ISA-Server durchaus noch eine Scheibe abschneiden, auch wenn ISA-Server von der Funktionalität in der gleichen Klasse spielen dürfte. Aber das muss er ja noch beweisen.

Übrigens: Lassen sie sich nicht NAT als Firewall verkaufen. Es ist sehr sicher von außen nach innen, aber die meiste Gefahr kommt von innen. d.h. ein Trojaner, der von innen nach außen will, können sie so kaum blocken oder erkennen, wie z.B. Programme wie Babylon, Gozilla, GetRight etc. die regelmäßig "nach Hause telefonieren".


Nächste Seite