Exchange und Firewalls
Zonen eine Firewall
Wenn wir von einer Firewall sprechen, dann haben wir in der Regel drei Zonen zu betrachten, an die die Firewall angeschlossen ist. Eine höhere Sicherheit wird erreicht wenn die DMZ nicht ein Netzwerk an der zentralen Firewall ist, sondern Sie zwei Firewalls einsetzen und die DMZ der Bereich "dazwischen" ist.
|
|
InternetzoneDas ist das "heiße" Ende der Firewall. Diese Seite geht in der Regel über einen Router ans Internet ohne besondere Schutzvorkehrungen davor. Gute Administratoren nutzen die Filterfunktionen des Router davor, um Ports schon zu blocken. Hier werden offizielle IP-Adressen genutzt. |
Demilitarisierte Zone
Hier spricht man von einem besonderen Bereich, der von beiden Welten
besonders gesichert ist. Die Firewall kontrolliert genau, was zwischen
Systemen in diesem Segment und dem Internet ausgetauscht wird, aber ebenso
welche Kommunikationsströme zwischen der DMZ und dem internen LAN bestehen. |
|
Internes Netzwerk
Hier ist das interne LAN gemeint, an dem die Systeme, Server und
Arbeitsplätze der Firme hängen. Idealerweise sind hier private Adressen im
Einsatz, um einen höchstmöglichen Schutz zu erhalten. |
Sonderstelle DMZ
Die demilitarisierte Zone ist der wichtigste Bereich bei einer Konfiguration von Systemen, die mit dem Internet in Verbindung treten und oftmals ist gar nicht klar, welche Systeme in der DMZ stehen sollten, welche dort stehen müssten und welche dort nicht hinein gehören. Folgende Anhaltspunkte möchte ich geben, wobei natürlich je nach Größe und Anforderungen eventuell Ausnahmen notwendig sind.
In eine DMZ gehören Systeme, für die gilt:
- Schutz gegen Außen
Webserver, die von außen erreichbar sein müssen, aber Schutz gegen Veränerungen, Überlastung etc. notwendig haben - Schutz gegen INNEN
Die meisten Angriffe oder Fehlbedienungen kommen von innen, was auch sehr viel leichter möglich ist: Benutzer müssen Webserver aktualisieren, Oft sind Filter zwischen DMZ und intern nicht so streng, da hier eher "vertraut" wird. Und über 100 Megabit sind Angriffe natürlich sehr viel leichter möglich als über eine 64 oder 2 MBit Verbindung - Schutz des internen NETZ gegen Dienste aus der DMZ
Systeme der DMZ brauchen teilweise Zugriff auf interne Systeme (z.B. OWA auf Exchange, Webserver auf Datenbanken etc.). Hier geht es drum, diesen Systemen nur die absolut notwendige Verbindung zu erlauben. Schließlich könnten Sie korrumpiert sein.
Systeme in der DMZ
Folgende Funktionen sollten Systeme in der DMZ für das interne Netzwerk und das Internet erbringen bzw. in der DMZ angeschlossen werden:
- DNS-Relay und Server für externe Zonen
- SMTP Weiterleiter und Contentfilter/Virenfoilter
- HTTP-Weiterleiter für den internen ProxyServer
- Webserver für externe Zugriffe
- Router zu anderen Firmen, denen man nicht 100% traut :-)
Es versteht sich von selbst, dass die Systeme in der DMZ nur genau die Dienste erfüllen, die sie erfüllen müssen. Planen Sie vorher, was benötigt wird, und installieren Sie dann auch nur diese Komponenten. Diverse Webseiten (Siehe Links auf "Firewalls") zeigen gut auf, wie man z.B. Windows NT strippen kann.
Nicht in die DMZ gehören:
Alles Systeme, die Daten der Firma enthalten und die dadurch in einer regen Kommunikation mit anderen internen Systemen (Druckern, PCs, anderen Servern) stehen. Diese Kommunikation würde die Firewall belasten und viele Zugeständnisse an die Filterfunktionen bedeuten. Dazu zählen:
- Datei und Druckerserver
Die Daten liegen intern und bleiben intern. Auch ist hier der Anteil der Kommunikation zwischen anderen internen Systemen sehr hoch und intensiv. Zugriff von außen sind selten oder per VPN gesichert. - Mailserver
Ihr Exchange Server hat nichts in der DMZ verloren. Der Zugriff auf Exchange von außen ist trotzdem möglich. Sie brauchen nur passende umsetzer. Ein Exchange in der DMZ, nur um sich das SMTP-Relay zu sparen ist ein Fehldesign. Dann sparen Sie sich besser die DMZ komplett ein, wenn Sie nicht bereit sind, dort einen gesonderten PC aufzustellen. - Webserver für das Intranet
Es ist verführerisch, auf einem PC mehrere Webseiten zu veröffentlichen. Das mag sicher sein, bis ein Administrator sich vertippt oder ein Angriff auf den offiziellen Server auch ihre interne Seite lahm legt. Intranetseiten bleiben intern. - Haupt Proxy Server
Proxy Server enthalten Benutzerlisten mit Kennworten oder brauchen Zugriff auf ihren Verzeichnisdienst. Zudem enthalten Sie Protokolldateien der gesamten Zugriffe ihrer Mitarbeiter und den Cache. Der Proxyserver sollte daher intern stehen. Nebenbei kann er so auch ihre Intranetseite cachen.
einen Proxy Forwarder, der die Anfragen des internen Proxy Servers weiterleitet und eventuell unabhängig von Benutzern Inhalte und Viren filtert gehört aber in die DMZ.
Eine oder mehrere DMZ
Stehen in der DMZ mehrere Systeme, ist es zweckmäßig, mehrere DMZs aufzubauen, damit ein korrumpiertes System nicht seine Nachbar angreifen kann. Die Kosten für extra Netzwerkkarten für PC-basierte Firewalls ist minimal. Aber der Schutz der "halbsicheren" Systeme untereinander kann diese Zusatzinvestition sinnvoll machen.
Das Ende der DMZ; Firewallzonen und Hostschutz
Das Konzept der DMZ hat sich vor vielen Jahren heraus gebildet, als Router und Netzwerkports noch teuer und der Schutzbedarf überschaubar waren. Das Problem einer DMZ ist aber, dass der Rechner in der DMZ, wie auch in jedem anderen Subnetz nicht weiter geschützt wird und entsprechend seiner Verbindung als bedingt oder voll vertrauenswürdig eingestuft wurde. Diese Denkweise sitzt immer noch in vielen Administratoren, obwohl sie mehr und mehr überholt ist. Ein paar Beispiele:
- Unsichere Firewall
Wenn nur die Firewall für die Sicherheit zuständig ist, dann ist diese auch das erste Ziel. Oftmals ist es sogar der Administrator selbst, der durch einen Fehler in den immer komplexeren Regelwerken Dienste freigibt, die nicht benötigt werden und zu einem Risiko werden. Es ist daher nicht mehr ausreichend, nur mit einer Firewall zu schützen. - Mehrere Systeme in einem Teilnetz
Oft besteht die DMZ nicht nur aus einem Server, sondern mehreren Servern. Diese sind zwar dann hoffentlich gut gegen unerlaubte Zugriff von Intern als auch aus dem Internet geschützt. Aber untereinander gibt es keine Abschottung. Ein Fehler auf einem System könnte die anderen Systeme im gleichen Netz attackieren. Oder ein Administrator eines Systems könnte den Datenverkehr anderer Systeme einfach mithorchen. Um das zu verhindern, müssten Sie jedem System eine eigene Netzzone geben. Damit steigt aber der Aufwand an Netzwerkschnittstellen und Verkabelung und die Komplexität der Konfiguration stark an. Von der zusätzlichen Belastung und den Fragen der Verfügbarkeit der Firewall ganz abzusehen. - Unsicheres Kabel
Eine DMZ mit einem Switch oder Hub für den Anschluss mehrerer Systeme macht es relativ einfach für Angreifer, sich mit auf das Kabel aufzuklemmen und die Daten abzuhören. Natürlich könnten Sie auch hier jedem System seine Zone geben oder mit IPSec verschlüsseln.
Sie sehen aber, dass die DMZ als Heilmittel heute nicht mehr der Weisheit letzter Schluss ist, sondern dass angepasste Konzepte eingesetzt werden müssen.
Daher wird schon länger eine umgestaltung der Netzwerkzonen betrieben, die auf zwei Faktoren beruhen:
- Gruppen vertrauter Systeme
Statt nur eine DMZ zu planen, werden alle Systeme auf ihren Grad des Vertrauens unterschieden und in entsprechende Zonen eingestuft. Um die Konfiguration einfach zu halten, werden mehrere Systeme in einer Zone zusammengefasst. Damit ist der Schutz zwischen diesen Systemen zwar nicht maximal aber auch bei einer Zone je Endsystem sind Konfigurationsfehler und eine laxe Steuerung der Richtlinien ein Problem. Der Übergang zwischen den Zonen hingegen erfolgt meist für Firewalls oder zumindest Portfilter, die nur bestimmte Dienste erreichbar machen. - Schutz des Einzelsystems
Aber auch ein Server kann sich nicht darauf verlassen, dass seine Umgebung sicher und friedlich ist, so dass auch hier der Administrator eine Schutzfunktion auf dem Server umsetzt. Dazu zählt im ersten Moment eine Reduzierung der Dienste auf das Notwendige und eine Filterung auf Basis con Ports. Das Filter von TCP-Ports kann schon Windows NT4. URLScan und IISLockDown haben bei Windows 2000 den IIS gesichert. Windows 2003 SP1 liefert einen Security Configuration Wizard mit, welcher alle Einstellungen assistentenbasiert unter einem Hut vereint.
Das ganze können Sie sich als Bild vielleicht wie folgt vorstellen. Analog zu eine Zwiebel gibt es einen inneren Kreis von sehr kritischen wichtigen und vermutlich hoch verfügbaren Servern. Dazu zählen Dateiserver, Datenbankserver, Mailserver und Hostsysteme. Die für deren Funktion erforderlichen DCs stehen ebenfalls in diesem LAN. Im Active Directory kann diese Gruppe z.B. als eigene AD-Site gepflegt werden.
Der nächste Ring enthält weitere "bekannte" Systeme in ihren Zonen. In diesem Ring könnten z.B.: Terminalserver und DC für die Clients stehen. Auch die Admin-PCs sollten einen besonderen Schutz in dieser Zone unterworfen werden.
Die öffentlichen Systeme sind ebenfalls "bekannt" aber direkt oder indirekt auf dem Internet oder anderen unbekannten Systemen zu erreichen. Diese Veröffentlichung erfolgt z.B. über Proxy-Server, Relays oder VPN-Systeme.
Über die 802.1x Authentifizierung, welche sowohl für WiFi als auch für verkabelte Netze möglich ist, können Sie aus unbekannten Geräten wieder "bekannte" Systeme machen.
Das wird sicherlich nicht das Ende einer zentralen Firewall sein, denn auch lokale Schutzmechanismen können z.B.: bei einer Neukonfiguration oder Updates temporär deaktiviert sein oder durch eine Fehlkonfiguration nicht greifen, aber die Firewall alleine wird zukünftig nicht mehr den benötigten Schutz sicher stellen.
In dieser Richtung argumentiert auch Steve Riley in der Funktion als Senior Program Manager der Microsoft Security Business and Technology unit (www.steveriley.ms). Nun fehlt nur noch, dass nicht immer nur die aktuellsten Versionen einer Software entsprechend nachgerüstet werden.
