Exchange und Firewalls
Seite 1/6
Wer würde heute schon einen Exchangeserver ungeschützt in das Internet stellen?. Niemand oder? Ich würde zumindest nicht. Zumindest rudimentäre Filter sollten das System gegen Angriffe und Missbrauch von außen schützen. Das Prinzip Security through obscurity (http://en.wikipedia.org/wiki/Security_through_obscurity) ist nicht wirklich ein brauchbarer Schutz. Besser ist da dann doch Secure by design (http://en.wikipedia.org/wiki/Secure_by_design)
Brauch ich eine Firewall ?
Nun ja, würden Sie in Zeiten von AIDS ungeschützt mit jedermann/frau .. ? und genau das ist das Internet. Durch den Anschluss sind sie eine erreichbare Stelle in dem größten Netzwerk mit Millionen von Nutzern. Und auch hier gibt es absichtliche und unabsichtliche Angreifer.
Wenn Sie im Internet vertreten sind, dann bezwecken Sie damit etwas, und immer wenn einer was will, besteht eine Wechselwirkung mit jemandem Anderen, z.B.: einem Mitbewerber. Teilweise ist es einfach nur sportlicher Ehrgeiz oder Selbstdarstellung, die Personen dazu verführt, andere Websites oder Server zu stören, lahm zu legen oder Inhalte zu verändern. Wenn ihre Firmendaten nicht wichtig sind, dann können Sie sich das Geld für das Türschloss, die Alarmanlage, den Tresor, das Bandschließfach und den Wachschutz sparen. Sieht so ihr Büro aus ? Nein ?. Aber den Zugang über das Internet würden Sie ungeschützt bereitstellen ?.
Sie brauchen Schutz und das Internet braucht Schutz vor ihnen. Also lesen Sie bitte weiter, um für ihre Umfeld die passende Lösung zu finden. Sie brauchen eine Firewall. Nur ob Sie nun 1000 DM oder 30.000 DM kosten soll, das ist noch nicht entschieden und hängt von ihren Anforderungen ab
Aber installieren sie auf ihrem Einzelplatzcomputer, mit dem Sich sich an das Internet verbinden eine Personal Firewall wie ZoneAlarm, SyGate, Norton und andere und schauen Sie an was passiert. In Zeiten von DSL und Flatrate und fertigen Skripten und Programmen können Sie die Portscans und Zugriffsversuche bald gar nicht mehr zählen. Weitere Informationen zum persönlichen Schutz finden Sie z.B. Unter www.staysafeonline.info. Nur eine Seite mit Tools für Angreifer http://packetstormsecurity.nl/assess.html und so können Webseiten dann aussehen: www.alldas.org , www.illegalaccess.de). Unter http://scan.sygatetech.com können Sie sich dann selbst scannen.
Welche Firewall soll ich einsetzen ?
Ihre wichtigste Frage möchte ich zu erst behandelt: Welche Firewall ist die
Beste ?.
Es gibt keine Empfehlung. es gibt nur eine passende Firewall für den jeweiligen
Einsatzzweck.
Wenn sie eine kleine Firma sind, deren Anbindung an das Internet nur dazu genutzt wird, um zu surfen und Mails zu senden und zu empfangen, dann könnten Sie mit einem Router mit restriktiven Portfiltern und eingehendem NAT hinkommen. Zum Surfen sollten Sie sich einen Proxyserver gönnen. Damit sind sie immer noch besser dran, wie die Privatpersonen, die quasi ohne einen Schutz sich in das Internet einwählen.
Selbst wenn die selbst einen Webserver und eine VPN Gegenstelle aufstellen wollen, kommen sie eventuell noch mit einem Portfilter und einem gut gesicherten Betriebssystem hin. Aber die ein oder andere Ausfallzeit sollten sie dann schon in Kauf nehmen können.
Aber ab einer bestimmten Größe sollten Sie sich doch Gedanken über DMZ, Contentfiltering, Stateful Inspection etc. machen. Und spätestens jetzt wird es zu technisch, als dass es hier weiter zu erklären ist.
Meine Erfahrungen mit Firewalls sind gemischter Natur. Da Net at Work selbst seit 1995 eine Standverbindung zum Internet hat, können Sie mir einige Erfahrungen schon zugestehen. Es gibt Firewalls als Hardware (Cisco PIX, Router mit Filtern etc.), Selbstbaulösungen auf LINUX bzw. mit TIS und einige andere "gesicherte Dinge", die sich häufig per Java Applet administrieren lassen etc.). Alle behaupten sicher zu sein und die Software der Firewall ist schon ein wichtiger Aspekt der Sicherheit. Aber keine Software ist fehlerfrei. Daher ist es auch wichtig, wie schnell ein Hersteller auf erkannte Fehler reagiert.
Aber die größte Fehlerquelle ist der Mensch bei der Konfiguration. Und eine Firewall "lebt" wie ein Netzwerk ständig Veränderungen unterworfen ist. Vergessen Sie erst mal die "Software" selbst, sondern denken Sie an die Instanz, die die Firewall Ding pflegen und überwachen soll. Und dann kommt die Frage: WELCHES Betriebssystem können Sie oder ihre Mitarbeiter am besten und wie wichtig ist eine klare übersichtliche "einfache" Verwaltung ?.
Aus dem Aspekt ist mein aktueller Favorit eine Checkpoint auf Basis von Windows NT. Ich möchte mich gar nicht an der Diskussion beteiligen, welches OS sicherer ist, denn jede hat ihre Fehler. Was die eine durch Open Source und viele freie Entwickler als Vorteil hat, sind bei der anderen Plattform die Möglichkeiten und Verpflichtung, keine Sicherheitslücken zu lassen. Checkpoint FW-1 unter NT sichert sehr gut das System ab. Die Schwäche ist auch hier wieder der Administrator davor. Überlegen Sie einfach, auf welchem System sie selbst sich zutrauen, ein Update einzuspielen. Und das ist dann auch die Plattform für ihre Firewall.
Hinzu kommt, dass Ich noch nie so eine übersichtliche Administratoroberfläche gesehen habe, wie die Managementkonsole von Checkpoint. Da können sich andere Produkte wie auch der ISA-Server durchaus noch eine Scheibe abschneiden, auch wenn ISA-Server von der Funktionalität in der gleichen Klasse spielen dürfte. Aber das muss er ja noch beweisen.
Übrigens: Lassen sie sich nicht NAT als Firewall verkaufen. Es ist sehr sicher von außen nach innen, aber die meiste Gefahr kommt von innen. d.h. ein Trojaner, der von innen nach außen will, können sie so kaum blocken oder erkennen, wie z.B. Programme wie Babylon, Gozilla, GetRight etc. die regelmäßig "nach Hause telefonieren".
Paketfilter, Stateful Inspection und Next Generation?
Das Marketing überschläft sich mit Fachbegriffen, um die eigene Firewall am besten und überlegen darzustellen. Aber welche "Stufen" einer Firewall gibt es eigentlich und warum nimmt man nicht immer das Beste? Das ist zum einen eine Frage der Kosten aber auch der möglichen Performance. Wer sehr tief und die Pakete schaut oder sie vielleicht für einen Analyse sogar etwas verzögert bezahlt mit höheren Antwortzeiten Ich stelle mal vier Bereich Funktionen vor.
| Funktion | Beschreibung | Klassifizierung |
|---|---|---|
Paketfilter |
An Anfang gabt es IPTables, NAT-Regeln und die Windows Firewall. Anhand der Kombination aus Quell-IP+Port und Ziel-IP+Port konnten wir bestimmte Verbindungen blockieren oder zulassen. Diese Funktion gibt es auf jedem modernen Betriebssystem und auch Router haben solche Funktion direkt eingebaut. Diese Funktion ist einfach Standard und die erste Abwehr von unerwünschten Zugriffen. Unsichere Clients kommunizieren heute nur noch über HTTPS (Port 443) und manchmal noch IMP4S ( 993/TCP) oder SMTP (587/TCP) mit dem Server. Die meisten Server haben historisch noch eine SMB-Dateifreigabe (\\<server>\ADDRESS und \\<server>\Addins), sind per RDP erreichbar und haben vielleicht noch einen Nagios/Icinga-Agenten. Die müssen alle nicht aus dem Internet oder von Clients sondern maximal von internen Servern und PAW – Priviledged Admin Workstation erreichbar sein. Hier ist eine OnBoard-Firewall als auch eine Netzwerkfirewall ein probates Mittel. |
|
Stateful Inspection |
Ein einfacher Paketfilter kann aber nicht verhindern, dass ein Angreifer versucht eine Sitzung zu übernehmen. Beim TCP-Protokoll gibt es z.B.: eine "Sequence Number" und wenn die Firewall die Paket sieht und die Funktionsweise von TCP versteht, dann kann sie auch die Sequence-Nummer überprüfen und unpassende Pakete einfach aussortieren. Zudem merkt sie sich die Session und deren Dauer. Quasi jeder NAT-Router, z.B. ihre Fritz!Box muss ich die Verbindung merken. Das macht sie meist aber nur über die Kombination von IP-Adressen und Ports, und ist damit nicht automatisch "Stateful". Protokolle wie UDP oder ICMP haben aber keine Sequence Number wie TCP. Wenn die Firewall aber z.B. die Funktionsweise von DNS über 53/UDP versteht, dann kann sie schon die Antworten zulassen, die zur Anfrage passen aber fremde Antworten, die als "DNS-Spoofing" oder "Flooding" gelten, verhindern. |
|
Next Generation (NG) |
Allein die Kontrolle von Source/Destination IP und Port mit Sequence Nummern reicht heute aber nicht mehr mehr aus. Fast alle bekannten Protokolle haben einen klar definierten Aufbau und eine Firewall kann sich diese Pakete genauer anschauen und Abweichungen melden oder verhindern. Wenn ich z.B.: per SMTP ohne Verschlüsselung eine Mail sende, dann sind Absender und Empfänger natürlich lesbar und auch nicht gegen Veränderung gesichert. Eine NG-Firewall versteht also nicht nur wie SMTP funktioniert, sondern kann auch die Inhalte interpretieren und z.B. Relay-Versuche unterbinden oder auch Grenzwerte durchsetzen. Auch für andere Protokolle sind solche erweiterten Analysen möglich, z.B. SIP, FTP oder insbesondere RPC-Verbindungen, wo eine Firewall die Anfragen auf den RPC Portmapper (Port 135/TCP) verstehen und die Antwort ggfls. unterdrücken kann Etwas aufwändiger wird es bei verschlüsselten Verbindungen (TLS/SSL). Hier kann eine NG-Firewall mit eigenen Zertifikaten arbeiten, wenn die Protokolle und Clients dies zulassen. |
|
Proxy |
Ein Proxy ist eigentlich keine Firewall, sondern eine Funktion, die oft "daneben" betrieben wird, z.B. als HTTP-Proxy mit Inspection und Caching. Die Clients müssen den Proxy natürlich unterstützen, aber bis auf VoIP und etwas POP/IMAP/SMTP-Verkehr die meisten Dienste auf HTTPS setzen, ist ein leistungsstarker Proxy ein wichtiger Teil einer Schutzkette. Einfachere Firewalls kombinieren sogar den Proxy mit auf der Firewall selbst. Behalten Sie dann aber die CPU-Last und den Speicherbedarf im Auge |
|
Sie könnten nun darauf kommen, dass ein Paketfilter ja keine Firewall ist und es natürlich eine "Next Generation" Firewall sein muss. Die Reihenfolge ist schon absichtlich aufbauend gewählt aber soll nicht dazu verführen, dass nur die beste Funktion auch die sinnvollste Funktion ist. Ein Protokoll-Proxy ist sicher die flexibelste Lösung aber nicht jedes Protokoll ist "Proxy-tauglich" und damit scheidet es aus. Andererseits kann eine NG-Funktion sicher auch einfache Protokolle analysieren aber ich würde iSCSI nicht durch die NG-Funktion einer Firewall routen, weil es einfach Latenzzeit erhöht und damit Durchsatz kostet. Sie müssen also immer überlegen, welche beiden Endpunkte hier miteinander über welches Protokoll sprechen, wie "sicher" sie diese Endpunkte einschätzen und welches Risiko davon ausgeht.
