3. "Firewalls" - Schutz vor Einbrüchen

3. "Firewalls" - Schutz vor Einbrüchen

Das Internet öffnet vielen Anbietern neue, gigantische und lukrative Chancen. Doch wer meint, das Internet wäre ein „One-Way“, der irrt. Wer etwas anbietet, der muß sich auch auf Einbrüche ins eigene Netz aus dem Internet heraus rüsten. Für dieses Problem gibt es einen ‚fast‘ soliden Schutz, die Abschirmung des firmeninternen Netzes durch ein „Firewall-System“. Die Betreiber lokaler Netzwerke, welche an das Internet angeschlossen sind, versuchen über eine derartige Schutzmaßnahme den direkten Zugriff auf ihre Daten zu schützen. Dies kann wirksam simple kriminelle Übergriffe oder wirtschaftliche Spionage verhindern. Die „Firewall“ arbeitet dabei wie ein Tor, das alle Zugreifer auf das Netz passieren. Der eigentliche Schutz besteht oft nicht nur aus einem vorgeschalteten Torwächter-Computer, sondern aus einer ganzen Kaskade von Systemen, deren Tätigkeit in „Log-Dateien“ festgehalten wird. Auf diese Weise kann der Betreiber des Netzes nicht nur Einbrüche verhindern, sondern auch den „simplen Knackversuch“ ausmachen. Die „Firewall“ hat in den meisten Fällen ein klares Konzept. Aktionen im zu schützenden Netz können sie aus dem Internet nicht selbst starten, sondern sie melden sich zuerst beim Server an. Dieser entscheidet dann nach einem Anwenderprofil, was man im Netz darf und was nicht. Doch normalerweise kommt man nicht direkt an den Server des Netzes heran, denn die „Firewall“ führt alle Aktionen stellvertretend aus. Ein paar einfache Überlegungen sollen aufzeigen, ob man selbst zu den Anwendern einer mitunter recht teuren Schutzmethode gehören sollte. Zunächst sollte man überlegen, was es überhaupt zu sichern gibt.

Daten:

Daten benötigen Vertraulichkeit. Sie sollen vor anderen Leuten geheimgehalten werden. Außerdem geht es um Integrität. Keiner außer einem selbst, oder Leute die damit beauftragt werden, sollen die Daten ändern. Und Daten sollen verfügbar sein, denn die Daten müssen zu jedem Zeitpunkt abrufbar sein.

Ressourcen:

In einer Computer-Anlage steckt viel Geld und noch mehr Zeit. Schon allein deshalb liegt es im eigenen Interesse, sich die Gewalt darüber nicht aus der Hand nehmen zu lassen.

Name:

Wenn jemand mit einem anderen Namen im Internet aufkreuzt und an prominenter Stelle Nazipropaganda, Pornos oder Falschmeldungen verbreitet, kommt man nicht nur wegen einer im Maßstab des Internets beinahe handlungsunfähigen Justiz in Bedrängnis, sondern man verliert möglicherweise wesentliche Kontakte und wichtigen Einfluß.

Wer speziell schaden will oder einfach nur aus „Spaß“ nach Lücken sucht, der stellt sich meistens, wie im folgenden Beispiel dargestellt, so an. In aller Regel gilt der erste Versuch dem Einbruch in das Netz, um die dortigen Ressourcen praktisch nutzen zu können. Die Wege sind vielfältig. Meistens geschieht dies über direkte Zugänge mit gefälschten Paßwörtern, bis zum Kontakt ans Netz über Mitarbeiter. Solche Attacken finden mitunter über die „Accounts“ von Angestellten statt oder durch das einfache Aufbrechen der Zugangsdaten in zehntausenden Versuchen, die ein externer Computer automatisch ausführt. Um einen Einbruch zu verhindern, kann man das System so abschotten, daß die „Firewall“ die Möglichkeiten, über ‚ermittelte‘ Paßwörter einzudringen, extrem einengt. Zu diesem Zweck stattet man den „Wächter“ mit Einwegkennwörtern aus, die nur mit zwei verschiedenen Schlüsseln aufgebaut werden können und nach einem erfolgreichen Zugang ihre Gültigkeit verlieren. Wer ein Netz angreift, will es meistens vorübergehend stillegen, um größtmöglichen Schaden anzurichten. Oft geht ein solcher Angriff nicht direkt in Richtung des Netzwerkes, sondern orientiert sich an Internet-Diensten, die mit dem Netz zusammenarbeiten. Es geht ganz einfach darum, so viele Datenübertragungen wie möglich „mitzuschneiden“ und auf diese Weise auswertbares Material zu sammeln. Solche Verfahren laufen zum Teil automatisiert über „Paket-Sniffler“, die einen Datenstrom von „TCP/IP-Paketen“ analysieren und brauchbare Daten herausfiltern. Mit diesen Selektions-Tools lassen sich auch sehr leicht Kreditkarteninformationen herausfiltern. Eine „Firewall“ muß man sich als eine Art Engpaß vorstellen. Der ge- samte ein- und ausgehende Verkehr muß diesen engen Kontrollpunkt passieren. Die „Firewall“ gibt daher enorme Gestaltungsmöglichkeiten bezüglich der Sicherheit im Netz. Die Kosten einer „Firewall“ können in die Zehntausende gehen, je nach Ausbaustufe. Denoch stellen die meisten Organisationen fest, daß die Bündelung dieser Sicherheitsstufen billiger ausfallen als viele andere Sicherheitsmaßnahmen. Viele der Dienste, die man als Anwender vom Internet verlangt, sind von Haus aus unsicher. Die „Firewall“ fungiert daher als eine Art Verkehrspolizei, welche die Sicherheitspolitik des Standorts vom lokalen Netzwerk überprüft. Eine „Firewall“ kann darüber hinaus die Aufgabe übernehmen, komplizierte Richtlinien durchzusetzen. Zum Beispiel dürfen nur bestimmte Systeme inerhalb der „Firewall“ Dateien vom und zum Internet übertragen. Da komplett aller Datenverkehr die „Firewall“ durchquert, eignet sich dieser Wächter prächtig zum Aufzeichnen von Informationen über Gebrauch und Mißbrauch von Netz und Computern. Man sollte aber nie vergessen, daß eine „Firewall“ auch versagen kann. Keine „Firewall“ kann verhindern, daß ein Benutzer vertrauliche Informationen über die Netzverbindung aus einer Organisation herausschmuggelt. Ein Anwender kann also dadurch den Schutz von innen lahmlegen. Die „Firewall“ ist aber auch anders leicht zu umgehen. Sie kann den über ihre Hardware flutenden Verkehr kontrollieren. Im Umkehrschluß heißt das natürlich, daß jemand mit einer simplen „ISDN-Karte“ oder einem „Modem“ und einer passenden Schnittstelle einen Ausgang aus dem Netz installiert, den die „Firewall“ nicht kontrolliert. Das beste Beispiel hierfür ist das „DFÜ-Netzwerk“ in Windows NT. Wer einen solchen Zugang schafft, kann die „Firewall“ in kürzester Zeit egalisieren. Ähnlich wie Virenkiller muß eine „Firewall“ regelmäßig aufwendig gewartet werden, da die Intelligenz von potentiellen Einbrechern im Netz ständig zunimmt. „Harte“ Systeme akzeptieren nur Dienste aus dem Internet, welche sie kennen und steuern können. Doch die „Szene“ unterliegt einem ständigen Wandel und geht mit den Software-Produkten von Microsoft, wie zum Beispiel „Office 97“ und dem „Internet Explorer 4.0“, auf eine extreme Ausbreitung vom Internet zu. Die meisten „Firewalls“ untersuchen zwar die gesamten eingehenden Daten, doch dabei werden nur Quell-, Ziel- und Portadressen geprüft, nicht aber der Inhalt der Daten. Selbst mit der fortgeschrittensten Paketfilterung und „Proxy-Software“ ist ein Virenschutz durch die „Firewall“ praktisch nicht machbar. Die Viren entfalten sich meist nach dem Auspacken oder Decodieren empfangener Dateien. „Firewalls“ werden im Internet zur Genüge angeboten. Es reicht, wenn man sich mit diesem Stichwort an eine der Suchmaschinen wendet. Die Zahl dieser Produkte und deren Funktionsumfang wachsen mit einer erstaunlichen Geschwindigkeit.