Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Neben Installation und Betrieb der Firewall müssen auch weitere Komponenten, die der Kommunikation zwischen geschütztem und externem Netz dienen, sicher angeordnet werden. Dazu gehören z. B. Informationsserver für die Bereitstellung von Informationen an interne oder externe Benutzer, Mail-Server und DNS-Server.
Für die Anordnung weiterer Komponenten ist zu unterscheiden, ob diese im zu schützenden Netz, im Screened-Subnet oder auf der externen Seite der Firewall aufgestellt werden sollen. Zur besseren Differenzierung wird der Bereich zwischen dem inneren Paket-Filter und dem Application-Gateway im folgenden auch als internes Screened-Subnet bezeichnet, der Bereich zwischen dem Application-Gateway und dem äußeren Paket-Filter als externes Screened-Subnet.
Externe Zugänge
Weitere externe Zugänge zum zu schützenden Netz, z. B. mit Telnet über einen Modempool, sollten wie Zugänge aus dem unsicheren Netz behandelt werden. Dies läßt sich erreichen, indem z. B. ein Terminalserver mit angeschlossenen Modems auf die externe Seite der Firewall gestellt wird, so daß ein Zugang von dort nur über Telnet zum internen Rechner durchgeführt werden kann. Beim Einsatz von virtuellenprivaten Netzen (VPNs) kann es auch sinnvoll sein, den notwendigen Zugang über ein weiteres Interface am Application Gateway zu realisieren.
Es müssen klare Regelungen darüber getroffen werden, daß keine externen Zugänge unter Umgehung der Firewall geschaffen werden. Diese Regelungen müssen allen Mitarbeitern bekanntgemacht werden. Es muß sichergestellt werden, daß sowohl das IT-Sicherheitsmanagement als auch der Firewall-Administrator rechtzeitig über entsprechende Pläne unterrichtet wird, um eine Einbettung in das IT-Sicherheitskonzept und die Firewall-Sicherheitspolitik zu gewährleisten.
Abb. 1: Screened-Subnet mit Dual-homed Gateway.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät vereint werden können (siehe Abb. 2), wobei aber auf die dann zusätzlich auftretenden Sicherheitsprobleme besonders geachtet werden muß. So kann z. B. das ansonsten sichere Application-Gateway durch die Übernahme der Funktionen des externen DNS-Servers angreifbar werden, wenn in der DNS-Software ein Fehler ist.
Anordnung von Informationsservern
Informationsserver, die für die Bereitstellung von Informationen an externe Benutzer dienen, müssen außerhalb der Firewall stehen und wie andere im externen Netz vorhandene Server betrachtet werden. Ihre Verwaltung sollte entweder lokal oder über spezielle zeitlich begrenzte Zugänge vom geschützten Netz erfolgen. Die Daten sollten auf schreibgeschützten Datenträgern liegen.
Gibt es Daten, die nur für die Benutzer des zu schützenden Netzes erreichbar sein sollen, ist es sinnvoll, weitere Informationsserver im internen Screened-Subnet (siehe Abb. 1) einzusetzen. Diese sind dann von außen nicht erreichbar und gegen Angriffe von innen durch den Paket-Filter geschützt.
Abb. 2: Screened-Subnet mit Application-Gateway an einem separaten Router-Interface.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät vereint werden können. Dies ist für den externen Mail- und DNS-Server angedeutet.
Anordnung der Mail-Server
Ein Mail-Server innerhalb des geschützten Netzes wird zur Verwaltung der Alias-Datenbank, mit der die Benutzeradressen auf ein einheitliches Format umgesetzt werden können, für einen evtl. POP-Daemon oder auch als Gateway zum Übergang in ein anderes Mailsystem (z. B. X.400) eingesetzt. Alle internen Mails werden an diesen Server geschickt und von dort ggf. über einen externen Mail-Server nach außen weitergeleitet.
Der externe Mail-Server im externen Screened-Subnet stellt die Verbindungen mit externen Rechnern her und nimmt die Mails von dort entgegen, so daß die interne Struktur des geschützten Netzes verdeckt wird. Diese Funktion kann auch vom Application-Gateway wahrgenommen werden.
Durch diese Konfiguration wird erreicht, daß interne Mails nicht in das äußere Netz gelangen und eine einheitliche Adreßstruktur benutzt werden kann.
Abb. 3: Anordnung der Mail-Server.
Mails zwischen Rechnern im zu schützenden Netz verlassen das Netz nicht, da sie vom internen Mail-Server weitergeleitet werden, der auch die interne Alias-Datenbank verwaltet. Mails an externe Rechner werden über das Gateway an den externen Mail-Server geschickt und von dort weitergeleitet. Für Mails von externen Rechnern verweist der MX-Eintrag (vom externen DNS-Server, siehe Abb. 4) auf den externen Mail-Server. Dieser schickt die Mails dann an den internen Mail-Server weiter. Die Funktionalität des externen Mail-Servers kann u.U. auch vom Gateway wahrgenommen werden.
Anordnung der DNS-Server
Der Domain Name Service (DNS) dient zur Umsetzung von Rechnernamen in IP-Nummern und umgekehrt und stellt ferner Informationen über im Netz vorhandene Rechnersysteme zur Verfügung. DNS-Informationen sollten vor der Außenwelt, d. h. dem Internet oder anderen externen Netzen, verborgen werden. Der bekannteste Ansatz zur Umsetzung dieser Forderung geht von einer speziellen Anordnung zweier DNS-Server (Nameserver) aus. Ein DNS-Server im internen Screened-Subnet verdeckt die Struktur des zu schützenden Netzes und kommuniziert mit einem DNS-Server im externen Screened-Subnet, um Namen von externen Rechnern umzusetzen. Da DNS-Clients sich nicht notwendigerweise mit einem DNS-Server auf denselben Rechnern unterhalten müssen, ist es möglich, beide Prozesse auf unterschiedlichen Rechnern ablaufen zu lassen.
Der externe DNS-Server muß so konfiguriert werden, daß er behauptet, die Autorität für die Domäne des zu schützenden Netzes zu sein ( Primary-Server ). Natürlich weiß dieses System nur das, was der Außenwelt bekanntgegeben werden soll, also Namen und IP-Nummern des externen Mail-Servers, des Application-Gateways und des externen Informationsservers. Es handelt sich dann um einen Public-DNS-Server.
Der interne DNS-Server muß auch so konfiguriert werden, daß er behauptet, die Autorität für die Domain des zu schützenden Netzes darzustellen. Im Gegensatz zum externen DNS-Server verwaltet dieser Privat-DNS-Server aber alle internen DNS-Informationen und leitet Suchanfragen interner Rechner über externe Hosts an den externen DNS-Server weiter.
Alle DNS-Clients einschließlich der auf dem Application-Gateway müssen so konfiguriert werden, daß sie immer den internen DNS-Server benutzen (z. B. mittels Einträgen in der Datei /etc/resolv.conf ).
Fragt nun ein interner Client nach einem internen Rechner, wird der interne DNS-Server benutzt. Fragt ein interner Client oder ein Client auf dem Application-Gateway nach einem externen Rechner, wird der interne DNS-Server befragt, der wiederum den externen DNS-Server befragt, der wiederum das Internet befragt, das eine Antwort zurückgibt.
Ein externer Client, der nach einem internen Host fragt, erhält die eingeschränkte Liste vom externen DNS-Server.
Der eingesetzte Paket-Filter muß so konfiguriert werden, daß zwischen den Servern nur der DNS-Dienst gestattet ist, d. h. DNS Port 53 als Quell- und Zielport. Die Freigabe weiterer Ports (> 1023) ist also nicht nötig.
Abb. 4: Anordnung der DNS-Server.
Der Private-DNS-Server ist der Primary-DNS-Server für das zu schützende Netz und reicht Anfragen über externe Rechner an den Public-DNS-Server weiter. Der Client auf dem Gateway ist so konfiguriert, daß zunächst der Private-DNS-Server gefragt wird, der die Anfrage dann evtl. an den Public-DNS-Server weiterreicht. Der Public-DNS-Server ist für externe Rechner der Primary-DNS-Server für das zu schützende Netz, enthält aber nur die Einträge der Rechner, die außen bekannt sein sollen.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .