Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme, die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Hierunter fällt nicht nur die Erkennung und Beseitigung von Computer-Viren, die verhältnismäßig einfach auch auf den Rechnern der Anwender durchgeführt werden kann, sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls, Java- Applets oder Scripting-Programmen mit einer Schadfunktion. Hierfür existieren zur Zeit noch keine brauchbaren Programme, die eine ähnlich wirksame Erkennung von Schadfunktionen ermöglichen, wie sie im Bereich der Computer-Viren möglich ist.
Die Größe der Gefährdung, die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht, läßt sich anhand des folgenden Beispiels darstellen. Ein Java- Applet bzw. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen, von dem es geladen worden ist. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung, wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen, die auch ohne spezielle Initiierung durch den Anwender Programme vom Server laden müssen. Um diese Eigenschaft trotz der Verwendung eines Paket-Filters vollständig unterstützen zu können, müssen sehr viel mehr Portnummern freigeschaltet werden oder es muß ein dynamischer Paket-Filter eingesetzt werden. Ist das der Fall, können Java-Applets verwendet werden, um kaum zu kontrollierende IP- Verbindungen aufbauen zu können.
Es gibt generell zwei Ansätze, wie der Problematik "aktive Inhalte mit Schadfunktion" begegnet werden kann. Zum einen kann die Kontrolle und damit auch die Verantwortung für die Ausführung auf die Benutzer verlagert werden, die in ihren Browsern die Möglichkeit haben, die aktiven Inhalte abzuschalten und nur bei einzelnen "vertrauenswürdigen" Angeboten wieder einzuschalten. Das Hauptproblem bei dieser Lösung ist, wie festgestellt werden kann, welche Anbieter vertrauenswürdig sind und welche nicht.
Die zweite Möglichkeit, aktive Inhalte zu kontrollieren, besteht im Einsatz eines entsprechenden Filters in Verbindung mit einer Firewall. Proxy-Prozesse sind aufgrund ihres Aufbaus prinzipiell sehr gut dazu geeignet, die übertragenen Nutzdaten zu analysieren. Die entsprechenden Programme werden über spezielle Tags (Tag = Kennzeichen für Strukturen innerhalb einer HTML-Seite) innerhalb einer HTML- Seite aufgerufen. Denkbar ist also die Lösung, alle Zeilen mit entsprechenden Tags aus einer HTML-Seite zu löschen oder sie durch Ausgabezeilen zu ersetzen, die dem Anwender einen Hinweis geben, daß das gewünschte Java-Applet von der Firewall abgeblockt worden ist.
Das Problem bei dieser Vorgehensweise besteht darin, daß es nicht auf einfache Weise möglich ist, alle HTML-Seiten und in diesen wiederum alle zu löschenden Tags zu erkennen. So können, und dies wird heute schon vielfach gemacht, HTML-Seiten als Inhalt einer E-Mail übertragen werden. Intelligente E-Mailprogramme erkennen dies und starten automatisch einen Browser, der diese HTML-Seite anzeigen kann und der dann natürlich auch das Java-Applet bzw. ActiveX-Control ausführt. Auch die Erkennung eines speziellen Tags innerhalb einer HTML-Seite ist aufgrund der komplexen Möglichkeiten der aktuellen HTML-Version nicht einfach.
Leider werden Java-Applets nicht durchgängig als Datei mit der Endung .class verschickt. Statt dessen können auch komprimierte Dateien eingesetzt werden, die z. B. die Endung .jar (Java- Archive) haben. Das bedeutet, daß ein Java-Filter auch alle von den verwendeten Browsern unterstützten Komprimierungsverfahren kennen und berücksichtigen muß.
Eine weitere Alternative, Programme für aktive Inhalte mit Schadfunktion zu erkennen, besteht darin, ähnlich wie bei Programmen zur Abwehr von Computer-Viren eine Datenbank mit Signaturen anzulegen und jedes aus dem Internet geladene Programm mit diesen Signaturen zu vergleichen. Leider steht dieses Verfahren noch ganz am Anfang seiner Entwicklung und es bleibt abzuwarten, ob die entsprechenden Programme ähnlich wirksam werden, wie es die Programme zur Abwehr von Computer-Viren sind.
Zusätzliches Schadenspotential resultiert aus der Möglichkeit, JavaScript aus Java heraus auszuführen. Eine abgestufte Filterung von Java und JavaScript sollte deshalb auf ihre Wirksamkeit überprüft werden.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.