Zusammenfassend kann festgestellt werden, daß es keinen 100%igen Schutz vor Angriffen geben kann. Es werden immer neue Lücken entdeckt und ehe die Firewallhersteller darauf reagieren, kann schon ein Einbruch verübt worden sein. Einen sehr großen Einfluß auf die Sicherheit hat auch die Philosophie der Firma hinsichtlich der erlaubten und verbotenen Dienste. Je weniger erlaubt sein soll, um so weniger potentielle Schwachstellen treten auf. Es ist wichtig, aber leider auch sehr schwer, einen gesunden Mittelweg zu finden.
Von weiterer großer Bedeutung ist die Sicherheit des Betriebssystems, auf dem die Firewall läuft. Es ist natürlich auch möglich, eine Firewall nur mit Hilfe von Routern und anderen Hardwarekomponenten aufzubauen. Allerdings ist so eine Lösung weniger flexibel, dafür aber eventuell sicherer. Die Hardware ist schwieriger auszutricksen als ein Programm. Es kommt jedoch keine Hardware ohne ein Steuerprogramm aus, und wenn es blos ein Programm im ROM ist. Selbst dieses kann Fehler beinhalten. Der Autor kommt zu dem Schluß, daß Windows NT ein sicheres Betriebssystem ist, wenn keine Fehlkonfigurationen auftreten und immer die neuesten Bugfixe eingespielt werden. Es besitzt leistungsfähige Sicherungsmaßnahmen, wie zum Beispiel sein Dateisystem NTFS oder der Authentifizierungsprozeß. Leider werden die potentiellen Möglichkeiten erst nach einer peniblen Konfiguration ausgenutzt und nicht sofort nach der Installation. Der Autor denkt hierbei hauptsächlich an die Rechtevergabe im Filesystem und die laufenden Dienste bzw. Services. Im Gegensatz zu einem Unixbetriebssystem ist Windows NT jedoch weniger flexibel und langsamer. Das zeigt sich zum Beispiel schon an der Netzwerkkonfiguration. Sie ist ziemlich simpel, einfach und schnell durchgeführt. Wenn jedoch systemnahe Details geändert werden müssen, bleibt nur das Ausweichen auf Tools von Drittanbietern. Mit Unixshellscripts können sehr viele administrative Aufgaben automatisiert werden, was unter NT leider nicht so weit ausgereift ist. Hinter Unix stehen auch viele Entwicklungsjahre mehr als hinter Windows NT. Diese Tatsache dürfte ebenfalls für die Sicherheit eines Unixsystems sprechen. Dazu kommt noch, daß bei fast jedem Unixsystem ein kompletter C-Compiler zum Lieferumfang gehört. Die entsprechenden Kenntnisse in C und der Netzwerkprogrammierung vorausgesetzt, können viele Tools, die die Administration und die Überwachung des Systems erleichtern, selbst programmiert werden. Auch die Erweiterung des Betriebssystems an sich ist damit möglich. Für Windows NT müssen Compiler zusätzlich eingekauft werden, die zudem noch sehr hohe Preise besitzen und nicht die standardisierten Aufrufkonventionen von bestimmten Funktionen unterstützen, zum Beispiel MS Visual C++. Ein großer Nachteil nach des Autors Meinung ist, daß Windows NT immer eine grafische Oberfläche besitzt. Diese erleichtert zwar erheblich die Administration, da alles übersichtlich und leicht zu bedienen ist, aber viele Dinge lassen sich leichter und schneller auf einer Kommandozeile ausführen. Ein weiterer Nachteil ist der höhere Ressourcenverbrauch durch eine GUI und daß zum Beispiel ein zerschossener Grafiktreiber das ganze System abschießt. Eine simple Textkonsole als Oberfläche kennt solche Probleme nicht.
Unerläßlich für einen Firewalladministrator sind hervoragende Kenntnisse der Protokolle und ihrer Algorithmen für die Verbindungssteuerung. Mit diesem Wissen kann das Netzwerk besser passiv überwacht werden (Sniffer, Netzanalysatoren). Auch die aktive Überwachung durch selbst entwickelte Programme oder weiterentwickelte Systemdienste setzt dieses Wissen voraus. Die unterschiedlichen Angriffsvariationen und die ständig neu erscheinenden Hackertools müssen in ihrer ganzen Komplexität verstanden werden, um entsprechende Gegenmaßnahmen durchzuführen oder neue Angriffsarten selbst zu entdecken und zu entwickeln. Letzteres natürlich nur, um das eigene System zu testen und die Hersteller auf eventuelle Sicherheitslecks hinzuweisen. In diesem Sinne ist das Abonnieren von entsprechenden Mailing-Listen und das regelmäßige Lesen von Newsgruppen unerläßlich.
Die eingesetzte Eagle Firewall stellt nach Meinung des Autors ein sehr sicheres System dar. Das läßt sich dadurch begründen, daß die Firewall standardmäßig alle Protokolle, Dienste und Verbindungen blockiert und diese sukzessive erst freigegeben beziehungsweise erlaubt werden müssen. Die am häufigsten genutzten Dienste werden zudem als Proxy angeboten. Dazu kommt noch das automatische Eingreifen in das Windows NT System. Hierunter zählen das defaultmäßige Deaktivieren aller Shares sowie der nicht benötigten und unbekannten Windows NT Dienste. Das unter Punkt 6.4.6.1. beschriebene und im Punkt 7.5.5. bewiesene Sicherheitsproblem sowie die Existenz verschiedener Patches und Bugfixes beweist, daß auch die Eagle Firewall nicht frei von Sicherheitslücken ist. Das Installieren der Patches und Bugfixes sollte deshalb noch vor der Grundkonfiguration durchgeführt werden. Im Punkt 3.3.3. wurde das Einsetzen von IP-Adressen zur Unterstützung der Sicherheit im internen Netz aus dem Bereich reservierter privater Adressbereiche beschrieben. Der Autor testete diese Möglichkeit mit der Eagle Firewall. Das Ergebnis ist allerdings nicht zufriedenstellend. Während Paketfilter und lokale Tunnel anstandslos damit zurecht kamen, hatten die Proxies Probleme damit. Diese lagen hauptsächlich daran, die Antwortpakete an den richtigen Empfänger weiterzuleiten. Davon abgesehen, kann keine direkte Adreßumsetzung in der Art von IP-Masquerading konfiguriert werden. Es werden demnach die Originalpakete, wenn sie denn durchgelassen werden, am äußeren Router verworfen. Wünschenswert wäre eine Konfigurationsmöglichkeit, wo jede Quelladresse des internen Netzes vor Verlassen der Firewall auf eine andere Adresse abgebildet wird. Das Ganze natürlich auch in der umgekehrten Richtung. Zu erwähnen wäre noch, daß die Eagle Firewall sehr stabil ist und wahrscheinlich auch Windows NT stabiler macht. In der Zeit, in der diese Arbeit enstand, stürzte NT mehrmals ohne einen ersichtlichen Grund ab, jedoch nur, wenn keine Firewall lief.
Die Eagle Firewall ist auch in einer Unixversion verfügbar. Diese
unter einem leistungsfähigen Unixsystem mit einer Firewallarchitektur
mit überwachtem Teilnetz und Dual-Homed-Host plus Bastion-Hosts für
die zu verwendenden Proxies stellt eine ernsthafte und nach des Autors
Ansicht sicherere Alternative dar. Wenn dann noch die aufgezeigten kleinen
Mängel beseitigt werden und eine vernünftige Adreßumsetzung
(IP-Masquerading) dazu kommt, könnte diese Konfiguration das Non-plus-ultra
einer Firewall darstellen.
© by Stephan Pilz |