Bundesamt für Sicherheit in der Informationstechnik

M 2.70 Entwicklung eines Konzepts für Sicherheitsgateways

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Die Kopplung von lokalen Netzen mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot. Die lokale Vernetzung von Rechnersystemen sorgt dafür, dass von jedem Arbeitsplatzrechner aus auf die vielfältigen Informationen zugegriffen werden kann.

Diese Netzkopplung lässt aber auch neue Gefährdungen entstehen, da prinzipiell nicht nur ein Datenfluss von außen in das zu schützende Netz stattfinden kann, sondern auch ein Datenabfluss in die andere Richtung. Darüber hinaus gefährdet die Möglichkeit, von einem entfernten Rechner aus (z. B. aus dem Internet) Befehle auf Rechnern im lokalen Netz ausführen zu lassen, die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten.

Ein zu schützendes Teilnetz sollte daher nur dann an ein nicht-vertrauenswürdiges Netz angeschlossen werden, wenn dies unbedingt erforderlich ist. Dies gilt insbesondere für Anschlüsse an das Internet, das aufgrund der hohen Nutzerzahl das wohl am wenigsten vertrauenswürdige existierende Netz darstellt. Dabei ist auch zu prüfen, inwieweit das zu schützende Netz in Teilnetze segmentiert werden muss, weil bestimmte Rechner oder Bereiche des zu schützenden Netzes überhaupt nicht oder nur bedingt ans Internet angeschlossen werden sollten, und ob für die Kopplung mit dem Internet nicht ein Stand-alone-System ausreicht (siehe M 5.46 Einsatz von Stand-alone-Systemen zur Nutzung des Internets und Baustein B 3.208 Internet-PC ).

Um die Sicherheit des zu schützenden Netzes zu gewährleisten, muss ein geeignetes Sicherheitsgateway eingesetzt werden. Damit ein Sicherheitsgateway effektiven Schutz bieten kann, müssen folgende grundlegende Bedingungen erfüllt sein:

Das Sicherheitsgateway muss

  • auf einer umfassenden Sicherheitsrichtlinie aufsetzen,
  • im Sicherheitskonzept der Organisation eingebettet sein,
  • korrekt installiert und
  • korrekt administriert werden.

Der Anschluss an ein nicht-vertrauenswürdiges Netz darf erst dann erfolgen, wenn überprüft worden ist, dass mit dem gewählten Sicherheitsgateway-Konzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können.

Es gibt verschiedene Arten, Sicherheitsgateways zu realisieren. Um festzustellen, welches Konzept für den Einsatzzweck am besten geeignet ist, muss zunächst geklärt werden, welche Sicherheitsziele durch das Sicherheitsgateway erfüllt werden sollen.

Beispiele für Sicherheitsziele sind:

  • Schutz des vertrauenswürdigen (internen) Netzes gegen unbefugten Zugriff aus dem nicht-vertrauenswürdigen Netz,
  • Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität,
  • Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (Insbesondere gilt dies auch für Informationsserver, die Informationen aus dem internen Bereich für die Allgemeinheit zu Verfügung stellen.),
  • Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz, (die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!),
  • Schutz vor Angriffen, die auf IP-Spoofing beruhen, die Source-Routing Option, das Protokoll ICMP oder Routing-Protokolle missbrauchen,
  • Schutz vor Angriffen durch neue sicherheitsrelevante Softwareschwachstellen. (Da die Anzahl der potentiellen Angreifer und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss, ist dieses Sicherheitsziel von besonderer Bedeutung.)
  • Schutz vor ungewünschtem Datenabfluss.

Auf den Sicherheitszielen aufbauend muss eine Sicherheitsrichtlinie erarbeitet werden, in der Aufgaben und Anforderungen an das Sicherheitsgateway festgelegt werden. Diese Sicherheitsrichtlinie muss in die Sicherheitsstrategie der jeweiligen Organisation eingebettet sein und daher mit dem Sicherheitsmanagement abgestimmt werden.

Die Entscheidungen, die bei der Erarbeitung der Sicherheitsrichtlinie für das Sicherheitsgateway getroffen wurden, sollten - ebenso wie die Gründe für diese Entscheidungen - nachvollziehbar dokumentiert werden.

Die Umsetzung der Sicherheitsrichtlinie für das Sicherheitsgateway erfolgt dann durch die Realisierung des Sicherheitsgateways, durch geeignete Auswahl von Hardware-Komponenten, Paketfilter und Application-Level-Gateway und die sorgfältige Festlegung und Einrichtung von Filterregeln.

Die Begriffe Paketfilter und Application-Level-Gateway sind für die weiteren Abschnitte wichtig und werden daher kurz erläutert, um Missverständnisse zu vermeiden:

  • Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen anhand der Header-Daten der unteren Schichten (Transportschicht oder Verbindungsschicht) des OSI-Modells filtern und anhand spezieller Regeln Pakete weiterleiten oder verwerfen (siehe M 2.74 Geeignete Auswahl eines Paketfilters ). Paketfilter treffen ihre Entscheidungen beispielsweise anhand von Quell- und Ziel-Adressen oder -Ports eines Paketes, ohne den Inhalt zu berücksichtigen.
  • Ein Application-Level-Gateway ist ein IT-System, das die Informationen der Anwendungsschicht (das heisst, den tatsächlichen Inhalt (die Nutzdaten) eines Paketes oder mehrerer zusammengehöriger Pakete) filtert und anhand spezieller Regeln Verbindungen oder auch bestimmte Kommandos verbieten oder erlauben kann (siehe M 2.75 Geeignete Auswahl eines Application-Level-Gateways ). Während Paketfilter auf Schicht 3 und 4 des OSI-Modells arbeiten, arbeiten Gateways auf Schicht 7. Ein Application-Level-Gateway ist im Allgemeinen auf einem IT-System implementiert, das ausschließlich für diese Aufgabe eingesetzt wird und dessen Befehlsumfang auf das Notwendigste reduziert ist.

Damit ein Sicherheitsgateway einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen darstellt, müssen einige grundlegende Voraussetzungen erfüllt sein:

  • Die gesamte Kommunikation zwischen den beteiligten Netzen muss über das Sicherheitsgateway geführt werden. Dafür muss sichergestellt sein, dass das Sicherheitsgateway die einzige Schnittstelle zwischen den beiden Netzen darstellt. Es müssen Regelungen getroffen werden, dass keine weiteren externen Verbindungen unter Umgehung des Sicherheitsgateways geschaffen werden dürfen.
  • Ein Sicherheitsgateway darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden. Daher dürfen auf einem Sicherheitsgateway selbst nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste, wie z. B. ein Webserver, angeboten werden. Wie Informationsserver und andere Komponenten, die auf eigenen Systemen laufen, geeignet in ein Sicherheitsgateway integriert werden können, wird in einer Reihe eigener Maßnahmen für verschiedene Systeme beschrieben, siehe beispielsweise M 4.223 Integration von Proxy-Servern in das Sicherheitsgateway oder M 5.115 Integration eines Webservers in ein Sicherheitsgateway .
  • Die Administration der Komponenten des Sicherheitsgateways darf nur über einen gesicherten Zugang möglich sein, also z. B. über eine gesicherte Konsole, eine verschlüsselte Verbindung oder ein separates Netz (Administrationsnetz). Eine Konsole sollte in einem Serverraum aufgestellt sein (siehe B 2.4 Serverraum ).
  • Ein Sicherheitsgateway baut auf einer Sicherheitsrichtlinie auf, die für das zu schützende Netz definiert wurde, und gestattet nur die dort festgelegten Verbindungen. Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse, Dienst, Zeit, Richtung und Benutzer getrennt) festgelegt werden können.
  • Für die Konzeption und den Betrieb eines Sicherheitsgateways muss geeignetes Personal zur Verfügung stehen. Der zeitliche Aufwand für den Betrieb eines Sicherheitsgateways darf nicht unterschätzt werden. Alleine die Auswertung der angefallenen Protokolldaten nimmt oft viel Zeit in Anspruch. Der Administrator muss fundierte Kenntnisse der eingesetzten IT-Komponenten besitzen und entsprechend geschult werden.
  • Die Benutzer des lokalen Netzes sollten durch den Einsatz eines Sicherheitsgateways möglichst wenig Einschränkungen hinnehmen müssen.

Ein Sicherheitsgateway kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen, aber nicht vor allen. Beim Aufbau eines Sicherheitsgateways und der Erarbeitung einer Sicherheitsrichtlinie sollte man sich daher die Grenzen eines Sicherheitsgateways verdeutlichen:

  • Es werden Protokolle überprüft, nicht die übertragenen Informationen. Eine Protokollprüfung bestätigt beispielsweise, dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde, kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen.
  • Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich, da eventuell nicht alle verschiedenen Möglichkeiten zur Einbettung von aktiven Inhalten erkannt werden.
  • Sobald ein Benutzer eine Kommunikation über ein Sicherheitsgateway herstellen darf, kann er über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln. Damit könnte ein Innentäter einem Externen den Zugriff auf interne Rechner ermöglichen oder selbst unerlaubte Protokolle nutzen. Die unberechtigte Nutzung von Tunnel-Verfahren ist meist nur schwer feststellbar.
  • Eine Einschränkung der Internet-Zugriffe auf festgelegte Webserver ist praktisch unmöglich, da viele Webserver auch über Proxies nutzbar sind. Daher kann eine Sperrung bestimmter IP-Adressen leicht umgangen werden.
  • Software zum Filtern anhand von Web-Adressen ("URLs") ist häufig noch unausgereift. Beispielweise ist es möglich, dass nicht alle Arten der Adressierung erfasst werden. Das folgende Beispiel mit dem BSI -Webserver soll aufzeigen, welche Möglichkeiten zur Adressierung vorhanden sind. Die Liste ist bei weitem nicht vollständig, da einzelne Buchstaben auch durch Escape-Sequenzen dargestellt werden können.
    • www.bsi.bund.de
      www.bsi.de
      194.95.176.226
      3261051106
  • Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden.
  • Die Filterung von Spam-Mails ist noch nicht ausgereift. Kein SMTP-Proxy kann zweifelsfrei feststellen, ob eine E-Mail vom Empfänger erwünscht ist oder nicht. Spam-Mails dürften frühestens dann verschwinden, wenn die Absender von E-Mails zweifelsfrei nachweisbar sind. Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar.
  • Sicherheitsgateways schützen nicht vor allen Denial-of-Service-Angriffen. Wenn ein Angreifer z. B. die Anbindung zum Provider lahmlegt, hilft auch das beste Sicherheitsgateway nicht. Außerdem gibt es immer wieder Fehler in der Implementierung von Protokollen auf Endgeräten, die von Sicherheitsproxies nicht abfangen werden können.
  • Ein Sicherheitsgateway kann zwar einen Netzübergang sichern, er hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb der Netze!
  • Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Sicherheitsgateways können trotz großer Sorgfalt Programmierfehler enthalten.
  • Sicherheitsgateways können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen.
  • Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch ein Sicherheitsgateway hindurch ausgenutzt werden. Im Extremfall kann die Software des Sicherheitsgateways selbst Hintertüren enthalten.
  • Die korrekte Konfiguration der Komponenten des Sicherheitsgateways ist oft sehr anspruchsvoll. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen.
  • Ist die Dokumentation der technischen Ausstattung des Sicherheitsgateways durch den Hersteller mangelhaft, so begünstigt dies Fehler bei Konfiguration und Administration.
  • Wenn die Komponenten des Sicherheitsgateways falsch dimensioniert sind, kann die Verfügbarkeit beeinträchtigt werden. Wird beispielsweise der Rechner, auf dem ein HTTP-Sicherheitsproxy läuft, zu schwach dimensioniert (zu wenig Arbeitsspeicher, zu langsamer Prozessor), so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen.
  • Es kann nicht verhindert werden, dass Angreifer die Komponenten des Sicherheitsgateways mit Hilfe von Schwachstellenscannern analysieren.
  • Ein Sicherheitsgateway kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen.
  • Ein Sicherheitsgateway schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe").
  • Ein Sicherheitsgateway schützt nicht vor Social Engineering.
  • Werden mobile Endgeräte (Laptop, PDA etc.), die von Mitarbeitern auch extern benutzt werden, an das interne Netz angeschlossen, so kann auf diese Weise Schadsoftware (Viren, Würmer, Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden.
  • Ein Sicherheitsgateway schützt auch nicht davor, dass Schadprogramme auf Austauschmedien, z. B. CD-ROM , Diskette, USB-Stick in das vertrauenswürdige Netz eingeschleppt werden.

Prüffragen:

  • Besteht ein Konzept für das Sicherheitsgateway, das den Einsatzzweck und die Sicherheitsziele erfasst?

  • Wird die Verwendung des Sicherheitsgateways für die gesamte Netzwerkkommunikation vorgeschrieben?

  • Sind für die Administration der Komponenten des Sicherheitsgateways ausschließlich gesicherte Zugangsmöglichkeiten vorgesehen?

Stand: 13. EL Stand 2013