Bundesamt für Sicherheit in der Informationstechnik

M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Nachdem eine Sicherheitsrichtlinie für das Sicherheitsgateway festgelegt worden ist, muss entschieden werden, mit welchen Komponenten das Sicherheitsgateway realisiert werden soll. Dafür ist eine geeignete Anordnung auszuwählen.

Grundlegende Strukturen von Sicherheitsgateways

Im Wesentlichen bieten sich zwei sinnvolle Grundstrukturen an, die als Anhaltspunkt zum Aufbau eines Sicherheitsgateways dienen können. Die grundlegenden Strukturen werden im Folgenden erläutert.

1. Paketfilter - Application-Level-Gateway - Paketfilter (P-A-P)

Bei dieser Grundstruktur werden ein Paketfilter, ein Application-Level-Gateway ( ALG ) und ein weiterer Paketfilter "hintereinander geschaltet", so dass jeglicher Datenverkehr alle drei Komponenten überqueren muss. In der folgenden Abbildung sind beispielhaft einige Möglichkeiten zur Einrichtung von "Demilitarisierten Zonen" ( DMZ ) eingezeichnet, in denen weitere Komponenten des Sicherheitsgateways in einer geschützten Umgebung betrieben werden können.

Der Einsatzbereich für diesen Typ von Sicherheitsgateways ist vor allem die Trennung zweier Netze, falls sich das Maß der Vertrauenswürdigkeit dieser Netze erheblich unterscheidet (z. B. Trennung des Internets von einem Intranet), oder Trennung zweier Teilnetze des internen Netzes mit deutlich unterschiedlichen Sicherheitsanforderungen.

Bei den beiden Paketfiltern braucht es sich nicht notwendigerweise um dedizierte IT-Systeme (Rechner oder Appliances) zu handeln. Falls die eingesetzten Router eine integrierte Paketfilter-Funktionalität besitzen, so können die Router die Funktion des Paketfilters im Sicherheitsgateway mit übernehmen.

Die Möglichkeiten der Paketfilter-Funktionalität in Routern sind jedoch oft eingeschränkt, so dass in bestimmten Einsatzszenarien ein dedizierter Paketfilter erforderlich sein kann.

2. Nur Paketfilter

Die einfachste Grundstruktur eines Sicherheitsgateways besteht ausschließlich aus einem Paketfilter.

Das Grundproblem bei der Filterung der Kommunikation alleine mit einem Paketfilter liegt darin, dass die Entscheidung darüber, ob ein Zugriff erlaubt oder abgewiesen werden soll, anhand der leicht zu fälschenden Daten aus den Headern der verschiedenen IP-basierten Protokolle gefällt wird.

Einsatzbereiche sind deshalb vor allem:

  • Trennung zweier Netze, falls sich das Maß der Vertrauenswürdigkeit dieser Netze nur wenig voneinander unterscheidet (z. B. Trennung des Internets von einem Intranet mit nur geringem Schutzbedarf).
  • Trennung zweier organisationsinterner Netze.
  • Privater Bereich (Schutz des "heimischen" Rechners beim Zugriff auf das Internet).

Die Verwendung eines zusätzlichen IP-Proxys kann verhindern, dass Informationen des IP-Headers, wie beispielsweise die IP-ID oder die TTL ("Time-To-Live"), das vertrauenswürdige Netz verlassen. Mittels der IP-ID kann trotz NAT-Funktion die Anzahl der Rechner in einem vertrauenswürdigen Netz bestimmt werden und die TTL lässt Rückschlüsse auf verwendete Betriebssysteme zu. Über Paketfilterregeln oder entsprechendes Routing muss sichergestellt werden, dass der IP-Proxy nicht umgangen werden kann.

Vor- und Nachteile der Grundstrukturen

Prinzipiell ist der oben dargestellte P-A-P-Aufbau zur Erzielung eines hohen Sicherheitsniveaus in allen Anwendungszusammenhängen zu empfehlen. Wird auf Komponenten dieses Aufbaus verzichtet, so ist dies stets mit Sicherheitseinbußen verbunden.

In der folgenden Tabelle werden Vor- und Nachteile bzw. Einsatzumgebungen sowohl für den P-A-P-Aufbau, als auch für einen einzelnen Paketfilter beschrieben.

Paketfilter - ALG - Paketfilter (P-A-P) Paketfilter
  • Kann als Grundlage Sicherstellung eines hohen Sicherheitsniveau dienen.
  • Hohe Komplexität aufgrund der Verwendung mehrerer Module.
  • Nicht in jedem Anwendungszusammenhang einsetzbar. Beispielsweise kann IPSEC-Verkehr nicht über einen TCP/IP-Proxy geleitet werden.
  • Einfache Erweiterungsmöglichkeiten, z. B. kann ein Virenscanner oder ein Spam-Filter ohne großen Aufwand an das ALG angeschlossen werden.
  • Die Ausnutzung von Sicherheitslücken in Client-Software kann teilweise verhindert werden.
  • Umfangreiche Protokollierungsmöglichkeiten.
  • Kein hohes Sicherheitsniveau, höchstens für normalen Schutzbedarf ausreichend.
  • Gegenüber einem P-A-P-Aufbau relativ einfache Administration.
  • Geringe Investitionskosten (kostenlose Software unter verschiedenen Betriebssystemen vorhanden).
  • Keine wesentliche Einschränkung des maximalen Datendurchsatzes am Netzübergang.
  • Einfache, grundlegende Absicherung.
  • Integration auf einem zu schützenden Rechner theoretisch möglich (z. B. kann ein Web-Server gleichzeitig als Paketfilter genutzt werden).
  • Bereitstellung neuer Dienste gegenüber P-A-P-Aufbau stark vereinfacht.

Tabelle 1: Vor- und Nachteile des P-A-P Aufbaus und von Paketfiltern

Auf dem Application-Level-Gateway laufen so genannte Proxy-Prozesse (oft auch Proxy-Server genannt), die den Verbindungsaufbau zum Zielrechner durchführen, nachdem eine Authentisierung des Benutzers stattgefunden hat, und die Daten gemäß den Informationen der Anwendungsschicht filtern. Verbindungen, für die keine Proxy-Prozesse existieren, sind nicht möglich.

Rechner, auf denen einzelne Komponenten des Sicherheitsgateways realisiert werden, müssen so eingerichtet werden, dass nur die unbedingt notwendigen Programme auf ihnen laufen (Minimalsystem). Die eingesetzten Programme müssen richtig konfiguriert sind und alle bekannten Schwachstellen müssen beseitigt werden.

Werden zur Erzielung eines hohen Sicherheitsniveaus mehrere Systeme hintereinander geschaltet, so ist es dringend zu empfehlen, diese Systeme auf verschiedenen Systemen zu realisieren (z. B. mit unterschiedlichen Betriebssystemen). Dadurch wird verhindert, dass ein Angreifer das Sicherheitsgateway besonders leicht überwinden kann, indem er auf allen beteiligten Systemen die gleiche Sicherheitslücke ausnutzt.

Hinweise zur Auswahl einer Grundstruktur

Die Frage, welcher Typ eines Sicherheitsgateways eingesetzt werden soll, ist einerseits davon abhängig, wie groß der Unterschied der Vertrauenswürdigkeit der zu trennenden Netze ist (d. h. "wie wenig vertrauenswürdig" das nicht-vertrauenswürdige Netz ist), und andererseits davon, wie hoch der Schutzbedarf des Netzes ist, das durch das Sicherheitsgateway geschützt werden soll.

Das Internet ist in diesem Zusammenhang das am wenigsten vertrauenswürdige Netz. Soll das eigene Netz mit dem Internet verbunden werden, so sollte grundsätzlich der mehrstufige P-A-P-Aufbau gewählt werden. Nur in Ausnahmefällen kann davon abgewichen werden, beispielsweise bei sehr kleinen Netzen, bei denen ein mehrstufiges Sicherheitsgateway einen unverhältnismäßig hohen Aufwand bedeuten würde, oder wenn das eigene Netz nur einen geringen Schutzbedarf hat. Auch in solchen Fällen muss jedoch mindestens ein Paketfilter eingesetzt werden, der besonders sorgfältig zu konfigurieren ist.

Falls das weniger vertrauenswürdige Netz "nur in geringem Maße nicht-vertrauenswürdig" ist, brauchen die Netze nicht durch ein mehrstufiges Sicherheitsgateway getrennt zu werden. In diesem Fall ist ein sorgfältig konfigurierter Paketfilter meist ausreichend.

Nur in geringem Maße nicht-vertrauenswürdige Netze können beispielsweise folgende Netztypen darstellen:

  • andere (organisations-) interne Netze
  • Netze ohne Verbindung zum Internet
  • Netze mit Verbindung zum Internet, die ihrerseits durch besondere Sicherheitsmaßnahmen (z. B. durch ein eigenes Sicherheitsgateway) vom Internet abgeschottet sind

Folgende Tabelle fasst die Empfehlungen zusammen:

Einsatzgebiet Empfohlener Aufbau
Trennung zweier Teilnetze des internen Netzes mit gleichem Schutzbedarf Paketfilter. Bei normalem Schutzbedarf genügt ein Router mit integrierter Paketfilter-Funktion.
Trennung zweier Teilnetze des internen Netzes mit unterschiedlichem Schutzbedarf (insbesondere: Teilnetz mit hohem Schutzbedarf und Teilnetz mit normalem Schutzbedarf) Mindestens Paketfilter.
Falls vom weniger vertrauenswürdigen Netz aus auf einen Dienst im Netz mit hohem Schutzbedarf zugegriffen werden soll, dann ist es empfehlenswert, diesen Zugriff über ein ALG abzusichern.
Trennung eines Teilnetzes mit besonderen Sicherheitsanforderungen von einem anderen internen Netz Mehrstufiger Aufbau aus Paketfilter - ALG - Paketfilter.
Zusätzlich ist in diesem Fall eine ergänzende Sicherheitsbetrachtung notwendig.
Der mehrstufige Aufbau kann hier nur als Grundlage für sehr hohe Sicherheit dienen. In der Regel werden zusätzliche Maßnahmen notwendig sein, für die aber keine allgemeinen Empfehlungen möglich sind.
Trennung des eigenen Netzes vom Internet Grundsätzlich mehrstufiger Aufbau aus Paketfilter - ALG - Paketfilter.
In Ausnahmefällen (sehr kleines Netz, kein hoher Schutzbedarf) kann ein Paketfilter (beispielsweise in Verbindung mit einem NAT-Router) ausreichend sein.
Zumindest für Dienste wie E-Mail und HTTP wird der Einsatz eines entsprechenden Proxyservers dringend empfohlen.
Bei normalem Schutzbedarf kann gegebenenfalls auf den inneren Paketfilter verzichtet werden.
Falls kein P-A-P-Aufbau gewählt wird, wird eine zusätzliche Risikobetrachtung dringend empfohlen.

Tabelle 2: Empfehlungen für Grundstrukturen

Andere Strukturen

Neben den bisher beschriebenen Strukturen sind weitere Strukturen möglich, die meist aus einem Verzicht auf Komponenten des P-A-P-Aufbaus resultieren. Dies ist jedoch immer mit Einbußen bei der Sicherheit verbunden.

Gelegentlich wird beispielsweise auf den "inneren" Paketfilter verzichtet, der das ALG vom vertrauenswürdigen (bzw. internen) Netz trennt. Da einerseits die meisten Router bereits eine integrierte Paketfilter-Funktionalität bieten und angesichts der vergleichsweise geringen Kosten für einen entsprechend ausgestatteten Rechner gibt es jedoch kaum schlüssige Gründe, auf einen der Paketfilter zu verzichten.

Appliances

Verschiedene Hersteller bieten Sicherheitsgateways als Appliances an. Dabei handelt es sich um vorkonfigurierte Geräte, die zwar teilweise aus normalen Rechner-Komponenten aufgebaut sind und unter einem darauf angepassten herkömmlichen Betriebssystem laufen, aber nur für einen genau vorgegebenen Einsatzzweck (hier: Paketfilter bzw. ALG) hergestellt und konfiguriert wurden. Die Bandbreite der angebotenen Geräte reicht von reinen Paketfiltern bis zu mehrstufigen Lösungen, die in einem Gerät mehrere Komponenten eines Sicherheitsgateway integrieren.

Gegenüber einem Aufbau des Sicherheitsgateways aus "normalen" Rechnern, die (in Eigenregie oder durch einen Dienstleister) entsprechend konfiguriert werden, bieten Appliances oft den Vorteil einer einfacheren Konfiguration. Dem steht jedoch meist der Nachteil gegenüber, dass die Konfiguration weniger flexibel ist und weniger Möglichkeiten zur Anpassung an individuelle Bedürfnisse bietet.

Appliances, die mehrere Funktionen (z. B. Paketfilter und ALG) unter einer Betriebssysteminstallation betreiben, haben gegenüber einer Realisierung des Sicherheitsgateways durch drei getrennte Systeme den weiteren Nachteil, dass ein Angreifer nur die Sicherheitsmechanismen eines einzigen Betriebssystems überwinden muss, um das Sicherheitsgateway komplett zu kompromittieren. Dieser Aspekt muss bei der Planung des Sicherheitsgateways mit berücksichtigt werden. Soll trotzdem ein entsprechendes Gerät eingesetzt werden, so können gegebenenfalls zusätzliche Sicherheitsmaßnahmen erforderlich werden, um das angestrebte Sicherheitsniveau zu erreichen.

Dokumentation

Die Entscheidung für eine bestimmte Struktur sollte zusammen mit den Gründen, die für die Entscheidung ausschlaggebend waren, nachvollziehbar dokumentiert werden.

Prüffragen:

  • Sind geeignete Strukturen für das Sicherheitsgateway auf der Grundlage der Sicherheitsrichtlinie auswählt?

Stand: 13. EL Stand 2013