B 3.301 Sicherheitsgateway (Firewall)

Beschreibung
Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten, um IP-Netze sicher zu koppeln. Dazu wird die technisch mögliche auf die in einer IT-Sicherheitsleitlinie ordnungsgemäß definierte Kommunikation eingeschränkt. Sicherheit bei der Netzkopplung bedeutet hierbei die ausschließliche Zulassung erwünschter Zugriffe oder Datenströme zwischen verschiedenen Netzen.
Sicherheitsgateways werden am zentralen Übergang zwischen zwei unterschiedlich vertrauenswürdigen Netzen eingesetzt. Unterschiedlich vertrauenswürdige Netze stellen dabei nicht unbedingt nur die Kombination Internet-Intranet dar. Vielmehr können auch zwei organisationsinterne Netze unterschiedlich hohen Schutzbedarf besitzen, z. B. bei der Trennung des Bürokommunikationsnetzes vom Netz der Personalabteilung, in dem besonders schutzwürdige, personenbezogene Daten übertragen werden.
Die Verwendung des Begriffs Sicherheitsgateway anstatt des üblicherweise verwendeten Begriffs "Firewall" soll verdeutlichen, dass zur Absicherung von Netzübergängen heute oft nicht mehr ein einzelnes Gerät verwendet wird, sondern eine ganze Reihe von IT-Systemen, die unterschiedliche Aufgaben übernehmen, z. B. Paketfilterung, Schutz vor Viren oder die Überwachung des Netzverkehrs ("Intrusion Detection").
In diesem Baustein werden ausschließlich die für ein Sicherheitsgateway spezifischen Gefährdungen und Maßnahmen beschrieben. Zusätzlich sind noch die Gefährdungen und Maßnahmen zu betrachten, die für das IT-System, mit dem das Sicherheitsgateway realisiert wird, spezifisch sind. Oftmals werden Komponenten von Sicherheitsgateways auf einem Unix-System implementiert, in diesem Fall sind zusätzlich zu den im Folgenden beschriebenen Gefährdungen und Maßnahmen die in Baustein B 3.102 Server unter Unix beschriebenen zu beachten.
Gefährdungslage
Für den IT-Grundschutz eines Sicherheitsgateways werden die folgenden typischen Gefährdungen angenommen:
Organisatorische Mängel:
- | G 2.24 | Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes |
- | G 2.101 | Unzureichende Notfallvorsorge bei einem Sicherheitsgateway |
Menschliche Fehlhandlungen:
- | G 3.3 | Nichtbeachtung von IT-Sicherheitsmaßnahmen |
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
Technisches Versagen:
- | G 4.8 | Bekanntwerden von Softwareschwachstellen |
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.11 | Fehlende Authentisierungsmöglichkeit zwischen NIS-Server und NIS-Client |
- | G 4.12 | Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client |
- | G 4.20 | Datenverlust bei erschöpftem Speichermedium |
- | G 4.22 | Software-Schwachstellen oder -Fehler |
- | G 4.39 | Software-Konzeptionsfehler |
Vorsätzliche Handlungen:
- | G 5.2 | Manipulation an Informationen oder Software |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.18 | Systematisches Ausprobieren von Passwörtern |
- | G 5.24 | Wiedereinspielen von Nachrichten |
- | G 5.25 | Maskerade |
- | G 5.28 | Verhinderung von Diensten |
- | G 5.39 | Eindringen in Rechnersysteme über Kommunikationskarten |
- | G 5.48 | IP-Spoofing |
- | G 5.49 | Missbrauch des Source-Routing |
- | G 5.50 | Missbrauch des ICMP-Protokolls |
- | G 5.51 | Missbrauch der Routing-Protokolle |
- | G 5.78 | DNS-Spoofing und Pharming |
- | G 5.143 | Man-in-the-Middle-Angriff |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Ein Sicherheitsgateway schützt nicht vor Angriffen, die innerhalb des internen Netzes erfolgen. Um das interne Netz gegen Angriffe von Innentätern zu schützen, müssen auch beim Einsatz eines Sicherheitsgateways alle erforderlichen Sicherheitsmaßnahmen umgesetzt sein. Wenn es sich bei dem internen Netz beispielsweise um ein Unix- bzw. PC-Netz handelt, sind die in den jeweiligen Bausteinen beschriebenen Sicherheitsmaßnahmen umzusetzen.
Das Sicherheitsgateway sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende Maßnahmen sind in Baustein B 2.4 Serverraum beschrieben. Wenn kein Serverraum zur Verfügung steht, kann das Sicherheitsgateway alternativ in einem Serverschrank aufgestellt werden (siehe Baustein B 2.7 Schutzschränke ). Soll das Sicherheitsgateway nicht in Eigenregie, sondern von einem Dienstleister betrieben werden, so ist der Baustein B 1.11 Outsourcing anzuwenden. Insbesondere sollten die Empfehlungen in M 5.116 Integration eines E-Mailservers in ein Sicherheitsgateway beachtet werden.
Für den erfolgreichen Aufbau eines Sicherheitsgateway sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb der Komponenten. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.
-
Konzept der Netzkopplung mit Hilfe eines Sicherheitsgateway (siehe M 2.70 Entwicklung eines Konzepts für Sicherheitsgateways
):
- Festlegung der Sicherheitsziele
- Anpassung der Netzstruktur
- grundlegende Voraussetzungen
-
Policy des Sicherheitsgateways (siehe M 2.71 Festlegung einer Policy für ein Sicherheitsgateway
):
- Auswahl der Kommunikationsanforderungen
- Auswahl der Dienste (Vor der Diensteauswahl sollten die Erläuterungen und Randbedingungen aus M 5.39 Sicherer Einsatz der Protokolle und Dienste gelesen werden.)
- Organisatorische Regelungen
-
Sicherheitsrichtlinie für das Sicherheitsgateway (siehe M 2.299 Erstellung einer Sicherheitsleitlinie für ein Sicherheitsgateway
)
- Regelungen und Hinweise zum sicheren Betrieb und zur sicheren Administration des Sicherheitsgateways bzw. seiner einzelnen Komponenten
-
Beschaffung der Komponenten des Sicherheitsgateways:
- Auswahl des Grundaufbaus des Sicherheitsgateways (siehe M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways )
- Beschaffungskriterien (siehe M 2.74 Geeignete Auswahl eines Paketfilters und M 2.75 Geeignete Auswahl eines Application-Level-Gateways )
-
Aufbau des Sicherheitsgateways:
- Filterregeln aufstellen und implementieren (siehe M 2.76 Auswahl und Einrichtung geeigneter Filterregeln )
- Umsetzung der IT-Grundschutz-Maßnahmen für die Komponenten des Sicherheitsgateways
- Umsetzung der IT-Grundschutz-Maßnahmen, die IT-Systeme des internen Netzes überprüfen
- Randbedingungen für sicheren Einsatz der einzelnen Protokolle und Dienste beachten (siehe M 5.39 Sicherer Einsatz der Protokolle und Dienste)
- Einbindung weiterer Komponenten (siehe M 2.77 Integration von Servern in das Sicherheitsgateway )
-
Betrieb des Sicherheitsgateways: (siehe M 2.78 Sicherer Betrieb eines Sicherheitsgateways
)
- Regelmäßige Kontrolle
- Anpassung an Änderungen und Tests
- Protokollierung der Sicherheitsgateway-Aktivitäten (siehe M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten )
- Notfallvorsorge für das Sicherheitsgateway (ergänzend siehe Baustein B 1.3 Notfallvorsorge-Konzept )
- Datensicherung (siehe Baustein B 1.4 Datensicherungskonzept )
-
Betrieb der an das Sicherheitsgateway angeschlossenen Clients
- Auf Seite der Clients ist - neben den in den Client-Bausteinen beschriebenen Maßnahmen - zusätzlich die Maßnahme M 5.45 Sicherheit von WWW-Browsern zu beachten.
Es kann verschiedene Gründe geben, sich gegen den Einsatz eines Sicherheitsgateways zu entscheiden. Dies können die Anschaffungskosten oder der Administrationsaufwand sein, aber auch die Tatsache, dass die bestehenden Restrisiken nicht in Kauf genommen werden können. Falls trotzdem ein Anschluss an das Internet gewünscht ist, kann alternativ ein Stand-alone-System eingesetzt werden (siehe M 5.46 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ).
Nachfolgend wird das Maßnahmenbündel für den Bereich "Sicherheitsgateway" vorgestellt.
Planung und Konzeption
- | M 2.70 | (A) | Entwicklung eines Konzepts für Sicherheitsgateways |
- | M 2.71 | (A) | Festlegung einer Policy für ein Sicherheitsgateway |
- | M 2.301 | (Z) | Outsourcing des Sicherheitsgateway |
Beschaffung
- | M 2.73 | (A) | Auswahl geeigneter Grundstrukturen für Sicherheitsgateways |
- | M 2.74 | (A) | Geeignete Auswahl eines Paketfilters |
- | M 2.75 | (A) | Geeignete Auswahl eines Application-Level-Gateways |
- | M 2.299 | (A) | Erstellung einer Sicherheitsrichtlinie für ein Sicherheitsgateway |
Umsetzung
- | M 2.76 | (A) | Auswahl und Einrichtung geeigneter Filterregeln |
- | M 2.77 | (A) | Integration von Servern in das Sicherheitsgateway |
- | M 3.43 | (C) | Schulung der Administratoren des Sicherheitsgateways |
Betrieb
- | M 2.78 | (A) | Sicherer Betrieb eines Sicherheitsgateways |
- | M 2.302 | (Z) | Sicherheitsgateways und Hochverfügbarkeit |
- | M 4.47 | (A) | Protokollierung der Sicherheitsgateway-Aktivitäten |
- | M 4.100 | (C) | Sicherheitsgateways und aktive Inhalte |
- | M 4.101 | (C) | Sicherheitsgateways und Verschlüsselung |
- | M 4.222 | (B) | Festlegung geeigneter Einstellungen von Sicherheitsproxies |
- | M 4.223 | (B) | Integration von Proxy-Servern in das Sicherheitsgateway |
- | M 4.224 | (Z) | Integration von Virtual Private Networks in ein Sicherheitsgateway |
- | M 4.225 | (Z) | Einsatz eines Protokollierungsservers in einem Sicherheitsgateway |
- | M 4.226 | (Z) | Integration von Virenscannern in ein Sicherheitsgateway |
- | M 4.227 | (C) | Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation |
- | M 5.39 | (A) | Sicherer Einsatz der Protokolle und Dienste |
- | M 5.46 | (A) | Einsatz von Stand-alone-Systemen zur Nutzung des Internets |
- | M 5.59 | (A) | Schutz vor DNS-Spoofing |
- | M 5.70 | (A) | Adreßumsetzung - NAT (Network Address Translation) |
- | M 5.71 | (Z) | Intrusion Detection und Intrusion Response Systeme |
- | M 5.115 | (Z) | Integration eines Webservers in ein Sicherheitsgateway |
- | M 5.116 | (Z) | Integration eines E-Mailservers in ein Sicherheitsgateway |
- | M 5.117 | (Z) | Integration eines Datenbank-Servers in ein Sicherheitsgateway |
- | M 5.118 | (Z) | Integration eines DNS-Servers in ein Sicherheitsgateway |
- | M 5.119 | (Z) | Integration einer Web-Anwendung mit Web-, Applikations- und Datenbank-Server in ein Sicherheitsgateway |
- | M 5.120 | (A) | Behandlung von ICMP am Sicherheitsgateway |
Aussonderung
- | M 2.300 | (C) | Sichere Außerbetriebnahme oder Ersatz von Komponenten eines Sicherheitsgateways |
Notfallvorsorge
- | M 6.94 | (C) | Notfallvorsorge bei Sicherheitsgateways |