Firmen-Netzwerke werden heute von vielen Seiten bedroht. Dazu gehören sowohl Angriffe von "innen", z.B. von PCs, die bereits im internen Netz sind und keine weiteren Schranken überwinden müssen, als auch Angriffe von "außen". Dazu zählt alles, was von externen Verbindungen auf das interne Netz zugreift bzw. zugreifen will: in erster Linie also alles, was aus dem Internet kommt. Die Zugriffe von außen auf das Firmennetz kann man wiederum in 2 Gruppen einteilen:
- gewollte Verbindungen, also alle nach außen angebotenen Dienste, wie z.B. email oder ein Web-Server
- ungewollte Verbindungen, also alle Bemühungen, unerlaubterweise auf das Firmennetz zuzugreifen, egal mit welcher Intention.
Die Bedrohung wird sich im ersten Fall also darauf richten, diese angebotenen Dienste entweder zu mißbrauchen (z.B. um massenhaft mails unter falscher Absenderadresse zu versenden, Stichwort spam-bot Netze) oder sie zu stören, indem man z.B. einen Web-Server mit entsprechend präparierten Anfragen zu Dingen "überredet", für die er nun wirklich nicht gedacht war oder indem man den Mail Server mit spam mails überhäuft, die dann erst mal von den Benutzern wieder aussortiert werden müssen.
Der zweite Fall umfaßt alle Angriffe, die sich darauf richten, ins interne Netzwerk einzudringen. Dazu gehören beispielsweise neben den klassischen Versuchen, direkt auf die Rechner im internen Netz zuzugreifen auch ausgefeiltere Methoden, wie z.B der Empfang von Viren-/Trojaner-verseuchten mails, die dann beim Öffnen ihre Schadroutinen aktivieren können und somit einen Zugang von "außen" ermöglichen, obwohl man diesen so nie erlaubt bzw. eingerichtet hat.
Ein Schutz gegen die oben angeführten Bedrohungen ist keine "black box", sondern ein Konzept. Deshalb ist die hier vorgestellte Konfiguration auch keine "out-of-the-box" Lösung, sondern eine bewährte Grundlage, auf der wir für viele Kunden eine nach deren Bedürfnissen angepaßte - und damit entsprechend leistungsfähige - Absicherung realisieren konnten.
Überblick
Manche Hersteller bieten heute Geräte an, die ein Netzwerk komplett schützen sollen. In den Marketingaussagen liest sich das so, daß man diese Geräte einmal installiert und damit hat man einen kompletten Schutz und braucht sich um nichts mehr zu kümmern. Das ist nicht nur Unsinn, sondern hochgradig gefährlich, denn es wiegt den Anwender in falscher Sicherheit. In dem selben Maß wie sich die Bedrohungs- Szenarien laufend ändern, muß auch der Schutz, also die Abwehr-Strategie, immer wieder an die veränderten Gegebenheiten angepaßt werden. Dafür braucht man keine "black box", sondern eine flexible Lösung, die sich entsprechend anpassen und - bei Bedarf - auch erweitern läßt.
Die im folgenden vorgestellte Lösung für den Schutz von "außen" besteht aus der Kombination von 2 Teilen: einer Firewall und einem Server.
Der Funktionsumfang beider Geräte zusammen umfaßt die Punkte:
- Firewall mit VPN, Traffic-Shaping, RADIUS- Authentifizierung
- Virenschutz für mails
- Spam und Phishing Erkennung für mails
- Archivierung von mails (Option)
- POP3 und IMAP Server (Option)
- Virenschutz für Internet-Seiten und -Downloads
- Web-Filterung (URL-Muster, Worte, Phrasen, MIME-Typen)
- DNS-Server zur schnellen Namensauflösung (cache)
- NTP-Server (Zeit-Server für alle internen Server und PCs)
- Web-Server
- Überwachung von allen Servern und Diensten im gesamten Netzwerk
- Intrusion-Detection
- Statistiken
- Selbstschutz (Erkennung von Systemveränderungen)
- Automatische Updates
Die Firewall an vorderster Front sorgt dafür, daß nur erwünschte Verbindungen von außen, also vom Internet, nach innen aufgebaut werden können. Umgekehrt läßt sie auch nur bestimmte Verbindungen nach außen zu, d.h. ein bereits infizierter PC (z.B. mit Spam-Trojaner) kann nach außen keine spam-mails versenden, was der Reputation einer Firma verständlicherweise nicht sehr zuträglich wäre.
Zum Vergrößern bitte anklicken
Grundsätzlich dürfen niemals Verbindungen von "außen", also von der Internetseite der Firewall, nach "innen", also ins interne Netz (LAN), aufgebaut werden. Das beinhaltet auch alle angebotenen Dienste, wie Web-Server, Mail-Server, Terminal-Server usw.. Diese Dienste und damit auch die Server, auf denen diese Dienste laufen, werden alle in einen getrennt abgesicherten Bereich der Firewall, in die sog. "demilitarisierte Zone" (DMZ) verschoben. Damit laufen alle Zugriffe von außen in diesen speziell gesicherten Bereich und bei Bedarf von diesem Bereich nach eingehender Prüfung ins interne Netz. Für mails bedeutet das, daß sie nicht mehr, wie bisher vom vorhandenen Mail-Server (Microsoft Exchange, Novell GroupWise, ...) empfangen werden, sondern von dem "Mail Gateway" in der DMZ. Dieser bewertet die empfangenen mails nach spam-Kriterien, erlaubten Inhalten usw. (genaue Beschreibung s.u.) und untersucht sie einschließlich aller Anhänge mit mehreren Virenscannern (mind. 3) auf Schadsoftware. Erst wenn alle diese Tests positiv verlaufen sind, wird die mail an den internen Mail Server weitergeleitet. Umgekehrt läuft es beim Versenden von mails: diese werden vom internen Mail Server an das "Mail Gateway" zugestellt, das sie dann genauso wie empfangene mails auf Viren untersucht, einzig der spam Test entfällt.
Für den Benutzer ändert sich dadurch nichts außer der Sicherheit. Er weiß, daß keine gefährlichen mails mehr ankommen, er hat weniger Arbeit, weil die spam mails vorher schon aussortiert wurden (mehrstufig) und er kann nicht versehentlich von einem evtl. infizierten PC aus Viren nach außen versenden. Beim Einsatz mehrerer Virenscanner ist man auch rechtlich (Haftung) auf der sicheren Seite, d.h. es wurde mehr als genug dafür unternommen, keine Viren zu versenden.
Die zweite Funktion dieses "Mail Gateway / Internet Proxy" ist der Schutz von PCs beim Zugriff auf das Internet, sprich beim browsen. Alle Browser auf den PCs im internen Netz sollten so eingerichtet werden, daß sie als sog. "proxy" das "Mail Gateway" verwenden. Alle unverschlüsselten Zugriffe (also http und ftp, nicht aber https) auf Internetseiten laufen dann nicht mehr direkt, sondern über den Umweg des proxy Servers auf dem "Mail Gateway". Dieser untersucht die empfangenen Internetseiten und herunter geladenen Dateien (downloads) auf Viren und andere Angriffsmuster. Erst danach werden die Seiten an den PC ausgeliefert. Zusätzlich kann man noch bestimmte Seiten, oder Seiten mit bestimmten Inhalten sperren. Dazu werden die Seiten sowohl auf Worte und Phrasen untersucht, als auch auf bestimmte Inhalts-Typen, z.B. Video streams (TV Sendungen), Bilddateien, Audiodateien, usw..
Realisierung
Außer den Virenscannern verwenden wir ausschließlich etablierte open source Software auf der Basis von Debian-Linux als Betriebssystem, das speziell im Serverbereich einen ausgezeichneten Ruf wegen seiner Stabilität besitzt.
Die Hardware für die Firewall besteht aus einer 19" 1HE Appliance mit 4, 8 oder 12 Netzwerkanschlüssen, je nach Bedarf (wenn man z.B. das Buchhaltungsnetz oder ein WLAN getrennt absichern will, benötigt man entsprechend mehr Anschlüsse). Für das "Mail Gateway / Internet Proxy" verwenden wir entweder eine 19" 1HE Appliance oder einen Standard 19" 1HE Server.
Funktionsumfang
Firewall:
- Beschränkt auf wesentliche Funktionen, keine zusätzlichen Dienste, die das System im Gesamten unsicherer machen würden (wie z.B. bei integrierten Systemen, bei denen Firewall, mail Server, Proxy, Drucker-Server usw. alle auf einem Gerät laufen).
- Es stehen 3 Geräte zur Auswahl mit 4, 8 oder 12 ports. Die Standard-Konfiguration benötigt 3 ports, s. Abb. oben. Die weiteren ports können bei Bedarf verwendet werden für WLANs, Terminal-Server, VPN-Router, zusätzliche abgetrennte und abgesicherte Bereiche wie z.B. Buchhaltung, usw..
- Paket-Filter (statefull inspection).
- Traffic shaper (Begrenzung der Bandbreite für bestimmte Dienste).
- Authentifizierung via RADIUS Server.
- IPSec VPN.
- Grundsätzlich sicheres Konzept: alles ist verboten außer man erlaubt etwas explizit.
Mail Gateway:
- Spam-Klassifizierung.
Die mails werden nach ihrer spam-Wahrscheinlichkeit in 3 Klassen eingeteilt ("sicher spam", "wahrscheinlich spam", "kein spam").
- Überprüfung auf Schadsoftware (Viren, Trojaner, ...).
Mindestens 3 unabhängige Virenscanner (2 davon sind open source bzw. kostenlos) sorgen für eine sehr hohe Erkennungsrate. Nahezu alle Archiv-Formate (zip, rar, ...) werden unterstützt (inkl. der Erkennung von sog. zip-Bomben, das sind kleine modifizierte zip-Dateien, die beim Entpacken auf viele GB Größe anwachsen und auch heutige Festplatten überfordern). Infizierte mails werden in einen Quarantäne- Bereich verschoben, der Virus wird durch eine Textnachricht ersetzt.
- Überprüfung von Internet-Verweisen (Links) in der mail auf Phishing.
Phishing ist heute eine der größten Gefahrenquellen, weil man im Text von Links das eigentliche Ziel vor dem Anwender sehr einfach verstecken kann. Wird z.B. zum Ausspähen von PIN/TAN beim Online-Banking benutzt.
- Überprüfung von Anhängen nach Typ und Inhalt.
Damit kann man grundsätzlich den Empfang bestimmter Dateien (z.B. exe Dateien, Audio-Dateien, ...) unterbinden, bei Bedarf auch innerhalb von komprimierten Dateien (zip, rar, usw.). Unerlaubte Anhänge werden in einen Quarantäne-Bereich verschoben und durch eine Textnachricht zur Information für den Empfänger ersetzt.
- Deaktivierung gefährlicher HTML Abschnitte in mails.
Beim Öffnen von mails können Bilder, Text oder ausführbare Programme automatisch aus dem Internet nachgeladen werden (speziell Microsoft Outlook ist hier sehr anfällig).
- Deaktivierung von sog. Web-Bugs.
Das sind kleine unsichtbare Bilder in einer HTML-mail, über die der Absender feststellen kann, ob die mail geöffnet wurde. Dieses dient zur Verifizierung von mail Adressen bei spam Versendern.
- Manuelle whitelist/blacklist.
Explizites Erlauben/Ablehnen von von mail-Absendern oder ganzen Domänen, auch IP-Adressen bzw. IP-Adressmuster sind möglich.
- Automatische blacklists.
Mehrere sehr gut gepflegte blacklists (d.h. konservativ eingestellt um sog. false positives auszuschließen) werden täglich aus dem Internet aktualisiert. Damit kann ein Großteil von spam-mails sehr zuverlässig und schnell bereits vor dem Empfang der eigentlichen mail abgewiesen werden.
- Adaptive und selbst lernende greylist für die Abwehr von spam-mails.
Die mails werden, wie bei den blacklists, bereits abgewiesen, bevor sie empfangen werden und verbrauchen dadurch keine wertvollen Resourcen (Bandbreite auf der Internetleitung und Belastung des Mail Gateways durch den aufwendigen Prozess der spam-Überprüfung). Die Ergebnisse der spam-Überprüfung von empfangenen mails steuern über einen (adaptiven) Rückkoppelungseffekt das Verzögerungs-Verhalten dieses Filters. Für eine optimale Einstellung wird dafür auch zwischen statischen und dynamischen IP Adressen des Absenders unterschieden. Nachdem spam-"Angriffe" von sog. bot-Netzen (meist PCs mit dynamischer IP Adresse) i.d.R. in Wellen, dafür aber nur für kurze Zeit, erfolgen, werden die Filter-Regeln an diese Gegebenheiten automatisch angepaßt. Empfänger von ausgehenden mails werden automatisch für eine begrenzte Zeit in die whitelist aufgenommen (selbst lernend).
- Überprüfung von unterschiedlichen fuzzy-Prüfsummen zur spam-Erkennung.
- Bayes Filter zur spam-Erkennung (nur falls gewünscht).
Diese Filter waren einmal sehr wirkungsvoll, werden aber heute durch sog. "poisoning" gezielt von den spam-Versendern getäuscht ("vergiftet"). Nachdem dieser Filter einen sehr hohen Resourcen-Bedarf hat und praktisch keinen meßbaren Nutzen mehr bringt (außer bei sehr aufwendiger und sorgsamer manueller Pflege), ist er standardmäßig deaktiviert.
- Mail-Abholung von POP3 Konten (z.B. für "alte" t-online.de Adressen).
- POP3 und IMAP Server (falls benötigt).
- LDAP Authentifizierung (falls benötigt).
- Archivierung von mails (falls benötigt und erlaubt, Betriebsverfassungsgesetz).
- Umfangreiche Satistiken.
Internet Proxy für Web-Zugang:
- Whitelist/blacklist: explizites Erlauben/Ablehnen von Web-Adressen (z.B. können alle Werbe-Seiten wie doubleclick unterdrückt werden, dadurch laden manche Seite wie google.de auch schneller).
- Filterung der abgerufenen Web-Seiten nach Worten.
- Filterung der abgerufenen Web-Seiten nach Phrasen.
- Untersuchung der abgerufenen Web-Seiten nach Viren.
- Untersuchung von herunter geladenen Dateien (downloads) auf Viren.
- Automatische Aktualisierung von öffentlichen blacklists.
- Umfangreiche Satistiken.
Überwachungs-Server:
- Überwachung aller Dienste und Parameter (Festplattennutzung, Prozessorbelastung, ...) des "Mail Gateway / Internet Proxy" selbst.
- Überwachung von allen Servern (Verfügbarkeit, Dienste, Parameter) und der Netzwerkinfrastruktur (Switches, ...) im eigenen Netz.
- Überwachung der "Güte" von Internet- und VPN-Verbindungen (Latenzzeiten, Abweichungen vom Mittelwert).
- Umfangreiche Kurz- und Langzeit Satistiken aller Parameter.
- Benachrichtigung per mail bei Überschreitung von Grenzwerten.
Zeit-Server:
- NTP-Server wird mit mehreren Zeit-Servern im Internet abgeglichen und kann damit als zentraler Zeit-Geber für das ganze interne Netz dienen (einheitliche Zeiteinstellung auf allen Servern, PCs, usw.).
DNS-Server:
- Puffert DNS Abfragen ins Internet (DNS-cache) und vermindert dadurch die Belastung der Internet-Verbindung und beschleunigt die spam-Erkennung von mails, die DNS sehr intensiv nutzt.
- Lokal gespiegelte DNS blacklists, was sehr viele DNS-Zugriffe ins Internet spart (Geschwindigkeitsvorteil und Unabhängigkeit). Wird automatisch laufend bei Änderungen aktualisiert.
- Kompletter, abgesicherter DNS-Server z.B. als backup-DNS-Server für interne domains (z.B. für Windows-Server).
Web-Server:
- Apache 2 Web-Server für das Anzeigen der Statistiken.
- Kann auch als Web-Server für die Firmen-Domäne verwendet werden, sofern die Internet-Verbindung den Anforderungen dafür genügt.
Allgemein:
- Stündliche Aktualisierung der Viren-Scanner.
- Tägliche Aktualisierung der spam-Scanner und blacklists.
- Intrusion Detection System (IDS) zur Absicherung des Servers selbst oder des gesamten WAN-Verkehrs (benötigt als zusätzliche Hardware einen Ethernet-TAP). Kann zum Intrusion-Prevention System (IPS) erweitert werden.
- Interne Sicherheitsüberwachung des "Mail Gateway / Internet Proxy" selbst durch kryptographische Prüfsummen, root kit Erkennung, port activity scanner, usw..
- Netzwerkmonitor kann bei Bedarf aktiviert werden. Man kann den 2. Netzwerkanschluß des Servers als Monitor-port verwenden um z.B. den Netzwerkverkehr im LAN an bestimmten ports des zentralen switches oder die WAN Verbindung ins Internet (mit einem zusätzlichen TAP) zu überwachen.
- Fernwartung durch gesicherte SSH Verbindung.
- Keine unnötigen Dienste.
- Keine zusätzlichen offenen ports.
- Automatische Sicherheits-Updates für Debian-Linux.
Voraussetzungen für den Einsatz
Der beschriebene Server ist als Gateway konzipiert, d.h. er wird zwischen einen bereits vorhandenen Mail Server (i.d.R. ist das Microsoft Exchange, Novell GroupWise, Lotus Notes oder Tobit David) und dem Internet in einer DMZ installiert. Er kann sowohl mails per SMTP Protokoll empfangen als auch per POP3 Protokoll abholen. Die bevorzugte Methode ist der Empfang per SMTP, weil in diesem Fall, im Gegensatz zu POP3, alle Informationen einer mail vorhanden sind und für die spam-Bewertung herangezogen werden können. Sie ist beim Empfang per SMTP um Klassen besser als bei POP3 Abholung. Das ist keine Einschränkung dieses Servers sondern eine Einschränkung des POP3 Protokolls. Um mails direkt empfangen zu können, müssen entsprechende DNS Einträge vorhanden sein (genau: die MX records für alle mail Domänen müssen auf das "Mail Gateway" zeigen). Voraussetzung dafür ist eine feste IP Adresse des Internet-Zugangs, was aber heute von den meisten Internet Service Providern (ISP) angeboten wird.
Sicherheit auf allen Ebenen
Wie oben bereits erwähnt, besteht ein Sicherheits-Konzept für ein Firmen-Netzwerk sowohl aus dem Schutz von "außen", was für mails und Web-Zugang von der vorgestellten Lösung abgedeckt wird, als auch dem Schutz von "innen". Dazu gehören so unterschiedliche Dinge wie eine vernünftige Rechteabstufung für die Benutzer, Virenscanner und aktuelle Servicepacks auf allen PCs und Servern, physikalische (eigener port an der Firewall) oder logische (per VLAN) Aufteilung des Netzes in Unterbereiche (z.B. Buchhaltung, Entwicklungsabteilung, Notebooks, WLAN, ...). Erst durch die Kombination aller dieser Teilbereiche kann man eine optimale Sicherheit erreichen. Dabei muß natürlich immer der Aufwand in einem vernünftigen Verhältnis zum Nutzen stehen. Diese Beurteilung ist aber erst nach einer genauen Analyse des bestehenden Netzwerks und der firmeninternen Abläufe und Anforderungen möglich.
Technische Details
Datenfluß-Schema von mails
Zum Vergrößern bitte anklicken