3. Datensicherheit im Rechnerbetrieb
3.4 Sicherer Internet-Anschluß
Beispiel: Kliniksnetze und Internet
Wissenschaft contra Patientenversorgung:
- Patientenversorgung erfordert Abschottung nach außen (geschlossenes System),
- wissenschaftlicher Arbeitsplatz benötigt Anschluß (WIN und Internet).
Lösungsansätze
- Internetanschluß nur von isolierten PCs.
- Zwei getrennte Netze im Innern.
- Anschluß über Firewall-System.
- Logische Netztrennung durch kryptographische Protokolle.
Ansatz 1 und 2 kaum realistisch:
- Kommunikation nach außen oft Teil des Arbeitsablaufs,
- Netztrennung schwer kontrollierbar,
- Zusammenarbeit mit »externen« Abteilungen/Zweigstellen.
Ansatz 4 optimal, aber noch nicht Stand der Technik.
Stand der Technik: Firewall-System + Virtual Private Networks (VPN).
Einsatz eines Firewall-Systems
Sichere Anbindung eines Firmennetzes an das Internet:
- Die Angehörigen der Firma sollen die Internet-Dienste (evtl. kontrolliert) nutzen können
(E-Mail, World Wide Web, Informationsdienste).
- Der Zugriff von außen auf das Firmennetz soll nicht (oder nur unter besonderer Kontrolle)
möglich sein.
- Die Firma stellt für die Außenwelt ein Informationsangebot zur Verfügung
(WWW, anonymes FTP).
Ziel: Möglichst komfortable Nutzung der Internet-Dienste bei möglichst großer Sicherheit vor unbefugten Zugriffen von außen.
Voraussetzung: Vertrauen in die eigenen Mitarbeiter (Dienstpflicht, Datengeheimnis).
Netzkonfiguration des Firewallsystems
Äußerer Router
- Filter auf Netzebene -
- Netzadressen (= Rechner-Adressen, z. B. 134.93.16.1),
- Portnummern (= gewünschter Dienst, z. B. 23 = telnet, 25 = mail)
- etablierte Verbindungen.
- Sperre als Paßfilter zu konfigurieren:
Alles, was nicht ausdrücklich freigegeschaltet ist, wird ausgefiltert.
- Konfiguration nur über Konsole.
- Router kennt von innen nur den GW
(Redundanz, da auf der Innenseite des Routers kein anderer Rechner zu sehen ist).
Er weist alle inneren Adressen zurück außer der des GW;
letztere akzeptiert er nur, wenn sie von der richtigen Seite kommt.
Dadurch wird das IP-Spoofing wirksam unterbunden.
Gateway-Rechner
- Zwei Netzkarten, d. h., der Gateway trennt inneres und äußeres Netz.
(Oder drei: »Pufferzone« = DMZ = Demilitarisierte Zone.)
- Filter auf Anwendungsebene.
- Betriebssystem aufs Nötigste abgespeckt - z. B. kein Routing auf IP-Ebene.
- Login nur auf Konsole - keine Benutzer außer dem Systemverwalter.
- proxy-Server für die erlaubten Dienste -
Verbindungsaufbau (im wesentlichen) transparent.
- Skalierbarkeit: Verteilung der proxys auf mehrere Server soll möglich sein.
- Protokollierung aller Vorgänge.
- Backup-Gateway sollte in Reserve stehen um einen unterbrechungsarmen Betrieb
zu gewährleisten.
- Separates identisches Test-System sollte vorhanden sein.
Die Pufferzone
Teilnetz, in dem der Gateway steht.
Stand der Technik: Der GW bekommt eine dritte Netzkarte verpaß, die (nur) mit Servern verbunden ist, die das Informationsangebot für die Außenwelt anbieten.
Beispiel: Grundsätze für den Internet-Anschluß von Krankenhäusern
- Außerhalb des durch den Firewall geschützten Bereiches dürfen keine
personenbezogenen Daten gespeichert oder verarbeitet werden.
- Verbindungsaufbau bei interaktiven Diensten nur von innen nach außen.
- E-Mail soll in beiden Richtungen unbeschränkt. (Cave: Mail-Viren!)
- Aktive HTML-Komponenten werden gesperrt (Beispiele: Java, JavaScript, ActiveX).
- Modem- und ISDN-Strecken, die den Firewall umgehen, sind verboten. Ausnahmen sind
Verbindungen über einen kontrollierten Modem-Server oder mit besonderen Auflagen.
- …
[Aus: Sicherheitsempfehlungen zum Internet-Anschluß von Krankenhäusern]
Interaktive Verbindungen, Verbindung mit Informationsservern
- telnet (interaktive Sitzung)
- ftp (Dateitransfer)
- News (Internet-Nachrichtensystem)
- Gopher (menügesteuertes Internet-Informationssystem)
- WWW (World Wide Web, hypertextgesteuertes Internet-Informationssystem)
Anforderung: Verbindungsaufbau nur von innen nach außen möglich.
Lösungsvorschlag: proxy-Dämon.
[Sonderprobleme bei ftp und archie (Datenbank zur weltweiten Dateisuche für ftp)]
DNS (Domain Name System, Internet-Rechneradressen-Verwaltung)
Anforderung: Nach außen soll von der Firma nur der GW bekannt sein. Im Innern sollen die Rechner der Außenwelt bekannt sein.
Lösungsvorschlag: Ein Nameserver, der die Außenadressen kennt, ist auf dem GW zu installieren. Im Inneren wird ein lokaler Nameserver benötigt.
Eingehende Mail
Ausgehende Mail
Gesperrte Dienste
- tftp (`trivial file transfer protocol', benötigt hauptsächlich zum Booten
plattenloser Stationen übers Netz)
- finger (Anfragen fremder Benutzernamen)
- NFS (Network File System)
- X (interaktive Sitzung mit graphischer Benutzungsoberfläche)
- NIS (Network Information System, gemeinsame Netzverwaltung)
und andere Netzbetriebs- oder -verwaltungssysteme
Wer `NetMeeting' oder ähnliche Protokolle freischaltet, kann den Firewall gleich ganz weglassen.
Modems
Es gilt der Grundsatz: Modem- und ISDN-Strecken, die den Firewall umgehen, müssen den Sicherheitsanforderungen für Modemanschlüsse genügen.
- Zentraler Modem- und Access-Server als Teil der Firewall-Konfiguration.
- Unvermeidbare Ausnahmefälle (z. B. Fernwartung).
- Rückruffunktion.
- Kryptographische Verschlüsselung.
Fernwartung
- Auftragsdatenverarbeitung.
- Rechtsverbindlicher Vertrag als Grundlage,
z. B. verbindliche Liste von berechtigten Mitarbeitern und deren Rechten.
- Keine Einwahl von außen ermöglichen - Verbindungsaufbau und Kontrolle vor Ort.
- Zugriffe minimieren - keine vertraulichen Daten nach außen übertragen.
- Beobachtung und Protokollierung.
- Wartung auf Testsystem mit anonymisierten Patientendaten.
[Siehe auch: Formulierungshilfen für einen Fernwartungsvertrag]
Wogegen hilft der Firewall nicht?
- Sicherheitsprobleme im lokalen Netz.
- Bösartige Insider.
- Kooperation zwischen Insidern und Externen, Datenexport.
- Anschluß »schwarzer« Modems.
- Mailbomben und Trojanische Pferde.
- Sicherheitslücken in WWW-Browsern oder -Servern.
- Angriffe auf Server im Außenbereich.
Lösungsansätze für aktive Web-Inhalte (noch unbefriedigend)
- Content-Filter im Firewall (Firewall-1, WebSense, …)
Probleme: Performanz, Herstellerabhängigkeit.
- Content-Filter im Browser (SIP, …)
Probleme: Sicherheitsverantwortung beim Endbenutzer, Versionsabhängigkeit.
- Proxy-Technik (Squid, Netscape, Microsoft, …)
Probleme: erhöhte Komplexität, zusätzlicher Server nötig, Umgehung möglich.
Virtual Private Networks und Firewall-Tunnel
Problem: Lokales Netz durch Firewall abgeschottet, aber geschützte Vernetzung mit externen Stellen nötig (Zweigstellen, Heimarbeit, Telemedizin, Fernwartung).
Lösung: Kombination aus
- Sicherer Kanal: IP-Pakete werden verschlüsselt.
- Tunnel: IP-Pakete werden in andere IP- (oder TCP- oder UDP-) Pakete verpackt.
Protokoll zwischen Firewall A und Firewall B oder zwischen Firewall A und Einzelklient.
Dadurch privates Netz »virtuell« erweitert.
Beide Enden der Verbindung müssen in einer vertrauenswürdigen Umgebung liegen!
Weitere Informationen zu Firewalls
Siehe auch Sicherheit im Internet (BSI-Faltblatt).
Vorlesung Datenschutz und Datensicherheit
Sommersemester 1999, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 4. August 1999
E-Mail an
Pommerening@imsd.uni-mainz.de.