Beispiel: Kliniksnetze und Internet

Wissenschaft contra Patientenversorgung:

• Patientenversorgung erfordert Abschottung nach außen (geschlossenes System),
• wissenschaftlicher Arbeitsplatz benötigt Anschluß (WIN und Internet).

Lösungsansätze

1. Internetanschluß nur von isolierten PCs.
2. Zwei getrennte Netze im Innern.
3. Anschluß über Firewall-System.
4. Logische Netztrennung durch kryptographische Protokolle.

Ansatz 1 und 2 kaum realistisch:

• Kommunikation nach außen oft Teil des Arbeitsablaufs,
• Netztrennung schwer kontrollierbar,
• Zusammenarbeit mit »externen« Abteilungen/Zweigstellen.

Stand der Technik: Firewall-System + Virtual Private Networks (VPN).

Einsatz eines Firewall-Systems

Sichere Anbindung eines Firmennetzes an das Internet:

• Die Angehörigen der Firma sollen die Internet-Dienste (evtl. kontrolliert) nutzen können (E-Mail, World Wide Web, Informationsdienste).
• Der Zugriff von außen auf das Firmennetz soll nicht (oder nur unter besonderer Kontrolle) möglich sein.
• Die Firma stellt für die Außenwelt ein Informationsangebot zur Verfügung (WWW, anonymes FTP).

Ziel: Möglichst komfortable Nutzung der Internet-Dienste bei möglichst großer Sicherheit vor unbefugten Zugriffen von außen.

Voraussetzung: Vertrauen in die eigenen Mitarbeiter (Dienstpflicht, Datengeheimnis).

Netzkonfiguration des Firewallsystems

Äußerer Router

• Filter auf Netzebene -
  • Netzadressen (= Rechner-Adressen, z. B. 134.93.16.1),
  • Portnummern (= gewünschter Dienst, z. B. 23 = telnet, 25 = mail)
  • etablierte Verbindungen.
• Sperre als Paßfilter zu konfigurieren: Alles, was nicht ausdrücklich freigegeschaltet ist, wird ausgefiltert.
• Konfiguration nur über Konsole.
• Router kennt von innen nur den GW (Redundanz, da auf der Innenseite des Routers kein anderer Rechner zu sehen ist). Er weist alle inneren Adressen zurück außer der des GW; letztere akzeptiert er nur, wenn sie von der richtigen Seite kommt. Dadurch wird das IP-Spoofing wirksam unterbunden.

Gateway-Rechner

• Zwei Netzkarten, d. h., der Gateway trennt inneres und äußeres Netz. (Oder drei: »Pufferzone« = DMZ = Demilitarisierte Zone.)
• Filter auf Anwendungsebene.
• Betriebssystem aufs Nötigste abgespeckt - z. B. kein Routing auf IP-Ebene.
• Login nur auf Konsole - keine Benutzer außer dem Systemverwalter.
• proxy-Server für die erlaubten Dienste - Verbindungsaufbau (im wesentlichen) transparent.
• Skalierbarkeit: Verteilung der proxys auf mehrere Server soll möglich sein.
• Protokollierung aller Vorgänge.
• Backup-Gateway sollte in Reserve stehen um einen unterbrechungsarmen Betrieb zu gewährleisten.
• Separates identisches Test-System sollte vorhanden sein.

Die Pufferzone

Teilnetz, in dem der Gateway steht.

Stand der Technik: Der GW bekommt eine dritte Netzkarte verpaß, die (nur) mit Servern verbunden ist, die das Informationsangebot für die Außenwelt anbieten.

Beispiel: Grundsätze für den Internet-Anschluß von Krankenhäusern

• Außerhalb des durch den Firewall geschützten Bereiches dürfen keine personenbezogenen Daten gespeichert oder verarbeitet werden.
• Verbindungsaufbau bei interaktiven Diensten nur von innen nach außen.
• E-Mail soll in beiden Richtungen unbeschränkt. (Cave: Mail-Viren!)
• Aktive HTML-Komponenten werden gesperrt (Beispiele: Java, JavaScript, ActiveX).
• Modem- und ISDN-Strecken, die den Firewall umgehen, sind verboten. Ausnahmen sind Verbindungen über einen kontrollierten Modem-Server oder mit besonderen Auflagen.
• …

[Aus: Sicherheitsempfehlungen zum Internet-Anschluß von Krankenhäusern]

Interaktive Verbindungen, Verbindung mit Informationsservern

• telnet (interaktive Sitzung)
• ftp (Dateitransfer)
• News (Internet-Nachrichtensystem)
• Gopher (menügesteuertes Internet-Informationssystem)
• WWW (World Wide Web, hypertextgesteuertes Internet-Informationssystem)

Anforderung: Verbindungsaufbau nur von innen nach außen möglich.

Lösungsvorschlag: proxy-Dämon.

[Sonderprobleme bei ftp und archie (Datenbank zur weltweiten Dateisuche für ftp)]

DNS (Domain Name System, Internet-Rechneradressen-Verwaltung)

Anforderung: Nach außen soll von der Firma nur der GW bekannt sein. Im Innern sollen die Rechner der Außenwelt bekannt sein.

Lösungsvorschlag: Ein Nameserver, der die Außenadressen kennt, ist auf dem GW zu installieren. Im Inneren wird ein lokaler Nameserver benötigt.

Eingehende Mail

Ausgehende Mail

Gesperrte Dienste

• tftp (`trivial file transfer protocol', benötigt hauptsächlich zum Booten plattenloser Stationen übers Netz)
• finger (Anfragen fremder Benutzernamen)
• NFS (Network File System)
• X (interaktive Sitzung mit graphischer Benutzungsoberfläche)
• NIS (Network Information System, gemeinsame Netzverwaltung) und andere Netzbetriebs- oder -verwaltungssysteme

Wer `NetMeeting' oder ähnliche Protokolle freischaltet, kann den Firewall gleich ganz weglassen.

Modems

Es gilt der Grundsatz: Modem- und ISDN-Strecken, die den Firewall umgehen, müssen den Sicherheitsanforderungen für Modemanschlüsse genügen.

• Zentraler Modem- und Access-Server als Teil der Firewall-Konfiguration.
• Unvermeidbare Ausnahmefälle (z. B. Fernwartung).
• Rückruffunktion.
• Kryptographische Verschlüsselung.

Fernwartung

• Auftragsdatenverarbeitung.
• Rechtsverbindlicher Vertrag als Grundlage, z. B. verbindliche Liste von berechtigten Mitarbeitern und deren Rechten.
• Keine Einwahl von außen ermöglichen - Verbindungsaufbau und Kontrolle vor Ort.
• Zugriffe minimieren - keine vertraulichen Daten nach außen übertragen.
• Beobachtung und Protokollierung.
• Wartung auf Testsystem mit anonymisierten Patientendaten.

[Siehe auch: Formulierungshilfen für einen Fernwartungsvertrag]

Wogegen hilft der Firewall nicht?

• Sicherheitsprobleme im lokalen Netz.
• Bösartige Insider.
• Kooperation zwischen Insidern und Externen, Datenexport.
• Anschluß »schwarzer« Modems.
• Mailbomben und Trojanische Pferde.
• Sicherheitslücken in WWW-Browsern oder -Servern.
• Angriffe auf Server im Außenbereich.

Lösungsansätze für aktive Web-Inhalte (noch unbefriedigend)

• Content-Filter im Firewall (Firewall-1, WebSense, …)
  Probleme: Performanz, Herstellerabhängigkeit.
• Content-Filter im Browser (SIP, …)
  Probleme: Sicherheitsverantwortung beim Endbenutzer, Versionsabhängigkeit.
• Proxy-Technik (Squid, Netscape, Microsoft, …)
  Probleme: erhöhte Komplexität, zusätzlicher Server nötig, Umgehung möglich.

Virtual Private Networks und Firewall-Tunnel

Problem: Lokales Netz durch Firewall abgeschottet, aber geschützte Vernetzung mit externen Stellen nötig (Zweigstellen, Heimarbeit, Telemedizin, Fernwartung).

Lösung: Kombination aus

• Sicherer Kanal: IP-Pakete werden verschlüsselt.
• Tunnel: IP-Pakete werden in andere IP- (oder TCP- oder UDP-) Pakete verpackt.

Protokoll zwischen Firewall A und Firewall B oder zwischen Firewall A und Einzelklient. Dadurch privates Netz »virtuell« erweitert.

Beide Enden der Verbindung müssen in einer vertrauenswürdigen Umgebung liegen!

Weitere Informationen zu Firewalls

Siehe auch Sicherheit im Internet (BSI-Faltblatt).

E-Mail an Pommerening@imsd.uni-mainz.de.