Was bedeutet eigentlich "High Resistance Firewall"?

Was bedeutet eigentlich "High Resistance Firewall"?

Dass Firewalls ein attraktives Angriffsziel sind, zeigen auch die aktuellen Meldungen zur Hackergruppe Shadow Brokers. Diese veröffentlichte Angriffswerkzeuge der sogenannten Equation Group, die vermutlich bereits 2013 erbeutet wurden und teilweise immer noch gegen aktuelle Firewall-Installationen erfolgreich eingesetzt werden können. Eine wirksame Barriere gegen Angriffe dieser Art stellt der starke Selbstschutz einer Firewall dar. Wie man diesen als Kunde erkennt und als Hersteller erreicht, erfahren Sie hier.

Die High Resistance Firewall genugate ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach CC in der Stufe EAL 4+ zertifiziert. Das "+" steht für Sicherheitsanforderungen, die über das nach EAL4 geforderte Niveau hinausgehen. Eine der zusätzlichen Sicherheitsleistungen der genugate ist ihr starker Selbstschutz, d. h. die Widerstandsfähigkeit gegen Angriffe auf die Firewall selbst. Dabei ist die genugate auch gegen Angreifer mit hohem Angriffspotenzial geschützt, was derzeit bei Firewalls ein Alleinstellungsmerkmal ist. Aber wozu braucht man einen starken Selbstschutz und wie erreicht man diesen?

Firewalls als Ziel von Angriffen

Firewalls genießen eine besondere Vertrauensstellung im Netzwerk. Zum einen stehen sie an einer sehr exponierten Stelle, d. h. sie sind in den meisten Fällen für einen Angreifer direkt erreichbar. Zum anderen haben sie Zugriff auf das interne Netz, welches sie schützen sollen. Und schließlich wird ein Großteil der Kommunikation über die Firewall abgewickelt, d. h. es werden viele sensitive Daten übertragen.

Für einen Angreifer ist die Firewall daher ein sehr attraktives Ziel. Hat er es geschafft, sich Zugang zur Firewall zu verschaffen, so kann er z. B. interne Systeme angreifen, Downloads und Mails manipulieren, Malware in das interne Netz einschleusen oder auch sensitive Informationen aus Mails extrahieren. Und sofern die Firewall die Analyse von verschlüsselten SSL-Verbindungen unterstützt (was die meisten Enterprise Firewalls können) ist der Angreifer sogar in der Lage, auf die Inhalte aus HTTPS-Verbindungen zuzugreifen oder gar die Inhalte zu manipulieren.

Firewall mit starkem SelbstschutzZertifizierte Abwehrbereitschaft: Um interne Netze wirksam zu sichern, schützt sich die genugate selbst

Dass Firewalls ein attraktives Angriffsziel sind, zeigen auch die aktuellen Veröffentlichungen der Hackergruppe Shadow Brokers. Diese veröffentlichte Angriffswerkzeuge der sogenannten Equation Group, die vermutlich 2013 erbeutet wurden. Darunter befinden sich viele Angriffe auf bekannte Enterprise Firewalls, wobei trotz des Alters der Werkzeuge ein Teil der Angriffe auch gegen heutige Firewallinstallationen noch funktioniert. Mit diesen Werkzeugen ist es einem Angreifer zum Beispiel möglich, beliebigen eigenen Code auf einer Firewall auszuführen oder die in einer VPN-Verbindung benutzten Schlüssel zu erlangen und so die VPN-Verbindung zu entschlüsseln.

Wie erreicht man einen hohen Firewall-Selbstschutz?

Die beste Sicherheit ist die, welche sowohl im Design wie auch im Entwicklungsprozess verankert ist. Ein nachträgliches "Hinzufügen" von Sicherheit kaschiert oft nur die Probleme, d. h. bietet nur unzureichenden Schutz. Bei der Entwicklung der High Resistance Firewall genugate verfolgen wir daher den Ansatz, maximale Sicherheit bereits im Design und Entwicklungsprozess zu erreichen.

  • Minimales, sicheres Betriebssystem als Basis: Die High Resistance Firewall genugate basiert auf dem Betriebssystem OpenBSD. OpenBSD ist vor allem für seinen Fokus auf Sicherheit bekannt. Durch eine Vielfalt von Härtungen des Betriebssystems, welche für andere Systeme – wenn überhaupt – höchstens als separate Patches existieren, bietet OpenBSD eine gute Basis für einen soliden Selbstschutz der Firewall. Darüber hinaus haben wir weitere Härtungen vorgenommen. Beispielsweise ist es nicht möglich, kritische Änderungen an der Software vorzunehmen und gleichzeitig Netzwerkzugriff zu haben.
  • Sicherheit durch Tiefe und Separation: Firewalls basieren auf komplexer Software. Da praktisch unvermeidlich ist, dass in komplexer Software Fehler auftreten, muss dafür gesorgt werden, dass Fehler nicht zur Katastrophe führen. Daher laufen sämtliche mit dem externen oder internen Netz verbundenen Applikationen sowohl mit reduzierten Rechten wie auch innerhalb einer minimalistischen chroot-Umgebung. Sollte ein Angreifer also tatsächlich eine Lücke in der Software ausnutzen können, so muss er erst noch diese beiden Hürden überwinden, bevor er Zugang zum eigentlichen System bekommt. Bei der Anbindung des Virenscanners gehen wir noch weiter: Da es in der Vergangenheit immer wieder zu Sicherheitslücken in Virenscannern selbst gekommen ist, läuft der Virenscanner auf der genugate sowohl als nichtprivilegierter Nutzer in einer eigenen minimalen chroot-Umgebung, wie auch ohne jeglichen Netzwerkzugriff. Somit kann dieser keine Informationen über die gescannten und potentiell sensitiven Daten nach außen geben.
  • Keine Backdoors: Die genugate hat weder voreingestellte Passwörter noch versteckte Supportzugänge. Überhaupt existiert keine Form von Remote-Zugriff aus dem externen oder internen Netz, d. h. Zugriff ist nur direkt am Gerät oder aus dem speziellen Adminstrationsnetz möglich. Stattdessen bieten wir für den Remote-Support den "Panic Login" an. Dieses ist ein Remote-Zugang über SSH, welcher explizit vom lokalen Administrator aktiviert werden muss und sich selbstständig nach kurzer Zeit wieder deaktiviert.
  • Sechs-Augen-Prinzip bei der Entwicklung: Für die Erstellung von neuem Code oder von Bugfixes gilt bei der genugate das Sechs-Augen-Prinzip: Ein Entwickler führt die Änderung an der Software durch, eine zweiter übernimmt den Review und ein dritter integriert die Software-Änderung nach einem erneuten Review. Es ist durchaus der Normalfall, dass Änderungen beim Review erst einmal abgelehnt werden, da sie zu umfangreich oder nicht verständlich genug sind bzw. noch Bugs enthalten. Dies ist auch keine Schande für einen Entwickler – drei Leute sehen einfach mehr als einer. Durch diesen Entwicklungsprozess ist zum einen eine hohe Qualität sichergestellt, zum anderen ist es auch deutlich schwieriger, unbemerkt kritische Änderungen wie Backdoors in einer Software unterzubringen.
  • Auswahl der Entwicklungstools: Der Klassiker unter den Sicherheitslücken ist der Buffer Overflow, bei dem es dem Angreifer durch unerwarteten und unzureichend verifizierten Input gelingt, den Ablauf des Programms zu verändern. Natürlich muss gerade bei einer Firewall damit gerechnet werden, dass vom Angreifer gezielt manipulierte Daten verschickt werden. Trotzdem führen derartige Buffer-Overflows immer wieder zu kritischen Sicherheitslücken, wie zum Beispiel dem Auslesen der Schlüssel von VPN- oder TLS-Verbindungen oder gar der Ausführung von Schadcode. Buffer Overflows existieren fast ausschließlich bei sehr hardwarenahen Programmiersprachen wie C und C++, welche vielfach eingesetzt werden, um die beste Performance aus der Hardware herauszuholen. Bei der Entwicklung der genugate verwenden wir hingegen für einen Großteil unserer Software die Hochsprache Perl. Die damit geschriebenen Programme sind konzeptionell nicht gegen Buffer Overflows anfällig. Darüber hinaus sind die Programme deutlich kürzer und damit übersichtlicher und wartbarer als Programme in C oder C++, was ebenfalls der Sicherheit zugute kommt.
  • Tests: Eng verbunden mit Software-Änderungen ist das Testen dieser Änderungen. Da manuell nur wenige Tests durchgeführt werden können, haben wir mehrere tausend automatische Einzeltests, die verschiedene Aspekte der Software prüfen. Und da das Schreiben passender Tests ein integraler Bestandteil bei der Entwicklung neuer Features oder beim Fixen von Bugs ist, werden es ständig mehr. Diese werden täglich ausgeführt, sodass Probleme frühzeitig auffallen und behoben werden können. Darüber hinaus haben wie eine eigene Gruppe zur Qualitätssicherung, welche unsere Produkte weniger aus der Perspektive eines Entwicklers betrachtet, sondern als Anwender bzw. Angreifer. Mit dem entsprechenden Wissen ausgestattet, welches sie auch in Schulungen intern und extern weitergibt, sucht die Qualitätssicherung gezielt nach Sicherheitslücken. Zwar ist kein Entwickler froh über ein Problem, die er nicht selber gesehen hat, aber dankbar dafür, dass dieses nicht im fertigen Produkt auftaucht.
  • Zertifizierung: Einen wesentlichen Beitrag zur Qualität und Sicherheit der Firewall leistet auch die regelmäßige Zertifizierung: Dazu erhält das Zertifizierungslabor Zugriff auf die komplette Software sowie eine tief gehende Dokumentation des Designs. Auf diese Weise können Probleme im Design selbst oder bei der Umsetzung erkannt werden. Ein erhöhtes Zertifizierungsniveau für den Selbstschutz ist daher nicht einfach „nebenbei“ zu bekommen, sondern benötigt sowohl solides Design wie auch korrekte Prozesse bei der Software-Entwicklung.

Fazit: Selbstschutz lohnt sich!

Der aktuelle Fall Shadow Brokers zeigt erneut: Ein zuverlässiger Schutz durch eine Firewall ist nicht möglich, wenn die Firewall selbst angreifbar ist. Dabei ist es zweitrangig, ob der Angriff durch Sicherheitslücken, Standardpasswörter oder versteckte Support-Zugänge bzw. andere Backdoors erfolgt. Bei der High Resistence Firewall genugate haben wir daher ein besonderes Augenmerk auf den Selbstschutz gelegt.

 

Bildquelle: © ra2 studio - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.