Falls Sie der Meinung sein sollten, es wäre schöner, barfuß über glühende Kohlen zu laufen als eine Firewall für Ihre Intranet- oder Internetverbindung einzurichten - behalten Sie Ihre Schuhe an und lesen Sie Chris Peppers Artikel über Firewall-Sicherheit (und warum Sie das Thema ernst nehmen sollten, auch wenn Sie kein Netzwerkadministrator sind). Adam beschäftigt sich mit dem Für und Wider der Macworld-Expo-Verlagerung nach nach New York im Juli, außerdem gehen wir auf die Neuerscheinung von 2 Palm Computing Handhelds und auf Alco Bloms Veröffentlichung von Web Confidential 1.2 ein.
Autorisierte Übertragung der TidBITS#468/22-Feb-99.
Die Originalausgabe finden Sie unter: http://www.tidbits.com/tb-issues/TidBITS-468.html
Copyright 1999 TidBITS Electronic Publishing. All rights reserved.
Information: info@tidbits.com Comments: editors@tidbits.com
Copyright ab 7/98 der deutschen Version: Heike Kurtz Übersetzungsdienst.
Information: http://www.heikekurtz.de Comments: mail@heikekurtz.de
ftp://ftp.tidbits.com/pub/tidbits/issues/1999/TidBITS#468_22-Feb-99.etx
Die Originalausgabe ist via FTP auf den meisten Info-Mac-Mirrors
verfügbar, so etwa:
ftp://ftp.univie.ac.at/mac/info-mac/per/tb/tidbits-468.etx
ftp://sunsite.cnlab-switch.ch/mirror/info-mac/per/tb/tidbits-468.etx
ftp://ftp.rrzn.uni-hannover.de/pub/mirror/info-mac/per/tb/tidbits-468.etx
Jobanzeigen in TidBITS? Es gibt unzählige Geschichten von Leuten, die es geschafft haben,
mit Wissen aus der TidBITS-Lektüre Jobs zu bekommen. TidBITS-Sponsor
geht jetzt einen Schritt weiter und veröffentölicht tatsächlich
Stellenanzeigen - s. Sponsorenteil in dieser Ausgabe. Was halten
Sie davon? Hilft sowas bei der Jobsuche? Wäre Ihre Firma interessiert,
hier Stellenanzeigen zu veröffentlichen? Sagen Sie Ihre Meinung
in TidBITS-Talk. Bei genügend Interesse werden wir uns damit beschäftigen,
künftig mehr Stellenanzeigen zu veröffentlichen. [ACE]
http://db.tidbits.com/getbits.acgi?tlkthrd=601
Neue Palm-Handhelds auf dem Markt -- Palm Computing hat zwei neue Handheld-Geräte vorgestellt: Palm IIIx und Palm V sind ab sofort verfügbar. Der Palm IIIx ($370) hat die Rundungen des Palm III behalten, weist jetzt aber 4MB RAM (plus 2MB Flash ROM) auf, ein sehr verbessertes Display mit höherem Kontrast und besserer Lesbarkeit, dazu einen internen Erweiterungsslot für künftige Speicherupgrades oder für Zusatzeinrichtungen wie Pager-Karten. Der Palm V ($450) richtet sich an stilbewußte Nutzer. Er ist in ein kleineres Alluminiumgehäuse eingebaut und wird mit dem verbesserten Display, softwaregesteuertem Kontrast, 2MB RAM (plus 2 MB Flash ROM) eingebautem Lithium-Ionen-Akku und - passend für Rechts- und Linkshänder - für den Schreibstift mit je einem Ablagefach rechts und links ausgeliefert. [JLC]
http://www.palm.com/products/palmiiix/
http://www.palm.com/products/palmv/
Web Confidential 1.2 jetzt mit Kontext Menu Unterstützung-- Alco Blom hat die Version 1.2 von Web Confidential veröffentlicht. Mit diesem Shareware-Programm ($35) lassen sich vertrauliche Informationen mit Hilfe einer 448 Bitverschlüsselung sicher speichern (siehe auch ?Web Confidential: Informationssicherung aller Art? in TidBITS 441). Die Version 1.2 enthält eine Anzahl zusätzlicher Voreinstellungen, mit denen man automatisch sichern, Löschungen bestätigen und Einträge sortieren kann. Es enthält auch einen Contextual Menu Manager (CMM) Plug-In, das die Dateneingabe in Web Confidential für Mac 8.0 (oder höher) erleichtert. Erst muß der Plug-In installiert sein (und Apple Data Detectors, der Kontext-Menüs in allen Applikationen ermöglicht), dann Texte mit Control-Klick markieren und einen der Menü-Punkte auswählen, um die gewählten Texte in eines der Felder einer Web Confidental Karte zu übertragen. Für registrierte Nutzer ist die Version 1.2 gratis (ein 424K Download.) [ACE]
http://www.web-confidential.com/
http://db.tidbits.com/getbits.acgi?tbart=05020
http://www.apple.com/applescript/data_detectors/
von Adam C. Engst ace@tidbits.com
[Aus Kapazitätsgründen - vornehm für:?Wir bräuchten viel mehr
Hilfe beim Übersetzen!!? - kommt dieser Beitrag nur als Zusammenfassung
--GR]
Das Expo Management hat entschieden, die im August 1999 für Boston
eingeplante Messe in den Juli vorzuziehen und in New York zu veranstalten.
http://www.macworldexpo.com/mwny99/media/frame_move.html http://db.tidbits.com/getbits.acgi?tbart=04979
Adam sieht das mit gemischten Gefühlen. Boston ist überschaubar
und bezahlbar, New York eher das Gegenteil. Nach einem eher problematischen
Apple-Jahr ist das für Aussteller nicht gerade von Vorteil.
Dafür hat New York den Vorteil, die US-Medienstadt zu sein, was
für so eine spezialalisierte Mac-Messe wieder große Bedeutung
hat. Außerdem gibt es mehr Platz. Adam meint auch, daß der Anteil
der Laufkundschaft (also der nicht vorher registrierten Besucher)
höher als in Boston sein dürfte.
[Sonja Krause-Harder translation@skh.de]
von Chris Pepper pepper@list.audubon.org
Eine der besten Seiten des Internet - eine Erbschaft seiner universitären
Ursprünge - ist, daß es uns ermöglicht, Informationen mit Menschen
aus der ganzen Welt zu teilen. Ein weiteres wunderbares Merkmal
- und dies rührt von den Wurzeln des Netzes im UNIX-Betriebssystem
her - ist, daß es uns von jedem ans Netz angeschlossenen Rechner
den Zugriff ermöglicht - auf Webseiten, Emailkonten, Spiele, Informationen
über ein Unternehmen und vieles mehr.
Natürlich gibt es auch Schattenseiten. Eins der größten Probleme
am Informationsaustausch mit Menschen, die man noch nie getroffen
hat, ist die Tatsache, daß einige davon nicht nur Gutes im Sinn
haben. Über das Internet kann man mit fantastischen Menschen in
Kontakt kommen, doch man kann eben auch die Bekanntschaft von
solchen machen, die man lieber gemieden hätte - Spammer, destruktive
Hacker und Virenautoren.
Es ist großartig, in ein Internet-Café, eine Bibliothek oder ins
Rechenzentrum der Universität gehen zu können, um dort private
Emails zu lesen. Doch irgend jemand, den Sie nicht kennen, könnte
gerade zwei Tische weiter seinen Kaffee schlürfen und dabei versuchen,
Ihre Kreditkartennummer oder private Informationen über Sie oder
Ihre Firma herauszubekommen. Offensichtlich kann man über das
Internet überall auf der Welt arbeiten, doch wie steht es dabei
um die Sicherheit der Daten? Wie unterscheidet man zwischen einem
Angestellten im Internet-Café und einem Mitarbeiter der Konkurrenz
am Nebentisch?
Firewalls sind eine wirksame Möglichkeit, vertrauliche Daten und
Server vor unberechtigten Zugriffen zu schützen. Und auch, wenn
der Umgang mit Firewalls keine Geheimwissenschaft ist - selbst
wenn manche IT-Beratungsfirmen Sie das gerne glauben machen würden
- so sind sie doch auch nicht wirklich einfach zu durchschauen.
In diesem Artikel möchten wir Ihnen zeigen, wie eine Firewall
arbeitet und weshalb sie wichtig und nützlich sein kann, sowie
Ihnen ein wenig Hilfestellung zu geben, falls Sie die Anschaffung
einer Firewall in Betracht ziehen. Wir setzen dabei grundlegende
Kenntnisse über die Funktionsweise des Internet voraus, werden
jedoch einige Details kurz wiederholen und erklären. Wenn Sie
eine stehende Netzanbindung oder ein zeitweilig angeschlossenes
Netzwerk mit mehreren Rechnern haben, sollten Sie prüfen, ob Sie
eine Firewall brauchen. Für Einzelnutzer, die keine Serversoftware
verwenden, ist sie in der Regel nicht notwendig.
Das Intranet -- Noch vor einigen Jahren existierten die meisten Computernetzwerke
nur innerhalb von Gebäuden als lokale Netzwerke (Local Area Networks,
LAN). Manche Firmen verknüpften ihre einzelnen LANs mit teuren
Wählverbindungen zu einem WAN (Wide Area Network). In jedem Fall
mußte man die Server der jeweiligen Firma nutzen, um auf das Netz
zuzugreifen. Diese physikalischen Sicherheitsvorkehrungen sind
extrem wirkungsvoll - das unbefugte Eindringen in Gebäude ist
strafbar, und es ist leicht, die eigenen Mitarbeiter von Fremden
zu unterscheiden. Auf der anderen Seite weiß jeder, der schon
einmal in einem Chatraum bei AOL oder im Internet Relay Chat (IRC)
war, daß die Identität der Teilnehmer online nicht so einfach
festzustellen ist. Einem Netzwerkadministrator stellt sich nun
folgendes Problem: wie verschafft man legitimen Nutzern den Zugang
zu einem internen Netzwerk und schützt es gleichzeitig vor unbefugten
Zugriffen?
Die Einrichtung eines Intranet ist der Versuch, ein Stück der
Kontrolle wiederzugewinnen, die im Zeitalter der allgegenwärtigen
Internetanbindung verloren ging. Das Intranet besteht im wesentlichen
aus allem, was vor der Internetanbindung in einem Netzwerk vorhanden
ist - also das, was ein LAN oder ein WAN wäre, wenn die Internetverbindung
nicht da wäre. Im Allgemeinen haben die Teilnehmer innerhalb des
Intranets mehr Zugriffsrechte als Außenstehende - immerhin haben
sie es bis ins Gebäude geschafft, durch verschlossenen Türen und
Sicherheitsvorrichtungen und vorbei an Pförtnern und Kollegen.
Wer über das Internet auf das Netz zugreift, hat weniger Zugriffsrechte
- genug, um arbeiten zu können, doch wenig genug, um mögliche
Schäden auszuschließen. Das Schlüsselloch zum Intranet ist unsere
liebe Freundin, die Firewall, die den Internetteilnehmer nur ungefährliche
Aktionen erlaubt und die Teilnehmer im Intranet ungestört ihrer
Arbeit nachgehen läßt.
Öffentlich zugängliche Informationen, die jedem Internetteilnehmer
zugänglich sind, können z.B. Werbematerialien und öffentliche
Webseiten sein, Demoversionen von Software und Jahresberichte
eines Unternehmens. Geschützte Informationen, die nur im Intranet
selbst zugänglich sind, sind z.B. Personaldaten, die interne Buchhaltung,
lizenzierte Software und Datenbanken für Help-Desk-Systeme und
den Kundensupport. Die Unterscheidung, welche Informationen öffentlich
zugänglich sein sollten und welche nicht, ist der Schlüssel zu
einem funktionierenden Intranet.
Wie geht das? Der Datenverkehr im Internet besteht aus einzelnen Datenpäckchen.
Diese Päckchen entsprechen entweder dem Transmission Control Protocol
(TCP) oder dem Universal Datagram Protocol (UDP). Jedes Datenpaket
enthält im Header Informationen über Ausgangsrechner und -port
sowie Zielrechner und -port. Sowohl TCP als auch UDP verwenden
dabei IP-Nummern (z.B. 209.177.45.3) um einzelne Computer zu identifizieren,
und Port-Nummern (von 0 bis 65.535), um einzelne Programme auf
dem jeweiligen Rechner anzusprechen.
Wenn Sie z.B. die Webseite der National Audubon Society sehen
möchten, erstellt Ihr Webbrowser ein Datenpaket mit der Ausgangs-IP
204.57.207.50 (zugewiesen von Ihrem Netzwerkadministrator oder
Provider), der Ziel-IP 209.177.45.3 (der Webserver von Audubon),
dem Ausgangs-Port 54321 (vom Webbrowser auf Ihrem Rechner zufällig
gewählt) den Ziel-Port 80 (identifiziert den Webserver) und den
eigentlichen Inhalt: die Anfrage an den Webserver, die Homepage
von Audubon zu senden.
http://www.audubon.org
Die höheren Protokolle, die wir benutzen, wenn wir im Web surfen,
Emails verschicken, Daten übertragen und andere Dinge tun, setzen
alle auf TCP oder UDP auf (die wiederum auf IP - dem Internet-Protokoll
basieren). Die meisten Protokolle antworten nur auf einem bestimmten
TCP oder UDP-Port, doch manche High-Level-Protokolle funktionieren
sowohl mit TCP als auch mit UDP.
Zum Verständnis ist es hilfreich, sich IP-Adressen als Hausnummern
und die Ports als Wohnungsnummern vorzustellen. Jeder Rechner,
der ein solches Datenpaket erhält (Ihr Rechner, der Router, über
den Ihre Internetverbindung läuft, die Router zwischen Ihrem Provider
und dem Zielrechner etc.) prüft die IP-Adresse des Zielrechners
und entscheidet dann, ob er das Päckchen ignoriert, weiterleitet
oder selbst annimmt. Sobald der Zielrechner das Paket erhält und
annimmt, entscheidet er anhand der Port-Nummer, welches Programm
das Paket erhält. Ohne diese Port-Nummern würde z.B. eine AppleShare
IP-Server nicht wissen, ob ein bestimmtes Datenpaket nun vom FTP-Server,
SMTP-Server, AppleShare- oder Web-Server bearbeitet werden sollte.
Die "Internet Assigned Numbers Authority" führt eine Liste der
wichtigsten standardisiert zugewiesenen Ports, sowohl solche,
die von Standarddiensten verwendet werden als auch solche, die
von speziellen Programmen (und sogar Spielen) genutzt werden.
http://www.isi.edu/in-notes/iana/assignments/port-numbers
* HTTP - TCP Port 80. Das Hypertext Transfer Protocol wird von
Webservern und Webbrowsern zum Datenaustausch verwendet (HTTPS
oder Secure Sockets Layer ist eine verschlüsselte Variante von
HTTP, die den TCP-Port 443 verwendet).
* SMTP - TCP Port 25. Emails werden meistens über das Simple Mail
Transfer Protocol versendet.
* POP3 - TCP POrt 110. Post Office Protocol Version 3 wird zum
Mailempfang verwendet. Emailprogramme wie Eudora und der Netscape
Communicator verschicken Mail typischerweise über SMTP und empfangen
sie über POP3.
* DNS - TCP oder UDP, Port 53. Domain Name Server übersetzen lesbare
Adressen wie www.audubon.org in IP-Adressen wie 209.177.45.3 und
andersherum.
* Telnet - TCP, Port 23. Telnet (oder "remote login") ist der
Ursprung allen Fernzugriffes auf einen anderen Rechner.* FTP -
TCP Port 21 File Transfer P rotocol. FTP-Programme senden die
Befehle über Port 21 an den Server. FTP macht insofern eine Ausnahme,
als die eigentliche Datenübertragung dann über einen weiteren
Port stattfindet.
* ASIP - TCP Port 548. Wird von AppleShare-over-TCP/IP verwendet.
Dies ist u.a. implementiert in AppleShreIP, ShareWay IP, manche
UNIX-Server, der im MacOS integrierte AppleShare-Client und Microsoft
Windows 200/NT 5.
http://www.apple.com/appleshareip/
http://www2.opendoor.com/gateway/sharewayip20.html
http://www.microsoft.com/ntserver/windowsnt5/exec/overview/WhatsNew.asp
* SNMP - UDP Port 161. Server, die das Simple Network Management
Protocol verwenden, sind in die meisten Router, Hubs, Server und
Betriebssysteme integriert (SNMP ist in Mac OS 8.5 auf Wunsch
vorhanden). Ein SNMP Server, wie z.B Dartmouths herausragender
InterMapper kann diese Server überwachen, um einen Überblick über
ein Netzwerk zu erhalten und nach Schwachstellen ausschau zu halten.
http://www.dartmouth.edu/netsoftware/intermapper/
Es gibt über vier Millionen gültige IP-Adressen (2^32 - und sie
werden knapp!). Jeder Rechner im Internet hat sein eigenes Set
von 131 072 Ports, über die er mit jedem Port auf jedem Rechner
im Internet kommunizieren kann. Die Anzahl der möglichen Verbindungen
ist mehr, als irgendjemand überblicken oder gar überwachen könnte
- 2^(32+32+16+16+1) oder 2^97 - doch eine Firewall kann diese
Zahl auf ein überschaubares Maß reduzieren.
Firewalls* -- Firewalls arbeiten, indem sie ausgewählte Daten zwischen sicheren
und unsicheren Netzbereichen hin- und herreichen. Normalerweise
ist die Firewall ein Teil von - oder angeschlossen an - einen
Router ins Internet. Die Anbindung ans Internet ist der logisch
günstigste Ort für eine Firewall, da Teilnehmer im Intranet mehr
Vertrauen genießen als die, die das Internet verwenden. Hacker
müssen so erst einmal die Firewall überwinden, um an die begehrten
Daten im Intranet selbst zu gelangen.
Es gibt zwei Arten von Firewalls: packet filters (auch als packet
screening firewalls bekannt) und Proxy Server. Die gewöhnlicheren
Packet-Filtering-Systeme sind einfacher, billiger und wesentlich
schneller als Proxy-Server. Da IP-Adressen einzelne Rechner und
die Port-Nummern bestimmte Programme und Dienste identifizieren,
kann eine Firewall anhand dieser Nummern und dem Vergleich von
Quell- und Zieladresse und -port entscheiden, was mit dem Päckchen
passieren soll. Da IP-Adressen normalerweise logisch gruppiert
sind, ist es für gewöhnlich einfach, zu entscheiden, wer zum lokalen
Netzwerk gehört und wer nicht.
Packet Filter sind einfach, weil sie sich nicht um den Inhalt
(den "payload") der Datenpäckchen kümmern: die Firewall entscheidet
allein anhand der IP- und Port-Nummern eines Päckchens darüber,
ob es durchgelassen wird oder nicht. Stellen Sie sich die Firewall
in diesem Fall als militärischen Kontrollpunkt vor - es gibt einige
wenige Menschen, die einen Passierschein haben und durchkommen,
alle anderen werden abgewiesen. Die Wachposten schauen nicht in
die Koffer.
Die meisten Firewalls halten eher Fremde aus dem Intranet heraus
statt den Nutzern des Intranet daran zu hindern, aus dem Intranet
herauszukommen (mit einigen wenigen Ausnahmen). Deshalb besteht
die Konfiguration einer Firewall im wesentlichen darin, die wenigen
legitimen Zwecke aufzulisten, für die Internetteilnehmer Zugriff
auf interne Daten des Intranet bekommen, und dann Regeln festzusetzen,
die nur diese Zugriffe gestatten. So werden viele unnötigen Verbindungen
vermieden, die sonst ein Sicherheitsrisiko darstellen könnten.
Hier ist ein einfaches Set von Regeln für eine langweile Firma
namens Beispiel GmbH, in verständliches Deutsch übersetzt:
"Erlaube Internet-Rechnern die Verbindung zu mail.beispiel.de
auf Port 25. Erlaube mail.beispiel.de die Verbindung zu Rechnern
außerhalb des Intranet auf Port 25. Sperre den restlichen Datenverkehr
auf Port 25." Port 25 wird von SMTP zum Versand von Email verwendet.
Da die Firewall nur den Datenaustausch zwischen dem Intra- und
dem Internet kontrolliert, hindert dies Außenstehende daran, die
internen Mailserver zu verwenden und die Mitarbeiter, Mailserver
außerhalb des Intranets anzusprechen. Wenn mail.beispiel.de jede
ein- und ausgehende Email im Logfile vermerkt, kann so sichergestellt
werden, daß niemand einen privaten Mailserver verwendet, um die
Logfiles der Firma zu umgehen (oder Werbemails zu versenden).
"Gestatte allen Rechnern im Internet den Zugriff auf www.beispiel.de
auf den Ports 80 und 443. Erlaube allen Rechnern im Intranet die
Verbindung mit Rechnern außerhalb des Netzes auf den Ports 80
und 443. Vermerke jede URL-Anfrage ins Internet und die interne
IP, von der sie gestartet wurde, im Logfile. Sperre jeden Zugriff
auf die Ports 80 und 443 auf anderen Rechnern innerhalb des Intranets."
Port 80 wird standardmäßig für HTTP (Webbrowsing) verwendet, Port
443 von HTTPS (Secure Sockets Layer) für den verschlüsselten Zugriff
auf Webseiten. Dies verhindert wieder den Zugriff von außen auf
interne Dienste (wie z.B. Personal Web Sharing). Außerdem wird
die Internetnutzung der Angestellten in Logfiles protokolliert,
so daß der Netzwerkadministrator feststellen kann, ob jemand den
Internetzugang der Firma zum Zugriff auf unerwünschte Seiten verwendet.
Viele Firmen haben feste Regeln, was den privaten Zugriff aufs
Internet während der Arbeitszeit angeht - auf der Dilbert-Webseite
sind im "Pointy Haired Boss Index" Unternehmen aufgeführt, die
den Zugriff auf die Seiten der Dilbert Zone unterbinden.
http://www.dilbert.com/comics/dilbert/financial/tphbx.html
"Sperre alle eingehenden DNS-Anfragen." Wenn Sie einen öffentlichen
DNS-Server außerhalb der Firewall betreiben und einen privaten
innerhalb, können Sie verhindern, daß Informationen über den Aufbau
Ihres Intranetzes und einzelne angeschlossene Rechner und Geräte
nach außen gelanngen.
"Keine eingehenden FTP-Verbindungen. FTP-Verbindungen nach außen
sind uneingeschränkt möglich." In diesem Fall wird der Server
ftp.beispiel.de von einem Provider außerhalb der Firewall betrieben.
die Mitarbeiter gehen über die Firewall aus dem Intranet hinaus,
um auf diesen Server zu gelangen. Manche Organisationen sind sehr
darum bemüht, wichtige Informationen nicht nach außen gelangen
zu lassen und erlauben den FTP-Zugriff nur über Proxy Server,
die nur das Herunterladen, nicht aber das Hinaufladen von Daten
erlauben. Dies soll es den Mitarbeitern unmöglich machen, größere
Datenmengen der Konkurrenz zukommen zu lassen.
Proxy Server -- Die kompliziertere und teurere Variante einer Firewall ist
der Proxy Server. Wenn eine Firewall mit Packet Filtering ein
militärischer Kontrollpunkt ist, so gleicht ein Proxy Server einem
gewieften Übersetzer und Dolmetscher ("Ich bin ein Proxy!!" A.d.ÜIn).
Die Netzteilnehmer auf beiden Seiten des Proxy können nicht direkt
miteinander kommunizieren, stattdessen geht jede Kommunikation
direkt über den Proxy. Wenn ein Internetteilnehmer etwas Seltsames
versucht, leitet der Proxy die Nachricht nicht weiter. Darüber
hinaus haben die Rechner außerhalb des Intranet nie eine direkt
Verbindung zu den Rechnern innerhlab, so daß keine Informationen
über die Art des internen Netzes nach außen gelangen und niemand
von außerhalb einzelne Rechner angreifen oder auf Schwachstellen
überprüfen kann.
Die sogenannte Network Address Translation (NAT) ist eine recht
neue Spezifikation, die es einer Firewall ermöglicht, als Proxy
Server aufzutreten, ohne daß die Client-Software sich irgendwie
anders verhalten muß (bzw. überhaupt etwas von der Firewall weiß).
Eine NAT-fähige Firewall schreibt in jedes Datenpäckchen ihreeigene
IP und einen verfügbaren Port und verfährt mit den eingehenden
Antwortpäckchen entsprechend umgekehrt. Da dieser Vorgang ziemlich
einfach ist, verbreitet sich die Methode mehr und mehr in firewalls
und Routern. Noch ausgefeiltere Firewalls verstehen bestimmte
Protokolle und können einzelne verdächtige Befehle oder aktionen
gezielt unterbinden. Diese Firewalls laufen im Allgemeinen unter
UNIX oder NT und sind recht teuer.
http://www.tis.com/prodserv/gauntlet/firewalls/
Am anderen Ende des Spektrums konzentrieren sich verhältnismäßig
preisgünstige Lösungen wie der WebDouble der Firma Maxum eher
auf Geschwindigkeitsoptimierung denn auf Datensicherheit. WebDoubler
erhöht die Geschwindigkeit beim Surfen durch Zwischenlagerung
der URL-Anfragen und stellen die im Cache gespeicherten Seiten
dann anderen Nutzern, die dieselbe Seite abfragen. Das Prinzip
entspricht dem von Netscape und Explorer, alle Nutzer greifen
jedoch auf einen gemeinsamen, größeren Cache zu. Im Bundle mit
WebDoubler ist der IPNetRouter der Firma Softworks erhältlich,
der auch packet screening beherrscht. Beidelaufen auf Macs.
http://www.maxum.com/WebDoubler/
http://www.sustworks.com/products/producz_ipnr.html
*Konfiguration -- Vergessen Sie nicht, Ihre Firewall zu konfigurieren! Egal,
wie teuer sie ist, eine Firewall nützt Ihnen nur, wenn Sie wissen,
was sie aus- und einschließen, blockieren und gestatten wollen
und dies in die Konfiguration der Firewall umsetzen. Da diese
Konfiguration auf Ihren IP-Adressen und den verwendeten Ports
(Diensten) basiert, hat eine allgemeine Konfiguration keinen Sinn.
Bevor Sie sich für ein Produkt entscheiden, werfen Sie einen Blick
auf die Konfigurationsdateien. Wenn diese einigermaßen verständlich
aussehen, gut. Wenn Sie nicht verstehen, was all diese Angaben
bedeuten, müssen Sie sich entweder durch mehr Dokumentations-
und Informationsmaterial durcharbeiten, oder jemanden beauftragen,
des die Konfiguration für Sie erledigt. Stellen Sie sicher, daß
dieser Jemand verfügbar ist, wenn Probleme auftauchen oder Änderungen
anstehen.
Stellen Sie zunächst eine Liste aller Dienste auf, die Sie im
Intranet nutzen und entscheiden Sie, welche davon für Ihre Mitarbeiter
außerhalb des Intranets (Filiaien, Außendienstmitarbeiter, Telearbeit
etc.) und für die Öffentlichkeit zugänglich sein sollen. Bei der
Konfiguration einer Firewall müssen oft Abstriche gemacht werden
- wenn Sie den Mißbrauch Ihres Systems verhindern wollen, machen
Sie die normale Nutzung schwieriger oder in manchen Fällen auch
unmöglich.
Müssen Ihre Mitarbeiter von außen auf ihre Email zugreifen können?
Vertrauen Sie in die Sicherheit Ihres Mailservers und seiner Paßwörter,
oder ist es nicht vielleicht doch besser, für den Außendienst
und die Mitarbeiter, die oft auf Geschäftsreise sind, externe
Mailkonten einzurichten?
Können Sie Ihren Webserver so konfigurieren, daß er den Zugriff
auf interne Seiten nur gestattet, wenn die Anfrage aus dem Intranet
selbst kommt _oder_ der Nutzer ein Paßwort für diese Seiten kennt?
Wenn dem so ist, können Sie eine eigene Webseite für das Intranet
erstellen, ohne einen weiteren Websever einzurichten.
Wenn Sie eine größere Anzahl von Mitarbeitern außerhalb der Firewall
haben, die vollen zugriff auf das Intranet haben müssen, sollten
Sie die Einrichtung eines Virtuellen Privaten Netzes (Virtual
Private Network, VPN) zusätzlich zur Firewall in Betracht ziehen.
diese Technologie ermöglicht es, allen Datenverkehr, der über
das Internet zwischen Ihrem Netzwerk und dem entfernten Teilnehmer
stattfindet. VPNs verstehen sich hervorragend mit einer Firewall,
da Sie den Datenverkehr über das VPN ungehinert durch die Firewall
passieren lassen können - im sicheren Wissen, daß nur dazu berechtigte
Personen die Schlüssel und Paßwörter für das VPN haben und somit
auf alle internen Dienste zugreifen können. So können Sie über
die Firewallwesentlich mehr Bereiche Ihres Netzes gegenüber dem
Internet absichern, denn die berechrigten Nutzer greifen über
das VPN auf Ihr Netzwerk zu.
Stellen Sie sicher, daß Sie den Schutz gegen gefälschte und unvollständige
Datenpäckchen in der Firewall aktivieren, da diese für viele Stabilitäts-
und Sicherheitsprobleme verantwortlich sind. Abgewiesene Pakete
sollten in einem Logfile vermerkt werden - wenn Ihre Firewall
einen Angriff abwehrt und Sie das nicht merken, können die Angreifer
so lange weiter machen, bis Sie am Ende doch erfolgreich sind.
Bevor Sie die Firewall einrichten, entscheiden Sie, was außerhalb
und was innerhalb der Firewall sein soll. Da ein Webserver in
erster Linie die Öffentlichkeit informieren soll, ist es sinnvoll,
ihn außerhalb der Firewall zu plazieren, vielleicht sogar direkt
bei Ihrem Provider. So sind Ihre Seiten für Besucher schneller
verfügbar und Sie stellen sicher, daß der Webserver keine Gefahr
für die interne Sicherheit Ihres Netzes darstellt. FireSite der
Firma ClearWay verwaltet solche externen Webserver und bietet
die meisten Vorteile, die ein internerWebserver hätte: Flexibilität,
anpassung und Logfiles. Das Gleiche gilt für FTP-Server.
http://www.clearway.com/firesite/
Eine Firewall kaufen -- Bevor Sie eine Firewall kaufen, finden Sie heraus, was Ihre
Router alles können. Wenn Ihr Internet Router das packet filtering
beherrscht, genügt das vielleicht schon für Ihre Ansprüche. Eine
Hardware Firewall bekommen Sie bei den meisten Herstellern, die
auch Router herstellen, wie z.B. Ciscound Compatible Systems.
Von einigen Firmen gibt es softwarebasierte Firewalls für UNIX
und Windows NT.
http://www.cisco.com/
http://www.compatible.com/
Glücklicherweise gibt es einige Firewalls für den Mac. Der IPNetRouter
verügt über die Funktionen einerFirewall. Die Internet Router
der Firma Vicomsoft (sowohl für Mac OS als auch für Windows erhältlich)
verfügt über die Funktionen einer Firewall. DoorStop von Open
Door Networks ist eine begrenzte Firewall - es schützt nur den
Rechner, auf dem es läuft.
http://www.vicomsoft.com/products.html
http://www2.opendoor.com/doorstop/
Zum Abschluß -- Wenn Sie Server betreiben, die ans Internet angeschlossen
sind, sollten Sie überlegen, ob Sie diese nicht durch eine Firewall
schützen wollen. Glücklicherweise gibt es dazu viele Möglichkeiten,
und vielleicht besitzen Sie die Lösung bereits. Es ist Ihnen zu
wünschen, daß Sie nie einem Angriff ausgesetzt sind, doch in den
weiten des Netzes gibt es unangenehme Menschen. Sie sind es sich
selbst schuldig, über den Schutz Ihres Netzwerkes nachzudenken,
_bevor_ Sie jemand anderes dazu zwingt.
Die Konfiguration einer Firewall besteht aus zwei Schritten. Überlegen
Sie zunächst, wie Sie TCP/IP nutzen, und dann finden Sie ein Gleichgewicht
zwischen diesem Nutzen und dem möglichen Schaden, wenn Ihre Infrastruktur
mißbraucht wird. Wenn Sie die Firewall geschickt planen und konfigurieren,schützen
Sie Ihre Server, ohne daß Ihre Nutzer überhaupt etwas davon merken.
[Chris Pepper ist Webmaster und Listenverwalter bei der National
Audubon Society. Dieser Artikelwurde ursprünglich (in wesentlich
gekürzter Form) als Teil einer Präsentation auf der Macworld Expo
ST '99 vorgestellt.]
Übertragung dieser Ausgabe:
Sonja Krause-Harder translation@skh.de, Hartmut Greiser hgreiser@linarte.com
Redaktion: Hartmut Greiser Home: www.linarte.com
Copyright and address info
TidBITS Home Page
Vorhergehende Ausgabe
Nächste Ausgabe
Frühere Ausgaben der TidBITS können unter folgendem Web-URL durchsucht
werden:
www.tidbits.com/search/