Strawberry Firewall

Sicherheit sollte bei der Arbeit mit Computern in Datennetzwerken an oberster Stelle stehen. Neben dem verantwortlichen Handeln jedes einzelnen Mitarbeiters lässt sich auch auf technischer Ebene einiges tun, um unauthorisierten Zugriff auf sensible Unternehmens- und Kundendaten zu verhindern. Zusätzlich kann der Datenaustausch mit Niederlassungen, Lieferanten und Partnern in das Sicherheitskonzept integriert werden.

Mit den Produkten von Strawberry können Sie sich einfach auf Ihr Kerngeschäft konzentrieren, wir kümmern uns um die Technik. Außerdem garantieren wir Ihnen ein Höchstmaß an Sicherheit und Zuverlässigkeit.

Die Strawberry Firewall verhindert unauthorisierten Zugang zu Ihrem Netzwerk. Wenn Sie eine permanente Verbindung ins Internet haben, sei es über eine Standleitung oder Breitbandanbindung, oder einen dedizierten Webserver verwenden, ist der Einsatz einer Firewall unverzichtbar. Sie brauchen das notwendige Know-how nicht selbst bereitzustellen.

Es gibt viele Fragen zu klären, bevor wir uns mit dem eigentlichen Design einer Sicherheitstechnik befassen können. Die Firewall ist am Ende eine der Komponenten aus denen unser gesamtes Sicherheitssystem aufgebaut wird.

Strawberry bietet unter dem Stichwort "Sicherheits- und Bedrohungsanalyse" einen Workshop an, dessen Zielsetzung es ist, den oben genannten Fragenkatalog zu vervollständigen und vor allem: Ihn zu beantworten. Am Ende des Workshops halten Sie ein Pflichtenheft für eine Sicherheitstechnik in der Hand. Die Grundlage für das Design einer Firewall ist gelegt.

Die Firewall ist eine der Komponenten eines gesamtheitlichen Sicherheitskonzeptes. Ihre Aufgabe ist es, im schier unendlichen, unüberschaubaren Strom von Datenpaketen, die sowohl unser Netzwerk erreichen, als auch es verlassen, diejenigen zu identifizieren, die unerwünscht sind. Sobald diese Pakete erst einmal identifiziert sind, muss - oder kann - die Firewall reagieren: Sie verwirft Pakete und protokolliert sie. Hierzu muss die Firewall in der Lage sein, Datenpakete zu analysieren. Sie muss bewerten können, ob ein Datenpaket zu einem zusammenhängenden Datenstrom gehört oder ob so ein Datenstrom unter Umständen weitere scheinbar unabhängige Datenströme nach sich zieht. Kennt man die Kommunikationspartner und die Datenströme mittels derer, sie sich unterhalten, so kann man noch einen Schritt weiter gehen und die Datenprotokolle analysieren.

sind die einfachsten Komponenten einer Firewall. Sie beurteilen lediglich die Netzadressen - Sender und Empfänger eines Datenpaketes - und unter Umständen noch die Netzwerkdienste, die angesprochen werden sollen. Viele sehr effiziente Packet Filter sind aber schon damit überfordert, zusammenhängende Datenströme zu analysieren.

Die Computer nutzen so genannte Relay oder Proxy Server. Das ist eine Art Dolmetscher, der es ermöglicht, dass man miteinander ?kommuniziert?, ohne sich vorher zu kennen und das in unterschiedlichen Sprachen. Er umschifft keine geographischen, sondern sprachliche Barrieren. Die Funktion des Proxy Server ist es, Hindernisse bei der direkten Kommunikation zweier Rechner miteinander zu überwinden.

In der Sicherheitstechnik kommt jedoch noch eine weitere Bedeutung hinzu: Da sie die Datenpakete eines Kommunikationspartners annehmen und für den anderen aufbereiten müssen, können die Proxyserver weitere Beurteilungen vornehmen, ob die Datenpakete nun gewünscht oder ungewünscht sind. Sie können beurteilen,

• ob die Datenpakete selber der Form (dem Protokoll) genügen, um durch eine Barriere (Firewall) durchgelassen zu werden.
• die Datenpakete in einem logischen Zusammenhang stehen
• die Datenpakete Dinge enthalten, die schon per se als unerwünscht gelten

So wie die Dolmetscher nicht alle Sprachen der Welt fließend beherrschen, sich alzu spezialisiert haben, so gibt es auch unter den Proxies ganz spezielle, für den jeweiligen Einsatz optimierte Produkte. Die Strawberry EDV Systeme GmbH bietet die folgenden Proxies oder Relays zur Integration in einer Firewall an:

Er bietet die Möglichkeit:

• Ein direkter Zugriff von außen auf den Firmen-Mailserver wird verhindert. Dadurch werden direkte Angriffe auf interne Firmendaten erschwert.
• Der Virenscanner läuft effektiver als auf einem zentralen Mailserver, da nur eingehende Nachrichten gefiltert werden. So sind die Performance-Anforderungen geringer.

Das Mail-Relay dient als Mittelsmann für die elektronische Post. Das Web-Relay dementsprechend als Mittelsmann für den Zugriff auf das World-Wide-Web, kurz WWW genannt. Die Web-Relays agieren als so genannte Caching-HTTP-Proxies und sind in der Lage, viele Anfragen von unserer Seite an das WWW aus ihrem Zwischenspeicher (dem Cache) zu beantworten. Er erinnert sich z.B. daran, dass ein anderer Mitarbeiter Ihres Unternehmens genau diese Information vom Partnerunternehmen vor kurzem abgerufen hat, er macht sich eine Kopie von der vorhergehenden Kommunikation und beantwortet die Frage kurzerhand selber.

Wenn man das Strawberry Web-Relay ?umdreht? und seine Zwischenspeicherfunktion für die Anfragen von außen nutzt, kann man dem eigenen Webserver helfen, Anfragen schneller zu beantworten. Für ein und dieselbe Information wird der Web-Beschleuniger nur einmal beim Web-Server anfragen und den damit entlasten. Der Web-Beschleuniger fungiert als Mittelsmann.

So wie der Mail-Relay dafür sorgt, dass kein direkter Kontakt zwischen dem Mail-Server und dem Internet besteht, stehen Web-Relay und Web-Beschleuniger als Mittelsmann zwischen dem Internet, dem Web-Server und dem Browser. Wichtige Sicherheitschecks können auf den beiden ausgeführt werden.

Die Komplexität und die unterschiedlichen Einsatzgebiete aller zur Verfügung stehenden Proxies machen es leicht verständlich, dass es nicht eine einzige generische Proxy-Komponente in einer Firewall geben kann. Vielmehr ist es notwendig, der Aufgabenstellung beim Design der Sicherheitstechnik entsprechend, viele Proxies mit ganz bestimmten Stärken so miteinander zu verbinden, dass der beabsichtigte Schutz gewährleistet wird. So wie ein Sheriff seine vollständige Schutzfunktion nur mit der Hilfe von Hilfssheriffs ausüben kann, gibt ein Proxy einen Teil seiner Aufgaben an andere Proxies weiter. Es entsteht ein regelrechtes Netzwerk aus Proxies, die entweder kaskadiert (parent) in einer Reihe oder gleichberechtigt (sibling) nebeneinander stehen. Damit sich die Proxies in einer beliebig komplexen Anordnung noch effizient miteinander unterhalten können, wurden eigene Standards für die Kommunikation zwischen den Proxies definiert. Die wichtigsten hierbei sind das Inter-Cache-Protokoll ICP und das Internet-Content-Adaption-Protokoll ICAP.

Der Strawberry WEB-Relay kann so zum Beispiel über ICAP mit einem Virenscanner oder einem Spamfilter verbunden werden. Die explizite Ausrichtung der beiden auf das jeweilige Aufgabengebiet gewährleistet einen wesentlich effizienteren Viren- und Spam-Schutz als die von dem aus dieser Sicht generischen Web-Relay gegeben werden könnte.

Die Strawberry EDV-Systeme GmbH erstellt auf Basis der Security-Policy ein Konzept dazu, wie eine maßgeschneiderte Sicherheitstechnik ganz nach Ihren Anforderungen zu realisieren wäre. Hierbei wird nicht das Rad neu erfunden, sondern Strawberry greift auf eine reichhaltige Palette von Produkten zurück, die ganz im Sinne des oben gesagten, die einzelnen Komponenten einer gesamtheitlichen Sicherheitslösung darstellen.

Die zentrale Komponente der Sicherheitslösung wird in den meisten Fällen die Strawberry Firewall sein. Auf der Basis qualitativ hochwertiger Hardware, des sichersten und zuverlässigsten Betriebssystems, auf das wir derzeit zurückgreifen können, hat Strawberry eine Firewall entwickelt. Gerade, in Hinsicht auf die Überwachung zusammenhängender Kommunikations-Schritte, setzt die Strawberry Firewall Maßstäbe im Vergleich zu anderen Firewalls.

Die Strawberry Firewall erhält Ihre Konfiguration durch das Einspielen einer Firewall-Policy. Dies kann durch absolute Firewall-Experten auf der Firewall selber ohne weitere Hilfsmittel erfolgen. Im Vergleich zu anderen Firewalls ist dies ein weiterer entscheidender Vorteil der Strawberry Firewall, denn im Ernstfall - dann wenn schnell auf ein Sicherheitsproblem reagiert werden muss - kann mit einfachen "Bordmitteln" eine Sofortmaßnahme ergriffen werden um größeren Schaden zu verhindern. Der Strawberry Firewall Administration Server bietet eine graphische Benutzeroberfläche an, mit der die Firewall Policy erstellt werden kann. Er bietet darüber hinaus einen Log-Server an, der die Firewall-Logbücher aufnimmt und auswertet. Auch zur Kontrolle der Logbücher steht eine graphische Benutzeroberfläche zur Verfügung. Aus Sicherheitsgründen wird man den Firewall Administration Server und die Firewall in der Regel getrennt auf zwei Servern aufsetzen. Hiermit ist gewährleistet, dass im Ernstfall ein Angreifer keinen Zugriff auf die Logbücher hat, um seine Spuren zu verwischen, bevor man sie gefunden hat.

Je nach Policy und prognostizierter Netzwerklast einer Firewall wird es sinnvoll sein, einige Proxy-Dienste von der Firewall auf externe Server auszulagern. Insbesondere gilt dies für spezialisierte Proxies, wie zum Beispiel

• Web-Relay
• Web-Beschleuniger
• Mail-Relay
• DNS-Relay
• Virenscanner
• Spamblocker

Die Strawberry Firewall sieht vor, derartige externe Proxies in der so genannten demilitarisierten Zone - DMZ -, einem 'halbvertrauenswürdigen' Netzwerk zwischen dem Intranet und dem Internet anzusiedeln. Je nach Komplexität kann die Strawberry Firewall auch mehrere DMZs anbinden.

werden typischerweise auch in die Sicherheitstechnik einbezogen. Die VPN Gateways können so wie die Proxy-Server in einer DMZ angesiedelt werden, um der Firewall auch hier die Kontrolle über den Netzwerk-Datenstrom zu gewährleisten.

Strawberry unterstützt selbstverständlich auch den Einsatz anderer renommierter Firewall-Produkte. Insbesondere können die qualitativ hochwertigen Produkte von Checkpoint und Cisco in das Gesamtkonzept einer Sicherheitslösung einbezogen werden.

Die Strawberry EDV Systeme GmbH steht Ihnen bei der Planung, der Konzeption und der Umsetzung Ihrer IT Sicherheitslösung zur Seite. Wir lassen Sie aber auch beim anschließenden Betrieb Ihrer Firewall nicht alleine im Regen stehen.