You are here: Home » Dokumentation » Netzwerk » Warum lokale Firewalls?
Sorry, this page is not translated yet.

Warum lokale Firewalls?

Das RUS-CERT erhält gelegentlich Anfragen, ob angesichts des Filters am Perimeterrouter (meist “Uni-Firewall” genannt) noch nötig ist, innerhalb des Universitätsnetzes weitere Firewalls zu betreiben. Dieses Dokument erläutert, warum der Betrieb einer Firewall vor Ort trotzdem äußerst sinnvoll ist.

Der Filter am Perimiterrouter besitzt, obwohl er täglich ungezählte Angriffe unterbindet, leider einige grundlegende Schwächen:

  • Der Filter ist keine Firewall im allgemein verstandenen Sinne. Es handelt sich um einen Paketfilter, der die Initiierung von Verbindungen von außerhalb der Universitätsnetze zu Systemen in den Netzen der Universität Stuttgart zunächst bis auf wenige Ausnahmen unterbindet.
    Aufgrund der sehr heterogenen Nutzungsstruktur des Universitätsnetzes und der auf die Einrichtungen und Institute verteilten Administration der Systeme, ist die Einführung eines einheitlichen, restriktiven Firewall-Konzeptes für die gesamte Universität derzeit nur in der auf diesen Seiten dokumentierten Weise möglich.
  • Der Filter verhindert erfahrungsgemäß lediglich einen Teil möglicher Angriffe.
  • Es ist mit Angriffen aus dem Universitätsnetz selbst zu rechnen. Der Filter schützt die Systeme innerhalb der Uninetze nicht voreinander.
  • Kompromittierte Systeme innerhalb des Universitätsnetzes können dazu verwendet werden, weitere Systeme im Universitätsnetz aus dem Universitätsnetz selbst anzugreifen, die nun nicht mehr durch den Filter am Perimeterrouter geschützt sind.

Bereits durch den Betrieb eines einfachen Paketfilters (beispielsweise auf der Basis eines Linux-Kernels) zwischen lokalem Netz und Universitätsnetz können folgende Dinge erreicht werden:

  • Hereinkommenden HTTP- und FTP-Verbindungen sowie DNS-Anfragen lassen sich sperren, falls sie nicht bekannte und gewartete Server als Ziel haben.
  • DNS spoofing läßt sich erheblich erschweren.
  • Der lokale Paketfilter schützt auch vor Angriffen aus dem restlichen Universitätsnetz.
  • Auf Wunsch ist eine weitestegehende Trennung des eigenen Netzes vom Universitätsnetz und damit vom Internet mit Hilfe von application level proxies möglich.
  • Die technischen Probleme des statischen Filterns, die zu erheblich geringerer Sicherheit führen können, lassen sich vermeiden.
  • Im Falle von Angriffen kann häufig am lokalen Paketfilter sehr kurzfristig Linderung verschafft werden (natürlich nur bei Angriffen, die die Anbindung nicht sättigen).

Angesichts der verbleibenden Schwächen des universitätsweiten Filters und der vielfältigen zusätzlichen Schutzmöglichen ist die Entwicklung eines Konzeptes zum Schutze des Netzes vor Ort äußerst empfehlenswert, insbesondere wenn die notwendigen Ressourcen in bezug auf Hard- und Software und Personal im Prinzip vorhanden sind.

Auch innerhalb eines geschützten lokalen Netzes ist es sinnvoll, auf den Rechnern selbst im Netz nicht benutzte Dienste zu abzuschalten oder zu sperren, um Flächenbrände, die von einem kompromittierten System ausgehen, zu vermeiden.

Das RUS-CERT steht Ihnen gerne für weitere Fragen zur Verfügung. Soweit im Rahmen der verfügbaren Ressourcen möglich, kann das RUS-CERT vorhandene Firewall-Konzepte bewerten.