Firewall Funktionen am Internetzugang der Universität Hamburg
Vorbemerkung
Das vorliegende Konzept beschreibt zentral vorzunehmende Sicherungsmaßnahmen. Diese Maßnahmen gelten für alle Systeme innerhalb der gesicherten Zone. Sie stellen den minimal nötigen Schutz vor aktiven Angriffen von außen sicher. Sie stellen keinen Schutz vor Angriffen von innen oder vor datengetriebenen Angriffen her. Sie stellen auch keinen vollständigen Schutz vor aktiven Angriffen von außen her, lediglich bekannte und besonders gefährliche Angriffe werden verhindert. Selbst einige bekannte, sehr gefährliche Angriffe können nicht unterdrückt werden, da diese Unterdrückung wichtige Funktionalität verhindern würde.
Dieses Konzept ist ein weiterer Schritt in Richtung eines Gesamtsicherheitskonzeptes.
Dieses Konzept entbindet die Administratoren nicht von der Aufgabe, ihre Systeme zu sichern.
1. Zu sichernde Zone
Die folgenden Sicherungsmaßnahmen gelten für das gesamte Netz mit dem Präfix 134.100.0.0/16. Zur Realisierung werden alle Verbindungen zu anderen Netzen auf einen Zugangsrouter geführt. Auf diesem Router werden Accesslisten implementiert, die die folgenden Sicherungsmaßnahmen implementieren.
Dieses Konzept gilt auch für andere Einrichtungen, die den genannten Adressraum mitnutzen.
2. Filterregeln für ICMP
Bei ICMP handelt es sich um ein grundlegendes Steuerungsprotokoll. Leider können einige Typen von ICMP Paketen für Angriffe missbraucht werden. Da die Zahl der für den tatsächlichen Betrieb notwendigen Typen überschaubar ist, werden nur diese Typen zugelassen und alle anderen ICMP Pakete werden sowohl eingehend als auch ausgehend verworfen.
Die zuzulassenden Typen sind:
- Typ 0 (echo reply)
- Typ 3 (unreachable)
- Typ 4 (source quench)
- Typ 8 (echo request)
- Typ 11 (time exceeded)
- Typ 12 (parameter problem)
3. Filterregeln für TCP
Das Protokoll TCP transportiert die meisten Daten über die Weitverkehrsverbindungen des Internet. Es ist ein verbindungsorientiertes Protokoll, bei dem beim Filtern zwischen eingehenden und ausgehenden Verbindungen unterschieden werden kann.
Es gibt sehr viele Anwendungen, die auf TCP basieren und es entstehen ständig neue. Eine Aufzählung aller erlaubten Anwendungen scheitert nicht nur an dieser Vielfalt, sondern auch daran, dass nicht alle Anwendungen mit festen Portnummern arbeiten.
Aus diesem Grund wird hier eine Negativliste von Ports angegeben, die bekannte Risiken haben und deren Nutzen im Verhältnis zum Risiko klein ist.
Eingehend werden die folgenden Ports gesperrt:
- 111 (portmapper): Dieser Dienst steht im Brennpunkt vieler Angriffe. Er kann teilweise selber unterminiert werden und er gibt einem Angreifer Auskunft darüber, auf welchen Ports andere sicherheitskritische Dienste laufen. Durch die Sperrung dieses Dienstes können keine RPC-Dienste von außen benutzt werden.
- 137-139, 445 (netbios, smb): Diese Dienste werden für das Microsoft File- und Printersharing benutzt. Hier gibt es vielfältige Missbrauchsmöglichkeiten. Selbst die Firma Microsoft empfiehlt die Sperrung dieser Ports. Diese Dienste werden zwar normalerweise über UDP abgewickelt, sind jedoch auch für TCP definiert.
- 161, 162 (snmp, snmptrap): Dieses sind Netzwerkmanagementdienste. Netzwerkmanagement findet innerhalb eines Netzwerkes statt und nicht von außen. Ein Angreifer kann sich mit diesen Diensten wertvolle Informationen beschaffen und eventuell Manipulationen vornehmen. In jüngster Zeit sind gravierende Schwachstellen dieses Protokolls bekannt geworden. Diese Dienste werden zwar normalerweise über UDP abgewickelt, sind jedoch auch für TCP definiert.
- 515 (lpd): Dieser Dienst stellt ohne Authentisierung Drucker zur Verfügung. Außenstehende dürfen nicht in der Universität drucken. Außerdem gibt es bekannte Schwachstellen in einigen weit verbreiteten Implementationen, nach denen aktiv gesucht wird.
- 540 (UUCP): Dieser Dienst wurde früher für Mail- und Newstransport genutzt. Er ist obsolet, aber häufig noch aktiviert.
- 2049 (NFS): Dieser Dienst ist eine Unixvariante des Filesharings. Es gibt bekannte und sehr gefährliche Angriffe gegen diesen Dienst. Da NFS auf RPC basiert und RPC bereits gesperrt ist, ist eine reguläre Nutzung dieses Dienstes ohnehin nicht möglich.
Ausgehend werden keine Ports gesperrt.
Eine Sonderstellung hat das Protokoll SMTP (Port 25). Dieses Port wird gemäß dem Mailkonzept der Universität für alle Maschinen sowohl eingehend, als auch ausgehend gesperrt. Ausgenommen sind wenige spezielle Mailserver.
Es ist anzustreben, dass in Zukunft Protokolle gesperrt werden können, die wiederverwendbare Klartextpassworte verwenden. Dieses sind u.a. telnet, ftp, pop, imap, X11 und rlogin. Derzeit ist der Nutzungsgrad dieser Protokolle noch so hoch, dass eine Abschaltung nicht durchsetzbar erscheint. Es sollte auf die Benutzer eingewirkt werden, sicherere Protokolle zu nutzen, wie z.B. ssh, imaps und spop.
4. Filterregeln für UDP
UDP ist ein verbindungsloses Protokoll, bei dem beim Filtern nicht zwischen eingehenden und ausgehenden Verbindungen unterschieden werden kann. Lediglich die Richtung des jeweiligen Datenpaketes kann in Verbindung mit der Portnummer ausgewertet werden.
Es gibt sehr viele Anwendungen, die auf UDP basieren und es entstehen ständig neue. Eine Aufzählung aller erlaubten Anwendungen scheitert nicht nur an dieser Vielfalt, sondern auch daran, dass nicht alle Anwendungen mit festen Portnummern arbeiten.
Aus diesem Grund wird hier eine Negativliste von Ports angegeben, die bekannte Risiken haben und deren Nutzen im Verhältnis zum Risiko klein ist.
Für eingehende Pakete werden die folgenden Ports gesperrt:
- 67, 68, 69 (bootps, bootpc, tftp): Diese Dienste werden beim Booten von Geräten benutzt. Sie sind nur im lokalen Netz sinnvoll und können für sehr unangenehme Denial of Service Angriffe und zum Ausspionieren von Konfigurationsdaten missbraucht werden.
- 111 (portmapper): Dieser Dienst steht im Brennpunkt vieler Angriffe. Er kann teilweise selber unterminiert werden und er gibt einem Angreifer Auskunft darüber, auf welchen Ports andere sicherheitskritische Dienste laufen. Durch die Sperrung dieses Dienstes können keine RPC-Dienste von außen benutzt werden.
- 137-139, 445 (netbios, smb): Diese Dienste werden für das Microsoft File- und Printersharing benutzt. Hier gibt es vielfältige Missbrauchsmöglichkeiten. Selbst die Firma Microsoft empfiehlt die Sperrung dieser Ports.
- 161, 162 (snmp, snmptrap): Dieses sind Netzwerkmanagementdienste. Netzwerkmanagement findet innerhalb eines Netzwerkes statt und nicht von außen. Ein Angreifer kann sich mit diesen Diensten wertvolle Informationen beschaffen und eventuell Manipulationen vornehmen.
- 514 (syslog): Dieser Dienst stellt zentrales Logging zur Verfügung. Er kann von außen missbraucht werden, um sicherheitsrelevante Daten zu verdecken oder zu überschreiben.
- 1701 (L2TP): Dieses Protokoll baut einen Tunnel auf. Siehe hierzu Kapitel 5.
- 2049 (NFS): Dieser Dienst ist eine Unixvariante des Filesharings. Es gibt bekannte und sehr gefährliche Angriffe gegen diesen Dienst. Da NFS auf RPC basiert und RPC bereits gesperrt ist, ist eine reguläre Nutzung dieses Dienstes ohnehin nicht möglich.
Für ausgehende Pakete werden keine Ports gesperrt.
5. Tunnel durch den Zugangsrouter
Es gibt viele Tunnelprotokolle. Beispielhaft seien hier IP/IP, IP/GRE, IPsec und L2TP genannt.
Tunnel dienen dazu, Pakete auf Wegen zu transportieren, die mit normalen Mitteln nicht gangbar sind oder die zu unsicher wären. Wenn Tunnel durch den Zugangsrouter hindurch konfiguriert werden, können Datenpakete ungefiltert in das Netz der Universität gelangen, bzw. dieses ungefiltert verlassen, da der Zugangsrouter nicht auf die Tunnelinhalte zugreifen kann. Deshalb sind solche Tunnel ein besonderes Sicherheitsrisiko.
Wenn Tunnel unverzichtbar sind, sollten sie nach Möglichkeit auf dem Zugangsrouter terminiert werden, da Tunnelendpunkte gefiltert werden können.
Die meisten dieser Tunnelprotokolle basieren auf einem eigenen IP-Protokoll. Diese IP-Protokolle werden am Zugangsrouter gesperrt. Die zur Zeit bekannte Ausnahme ist das Tunnelprotokoll L2TP, das über UDP abgewickelt wird. Deshalb wird UDP Port 1701 gesperrt.
Ausnahmen müssen einzeln genehmigt werden. In jedem Fall ist sicherzustellen, dass am Tunnelendpunkt adäquate Sicherungsmaßnahmen installiert werden.
Ausnahmen:
- Für den DFN(at)HOME Zugang, den die Universität ihren Studierenden und Mitarbeitern zur Verfügung stellt, gibt es L2TP Tunnel vom Backbone der Betreiberfirma zu einem dedizierten Router im Netz der Universität. Dieser Router wird von der Betreiberfirma verwaltet. Das Angebot DFN(at)HOME gibt es nur in dieser Konfiguration. Da sich über diesen Weg legitime interne Benutzer der Universität einwählen, findet hier keine besondere Filterung statt. Lediglich das Versenden von IP-Paketen mit gefälschtem Absender wird verhindert.
- Für das Hamburger Hochschulkooperationsmodell wird eine VPN-Lösung geplant. Diese basiert vermutlich auf L2TP und IPsec. Dieses VPN wird vom RRZ betrieben werden und nur über ein eigenes, sehr restriktiv konfiguriertes Firewallsystem, das auch vom RRZ betrieben wird, auf das Netz der Universität zugreifen.
6. Sonstige Protokolle
Es werden nur Protokolle unterstützt, die auf IP basieren.
Zur Zeit sind keine Anwendungen bekannt, die mit anderen, als die in den Kapiteln 2 bis 5 genannten IP-Protokollen mit der Außenwelt kommunizieren. Falls es Bedarf für solche IP-Protokolle geben sollte, muss dieser Bedarf gegen die dann zu analysierenden Sicherheitsprobleme abgewogen werden.
7. Sonstige Maßnahmen
Es gibt eine Reihe von Angriffen, die Pakete generieren, die erkennbar unzulässig sind. Solche Pakete werden unterdrückt. Beispiele sind:
- Pakete, die das Netz der Universität verlassen und keine Absenderadresse aus diesem Netz haben.
- Pakete, die von außen kommen und Absenderadressen haben, die von dort nicht kommen dürfen. (133.100.0.0/16, 127.0.0.0/8, 224.0.0.0/16)
- Routinginformationen, die aus Quellen kommen, die nicht am Routing teilnehmen dürfen.
- Pakete, die an Broadcastadressen eines fremden Subnetzes gerichtet sind.
8. Logging abgelehnter Datenpakete
Um den Datenschutz zu gewährleisten, findet Logging von abgelehnten Datenpaketen in der Regel nicht statt. Lediglich bei der Verfolgung von konkreten Problemen oder Angriffen, wird dem Problem angemessenes Logging eingeschaltet.
9. Dynamische Einschränkungen
Es wird angestrebt, für die nächste Generation des Zugangsrouters ein Gerät zu beschaffen, das eine Intrusion Detection unterstützt. Dieses Gerät kann zeitweise dynamische Einschränkungen vornehmen, um aktuell laufende Angriffe abzuwehren. Für eine genaue Festlegung der Regeln müssen erst Erfahrungen mit dem Gerät gesammelt werden.
10. Genehmigung von Ausnahmen
Begründete Ausnahmen müssen schriftlich an das RRZ gerichtet und vom Direktor des RRZ genehmigt werden. Genehmigungen sollen nur erfolgen, wenn die Zahl der Regeln im Zugangsrouter für die Ausnahmen eines Fachbereichs oder einer mitversorgten Einrichtung sehr klein bleibt. Es ist anzustreben, insgesamt eine kleine Zahl von Ausnahmen zu haben, da die Länge der Accesslisten direkten Einfluss auf die Leistung des Zugangsrouters hat.
In jedem Fall muss der beantragende Fachbereich bzw. die mitversorgte Einrichtung sicherstellen, dass durch die Ausnahme keine höhere Gefährdung für die Universität Hamburg entsteht.