www.ipcop-forum.de Foren-Übersicht

www.ipcop-forum.de

IPCop Community

IPCop Firewall Distribution
www.clsystems.de

Der (Un)IPCop

IPCop, zusätzliche Dienste und virtuelle Maschinen

 

Seit einiger Zeit werden immer wieder User von Projekten wie dem c't-Server, oder von Artikeln über VMware, UML, XEN und andere Virtualisierungstechniken dazu verleitet, eine Firewall und besonders IPCop auf Hardware laufen zu lassen, die der Firewallsoftware nicht exklusiv zur Verfügung steht. Dieser Ansatz ist, nach Meinung des Teams von www.ipcop-forum.de grundsätzlich falsch. In den folgenden Absätzen versuche ich daher, diesen Standpunkt näher zu erläutern und möglichst viele IPCop-User vom "falschen Weg" abzubringen.

Sicherheit ist mehr als nur eine Appliance oder ein Stück Software, mit der ich meinen Netzwerkverkehr kontrolliere. Um Sicherheit zu erreichen, wird primär ein Konzept benötigt, Hard- und Software sind dann nur noch Mittel zum Zweck. Ich will hier aber keinesfalls ein komplettes Sicherheitskonzept vorlegen, da dies ohne genaue Kenntnisse des gesamten Umfeldes, der potentiellen Risiken und der Gefährdungsstufe nicht seriös möglich ist. Ich will an dieser Stelle nur generell darauf hinweisen, dass es mit der Installation von IPCop oder jeder anderen Firewall alleine nicht getan ist.

Eine Firewall ist, wie eine Schwangerschaft, deterministisch, das heißt, entweder schützt sie vor einer Gefahr, oder sie schützt nicht, genauso, wie man entweder schwanger oder eben nicht schwanger ist. Ein bisschen schwanger geht nicht. Wenn ein Schutz gegen ein definiertes Risiko nicht 100%ig gegeben ist, kann auf die Firewall verzichtet werden. Es macht schlicht keinen Sinn, da man seine zu schützenden Systeme so oder so auf mögliche Einbrüche kontrollieren muss. Hier wird sonst eine trügerische Sicherheit geschaffen, wie dies in den letzten Jahren erfolgreich mit Personal Firewalls vorgemacht wurde.

Eine wichtige Frage sollte an dieser Stelle zuerst beantwortet werden: Was macht ein System sicher, bzw. angreifbar? Eine Firewall zu "hacken" ist, vorausgesetzt der Hersteller hat seine Hausaufgaben gemacht, nahezu unmöglich. Warum das so ist, ist leicht erklärt. Angreifbar sind nur Dienste, die im Netzwerk angeboten werden. Wenn eine Web-Anfrage keinen Webserver erreicht, sondern nur einen gewöhnlichen PC, werden die entsprechenden Anfragen auch ohne Firewall einfach verworfen und der anfragende PC bekommt eine Rückmeldung, dass der (Web)Dienst auf diesem System nicht zur Verfügung steht. Ein perfekter Schutz vor Angriffen. Anders sieht die Sache aus, wenn auf dem angesprochenen PC eine vergessene Installation eines IIS oder LAMP läuft. Dieser Dienst antwortet naturgemäß auf jede Webanfrage. Wenn dieser Dienst nun eine Schwachstelle hat (und welcher Webserver hätte keine), kann diese über das Netz ausgenützt werden. Das System ist kompromittierbar. Das ist der Grund, warum Firewalls niemals Dienste zum Internet anbieten (sollten) und warum es folglich nahezu unmöglich ist, eine Firewall vom Internet aus zu "hacken".

Bis hier hin habe ich also alle zu schützende Systeme definiert und Maßnahmen in Form von IPCop als Schutz evaluiert. Die Frage, worauf IPCop installiert wird bekommt nun eine entscheidende Bedeutung. Auf einem dedizierten System sind die Schnittstellen mit, im einfachen Fall, RED und GREEN klar definiert und jeweils einer Netzwerkkarte zugeordnet. Der Datenfluss vom Internet ins LAN muss zwingend durch die eine Karte hinein und durch die andere Karte heraus. Dazwischen liegen die IP-Filter der Firewall, es gibt keinen anderen Weg. Anders sieht es aus, wenn Virtualisierungstechniken ins Spiel kommen. Hier durchlaufen Pakete zuerst das Hostsystem, um dann auf dem virtuellen System zu landen. Durch die Verwendung eigener IP-Stacks ist zwar keine direkte Verbindung zwischen Host- und Guest-System gegeben, ein Fehler in diesem Stack kann aber prinzipiell nicht ausgeschlossen werden, womit dann ein direkter Zugriff auf alle virtuellen Systeme möglich wäre (Fall, ein bisschen schwanger).

Viel gefährlicher und deutlich leichter angreifbar sind in der Regel aber die Dienste, welche sonst noch auf dem Hostsystem ausgeführt werden. Wenn auf dem Hostsystem zusätzlich ein Web-/Mail-Server betrieben wird, der ja zwingend vom Internet aus erreichbar sein muss, eröffne ich einem Angreifer nicht nur die Möglichkeit, den Web-/Mail-Server zu hacken, sondern damit auch gleich das ganze System, auf dem die Firewall läuft. Die "Anpassung" der Firewallkonfiguration, oder gar das Abschalten dieser lässt sich dann nicht mehr verhindern.

Der Betrieb des IPCop und jeder anderen Firewallsoftware auf einem Hostsystem, egal ob c't-Server, XEN, VMware, etc. untergräbt in jedem Fall das grundsätzliche Sicherheitskonzept einer Firewall (stelle niemals Dienste zur Verfügung), da das Hostsystem an sich angreifbar ist. Außerdem wird die physische Trennung der Netzwerksegmente RED, ORANGE und GREEN aufgehoben, was mit weiteren potentiellen Risiken behaftet ist. Ich möchte an dieser Stelle SvenF zitieren, der die beschriebene Situation einmal treffend so beschrieben hat:

"Das ist so, als wenn du eine Kiste aus dickstem Metall nimmst, aber eine Tür drinnelässt, die in einen Pappkarton führt und in diesen Pappkarton darf jeder hinein. Klar, durch die Stahlplatten kommt man nicht - aber man braucht nur durch die Pappe und ist drinne."

Weitere Informationen zu den Themen "Personal Firewalls" und "virtualisierte Firewalls":

»  IKS-Jena.de: Lutz Donnerhackes Firewall FAQ
»  Heise Newsticker: "Virus mit Firewall-Funktion"
»  Chaos Computer Club: FAQ zum Thema Sicherheit
»  Copton.net: "Personal Firewalls - Versagen auf ganzer Linie"
»  Fefe.de: Felix von Leitner zum Thema "Halbe Sicherheit und (Personal) Firewalls"

Ergänzung von Olaf Westrik (IPCop-Developer):

Die IPCop-Entwickler machen sich das Leben ziemlich schwer, indem sie einen mehrstufigen Build-Prozess benutzen, um letztendlich ein IPCop-ISO-Image zu erhalten. Hierbei wird jedes einzelne Programm von Grund auf erstellt, um sicher zu gehen, dass keine Fehler (Sicherheislöcher usw.) entstehen. Das Ergebnis ist eine Umgebung, welche unter voller Kontrolle entstanden ist (also ein kontrolliertes, gehärtetes Betriebssystem). Wenn man diese Umgebung nun auf ein anderes Betriebssystem 'aufsetzt' (virtualisiert) werden die Mühen, ein sicheres Betriebssystem als Grundlage für eine Firewall zu schaffen, schlicht und einfach ausgehebelt.

»  Heise News: "Reale Löcher in virtuellen Maschinen"
»  Heise News: "VMware-Lücke ermöglicht Ausbruch aus dem Gastsystem"

»  IT Business Edge: Challenges of Virtual Machine Security are Multiplying
»  Yahoo News: Virtual Environments Need Protection from Attackers
»  Computerworld: Critical VMware bug lets attackers zap 'real' Windows

Das deutsche IPCop-Forum versucht nach Möglichkeit, einen sicheren Betrieb des IPCop zu propagieren. Wenn klare Sicherheitsbedenken bestehen, nehmen wir uns das Recht heraus, die Unterstützung bei Fragen zu solchen Konfigurationen abzulehnen.

 

Euer Admin- und Moderatoren-Team.


Original design by phpBB - Content by Rea$oner & weizen_42 - Created by wintermute