Konzeption, Installation und Konfiguration einer

Konzeption, Installation und Konfiguration
einer Firewall für das Schulungsnetzwerk der
GFN AG, Standort Darmstadt
Bericht zur betrieblichen Projektarbeit von
Manuel Kamm
Zur Erlangung des Abschlusses
als Fachinformatiker
Fachrichtung
Systemintegration
Betrieb: GFN AG
Darmstadt
Projektbetreuer: J. N.
Telefonnummer: +49 6221 0000 00
Ausführungszeit: 02. April 2013 bis 26. April 2013
Inhaltsverzeichnis
1.
Einleitung ......................................................................................................................................... 1
1.1 Projektumfeld ................................................................................................................................ 1
1.2 Zielsetzung ..................................................................................................................................... 1
1.3 Projektumfang ............................................................................................................................... 1
2.
Projektplanung ................................................................................................................................ 2
2.1 Ist-Analyse ..................................................................................................................................... 2
2.2 Soll-Konzept ................................................................................................................................... 2
2.3 Zeitplanung .................................................................................................................................... 3
2.4 Vergleich verschiedener Firewall Systeme .................................................................................... 3
2.5 Hardware und Betriebssystem ...................................................................................................... 5
2.6 Netzwerkstruktur (Ist-Soll) ............................................................................................................ 5
2.7 Kostenplanung ............................................................................................................................... 6
2.8 Datenschutz ................................................................................................................................... 7
3.
Projektdurchführung ....................................................................................................................... 8
3.1 Installation des Betriebssystems ................................................................................................... 8
3.2 Konfiguration des Betriebssystems ............................................................................................... 8
3.3 Anpassen der vorhandenen Netzwerkstruktur ............................................................................. 8
3.4 Installation der Firewall ................................................................................................................. 9
3.5 Konfiguration der Firewall ............................................................................................................. 9
3.6 Erstellen der Firewall Regeln ....................................................................................................... 11
4.
Projektabschluss ............................................................................................................................ 12
4.1 Testphase .................................................................................................................................... 12
4.2 Ist-Soll-Vergleich .......................................................................................................................... 14
4.3 Fehlerbeseitigung ........................................................................................................................ 15
4.4 Liveschaltung der Firewall und Übergabe an den Kunden .......................................................... 15
4.5 Fazit und Ausblick ........................................................................................................................ 15
5.
Anhangsverzeichnis ....................................................................................................................... 16
1. Einleitung
1.1 Projektumfeld
Die GFN AG ist ein bundesweites IT-Schulungsunternehmen, das aktuelle Trainings und
Zertifizierungen für Systemintegratoren, Netzwerkadministratoren, IT-Entscheider und Anwender in
den Bereichen Microsoft, Novell, Linux, Cisco, SAP, Check Point und Open Source-Produkten sowie
Weiterbildungen und Umschulungen für Arbeitssuchende, Quer-, Neu- und Wiedereinsteiger anbietet.
Das Projekt wird bei der GFN AG in Darmstadt durchgeführt. Dabei handelt es sich um den einzigen
Standort in Hessen. In ganz Deutschland gibt es insgesamt 13 Standorte plus einen in Puerto de la Cruz
auf Teneriffa. Zurzeit arbeiten, lehren und lernen in Darmstadt 4 Mitarbeiter/innen, eine variable
Anzahl von Trainern und durchschnittlich 50 Kursteilnehmer/innen. Als IT-Mitarbeiter am Standort
Darmstadt bin ich verantwortlich für das Schulungsnetzwerk und dessen reibungslosen Betrieb.
Organisatorische Ansprechpartnerin ist Frau Sxxxxx Axx (Standortleiterin) und Projektbetreuer ist Herr
Jxxx Nxxxxxx (IT-Leiter, Heidelberg).
Am Standort Darmstadt gibt es 2 voneinander unabhängige Netzwerke. Zum einen das Office Netz,
was betrieblich genutzt wird und zum anderen das Schulungsnetzwerk (EDU Netz), welches von den
Kursteilnehmern und Trainern genutzt wird. Das geplante Projekt bezieht sich auf die Absicherung
dieses Schulungsnetzwerkes. Es handelt sich um ein Pilotprojekt, das bei erfolgreicher Durchführung
auch an anderen Standorten übernommen werden soll.
1.2 Zielsetzung
Die GFN AG in Darmstadt möchte den freien Internetzugang für ihre Teilnehmer und sich selbst so
sicher wie möglich gestalten. Dabei steht die GFN in einem ständigen Zwiespalt. Einerseits ist das
Internet für den Ausbildungszweig des Fachinformatikers für Systemintegration eine absolute
Notwendigkeit, um nicht nur Unterrichtsmaterialien ansehen und bearbeiten zu können, sondern auch
aktiv zu recherchieren. Andererseits bietet es eine ständige Ablenkung durch den Zugang auf
Internetseiten wie zum Beispiel Facebook und YouTube, die dem sinnvollen Unterricht permanent
entgegen steuern sowie eine ständige Gefahr durch Viren, Spyware und Malware, welcher das EDUNetz ausgesetzt ist.
Daraus ergeben sich folgende Projektziele:







Einrichten einer kostengünstigen Firewall als Pilotprojekt
Zeitliche Beschränkung der nicht für den Unterricht relevanten Seiten
Schutz vor dem Download schädlicher Software
Permanente Blockade von Webseiten mit spezifischen Inhalten
Schutz vor illegalen Internetaktivitäten wie z.B. illegalem Dateienaustausch (Filesharing)
Aufzeichnen des gesamten Internetverkehrs an zentraler Stelle
Blockade von bestimmten Internet Protokollen
1.3 Projektumfang
Um die beschriebenen Projektziele planen und verwirklichen zu können, müssen mögliche FirewallLösungen evaluiert, der Server installiert und konfiguriert, sowie die Firewall in die vorhandenen
Netzwerkstrukturen eingebunden und getestet werden.
Hieraus ergeben sich folgende Aufgaben:

Vergleich verschiedener Firewall Systeme
1







Auswahl einer Firewall Lösung
Planung der Einbindung des Servers in die vorhandene Netzwerkstruktur
Installation und Konfiguration des Servers
Integrieren des Servers in die Netzwerkstruktur
Installation und Konfiguration der Firewall
Testphase der Firewall
Inbetriebnahme der Firewall
2. Projektplanung
2.1 Ist-Analyse
Nach einem ersten Gespräch mit dem Projektbetreuer Herrn Jxxx Nxxxxxx und dem Datenschutzbeauftragten Sxxxxx Oxx ergab sich die nachfolgende Ist-Aufnahme, im Zuge derer sich das
Schulungsnetzwerk zu diesem Zeitpunkt wie folgt darstellt:
Der Standort Darmstadt hat durchschnittlich 50 Teilnehmer, die alle über einen gemeinsamen
Standard ADSL Internet Zugang der Firma Xxxxxxxx verfügen, der für jeden Teilnehmer frei und zeitlich
unbeschränkt zugänglich ist. Es ist aber nicht möglich von außen auf das Schulnetzwerk zuzugreifen.
Zurzeit sind die Teilnehmer in der Lage jede Website zu öffnen, die das Internet bereitstellt, ohne
jeglichen Schutz vor Malware, Spyware und Viren. Der Download ist in Auswahl, Größe und Menge der
Dateien unbeschränkt, das heißt, es können auch rechtliche Konsequenzen für die GFN AG entstehen.
Diese könnten zum Beispiel durch illegales Filesharing und Downloads verursacht werden. Zusätzlich
werden durch exzessive Bandbreitennutzung einzelner, andere Teilnehmer in ihrer Internetnutzung
stark eingeschränkt.
Da das Schulungsnetzwerk bereits aktiv genutzt wird, sind ein DHCP Server, ein DNS Server, ein Active
Directory Domain Controller mit einer Domänenstruktur namens „XXX.local“ und Netzwerkkomponente wie mehrere 1Gbit Switches, ein DSL Router der Marke XXX Modell Xxxxxxx XXXX, ausreichend
Patchkabel und Patchfelder bereits vorhanden.
2.2 Soll-Konzept
Nach Installation und Konfiguration der Firewall sollen nicht nur alle Dateien auf Malware, Spyware
und Viren überprüft sondern auch Dateien, die größer als 100 MB sind, automatisch vor dem Download
blockiert werden. Zusätzlich sollen komprimierte Dateien auf dem Server, zur Prüfung auf Viren und
Schadsoftware, tiefenentpackt1 und anschließend zum Download freigegeben werden. Komprimierte
Dateien, die eine hohe Archivtiefe haben, sollen vor der Prüfung aus Sicherheitszwecken blockiert
werden. Die aktuellen Viren, Malware und Spyware Definitionen sollen automatisch aktualisiert
werden. Alle Webseiten, auf die ein Zugriff möglich ist, sollen automatisch kategorisiert und in ihren
Kategorien oder optional selektiv per Hand mit der URL blockierbar sein. Diese Einstellungen sollen
später durch die IT-Abteilung veränderbar sein.
Illegale Webseiten, Filesharing, Webseiten mit jugendgefährdendem und gewaltverherrlichendem
Material sollen schon nach der Erstkonfiguration blockiert werden. Diese Blockade soll auf das http
und https Protokoll angewendet werden, wobei für das https Protokoll eventuell der Einsatz eines
selbsterstellten Zertifikates nötig sein könnte. Anwendungen, die vom internen Netz ins Internet
kommunizieren dürfen, sollen bis auf selektiv freigegebene Protokolle wie zum Beispiel http, https,
1
Das Verb „tiefenentpacken“ bezieht sich auf Archive, die mehrfach verpackt vorliegen und komplett bis auf die letzte
Datei entpackt werden.
2
DNS und FTP stark eingeschränkt werden. Der Zugriff von außen soll komplett untersagt bleiben, kann
aber später noch ermöglicht werden. Videoplattformen und Soziale Netzwerke wie Youtube,
Facebook, Wer kennt wen und einige mehr sollen generell nur zu gewissen Uhrzeiten zur Verfügung
stehen. Autorisierte Personen wie das Lehrpersonal sollen vollen Zugriff auf das Internet erhalten, aber
trotzdem vor Viren, Malware und Spyware geschützt bleiben.
Der komplette Datenverkehr soll aufgezeichnet werden, um Vertragsbrüche und illegale Aktivitäten
nachweisen zu können. Dies wird vor Beginn des Kurses mit jedem Teilnehmer vertraglich geregelt
(Anhang VI: Datenschutzbelehrung und Softwareverpflichtung). Optional könnten diese Aufzeichnungen in eine SQL Datenbank gespeichert werden, so dass anhand gewisser Filter leichter
Verbindungsdaten aufgerufen werden könnten, falls dies zu Prüfungszwecken nötig sein sollte.
Besonders wichtig ist, dass die Firewall in die vorhandene Struktur integriert wird, ohne diese dabei
grundlegend zu verändern.
2.3 Zeitplanung
Die Durchführung des Projekts findet im Zeitraum vom 02.04.2013 bis zum 26.04.2013 statt. Die
tägliche Bearbeitungszeit muss an das Tagesgeschäft angepasst werden.
Mein Projektablauf stellt sich wie folgt dar:
Projektvorbereitung
Durchführung einer Ist-Analyse
Erarbeitung eines Soll-Konzeptes
Projektplanung
Planung und Bereitstellung der Hardware und Netzwerkstruktur
Planung und Bereitstellung der Software
Realisierungsphase
Installation des Betriebssystems
Konfiguration des Betriebssystems
Installation fehlender Update / Patches Betriebssystem
Anpassen der vorhanden Netzwerkstruktur
Installation der Firewall
Konfiguration der Firewall
Installation fehlender Updates / Patches Firewall
Erstellen der Firewall Regeln
Testphase
Ausführlicher Test aller Komponenten (Ist-Soll Vergleich)
Fehlerbehebung
Liveschaltung der Firewall
Übergabe an den Kunden
Ausarbeitung der Projekt- und Kundendokumentation
1 Std.
Gesamter Zeitaufwand
35 Std.
0,5h
0,5h
4 Std.
1h
3h
17 Std.
1h
1h
1h
2h
1h
8h
1h
2h
5 Std.
2h
1h
1h
1h
8 Std.
2.4 Vergleich verschiedener Firewall Systeme
2.4.1 Hardware Firewall
Bei der Hardware Firewall der namenhaften amerikanischen Firma Untangle handelt es sich um ein
bereits fertiges Produkt des Modells U150, welches nach Lieferung und Konfiguration mit geringem
Arbeitsaufwand sofort in Betrieb genommen werden kann. Auf funktionaler Ebene stellt sich das
Produkt als sehr vielseitig heraus. Nach Installation gibt es die Möglichkeit der Firewall in der
Konfiguration verschiedene vorgegebene Basisfunktionen zuzuweisen wie zum Beispiel einen Web
3
Filter, einen Virus Blocker lite, eine Protokollüberwachung, eine Intrusion Prevention und einiges
mehr. Die Firewall ist im begrenzten Rahmen erweiterbar, jedoch erfordert das Hinzubuchen weiterer
Zusatzfunktionen den Abschluss eines Premiumabonements, welches zeitlich begrenzt ist und
zusätzliche Kosten verursacht. Der Kauf des Gerätes beinhaltet im Basis- wie auch im Premiumpaket
einen Livesupport, der immer Werktags erreichbar ist. Da bestimmte Premiumfunktionen wie ein
vollständiger Virus Blocker, eine Anbindung an die vorhandene Active Directory und ein Web Cache im
Basispaket nicht vorhanden sind, würde für meine Zwecke nur das Premiumpaket in Frage kommen,
mit welchem Kosten von ungefähr 3146 USD (2396 Euro)2 für ein Jahr verbunden wären. Eine
Erneuerung des Abonnements würde im Folgejahr 1404 USD (1069 Euro)2 kosten.
2.4.2 Linux (Open Source)
Bei einer Linux Open Source Firewall (z.B.: Iptables) handelt es sich um ein System, welches kostenlos
ist, jedem zur Verfügung steht und als Standardsoftware bereits im Kernel aller Linux Distributionen
integriert vorliegt. Dieses System bietet ausreichend Freiraum für Ideen und Erweiterungen, welcher
den Rahmen eines kommerziellen Produktes weit übersteigt und ist damit beliebig erweiterbar. Jedoch
ist der Arbeitsaufwand für Installation und die Inbetriebnahme bei dieser Lösung für den
Projektzeitraum zu groß. Für die Anpassung an die gegebenen Anforderungen ist ein umfangreiches
und eingehendes Wissen im Bereich Linux Systeme nötig. Einen Support von außerhalb gibt es hierbei
nicht, da es sich um kein proprietäres3 Produkt handelt. Natürlich ist es möglich einen unabhängigen
Dienstleister (z.B.: eine IT-Servicefirma wie CSC)4 für Installation, Konfiguration und Wartung einer
individuell gestalteten Lösung zu bezahlen, jedoch ist anzunehmen, dass dies in keinem Kosten/Nutzenverhältnis steht, da der Kostenaufwand weitaus größer ist als bei einer kommerziellen Lösung.
2.4.3 Microsoft Firewall
Bei der Firewall Lösung von Microsoft handelt es sich um die Software Microsoft Forefront Threat
Management Gateway 2010, welche die aktuellste Variante des ISA Servers darstellt. Hierbei handelt
es sich um ein proprietäres Produkt, welches nur von Microsoft und deren Vertriebspartnern erworben
werden kann. Der Arbeitsaufwand, der mit diesem Produkt in Verbindung steht, ist geringer als die
Linux Lösung, aber doch höher als die fertige Hardwarelösung der Firma Untangle. Für eine Installation
werden ein dedizierter5 Server und ein vorinstalliertes Microsoft Serverbetriebssystem benötigt. Die
Konfiguration ist, wie bei den vorherig genannten Firewalls, auf individuelle Bedürfnisse anzupassen.
Diese Konfiguration ist jedoch ebenso einfach gestaltet wie jene bei der Hardware Firewall, da ein
vorprogrammiertes Interface vorhanden ist. Wie bei der Hardware Firewall auch gibt es zwei Pakete,
eine Standardversion und eine Enterprise Version, welche sich in den folgenden Punkten
unterscheiden: Die Standardversion bietet nur die Möglichkeit einen eigenständigen Server ohne
Redundanz zu betreiben, wohingegen mit der Enterprise Version die Möglichkeit besteht, einen
Serververbund (Cluster) zu erstellen. Ebenfalls unterstützt die Standardversion bis zu vier CPUs,
während die Enterprise Version eine unbegrenzte Anzahl an CPUs unterstützt. Microsoft bietet keinen
Livesupport an, aber es ist möglich, Probleme per Email an das Supportcenter weiterzuleiten.
Zusätzlich besteht die Möglichkeit Probleme in einem dafür vorgesehenen Forum (Technet) zu
erläutern. Supportmitarbeiter und Benutzer können diese lesen und gegebenenfalls
Lösungsmöglichkeiten bereitstellen. Die Microsoft Forefront TMG 2010 Firewall ist durch das
Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem Sicherheitszertifikat der Stufe 4,
2
http://www.untangle.com/store/u150-appliance-v2.html, Stand: 08.04.2013
Das Adjektiv „proprietär“ bedeutet „eigentümlich“.
4 Computer Sciences Corporation
5 Ein Server, der nicht für alltägliche Aufgaben bestimmt ist, sondern speziell für einen oder mehrere dauerhafte Dienste.
3
4
das die Sicherheit von Computersystemen im Hinblick auf Datensicherheit bewertet, ausgezeichnet
(Anhang VIII: IT-Sicherheitszertifikat vom BSI). Die anderen Firewall Systeme besitzen kein ITSicherheitszertifikat.
2.4.4 Auswahl des Firewall Systems
Alle Produkte besitzen positive und negative Aspekte, jedoch gibt es von Seiten der GFN Leitung
vordefinierte Kriterien, nach welchen eine Auswahl zu treffen ist. Das Produkt soll alle bereits in der
Soll-Konzeption aufgelisteten Funktionen erfüllen, aber dabei möglichst kostengünstig und nach
Möglichkeit durch die IT-Abteilung der GFN administrierbar sein. Zusätzlich soll die IT-Abteilung
anfallende Wartungsarbeiten selbstständig durchführen können. Da die GFN eine Microsoft
Goldpartnerschaft besitzt, sind alle Produkte aus dem Hause Microsoft frei nutzbar, das heißt, es fallen
keine Lizenzkosten an und es kann direkt die Enterprise Version der Microsoft Forefront Firewall ohne
zusätzlichen Aufwand erworben werden. Damit sind auf der funktionalen Seite alle nötigen Aspekte
abgedeckt. Da das Kostenkriterium in diesem Fall das ausschlaggebende ist und zusätzlich alle
erforderlichen Funktionen durch das Microsoft Produkt abgedeckt werden, habe ich mich in Absprache
mit meinem Projektbetreuer für die Microsoft Lösung entschieden. Die nötigen Produktschlüssel für
das Microsoft Betriebssystem und die Firewall werden mir von Herrn Nxxxxx zur Verfügung gestellt.
Eine Entscheidungstabelle, die die oben beschriebenen Vor- und Nachteile noch einmal
zusammenfasst, ist dem Anhang III zu entnehmen.
2.5 Hardware und Betriebssystem
Der Server zur Installation der Firewall wird von Herrn Nxxxxxx zur Verfügung gestellt. Es handelt sich
um einen ungenutzten PC6 mit 2,20 GHz (AMD Phenom™ 9550 Quad-Core), 8 GB DDR3-RAM, 250 GB
SATA2-Festplatte und zwei 1 Gbit/s Netzwerkkarten von Realtek. Da auch komprimierte Dateien auf
schädliche Software überprüft werden, müssen die RAM Speichergröße und die CPU-Leistung
entsprechend hoch ausgelegt sein. Zum Einbinden des Servers in die vorhandene Netzwerkstruktur
werden zusätzlich zwei Cat. 6 Kabel verwendet. Für das Betriebssystem wird Microsoft Windows Server
2008R2 Enterprise verwendet, da die gewählte Firewall Microsoft Forefront TMG nur auf einem
Microsoft Windows Server 2008 Betriebssystem läuft.
2.6 Netzwerkstruktur (Ist-Soll)
Die vorhandene Netzwerkstruktur setzt sich zusammen aus einem Domain Controller, einem DSL
Router und einem DHCP Server, welche alle drei über einen TP-Link Switch verbunden sind. Der
Domain Controller besitzt mehrere Funktionen wie zum Beispiel die Active Directory, die Benutzerund Computerkonten der Teilnehmer speichert und verwaltet und einen DNS Server, der
Domänennamen in IP-Adressen auflöst. Der DHCP Server vergibt an alle im Netz angeschlossenen
Geräte IP-Adressen. Er stellt ebenso Drucker- und Dateifreigaben für die Teilnehmer bereit. Der DSLRouter funktioniert als Gateway und verbindet die Teilnehmer gegenwärtig uneingeschränkt mit dem
Internet. Die Netzwerkdosen der drei Schulungsräume werden über ein Patchfeld im Serverraum mit
dem TP-Link Switch verbunden. Durchschnittlich sind 50 Teilnehmer auf diese drei Schulungsräume
verteilt. Jede Sitzreihe besitzt einen eigenen Switch, der über ein UPLink mit jeweils einer
Netzwerkdose verbunden ist. Eine Topographie der vorherrschenden Netzwerkstruktur findet sich
unter Anhang IV: IST-Netzplan.
Die geplante Firewall wird zwischen DSL Router (Xxxxxxxx) und TP-Link Switch eingebaut, wodurch der
uneingeschränkte Internetzugang nicht mehr möglich ist. Die vorhandene Netzwerkstruktur wird dabei
6
Personal Computer
5
nur geringfügig verändert, indem die direkte Verbindung zwischen DSL Router und TP-Link Switch
getrennt wird. Eine Verbindung zwischen DSL Router und TP-Link Switch ist nach Einbau der Firewall
nur noch über diese möglich. Auch innerhalb der IP-Adressvergabe finden geringfügige Veränderungen
statt, indem der DSL Router in ein anderes Subnetz ausgelagert wird und dessen IP-Adresse im
ursprünglichen Netz an die Firewall vergeben wird. Im internen Netz muss an keinem Client die IPAdresseinstellung geändert werden, da die Funktion des Standardgateways von der Firewall
übernommen wird. Eine Topographie zur Netzwerkstruktur nach Integration der Firewall wird unter
Anhang V: Soll-Netzplan gegeben.
2.7 Kostenplanung
Für das geplante Projekt entstehen folgende Personalkosten:
Projektphase und Dauer (in Stunden)
Besprechung des Projekts (1 Std.)
Person
Sxxxxx Axx
Jxxx Nxxxxxx
Sxxxxx Oxx
Manuel Kamm
Betrag (in Euro)
60,00 €
50,00 €
35,00 €
0,00 €
Planung und Realisierung (32 Std.)
Manuel Kamm
0,00 €
Besprechung zur finalen Umsetzung (1 Std.)
Jxxx Nxxxxxx
Sxxxxx Oxx
Manuel Kamm
50,00 €
35,00 €
0,00 €
Übergabe und Abnahme (1 Std.)
Jxxx Nxxxxxx
Sxxxxx Oxx
Manuel Kamm
50,00 €
35,00 €
0,00 €
315,00 €
Zu Beginn des Projekts ist ein einstündiges Gespräch mit der Auftraggeberin Frau Sxxxxx Axx, dem
Projektbetreuer Herrn Jxxx Nxxxxxx und dem Datenschutzbeauftragten Herrn Sxxxxx Oxx notwendig,
in welchem die Rahmenbedingungen (Ist-Aufnahme, Anforderung an die geplante Firewall und
Datenschutzrichtlinien) geklärt werden. Während der finalen Umsetzung wird erneut ein Gespräch mit
Herrn Nxxxxxx und Herrn Oxx geführt, das die technischen Anforderungen an die Firewall und den
datenschutzrechtlichen Aspekt mit Planung und Umsetzung der Firewallregeln abdeckt. Übergabe und
Abnahme erfolgen mittels eines Übergabeprotokolls (Auszug aus Kapitel 4.1 Testphase) und einer
Kundendokumentation (Anhang IX) direkt an Herrn Nxxxxxx.
Ebenso sind Materialkosten in Höhe von 644,00 € entstanden, die sich folgendermaßen zusammensetzen:
Material
Hardware
Server
Patchkabel
Software
Windows Server 2008R2 Enterprise
Microsoft Forefront TMG 2010
PC mit Office-Paket und Internetzugang
Betrag (in Euro)
604,00 €
600,00 €
4,00 €
0,00 €
0,00 €
0,00 €
40,00 €
644,00 €
6
Von Herrn Nxxxxxx wird mir ein Server zur Verfügung gestellt, auf den das Serverbetriebssystem
Windows Server 2008R2 Enterprise und die Firewall Microsoft Forefront TMG 2010 installiert werden.
Die Microsoftprodukte stehen aufgrund der Goldpartnerschaft kostenlos zur Verfügung. Für
Recherche und Installationszwecke wird mir ein PC mit Office-Paket und Internetzugang zur Verfügung
gestellt. Die Nutzung dieses PCs wird pauschal mit 40,00 € berechnet, worin die Kosten anteilig für
Strom, Internetzugang, Toner, Papier, einen USB-Stick und zwei DVD-R Rohlinge enthalten sind.
Insgesamt fallen während des Projekts folgende Kosten an:
Kosten
Personal
Material
Betrag (in Euro)
315,00 €
644,00 €
959,00 €
Eventuell anfallende Kosten für die weitere Wartung und den Stromverbrauch der Firewall werden
hier nicht berücksichtigt.
2.8 Datenschutz
Grundsätzlich hat ein Beschäftigter keinen Anspruch das Internet am Arbeitsplatz privat nutzen zu
können.7
Gleiches gilt auch für die Schulungsteilnehmer der GFN und ist vertraglich festgelegt. Das Internet darf
während den Schulungseinheiten nur zu Schulungszwecken, Recherche und der Informationsbeschaffung, nicht aber für Videostreaming, Pflege von Facebook-Freundschaften oder privaten
Download jeglicher Art gebraucht werden. Die eingerichtete Firewall soll natürlich, neben Virenschutz,
Schutz vor Malware und Spyware, auch dies gewährleisten. Eine private Nutzung ist eingeschränkt
erlaubt, jedoch nur in einem Zeitraum von 13:00 bis 14:00 Uhr.
Es ist zum Teil umstritten wie weit die Überwachung am Arbeitsplatz und die Aufzeichnung
persönlicher Daten gehen kann, ohne dabei das Fernmeldegeheimnis und das Persönlichkeitsrecht der
Teilnehmer zu verletzen. Jedoch ist es wichtig als Teil der Administration die Interessen der Firma
(GFN) so gut wie möglich zu vertreten, ohne gegen geltendes Recht zu verstoßen.
Wichtig ist, dass der aufgezeichnete Datenverkehr über die Firewall nur stichprobenartig eingesehen
werden darf und auch nur dann, wenn ein konkreter Verdacht auf Missbrauch besteht. Der Teilnehmer
muss von einer solchen Maßnahme in Kenntnis gesetzt werden, was üblicherweise über eine
Datenschutzbelehrung, welche von der betreffenden Person mit dem Schulungsvertrag unterzeichnet
wird, geregelt ist. Diese Datenschutzbelehrung enthält ebenfalls die Bedingungen für die private
Nutzung des Internets (Anhang VI: Datenschutzbelehrung und Softwareverpflichtung). Die Prüfung der
Rechtslage obliegt Herrn Sxxxxx Oxx (Datenschutzbeauftragter der GFN). Er segnet das Projekt als
Dritter auf dem Rechtsweg ab. Die Datenschutzbelehrung, welche die Teilnehmer über die
Sicherheitsmechanismen und Aufzeichnungen informiert, war bereits vor Projektbeginn vorhanden
und ist im Anhang VI einzusehen. Zusätzlich wird von jedem mitarbeitenden Administrator eine
Verschwiegenheitserklärung unterzeichnet, die gewährleistet, dass die aufgezeichneten Daten nicht
an Dritte weitergereicht oder missbräuchlich weiterverwendet werden (Anhang VII:
Verschwiegenheitserklärung). Die aufgezeichneten Daten dürfen nur dann vom Administrator
eingesehen und ausgewertet werden, wenn diese von der GFN Leitung oder einem/r Standortleiter/in
7
http://www.dgbrechtsschutz.de/spezial/ueberwachung-am-arbeitsplatz.html, Stand: 10.04.2013
7
aufgrund eines konkreten Verdachtes angefordert werden. Wie bereits erwähnt, ist eine Privatnutzung
von 13:00 bis 14:00 Uhr gestattet, was bedeutet, dass alle Daten, die während dieses Zeitraums
aufgezeichnet werden, nicht von der Administration eingesehen werden dürfen. Dies ist in der
Verschwiegenheitserklärung geregelt und dem Anhang VII zu entnehmen.
Die durch die Firewall aufgezeichneten Daten werden über einen bestimmten Zeitraum aufbewahrt,
der individuell eingestellt werden kann und standardmäßig 7 Tage beträgt. Nach diesem Zeitraum
werden die Daten automatisch verworfen und sind nicht mehr abrufbar.
3. Projektdurchführung
3.1 Installation des Betriebssystems
Vor der Installation des Betriebssystems müssen zunächst mittels des Recherche-PCs einige
Vorbereitungen getroffen werden. Der Recherche-PC wird in das Schulungsnetzwerk integriert und
eine fertige ISO Datei des Betriebssystems Microsoft Windows Server 2008R2 wird von einer
vorhandenen Netzwerkfreigabe kopiert. Die Dateien werden mittels des Programms 7zip auf einen auf
NTFS formatierten USB-Stick extrahiert und die USB-Stick Partition aktiv gekennzeichnet (bootfähig
gemacht). Der Server wird mittels eines Patchkabel in das Schulungsnetzwerk integriert. Anschließend
wird dieser gestartet und das Bootmenü aufgerufen, von welchem aus der USB-Stick ausgewählt
werden kann, der das Setup des Betriebssystems startet. Im Setup muss eine neue Partition angelegt
werden, um diese im Anschluss formatieren zu können. Auf der frisch formatierten Partition kann dann
das Betriebssystem installiert werden.
3.2 Konfiguration des Betriebssystems
Nach Abschluss der Installation muss zunächst ein Passwort für das Administratorkonto festgelegt
werden. Da das Netzwerk bereits einen Internetzugang und einen DHCP-Server besitzt, sind die IPAdresseinstellungen bereits korrekt festgelegt, das heißt, es kann direkt Windows Update gestartet
und mit dem Updatevorgang des Betriebssystems begonnen werden. Nach der Installation von ca. 100
Updates muss der Server neu gestartet werden, da einige Updates erst nach einem Neustart fertig
installiert werden können. Nach dem Neustart wird ein neuer Computername (TMG) zu
Identifikationszwecken festgelegt.
3.3 Anpassen der vorhandenen Netzwerkstruktur
Die Anpassung der Netzwerkstruktur kann erst abends nach 16:00 Uhr vorgenommen werden, da das
Netzwerk tagsüber aktiv genutzt wird und Änderungen an Router und Struktur mit einem Ausfall des
Internets verbunden sind. Da der DSL-Router in ein anderes Subnetz verlegt werden soll, müssen
zunächst auf diesem die Subnetzmaske und die IP-Adresse geändert werden. Diese Änderungen sind
zunächst nur temporär und müssen vor Beginn der Unterrichtszeit, in der das Internet wie zuvor zur
Verfügung stehen muss, wieder rückgängig gemacht werden. Im Web-Interface der Fritzbox wird unter
den IPv4-Einstellungen die eingestellte IP-Adresse 192.168.X.XXX in 192.168.X.XXX geändert. Die
Subnetzmaske wird ebenso von der eingestellten 255.255.255.0 auf 255.255.255.252 geändert, um so
das Netz auf zwei nutzbare Adressen zu verkleinern. Nach Neustart werden die vorgenommenen
Änderungen aktiv und die Verbindung zur Xxxxxxxx geht verloren, da sich diese in einem anderen
Subnetz befindet.
Die Netzwerkschnittstelle auf dem Server, die bereits mit dem Switch verbunden ist, erhält den Namen
„Intern“. In deren Einstellungen werden unter dem TCP/IPv4 Protokoll die IP-Adresse 192.168.X.XXX
fest vergeben, das Subnetz mit der Adresse 255.255.255.0 versehen und als DNS-Server die IP-Adresse
192.168.X.X des Domain Controllers eingetragen. Die interne Netzwerkschnittstelle besitzt keinen
8
Standardgateway. Das Netzwerkkabel, das von der Xxxxxxxx zum Switch führt wird getrennt und in die
freie Netzwerkschnittstelle des Servers eingesteckt. Die nun besetzte zweite Schnittstelle wird
umbenannt in „Extern“ und auch dort werden erneut die TCP/IPv4 Einstellungen vorgenommen. Es
wird die IP-Adresse 192.168.X.XXX, die Subnetzmaske 255.255.255.252, der Standardgateway
192.168.X.XXX und der DNS Server 192.168.X.XXX eingetragen, damit sich die externe Schnittstelle nun
im gleichen Subnetz wie die Xxxxxxxx befindet. Nach diesen Einstellungen muss der Server in die
Domäne integriert werden. Der Server wird in die Domäne „XXX.local“ eingebunden, was unter den
Namenseinstellungen passiert. Vor dem Einbringen des Servers in die Domäne wird ein Konto namens
„TMG-Admin“ mit Administratorenberechtigung in der Active Directory angelegt. Nach einem
Neustart erfolgt die Anmeldung über das Domänenkonto. Am DHCP Server und der restlichen Struktur
muss nichts geändert werden, da die Xxxxxxxx zuvor schon auf dieser IP-Adresse den Dienst geleistet
hat. Der vollständige Domänenname des Servers lautet nun „TMG.XXX.local“. Da die Firewall zukünftig
als Standardgateway des Schulungsnetzwerkes fungieren soll, wird für sie die gleiche IP-Adresse wie
die der Xxxxxxxx gewählt, um damit möglichst wenig an der Netzwerkstruktur verändern zu müssen.
Da sich die IP-Adresse des Standardgateways nicht verändert hat, ändert sich auch in der
Bereichsoption des DHCP-Servers nichts. Auch bei den Servern mit fest vergebener IP-Adresse muss
der Standardgateway nicht geändert werden. Zur Überprüfung der Internetkonnektivität wird eine
beliebige Webseite im Internet Explorer aufgerufen.
3.4 Installation der Firewall
Da der Server bereits in die Domäne integriert wurde, kann die ISO der Microsoft Forefront TMG 2010
Firewall direkt von der Netzwerkfreigabe auf die Festplatte extrahiert werden. Nach Extraktion wird
das Setup gestartet. Hier wird vorgeschlagen Windows Updates zu starten, was aber bereits während
der Installation des Betriebssystems erfolgte. Im nächsten Schritt wird das Forefront TMG Preparation
Tool gestartet, um benötigte Rollen und Features zu downloaden und zu installieren. Die Konfiguration
der Rollen und Features wird automatisch vom Preparation Tool übernommen. Danach werden drei
verschiedene Installationstypen angezeigt, zwischen denen gewählt werden muss. Für die volle
Installation der Firewall inklusive Administrationskonsole wird der Typ „Forefront TMG Services and
Management“ ausgewählt. Nachdem das Preparation Tool seine Arbeiten erfolgreich abgeschlossen
hat, kann der Forefront TMG Installationsassistent gestartet werden. Die Lizenzbedingungen werden
akzeptiert und die Seriennummer wird eingegeben. Der Installationspfad wird auf Standard gelassen.
Das interne Netzwerk muss ausgewählt werden. Dazu kann die zuvor richtig benannte interne
Netzwerkkarte ausgewählt werden. Damit werden alle nötigen Einstellungen an der Firewall für das
interne Netzwerk schon bei der Installation getätigt. Es erscheint ein Warnhinweis, dass einige Dienste
während der Installation automatisch gestoppt und gestartet werden. Danach beginnt die Installation
der Firewall. Während des Installationsprozesses wird automatisch SQL Server 2008 Express SP1 mit
installiert und eine SQL Datenbank angelegt. Die SQL Datenbank dient später der Aufzeichnung des
Datenverkehrs.
3.5 Konfiguration der Firewall
Nach Beendigung der Firewall Installation und Öffnen der Administrationskonsole wird ein Skriptfehler
angezeigt, dessen Beschreibung und Behebung in Kapitel 4.3 „Fehlerbeseitigung“ näher erläutert wird.
In einem Konfigurationsassistent, der nach Beheben des Fehlers und erneutem Öffnen der
Administrationskonsole erscheint, werden zunächst drei grundlegende Einstellungen wie die
Netzwerkeinstellungen, Systemeinstellungen und Deploymenteinstellungen (Deployment Options)
vorgenommen. Die Netzwerkkonfiguration beinhaltet die IP-Adresseinstellung, die Netzwerkbeziehungen und die Routing Regeln. Zunächst wird die Topologie des Netzwerkes eingestellt, wobei
9
folgende Optionen zur Verfügung stehen: Edge firewall, 3-Leg perimeter, Back firewall oder Single
network adapter. Die Option „Edge firewall“ wird gewählt, da diese der Netzwerktopologie entspricht.
Die Firewall wird am Rande des internen Netzwerkes eingesetzt, hat zwei Netzwerkkarten und bildet
die Schnittstelle zwischen internem und externem Netzwerk (Internet). Im Anschluss werden die
Netzwerkschnittstellen „Intern“ und „Extern“ ausgewählt und die bereits im Vorfeld gemachten IPv4Adresseinstellungen automatisch übernommen (vgl. Kapitel 3.3 Anpassen der vorhandenen
Netzwerkstruktur). Im nächsten Schritt werden die Firewall Systemeinstellungen vorgenommen. Da
die Computeridentifikation schon manuell vorgenommen wurde (vgl. Kapitel 3.3), muss diese hier nur
bestätigt werden.
Die Deploymenteinstellungen beinhalten die Updateeinstellungen für die Firewall, die
Schutzfunktionen, die Updateeinstellungen des Netzwerküberprüfungssystems und die Einstellungen
für die anonymen Statistiken zur Behebung von Softwarefehlern. Im Bereich Updateeinstellungen der
Firewall gibt es die Möglichkeit die im Microsoft Server integrierte Updatefunktion mitzubenutzen
oder keine automatischen Updates zu beziehen, wobei die erste Variante gewählt wird. Innerhalb der
Schutzfunktionen wird das Netzwerküberprüfungssystem eingeschaltet, der Web-Schutz aktiviert,
wofür ein Produktschlüssel erforderlich ist und der Schutz vor Malware sowie URL Filtering
eingeschaltet. Das URL Filtering dient dem Einteilen der Webseiten in Kategorien. Das
Netzwerküberprüfungssystem wird auf automatische Updates eingestellt, die alle 15 Minuten
automatisch auf Aktualität überprüft werden. Sollte innerhalb von 45 Tagen wegen eines Fehlers keine
Aktualisierung erfolgen, dann wird automatisch eine Warnmeldung ausgegeben. Die Funktion
anonyme Statistiken zur Behebung von Softwarefehlern wird ausgeschaltet.
Nach Beendigung des Konfigurationsassistenten wird automatisch der Assistent für die
Webzugriffsrichtlinien gestartet. Dieser dient der Konfiguration folgender Einstellungen:
Internetzugang des Netzwerks, Blockade der Standard URL Kategorien und sonstiger Webziele,
Malware Inspektionseinstellungen, https Inspektionseinstellungen und Web Cache Einstellungen. Vor
der Freischaltung des Internetzugangs für das Netzwerk wird eine erste Verbotsregel erstellt, die den
Zugang zu potentiell gefährlichen Webseiten regelt. Potentiell gefährliche Webseiten werden von
Microsoft automatisch kategorisiert und blockiert. Eine Kategorie beinhaltet eine Auswahl an
Webseiten, die durch einen von Microsoft angebotenen Dienst getroffen wird. Eine
Standardvorauswahl aus verschiedenen Kategorien wie Botnetzwerke, Spyware/Adware, Hass und
Diskriminierung, Glücksspiel und vielem mehr wird übernommen. Diese kann jederzeit später noch
editiert werden. Im Anschluss werden die Benutzer festgelegt, die unbegrenzt Zugriff auf das Internet
erhalten. Hierzu gehört der in der Active Directory gespeicherte Trainer Account. Die MalwareInspektion wird eingeschaltet und die Option zur Blockade verschlüsselter Archive zusätzlich
ausgewählt. Diese könnten verschlüsselte Viren enthalten, die den Antivirenschutz ohne
entsprechende Prüfung umgehen würden. Innerhalb der https Inspektionseinstellungen wird die
Option „https Verbindungen inspizieren“ und „https Webseiten Zertifikat auf Gültigkeit prüfen“
gewählt. Zusätzlich wird die Option gewählt, dass der Benutzer eine Nachricht erhält, sobald die https
Verbindung inspiziert wird. Zu diesem Zweck muss auf jedem Benutzer PC die TMG Client Software
installiert werden. Die https Inspektion erfordert ein selbst erstelltes Zertifikat, das von dem
Konfigurationsassistenten automatisch erstellt und in die Active Directory importiert wird. Dazu wird
ein Domänen Administratorkonto angegeben. Der Web Cache dient der temporären
Zwischenspeicherung (Caching) von oft genutzten Webinhalten wie zum Beispiel HTML-Seiten, Bildern
und sonstigen Downloads. Die Web Cache Einstellungen werden aktiviert und für den Web Cache 20
GB Speicherplatz auf der Festplatte reserviert.
10
Nach Beendigung dieser Voreinstellungen wird die Administrationskonsole geöffnet und der
Menüpunkt „Web Access Policy“ ausgewählt. Dort ist die bereits erwähnte Verbotsregel zur Blockade
potentiell gefährlicher Webseiten angelegt. Hinzu kommt eine Regel, die den Internetzugang nur auf
dem http- und https-Protokoll erlaubt (Erlaubnisregel) und eine, die jeglichen Datenverkehr, der nicht
diesen zwei Regeln entspricht blockiert (Standardregel). Da für das fehlerfreie Öffnen einer Website
nicht nur das http- und https-Protokoll benötigt werden, sondern auch das DNS-Protokoll, das Namen
in IP-Adressen auflöst, muss dieses noch in die Erlaubnisregel integriert werden. Nach Übernahme
dieser Einstellungen ist der Internetzugang für das interne Netzwerk möglich. Vor dem Start der
Updates müssen die Proxyeinstellungen im Internet Explorer eingestellt werden. Hierzu wird die IPAdresse der Firewall angegeben, die unter dem Port 8080 erreichbar ist. Die Administrationskonsole
wird geschlossen und Windows-Update kann gestartet werden. Es werden zwei Service Packs
installiert, in denen kleinere Fehler der Software behoben werden. Dabei handelt es sich um „Forefront
TMG Service Pack 1“ und „Microsoft SQL Server 2008 Service Pack 3“. Im Anschluss folgen zwei weitere
Updates: „Sicherheitsupdate für SQL Server 2008 Service Pack 3“ und „Software Update 1 für Microsoft
Forefront Threat Management Gateway (TMG) 2010 Service Pack 1“. Als Nächstes wird „Forefront
TMG Service Pack 2“ installiert. Nach jedem Update, das installiert wird, muss der Server neu gestartet
werden. Während der Installation der Updates wird der TMG Client manuell auf jedem Benutzer PC
eingerichtet. Hierzu wird mit einem Domänen Administrator Account eingeloggt und der TMG Client,
der sich in der entpackten ISO der Firewall befindet, installiert. Der Client übernimmt automatisch die
Konfiguration der Proxyeinstellungen des Betriebssystems, die beim Server per Hand eingestellt
werden mussten.
Nach der Installation der Updates und des TMG Clients auf den Benutzer PCs wird die
Administrationskonsole auf dem Server wieder geöffnet, um die Malware Inspektion so einzustellen,
dass Dateien, die größer sind als 100 MB automatisch vor dem Download blockiert werden. Dateien,
bei denen die Prüfung länger als 300 Sekunden dauert, werden blockiert. Gleiches gilt für Archive,
deren Archivtiefe größer als 20 ist und die entpackt größer als 4095 MB sind.
3.6 Erstellen der Firewall Regeln
Innerhalb der „Web Access Policy“ befinden sich nach Beendigung der Voreinstellungen der Firewall
drei Regeln. Die erste Regel ist die, die im Konfigurationsassistent während der Voreinstellungen
automatisch erstellt wurde (vgl. Kapitel 3.5 Konfiguration der Firewall). Diese Regel kann nach Belieben
geändert oder auch gelöscht werden. Innerhalb dieser Regel lassen sich verschiedene Einstellungen
tätigen wie Name und Beschreibung der Regel, eine Option für Ein- und Ausschalten der Regel, ob
diese etwas verbietet oder erlaubt, die Protokolle, welche die Regel umfasst, die Quelle des
Datenverkehrs, das Ziel des Datenverkehrs, die betroffenen Benutzer (wobei diese aus der Active
Directory ausgelesen werden), der Zeitplan, der beschreibt, wann die Regel aktiv ist und die
Datentypen, die über das http- und https-Protokoll übertragen werden dürfen. Diese Regel wurde vom
Konfigurationsassistenten während der Voreinstellungen mit dem Namen „Blocked Web Destinations“
versehen. Sollte vom Benutzer eine durch diese Regel verbotene Webseite aufgerufen werden, dann
bekommt dieser eine Nachricht in seinem Browser anstelle der Webseite angezeigt, die besagt, dass
der Zugriff auf die Webseite dauerhaft verweigert wird, da der Aufruf gegen die Regeln zur
Internetnutzung der GFN verstößt (Anhang VI: Datenschutzbelehrung und Softwareverpflichtung). Die
Bedingungen für ein Inkrafttreten der Verbotsregel lauten, dass die Quelle des Datenverkehrs vom
internen Netz stammen muss, das Ziel eine der 12 eingestellten Kategorien ist und es sich um das httpoder https-Protokoll handelt. Die Regel ist immer aktiv, hat keinerlei zeitliche Einschränkung und gilt
für alle Benutzer.
11
Eine Kategorie ist eine Rubrik, unter der mehrere Webseiten anhand ihres Inhaltes zusammengefasst
werden. Diese Einteilung in Kategorien ist ein kostenpflichtiger Dienst, der von Microsoft angeboten
wird und aufgrund der Goldpartnerschaft für die GFN kostenfrei ist. Viele Webseiten werden in einer
dafür vorgesehenen Datenbank gespeichert, die bei Bedarf durch die Firewall abgefragt werden kann.
Beim Öffnen einer Webseite wird die angeforderte URL zur Abfrage an die Datenbank gesendet und
diese liefert dann die Kategorie, in die die Webseite eingeteilt ist, zurück. Somit können in den Regeln
vordefinierte Kategorien eingestellt und Webseiten gleicher Rubrik blockiert werden, ohne diese
einzeln per Hand eingeben zu müssen.
Bei der zweiten Regel handelt es sich um eine Erlaubnisregel, die den Internetzugang aller Benutzer
regelt. Diese Regel ist immer aktiv für alle Benutzer, die vom internen ins externe Netzwerk (Internet)
kommunizieren möchten und das http-, https- oder DNS-Protokoll benutzen. Da in manchen Unterrichtseinheiten das FTP-Protokoll genutzt wird, wird dies noch hinzugefügt. Jeder Datenverkehr, der
nicht den oben festgelegten Bedingungen entspricht, wird durch die letzte Regel, die Standardregel,
blockiert. Diese Regel besagt, dass jeglicher Datenverkehr von einem beliebigen Ziel zu einem
beliebigen Ziel blockiert wird. Bei jedem Verbindungsaufbau ins Internet fragt die Firewall die
benannten Regeln von oben nach unten ab. Das heißt je nach Regel, die gerade greift, wird ein
Verbindungsaufbau zugelassen oder abgelehnt.
Unter dem Menüpunkt „Create Access Rule“ können neue Regeln hinzugefügt werden. Es wird noch
eine weitere Regel hinzugefügt, die für die zeitliche Beschränkung von sozialen Netzwerkseiten wie
Facebook und Videostreaming Portalen wie YouTube dient. Zunächst wird der Konfigurationsassistent
geöffnet, der Name der neuen Regel „Blocked Web Destinations (Timed)“ festgelegt und angegeben,
dass es sich um eine Verbotsregel handelt, die das http- und https-Protokoll umfasst. Danach müssen
Quelle und Ziel des Datenverkehrs angeben werden. Bei der Quelle handelt es sich um das interne
Netzwerk und beim Ziel werden bestimmte URL Kategorien (Chat, Games, Media Sharing, Online
Communities, Shopping, Sports, Streaming Media) eingefügt. Facebook ist nach der Einstufung des
Microsoft Dienstes in der Kategorie Online Communities eingeordnet und YouTube wird in die
Kategorie Media Sharing eingestuft. Im nächsten Schritt wird festgelegt, dass die Regel für alle
Benutzer gelten soll. Nach Beenden des Konfigurationsassistenten werden die zeitliche Beschränkung
und die Benutzereinstellung angepasst. Zu diesem Zweck werden die Eigenschaften der neu erstellten
Regel geöffnet und unter der Option „Schedule“ wird ein neuer Zeitplan erstellt. Dieser Zeitplan
limitiert das Inkrafttreten der Regel auf bestimmte Uhrzeiten (8:00-13:00 und 14:00-16:00 Uhr
Werktags). Der Trainer soll von der Beschränkung nicht betroffen sein. Zu diesem Zweck wird die
Option „Users“ geöffnet und der Trainer unter die Rubrik „Exceptions“ eingetragen. Die Einstellungen
werden übernommen und in der Firewall angewendet, wodurch die Regel aktiviert wird.
4. Projektabschluss
4.1 Testphase
4.1.1 Server
Der Server startet das installierte Betriebssystem problemlos und der Login mit dem in der Active
Directory angelegten Benutzer „TMG-Admin“ und dem gewählten Passwort funktioniert einwandfrei.
Die Firewall wird nach Beheben eines aufgetretenen Fehlers (vgl. Kapitel 4.3 Fehlerbeseitigung)
problemlos installiert, was über das Aufrufen der Administrationskonsole nach der Installation
getestet wird. Die Konfiguration der Netzwerkschnittstellen, das ordnungsgemäße Verkabeln und die
Konfiguration der vorhandenen Netzwerkstruktur (Xxxxxxxx, Domain Controller) wird getestet über
Starten der Updates, was eine funktionierende Internetverbindung voraussetzt. Eine Statusmeldung
12
im Dashboard bestätigt das erfolgreiche Aktualisieren der Malware, Viren und Spyware Definitionen.
Statusmeldungen wie zum Beispiel Warnungen oder Benachrichtigungen über unregelmäßige
Netzwerkaktivitäten werden ebenfalls erfolgreich ausgegeben. Ein Test der Aufzeichnung und Abfrage
eigener Verbindungsdaten funktioniert ohne Probleme. Die Daten lassen sich gefiltert ausgeben.
Anhand der Web Cache Übersicht im Dashboard lässt sich dessen Funktionstüchtigkeit überprüfen.
Erstellen, Löschen und Editieren von Regeln funktioniert problemlos (vgl. Kapitel 3.6 Erstellen der
Firewall Regeln).
Funktionstest
Konfiguration der Firewall
Netzwerk und Internetverbindung
Automatische Updates der Definitionen (Malware, Viren, Spyware)
Datenaufzeichnung der Verbindungsdaten in der SQL DB
Abfrage der Verbindungsdaten von der SQL DB
Web Cache funktionstüchtig
Statusmeldungen der Firewall werden ausgegeben
Erstellen, Editieren, Löschen von Regeln
Erfolgreich?
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
4.1.2 Benutzer PC
Der Test an den Benutzer PCs wird an einem ungenutzten Teilnehmer PC durchgeführt. Dafür wird
temporär ein Benutzer namens „Test“ in der Active Directory angelegt, der die gleichen Rechte besitzt
wie ein Teilnehmer. Dieser Test gilt beispielhaft auch für alle anderen Teilnehmer und wird abends und
während der unterrichtsfreien Zeiten durchgeführt. Nach Anmelden am Benutzer PC werden folgende
Tests durchgeführt:
Funktionstest
Blockieren von Downloads >100 MB
YouTube (Media Sharing) gesperrt/offen Unterrichtszeit/Pause
Facebook (Online Communities) gesperrt/offen Unterrichtszeit/Pause
Ebay (Shopping) gesperrt/offen Unterrichtszeit/Pause
Benutzerbenachrichtigung mit Begründung bei Blockierung
Aufbau einer FTP-Verbindung erfolgreich
Blockierung von Filesharing Programmen
Schutz vor Viren, Malware, Spyware
Dauerhafte Blockade potentiell gefährlicher Webinhalte
Benachrichtigung bei https Verbindungsaufbau
Automatische Proxykonfiguration (TMG-Client)
Blockade von verschlüsselten Dateien
Prüfung von archivierten Dateien
Blockade von archivierten Dateien mit hoher Dateitiefe
Erfolgreich?
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Das Herunterladen einer Datei zu Testzwecken, die größer ist als 100 MB, wird erfolgreich durch die
Firewall vor dem Download blockiert. Die erstellte Verbotsregel „Blocked Web Destination (Timed)“
blockiert erfolgreich die eingestellten Kategorien zu den Unterrichtszeiten und tritt nicht in Kraft
während der Mittagspause. Dies wird getestet indem einmal zur Unterrichtszeit und einmal zur
Mittagspause in einem Browser eine Webseite aus den eingestellten Kategorien ausgewählt und
geöffnet wird. Auch die dauerhafte Blockade potentiell gefährlicher Webseiten wird mit einer
Webseite aus der Kategorie getestet. Wenn eine Seite blockiert wird, erhält der Benutzer automatisch
13
eine Nachricht, die ihm anzeigt, ob die Webseite dauerhaft oder nur zu bestimmten Zeiten blockiert
wird. Der Aufbau einer FTP-Verbindung wird mittels eines FTP-Programms wie FileZilla8 erfolgreich
getestet. Die Blockierung von Filesharing Programmen wird getestet, indem BitTorrent9
heruntergeladen, auf dem Benutzer PC installiert und versucht wird, ein Test Download von der
BitTorrent Webseite zu starten. Das wird durch die Firewall erfolgreich verhindert, indem keine
Verbindung zustande kommt. Nach Öffnen einer https Webseite erscheint eine Benachrichtigung, die
mittels TMG-Client über ein Aufzeichnen der Verbindungsdaten informiert. Die Proxyeinstellung wird
über die Installation des TMG-Clients auf dem Benutzer PC getestet, indem dieser nach Installation
automatisch die Einstellung vornimmt. Dies funktioniert problemlos. Der Schutz vor Viren, Malware
und Spyware wird getestet, indem ein Testvirus von der Webseite www.Eicar.org heruntergeladen
wird. Der Testvirus wird durch die Firewall mit der Benachrichtigung, dass es sich um eine verseuchte
Datei handelt, blockiert. Der Download verschlüsselter Dateien wird ebenfalls getestet und mit einer
Benachrichtigung blockiert. Archivierte Dateien werden vor dem Download auf dem Server der
Firewall zwischengespeichert, zu Prüfungszwecken entpackt und nach erfolgreicher Prüfung kann die
Datei vom Benutzer angefordert werden. Ein Archiv mit hoher Dateitiefe >20 wird ebenfalls getestet
und erfolgreich blockiert.
4.1.3 Trainer PC
Die gleichen Tests, die unter 4.1.2 am Benutzer PC durchgeführt wurden, werden auch am Trainer PC
mit Ausnahme folgender Tests durchgeführt:
Funktionstest
YouTube (Media Sharing) offen Unterrichtszeit/Pause
Facebook (Online Communities) offen Unterrichtszeit/Pause
Ebay (Shopping) offen Unterrichtszeit/Pause
Erfolgreich?
Ja
Ja
Ja
Am Trainer PC soll die zeitliche Beschränkung mancher Webseiten entfallen, was während der
Unterrichtszeit getestet wird.
4.2 Ist-Soll-Vergleich
Aus dem Funktionstest und dem Ist-Soll-Vergleich geht hervor, dass alle im Soll-Konzept geplanten
Anforderungen erfüllt werden:










Downloadschutz vor Viren, Malware und Spyware
Blockade von Dateien >100 MB
Komprimierte/archivierte Dateien werden zu Prüfungszwecken entpackt
Eigenschutz vor komprimierten/archivierten Dateien mit hoher Dateitiefe
Automatisches Aktualisieren der Schutzdefinitionen
Automatisches Kategorisieren und Blockieren von Webseiten
Blockade von Webseiten mit potentiell gefährlichen Inhalten
Verhindern von Filesharing durch einschränken der benutzbaren Protokolle
Zugriff von außen wird nicht eingerichtet
Lehrpersonal erhält zeitlich unbeschränkten Zugriff, bleibt aber vor Gefahren aus dem Internet
geschützt
8
FileZilla ist der Name eines Programmes zur Übertragung von Dateien mittels FTP und SFTP. Es wird als freie Software für
Windows, Mac OS X und Linux angeboten.
9 BitTorrent ist ein Filesharing-Protokoll, das sich besonders für die schnelle Verteilung großer Datenmengen eignet. Es
zeichnet sich dadurch aus, dass zur Dateiübertragung keine Serververbindung nötig ist.
14


Zeitliche Einschränkung der privaten Internetnutzung
Aufzeichnen des Datenverkehrs unter Berücksichtigung der Datenschutzbestimmung
4.3 Fehlerbeseitigung
Direkt nach Beendigung der Firewall Installation und Öffnen der Administrationskonsole wird ein
Skriptfehler angezeigt, der besagt, dass in der Programmierung ein Fehler vorliegt. Dieser Fehler
entsteht aufgrund einer Inkompatibilität mit Internet Explorer 9 und weil sich die Installation zu diesem
Zeitpunkt nicht auf dem neusten Stand befindet. Zur Lösung des Problems wird das Microsoft Forum
(Technet) zu Rate gezogen.10 Der dortige Lösungsansatz sieht vor, den fehlerhaften Programmcode per
Hand auszukommentieren. Mit Hilfe des in Windows enthaltenen Texteditors wird die Datei
„TabsHandler.htc“, unter dem Dateipfad „C:\Program Files\Microsoft Forefront Threat Management
Gateway\UI_HTMLs\TabsHandler“, geöffnet und nach der Textzeile mit dem Wort „paddinTop“
gesucht. Alle drei gefundenen Zeilen werden mit einem Doppelslash auskommentiert und damit beim
Öffnen der Konsole nicht mehr ausgeführt.
4.4 Liveschaltung der Firewall und Übergabe an den Kunden
Die abschließende Konfiguration und Liveschaltung der Firewall findet am Samstag den 20.04.2013
statt, um den Unterrichtsablauf nicht zu stören. Am 22.04. wird nach Unterrichtsbeginn die
Funktionstüchtigkeit beziehungsweise das gesamte System eine Stunde überwacht, um bei
auftretenden Problemen direkt reagieren zu können. Jxxx Nxxxxx wird bei dieser Überwachung dabei
sein.
Nach einer kurzen praktischen Einweisung in die Handhabung der Microsoft Forefront TMG Firewall
werden die Kundendokumentation, welche Anhang IX zu entnehmen ist und die Handreichung, die
Anhang X zu entnehmen ist, termingerecht am 26.04. an Herrn Nxxxxx übergeben. Das InstallationsMedium und die TMG-Client Software müssen nicht übergeben werden, da diese bereits auf der
Netzwerkfreigabe zugänglich sind. In einem abschließenden Gespräch wird Frau Axx die
Funktionstüchtigkeit der Firewall bestätigt.
4.5 Fazit und Ausblick
Die Microsoft Forefront TMG 2010 ist für die GFN eine kostengünstige und wartungsfreundliche
Firewall, die zunächst als Pilotprojekt am Standort Darmstadt eingerichtet wird und nach einer
gewissen Testphase auch an anderen Standorten realisiert werden soll. Maßgeblich wird die Firewall
installiert, um die Teilnehmer an überhandnehmender privater Internetnutzung, die den Unterricht
beeinträchtigt, zu hindern.
Für die Zukunft wäre es sinnvoll das proprietäre Plugin „Bandwidth Splitter“11 für die Firewall zu
beschaffen, mit dem Traffic-Shaping möglich wird. Traffic-Shaping ist eine Form der Datenratenbegrenzung, mit der es möglich ist, gezielt eine exzessive Bandbreitennutzung zu begrenzen. Ebenso
sollte der Server einen regelmäßigen Backupplan erhalten, da dieser zurzeit einen Single point of
failure für das Schulungsnetzwerk darstellt. Die Firewall ist im Moment der einzige Gateway des
Schulungsnetzwerks, was bedeutet, dass bei einem längeren Ausfall das Schulungsnetz direkt
betroffen ist und kein Internet mehr zur Verfügung steht. Eine Möglichkeit wäre die Firewall mittels
eines zweiten Servers zu clustern.
10
http://blogs.technet.com/b/asiasupp/archive/2011/04/29/internet-explorer-9-ie9-and-forefront-tmg-2010.aspx, Stand:
15.04.2013
11 www.bsplitter.com, Stand: 19.04.2013
15
5. Anhangsverzeichnis
Anhang I: Glossar................................................................................................................................... 17
Anhang II: Quellenverzeichnis ............................................................................................................... 21
Anhang III: Entscheidungstabelle über die Wahl des Firewall Systems ................................................ 22
Anhang IV: IST-Netzplan ........................................................................................................................ 23
Anhang V: Soll-Netzplan ........................................................................................................................ 24
Anhang VI: Datenschutzbelehrung und Softwareverpflichtung............................................................ 25
Anhang VII: Verschwiegenheitserklärung ............................................................................................. 27
Anhang VIII: IT-Sicherheitszertifikat vom BSI ........................................................................................ 28
Anhang IX: Kundendokumentation ....................................................................................................... 29
Anhang X Handreichung ........................................................................................................................ 35
16
Anhang I: Glossar
Active Directory
Name des Verzeichnisdienstes von Microsoft Windows Server, vergleichbar mit einem
Telefonbuch.
Adware
Werbesoftware, die auf manchen Webseiten angezeigt oder bei freier Software mitinstalliert
wird.
Auskommentieren
Ein Kommentar ist eine Annotation innerhalb von Programmiersprachen und
Textbeschreibungssprachen. Bei der Weiterverarbeitung eines Quelltextes wird der
Kommentar von der verarbeitenden Software ignoriert, das heißt der auskommentierte Teil
hat keinen Einfluss auf das Ergebnis.
Back firewall
Bei dieser Topologie liegt die Firewall am hinteren Ende (Back End) des Netzwerks.
Bootfähiges Medium
Ein Speichermedium von dem aus ein benötigter Inhalt gestartet werden kann.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik ist in Bonn ansässig und für Fragen
der IT- Sicherheit zuständig.
Client
Ein Client ist eine Anwendung, die auf dem Computer des Benutzers abläuft, wie z.B.: ein
Webbrowser (Firefox, Microsoft Internet Explorer, usw.). Ein Client kann einen bestimmten
Dienst (eine festgelegte Aufgabe) vom Server anfordern.
Cluster
Als Cluster werden Datenobjekte bezeichnet, die über ähnliche Eigenschaften verfügen. Zum
Beispiel können zwei Firewalls geclustert (zusammengeschaltet) werden, um den Ausfall einer
Firewall zu kompensieren.
DHCP
Dynamic Host Configuration Protocol: Dieses Protokoll ermöglicht die automatische
Einbindung eines Computers in ein bereits bestehendes Netzwerk ohne manuelle
Konfiguration. Nach dem Start eines Computers, der in das Netz eingebunden ist, kann dieser
vom DHCP-Server automatisch IP-Adresse, Netzmaske und Gateway beziehen.
DNS
Domain Name System: Beantwortet Fragen zur Namensauflösung, indem die URL in die
dazugehörige IP-Adresse umgewandelt wird. Für die Active Directory ist ein eigenes DNS
erforderlich.
Domain Controller
Auch Bereichs-Steuerung genannt. Ein Server zum zentralen Verteilen von Zugangsberechtigungen und Bestätigungen von Computern und Benutzern in einem Rechnernetz der
Firma Microsoft.
Domäne
Eine Domäne ist ein lokaler Sicherheitsbereich mit zentraler Verwaltung der Ressourcen (Bilder
Dateien, uvm.) und stellt die administrative Grenze dar.
DSL Router
Router können Netzwerkpakete zwischen mehreren Computernetzen weiterleiten. Als DSL
Router, wird ein Router bezeichnet, der einen PPPoE-Client (ein spezielles Netzwerkprotokoll
17
(PPP) über einer Enthernet-Verbindung) zur Einwahl in das Internet über xDSL eines Internet
Service Providers beinhaltet und NAT (Network Address Translation) beherrscht.
DVD-R
Digital Video Disc recordable: Eine unbeschriebene DVD, auf die Daten unveränderlich
geschrieben werden können.
Edge firewall
Bei dieser Topologie liegt die Firewall am äußeren Rand (Edge) des Netzwerks und dient als
Außenfirewall.
EDU-Netz
Name des Schulnetzwerkes der GFN-AG, das unabhängig vom Office Netz arbeitet.
Filesharing
Dateiaustausch zwischen zwei oder mehreren Benutzern über ein bestimmtes FilesharingNetzwerk. Filesharing-Netzwerke funktionieren meist über einen zentralen Server auf den die
Dateien hochgeladen und gespeichert werden und dann von mehreren Clients
heruntergeladen werden können.
Firewall
Eine Firewall ist ein Sicherungssystem, das vor Viren und unerwünschten Netzwerkzugriffen
schützen soll. Jede Firewall besitzt eine Softwarekomponente, die den Datenverkehr über
festgelegte Regeln überwacht und selektiert, um unerlaubten Netzwerkzugriff zu verhindern.
Forefront TMG
Forefront Threat Management Gateway: Ein Firewall-System von Microsoft mit StatefulInspection, Application Layer-Inspection, VPN und Web Cache/Proxy Funktion.
FTP
File Transfer Protocol: Ein Protokoll zur Übertragung von Dateien über IP-Netzwerke. Es wird
benutzt, um Dateien vom Server zum Client herunterzuladen, vom Client zum Server
hochzuladen oder um zwischen zwei FTP-Servern zu übertragen.
Gateway
Ein Gateway ist eine Verbindung zwischen Rechnernetzen, die durchaus auf unterschiedlichen
Netzwerkprotokollen basieren können.
Hardware-Firewall
Eine externe Firewall, deren Software auf einem separaten Gerät installiert wird und die den
Zugriff zwischen Netzen beschränkt.
HTML
Hypertext Markup Language: Eine textbasierte Auszeichnungssprache zur Strukturierung von
Inhalten wie Texten, Bildern und Hyperlinks in Dokumenten.
http
Hypertext Transfer Protocol: Ein Protokoll zur Übertragung von Daten über ein Netzwerk, eine
Anwendungsart neben https, FTP, etc.
https
Hypertext Transfer Protocol Secure: Ebenfalls ein Protokoll zur Übertragung von Daten über
ein Netzwerk, das jedoch im Vergleich zu http abhörsicher ist. Es wird verwendet um Daten zu
verschlüsseln.
Interface
Das Interface (Schnittstelle) dient der Kommunikation innerhalb eines Systems.
18
Intrusion Prevention
Ein System (Firewall) das nicht nur unerwünschte Eindringlinge entdeckt, sondern darüber
hinaus auch erfolgreich abwehrt.
IP-Adresse
Internet Protokoll Adresse: Eine Adresse in Computernetzwerken, die einem Gerät zugewiesen
wird und auf dem Internetprotokoll basiert. Sie macht das Gerät erreichbar für andere (ähnlich
einer Postanschrift).
ISA Server
Internet Security and Acceleration Server: Ein etwas älterer Begriff für die von Microsoft
stammende Forefront Threat Management Gateway (Forefront TMG) Firewall.
ISO
International Organization for Standardization: Eine Internationale Vereinigung von Normungsorganisationen.
3-Leg perimeter
Bei dieser Topologie reguliert die Firewall den Datenverkehr aus drei Netzwerken (Intern,
Extern und Perimeter).
Livesupport
Eine persönliche Direkthilfe bei Problemen zum Beispiel über Chat oder Telefon.
Malware
Schädliche/bösartige Software mit unerwünschter, schädlicher Funktion, die von Benutzern
entwickelt wird, um anderen Benutzern zu schaden.
Microsoft NTFS
Microsoft New Technology File System: Ein Dateisystem für das Betriebssystem Microsoft
Windows NT, dessen Nachfolgern 2000, XP, Server 2003, Vista, Server 2008, Windows 7, Server
2008 R2 und Windows 8, das Eigentum von Microsoft ist.
NAT
Network Address Translation: Adressinformationen, die in Datenpaketen versendet werden,
werden automatisch über dieses Verfahren durch andere ersetzt, um so verschiedene
Netzwerke miteinander zu verbinden.
Office Netz
Name des rein betrieblich genutzten Netzwerks der GFN-AG.
Open Source
So wird Software benannt, deren Quelltext laut Lizenzbestimmungen öffentlich zugänglich ist
und je nach entsprechender Lizenz frei kopiert, modifiziert, verändert und unverändert
weiterverbreitet werden darf.
P2P Netzwerk
Ein dezentral organisiertes Netzwerk, das ohne zentralen Server auskommt und eine
Kommunikation unter Gleichen darstellt.
Partition
Eine gedachte Einteilung eines Datenträgers in verschiedene Teilabschnitte.
Patchfeld
Ein Verbindungselement für Kabel, das für den Aufbau komplexer Kabelstrukturen in
Gebäuden eingesetzt wird. Häufig werden Patchfelder zur Verteilung von Netzwerkkabeln,
Telefonkabeln oder Glasfaserkabeln und insbesondere bei strukturierten Verkabelungen
eingesetzt.
19
Patchkabel
Ein Patchkabel (engl.: to patch= zusammenschalten) ist ein Kabeltyp der Netztechnik und der
Telekommunikation.
Proprietär
Das Adjektiv proprietär bedeutet „eigentümlich“ und wird in Bezug auf Soft- und Hardware
verwendet, die Eigentum einer Firma (z.B.: Microsoft) ist. So lässt sich diese von freier Software
und Hardware abgrenzen.
Proxy
Eine Kommunikationsschnittstelle im Netzwerk die Anfragen entgegen nimmt und eine
Verbindung zur anderen Seite (z.B.: einem anderen Computer) herstellt.
RAM
Random-Access-Memory: Ein Informationsspeicher, der bei Computern als Arbeitsspeicher
verwendet wird und auf den direkt zugegriffen werden kann.
SATA
Serial Advanced Technology Attachment: Eine Verbindungstechnik für den Datenaustausch
zwischen Prozessor und Festplatte.
Server
Als Server kann sowohl Software als auch Hardware verstanden werden. Die Serversoftware
kommuniziert mit dem Client (Kunden) und ermöglicht ihm Zugang zu gewissen Diensten (z.B.:
Virenschutz). Auf der Serverhardware kann eine oder mehrere Serversoftware laufen.
Setup
Der Installationsprozess von Programmen auf einen Computer unter dem Microsoft
Betriebssystem Windows.
Single network adapter
Die Firewall befindet sich innerhalb eines Netzes, das bereits durch eine Außenfirewall
abgesichert wird. Die Firewall stellt nur noch bestimmte ausgewählte Dienste (z.B.: Web
Cache) zur Verfügung.
Single point of failure
Die Komponente eines technischen Systems, deren Ausfall den Ausfall des gesamten Systems
mit sich bringt.
Spyware
Spionagesoftware, die Daten eines Computernutzers ohne dessen Wissen ausspioniert und an
den Hersteller der Software oder an Dritte weiterleitet.
SQL
Structured Query Language: Eine Datenbanksprache zur Verwaltung, Bearbeitung und
Abrufung von Datenbeständen in elektronischen Datenbanken.
Streaming
Als Streaming wird das Aufzeichnen eines Datenstroms bezeichnet.
Subnetzmaske
Im Netzwerkprotokoll IPv4 beschreibt die Subnetzmaske als Netzpräfix die Anzahl von Bits zu
Beginn der IP-Adresse.
Switch
Ein Kopplungselement (Verteiler), das Netzwerksegmente miteinander verbindet.
TCP/IP
Transmission Control Protocol/Internet Protocol: Ein Übertragungssteuerungsprotokoll, das
steuert, auf welche Art und Weise Daten zwischen zwei Computern ausgetauscht werden und
so den Datentransfer in beide Richtungen gewährleistet.
20
Tiefenentpacken
Das Verb bezieht sich auf Archive, die mehrfach verpackt vorliegen. Diese werden komplett bis
auf die letzte Datei entpackt.
Topologie
Struktur der Verbindungen von Geräten untereinander innerhalb eines Computernetzwerkes.
Traffic-Shaping
Traffic-Shaping (Verkehrsformung) ist eine Form der Datenratenbegrenzung. Dabei wird der
Netzwerkverkehr in verschiedene Bereiche (Applikationen und Protokolle, Übertragungsrichtungen zwischen Client und Host) eingeteilt.
UPLink
Ursprünglich ein Begriff aus der Satellitenkommunikation. In Computernetzwerken ist damit
die Verbindung eines Konzentrators (Hub, Switch) zum nächsten Konzentrator gemeint.
URL
Uniform Resource Locator: Identifiziert und lokalisiert eine Ressource über das verwendete
Netzwerkprotokoll im Internet.
USB
Universal Serial Bus: Ein serielles Bussystem, das einen Computer mit externen Geräten (z.B.:
USB-Sticks) verbindet.
Web Cache
Ein Puffer Speicher auf einer lokalen Festplatte, in dem Texte, Bilder usw. gespeichert werden.
Zip-Dateiformat
Ein Format für die Komprimierung von Dateien, das platzreduzierend bei der Archivierung ist
und mehrere zusammengehörige Dateien zusammenfassen kann.
Anhang II: Quellenverzeichnis
Literatur:



Diogenes Y., Diogenes H., Saxena M. (2010). Microsoft Forefront Threat Management
Gateway (TMG). Administrator’s Companion. Microsoft Press.
Holme D., Ruest N., Ruest D., Kellington J., Northrup T., Mackin J.C., Thomas O., McLean I.
(2011). MCITP Windows Server 2008 Server Administrator. Self-Paced Training Kit. Microsoft
Press Corp.
Hübscher H., Petersen H.-J., Rathgeber C., Richter K., Scharf Dr. D. (2011). IT-Handbuch. ITSystemelektroniker/-in, Fachinformatiker/-in. Braunschweig: Bildungshaus Schulbuchverlage.
Internetquellen:



http://technet.microsoft.com/de-de/library/ff355324.aspx, Stand: 08.04.2013
http://www.eicar.org/85-0-Download.html, Stand: 18.04.2013
http://www.recht-freundlich.de/internet-am-arbeitsplatz-die-rechtliche-seite, Stand:
10.04.2013
21
Anhang III: Entscheidungstabelle über die Wahl des Firewall Systems
Kriterium
Arbeitsaufwand
Funktionen
Erweiterbarkeit
Support
Kosten
Gesamt
Hardware Firewall
++
O
++
++
Microsoft
+
+
+
O
++
+++++
Linux (Open Source)
++
++
++
++++
Legende: + = positiver Aspekt, O = neutraler Aspekt, - = negativer Aspekt
Mehrere + Punkte bedeuten eine stärkere Ausprägung der positiven Aspekte.
Auswertung: Die Microsoft Lösung ist, was die positiven Aspekte angeht, nur knapp vor Linux.
22
Anhang IV: IST-Netzplan
23
Anhang V: Soll-Netzplan
24
Anhang VI: Datenschutzbelehrung und Softwareverpflichtung
25
26
Anhang VII: Verschwiegenheitserklärung
27
Anhang VIII: IT-Sicherheitszertifikat vom BSI
28
Anhang IX: Kundendokumentation
Dokumentation der Funktionen der Firewall
Übersicht
Die Firewall besteht aus einem Server der zwischen DSL Router und internem Netz agiert und den von
außen kommenden Datenverkehr auf eventuelle Gefahren überprüft. Über einen einstellbaren
Regelsatz lassen sich beliebige Funktionen festlegen, die nicht nur die Prüfung auf eventuelle Gefahren
beinhalten sondern auch Blockaden von größeren Dateien und Webseiten mit potentiell gefährlichen
Inhalten, das Verhindern von Filesharing durch Einschränken der benutzbaren Protokolle, die
Aufzeichnung des Datenverkehrs unter Berücksichtigung der Datenschutzbestimmungen und die
zeitliche Einschränkung privater Internetnutzung.
Die Firewall befindet sich im Serverraum der GFN am Standort Darmstadt, der durch ein Schließsystem
gesichert ist und Zugangsberechtigung erfordert. Ein Plan der Topologie des Netzwerkes ist angefügt
(Anhang V: Soll-Netzplan der Dokumentation wird verwendet, aber an dieser Stelle nicht doppelt
eingefügt). Die Dokumentation soll keine vollständige Bedienungsanleitung der Firewall darstellen,
sondern nur wesentliche Punkte, die für Wartung und grobe Konfiguration notwendig sind, beinhalten.
Datenschutzaspekt
Da die Firewall Verbindungsdaten aufzeichnet, ist es unerlässlich, dass der Administrator in den
rechtlichen Bestimmungen und Verpflichtungen des Datenschutzes belehrt wird. Das umfasst eine
Kenntnis der Datenschutzbelehrung und Softwareverpflichtung, die die Teilnehmer unterzeichnet
haben und das Unterzeichnen der Verschwiegenheitserklärung, die gewährleistet, dass die Daten nicht
missbräuchlich verwendet oder weitergegeben werden dürfen. Die Verbindungsdaten dürfen nicht
ohne Anweisung der GFN Leitung oder der Standortleitung eingesehen werden.
Benutzernamen, Passwörter und IP-Adressen
Bezeichnung
DSL-Router
Firewall
IP-extern
IP-intern
Benutzername
212.144.XX.XXX/30 192.168.X.XXX/30 Xxxxx
192.168.X.XXX/30 192.168.X.XXX/24 XXX\TMG-Admin
Passwort
Xxxxxxxx
Xxxxxxxxx
Servername
Der Servername lautet „TMG“ und der vollqualifizierte Domain Name lautet „TMG.XXX.local“.
Proxyeinstellungen
Diese Einstellungen sind nötig, um den vollen Funktionsumfang der Firewall benutzen zu können.
Ebenfalls ist die Nutzung von NAT (Network Address Translation) möglich, wodurch aber Funktionen
wie zum Beispiel der Zwischenspeicher entfallen.
Die IP-Adresse des Proxys ist mit der IP-Adresse der Firewall identisch. Alternativ kann auch der
vollqualifizierte Domain Name genutzt werden. Die Portnummer ist die 8080, welche für die Protokolle
http, https und FTP gilt. Die Option „Proxyserver für lokale Adressen umgehen“ sollte eingeschaltet
sein.
29
Eingestellte Internetzugangsregeln
Um die Regeln für den Internetzugang des internen Netzwerks zu ändern, muss im Menü der Firewall
folgende Option ausgewählt werden:
Unter der Option „Web Access Policy“ sind folgende Regeln eingestellt:
Der ausgehende Datenverkehr wird durch die Firewall analysiert und nach obigem Regelsatz
verarbeitet. Dabei werden die Regeln von oben nach unten angewandt. Je nach Bedingung tritt die
entsprechende Regel in Kraft und erlaubt oder verbietet den Datenverkehr.
Die erste Regel „Blocked Web Destinations (Timed)“ gilt für alle Benutzer mit Ausnahme des TrainerAccounts und ist zeitlich eingeschränkt für die Unterrichtszeiten (8:00-13:00 und 14:00-16:00 Uhr). Die
Quelle des Datenverkehrs ist das interne Netzwerk und das Ziel ist eine der oben angezeigten
Kategorien. Es handelt sich um eine Verbotsregel, die beim Zutreffen der eingestellten Bedingungen
den Datenverkehr blockiert. Die zweite Regel „Blocked Web Destinations“ betrifft alle Benutzer ohne
Ausnahme. Die Quelle ist ebenfalls das interne Netzwerk und das Ziel ist eine der eingestellten
30
Kategorien. Auch hier handelt es sich um eine Verbotsregel, die beim Zutreffen der eingestellten
Bedingungen den Datenverkehr blockiert. Die dritte Regel „Allow Web Access for all Users“ gilt für alle
Benutzer und erlaubt den Internetzugang. Die vierte Regel ist die Standardregel (Default rule), die
jeglichen Datenverkehr verbietet, der nicht durch die obigen Regeln abgedeckt wird. Die beiden
Verbotsregeln sind nur auf die Protokolle http und https eingestellt, da nur Daten, die über diese
Protokolle versendet werden, in Kategorien blockiert werden können. Die Erlaubnisregel umfasst noch
zwei weitere Protokolle zum einen das DNS Protokoll, das für die Namensauflösung des internen DNS
Servers nötig ist und zum anderen das FTP Protokoll. Alle Protokolle, die nicht in der Erlaubnisregel
definiert sind, werden über die Standardregel blockiert.
Erstellen und Verändern von Regeln
Regeln werden über Rechtsklick auf die Regel selbst und über Auswahl der Menüoption „Properties“
oder über die Option „Edit Selected Rule“ auf der rechten Seite unter „Policy Editing Tasks“ editiert.
Im Anschluss können folgende Optionen ausgewählt und konfiguriert werden:
Optionen
General
Action
Protocols
From
To
Users
Schedule
Content Types
Malware Inspection
Konfigurationsmöglichkeiten
Name, Beschreibung, Regel aktivieren und deaktivieren
Aktion der Regel (Verbot oder Erlaubnis), bei Verbot weitere Konfig. möglich
Protokolle die von Regel umfasst werden
Quelle Datenverkehr und Ausnahmen
Ziel des Datenverkehrs und Ausnahmen, Kategorien
Betreffende Benutzer, Gruppen und Ausnahmen
Zeitplan (Uhrzeit, Tag)
Art des Inhalts (nur bei http- und https-Traffic)
Aktivieren oder deaktivieren
Kategorien
Eine Kategorie ist eine Rubrik, unter der mehrere Webseiten anhand ihres Inhaltes zusammengefasst
werden. Diese Einteilung in Kategorien ist ein kostenpflichtiger Dienst, der von Microsoft angeboten
wird. Viele Webseiten werden in einer dafür vorgesehenen Datenbank gespeichert, die bei Bedarf
durch die Firewall abgefragt werden kann. Beim Öffnen einer Webseite wird die angeforderte URL zur
Abfrage an die Datenbank gesendet und diese liefert dann die Kategorie, in die die Webseite eingeteilt
ist, zurück. Somit können in den Regeln vordefinierte Kategorien eingestellt und Webseiten gleicher
Rubrik blockiert werden, ohne diese einzeln per Hand eingeben zu müssen.
Sperren von Webinhalten
Generell sperrt die Firewall alle Internetprotokolle, die nicht explicit freigegeben werden.
Standardmäßig ist innerhalb der „Allow Web Access for all Users“ Regel http und https eingestellt.
Manuell hinzugefügt ist das FTP- und DNS-Protokoll. Werden in Zukunft weitere Protokolle benötigt,
können diese der Erlaubnisregel hinzugefügt werden. Das http- und https-Protokoll kann gesondert
weiter gefiltert werden, indem zum Beispiel Webseiten anhand von selbst erstellten Sets oder
voreingestellten Kategorien, die mehrere URLs beinhalten, blockiert werden.
Unter der Option „Add Network Entities“ gibt es verschiedene Möglichkeiten voreingestellte Ziele
auszuwählen oder neue zu erstellen. Eine Möglichkeit, das Erstellen von Domain Name Sets, wird im
unteren Screenshot gezeigt:
31
In der Option „Add Network Entities“ sind auch die voreingestellten Kategorien zu finden.
Um herauszufinden in welcher Kategorie sich eine Webseite befindet, wird die Option „Query for URL
Category“ geöffnet. Dort lässt sich die gesuchte Kategorie abfragen, in der sich die URL befindet, indem
diese in das dafür vorgesehene Feld eingeben wird. Unter der Option „URL Category Overrides“ lässt
sich manuell festlegen, in welche Kategorie die URL eingeordnet werden soll. Dies passiert unabhängig
von der automatischen Kategorisierung durch die Microsoft Datenbank. Damit lässt sich die
automatische Kategorisierung manuell überschreiben.
Malware Inspektionseinstellungen
Die Einstellungsoptionen der Malware Inspektion lassen sich im Menü der Firewall durch Rechtsklick
auf die Option „Web Access Policy“ und im Anschluss über „Configure“ aufrufen. Im Menü der
Malware Inspektion lassen sich folgende Optionen einstellen:
Optionen
General
Destination Exceptions
Source Exceptions
Inspection Settings
Content Delivery
Storage
Definition Updates
License Details
Konfigurationsmöglichkeiten
Aktivieren und deaktivieren
Scan Ausnahmen für Ziele
Scan Ausnahmen für Quellen
Scan Einstellungen der Malwareinspektion
Einstellung der Scan Methode
Zwischenspeicher für gescannte Dateien
Einstellungen der Malware Updates
Informationen über Ablaufdatum der Lizenz
Die Standardeinstellungen fast aller Optionen sind, bis auf die der „Inspection Settings“, beibehalten
worden. Hier lassen sich verschiedene Optionen einstellen wie die maximale Scan Zeit, die maximale
Dateitiefe von Archiven, die maximale Größe für einen Downloadvorgang und die maximale Größe
eines Archives nach dem Entpacken und vieles mehr, was auf dem unteren Screenshot gezeigt wird:
32
Dashboard
Das Dashboard ist der Performance Monitor der Firewall. Dieser zeigt an, ob die Dienste der Firewall
gestartet sind, wie viele Sessions gerade aktiv sind, eine Statistik zu den durch die Firewall blockierten
Inhalten, ob die Definitionen auf dem neuesten Stand sind und Informationen über die Benutzung des
Web Caches. Innerhalb des Web Cache Performance Monitors lassen sich Informationen zu
Speichergröße, Füllstand und Häufigkeit der Nutzung in Megabyte und Prozent anzeigen.
Ereignisanzeige
Die Firewall besitzt eine Ereignisanzeige, die unter dem Menüpunkt „Monitoring“ und der Rubrik
„Alerts“ zu finden ist. Hier werden aktuelle Fehler-, Warn- und Informationsmeldungen angezeigt.
Updates
Die Firewall aktualisiert ihre Definitionen automatisch in eingestellten Intervallen. Informationen über
den Aktualisierungsvorgang werden entweder im Dashboard oder über eine Meldung in der
Ereignisanzeige angegeben.
Logs und Reports
Logs sind Ereignisprotokolle des aus- und eingehenden Datenverkehrs, die von der Firewall in einer
SQL Datenbank gespeichert werden. Die Datenbank lässt sich unter „Logs & Reports“ abfragen, wobei
die Option „Logging“ den Datenverkehr gezielt anhand von Filtern abrufen lässt. Die Option
„Reporting“ erstellt einen Sammelbericht über verschiedene Ereignisse wie Webnutzung, Traffic,
33
Cache Performance, Top Protokolle, Top Webseiten und vieles mehr. An dieser Stelle wird noch einmal
auf den Datenschutzaspekt hingewiesen, der zu Anfang der Dokumentation erläutert wurde.
Bei Vorliegen eines konkreten Verstoßes werden im Menüpunkt „Logs & Reports“ unter der Option
„Logging“ zunächst die Filter editiert. Unter „Edit Filter“ können mehrere vordefinierte Filter
ausgewählt werden, anhand derer sich gezielt die SQL-Datenbank abfragen lässt. Ein möglichst gutes
Ergebnis kann erzielt werden, wenn folgende Filter ausgewählt werden:
Anstelle des „Client Username“ kann auch alternativ der Filter „Client-IP“ benutzt werden. Mit dem
Start der Abfrage über „Start Query“ werden die gespeicherten Verbindungsdaten im Ausgabefenster
angezeigt und es können unter anderem folgende Informationen eingesehen werden: Datum, Zeit,
Quell- und Ziel-IP, Zielport, genutztes Protokoll, Aktion (blockiert oder nicht blockiert) der
Datenverbindung. Ebenfalls angezeigt werden der Benutzername, die aufgerufene URL und deren
Kategorie sowie die abgearbeitete Regel. Der folgende Screenshot zeigt einen Ausschnitt des
Ausgabefensters:
34
Anhang X Handreichung
Handreichung für die Internetnutzung der GFN
Diese Kurzanleitung ist zu Informationszwecken in den Schulungsräumen aufgehängt und zeigt die
Konfigurationseinstellungen der Internetbrowser.
Konfigurationseinstellungen der Internetbrowser
Probleme beim Internetzugang
Auf jedem Benutzer PC befindet sich eine Software mit dem Namen „TMG-Client“, die bei jedem
Systemstart automatisch ausgeführt wird. Sollte das nicht der Fall sein, kann diese über den
Windows 7 Startbutton  Alle Programme  Forefront TMG-Client gestartet werden. Dieser
Client dient unter anderem der automatischen Einstellung des Internetbrowsers. Standardmäßig
sollte die automatische Webkonfiguration aktiviert sein. Die automatische Konfiguration kann auch
per Hand im TMG-Client unter der Rubrik Webbrowser durch Jetzt konfigurieren gestartet
werden.
Falls die automatische Konfiguration des Internetbrowsers einmal nicht funktionieren sollte,
müssen je nach Browser folgende Einstellungen manuell getätigt werden:
35
Internet.Explorer/Betriebssystem
Im Internet Explorer werden über das kleine Rädchen rechts oben oder über Extras 
Internetoptionen  Verbindungen  LAN-Einstellungen (Einstellungen für lokales Netzwerk) die
Proxyeinstellungen vorgenommen. Hier müssen die Einstellungen wie im Screenshot getätigt
werden.
Google.Chrome
Google Chrome öffnen  Google Chrome anpassen (oben rechts)  Einstellungen  Erweiterte
Einstellungen anzeigen  Netzwerk: Proxy-Einstellungen ändern  Proxy-Einstellungen siehe
Screenshot Internet Explorer/Betriebssystem (oben)
Firefox
Firefox öffnen  Firefoxbutton (links oben) oder Extras  Einstellungen  Erweitert (rechts
oben)  unter Reiter Netzwerk  Verbindung: Einstellung wie im Screenshot
36