Konzept eines Firewall Management Systems für - RWTH

FH AACHEN
University of Applied Sciences
Medizintechnik und Technomathematik
Scientific Programming
Seminararbeit
Konzept eines Firewall Management
Systems für verteilte Cisco Router
Nicolas Mogga
17. Dezember 2012
betreut durch
Prof. Dipl.-Inf. Ulrich Stegelmann
Dipl.-Inf. Thomas Böttcher
4
Inhaltsverzeichnis
1 Motivation
2 Firewall
2.1 Paketfilter . . . . . . . . . . . . . .
2.1.1 Funktionsprinzip . . . . . .
2.1.2 Transportprotokolle . . . . .
2.1.3 Zustandsorientiert . . . . .
2.1.4 Vor- und Nachteile . . . . .
2.2 Applikationsfilter . . . . . . . . . .
2.3 Regelung an der RWTH Aachen . .
2.4 Firewall auf Cisco-Routern . . . . .
2.4.1 Interne Strukturierung . . .
2.4.2 Access Listen . . . . . . . .
2.4.3 Management . . . . . . . . .
2.5 Internet Protocol Version 6 (IPv6) .
2.6 Grenzen einer Firewall . . . . . . .
6
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7
7
8
8
9
10
11
12
13
13
14
15
15
16
3 Datenbankstruktur
17
3.1 Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.2 Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4 Firewall Management System
20
4.1 Firewall Management an der RWTH Aachen . . . . . . . . . . . . . . . . 20
4.2 Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.3 Aufbau und Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
5 Zusammenfassung
22
5
Abbildungsverzeichnis
2.1
2.2
2.3
2.4
2.5
Einordnung des Paketfilters in das ISO/OSI-Schichtenmodell . . . . . . .
Zustandsorientierter Filterung von UDP-Paketen . . . . . . . . . . . . . .
Einordnung des Applikationsfilters in des ISO/OSI-Schichtenmodell . . .
Aufbau der Backbone-Router und Firewall an der RWTH Aachen . . . .
Access Liste des Interface Vlan933 für ankommende Datenpakete auf einem Cisco-Router an der RWTH Aachen . . . . . . . . . . . . . . . . . .
8
10
11
13
3.1
Datenbankkonzept erstellt mit MySQL Workbench . . . . . . . . . . . .
19
4.1
Netzdatenbank der RWTH Aachen . . . . . . . . . . . . . . . . . . . . .
21
14
6
1 Motivation
Diese Arbeit dient als Konzept zur Entwicklung eines Firewall Management Systems
für verteilte Cisco Router. Bisher erfolgt das Firewall Management an der RTWH Aachen fast ausschließlich manuell und muss an jedem Router einzeln und kann lediglich
von Administratoren des Rechen- und Kommunikationszentrums vorgenommen werden.
Ein Firewall Management Tool ermöglicht eine zentralisierte Steuerung verteilter Firewall Systeme. Vorteil eines solchen Tools ist die Einsparung von Ressourcen im Verwaltungsaufwand. Durch eine übersichtliche Benutzeroberfläche soll anwendungsfreundliches Arbeiten ermöglicht werden. Die zentralisierte Steuerung ermöglicht das Verteilen
von Benutzerrechten, sodass auch anderen Administratoren, zum Beispiel von Instituten,
eingeschränkten Zugriff auf das System erhalten können. In dieser Arbeit wird zunächst
das Funktionsprinzip einer Firewall, sowie deren Aufgaben erläutert. Dies bildet das
Basiswissen für das anschließend entwickelte Datenbankkonzept und das Firewall Management System.
7
2 Firewall
Eine Firewall regelt den Datenpaketfluss zwischen zwei durch die Firewall gekoppelte
Netzwerke. Sie leitet nur solche Datenpakete von einem Netzwerk in das Andere, welche
die vorher festgelegten Sicherheitsstrategien erfüllen. Meist bildet die Firewall eine erste
Abwehrlinie (first line of defense)1 zwischen einem zu schützendem Netzwerk, wie zum
Beispiel einem Firmennetzwerk, und dem öffentlichen Internet. In einer global vernetzen
Welt, sind Sicherheitskonzepte wie die Firewall von höchster Relevanz um unbefugten
Datenzugriff zu vermeiden.
Weiter Aufgaben einer Firewall können zum Beispiel auch Dokumentation, Network
Address Translation (NAT) oder Port Address Translation (PAT) umfassen. Die Dokumentation von abgewiesenen oder erlaubten Verbindungen kann entscheidend zur Erkennung von Sicherheitslücken beitragen. Durch Address Translation wird die Adressinformation von Datenpaketen automatisch ersetzt, wodurch IP-Adressen eines Netzwerkes
verborgen werden und zu dessen Sicherheit beitragen können.2
2.1 Paketfilter
Mit dem Paketfilter kann ein Sicherheitskonzept realisiert werden, welches auf der dritten
beziehungsweise vierten Schicht des ISO/OSI-Schichtenmodells greift. Wie in Abbildung
2.1 verdeutlicht, handelt es sich hierbei um die Transport- sowie die Netzwerkschicht,
also um IP-Adressen, Transportprotokolle und damit verbundene Portnummern.3 Der
Paketfilter leitet Datenpakete anhand festgesetzter Regelsätze weiter oder verwirft sie.
Auf diese Weise wird der Datenpaketfluss zwischen zwei Netzwerken gefiltert.
1
Eckert, IT-Sicherheit, S. 705.
Wikipedia, Network Address Translation — Wikipedia“.
”
3
Wikipedia, OSI-Modell — Wikipedia“.
”
4
Eckert, IT-Sicherheit, S. 710.
2
2 Firewall
8
Abbildung 2.1: Einordnung des Paketfilters in das ISO/OSI-Schichtenmodell4
2.1.1 Funktionsprinzip
Das Funktionsprinzip eines Paketfilters lässt sich am anschaulichsten auf der dritten
Schicht des ISO/OSI-Schichtenmodells zeigen. Eine Filterung erfolgt hier über Regelsätze,
welche nur IP-Adressen des Absenders und Empfängers berücksichtigen. Eine entsprechende Regel könnte also lauten: Verbiete Netz 192.168.0.0/16 zu Adresse 134.130.1.150.
In dem Beispiel verbietet die Firewall IP-Adressen von 192.168.0.0 bis 192.168.255.255,
wie sie in Heimnetzwerken vorkommen, das Senden von Datenpaketen an die Adresse
134.130.1.150. IP-Adressen aus dem Netz 192.168.0.0/16, werden im Internet nicht geroutet und kommen nur in Local Area Networks (LANs), also in lokalen eher kleinen
Netzwerken vor.5 Es könnte also sinnvoll sein eine Regel wie im Beispiel zu erstellen, da
ein Datenpaket mit einer solchen privaten Sendeadresse im Normalfall nicht vorkommen
sollte und einen versuchten Angriff bedeuten könnte. Üblicherweise werden Filterregeln
nach einer vorgegebenen Reihenfolge abgearbeitet und sobald eine Regel für das Paket
zutrifft, diese angewendet und alle nachfolgenden Regeln verworfen. Dies hat zur Folge,
dass Regeln hierarchischen angeordnet sein müssen. Die letzte Regel sollte alle Pakete
verbieten und mit den vorherigen Regeln jeweils Ausnahmen hinzugefügt werden. So ist
gewährleistet, dass nur Pakete von autorisierten IP-Adressen weitergeleitet werden.
2.1.2 Transportprotokolle
In der Regel wird die Filterung von Datenpaketen aber nicht nur mit IP-Adressen vorgenommen, sondern auch auf der vierten Schicht des ISO/OSI-Schichtenmodells. Das
5
Wikipedia, IP-Adresse — Wikipedia“.
”
2 Firewall
9
bedeutet das nicht nur IP-Adressen als Filterindikator verwendet werden, sondern auch
die Transportprotokolle wie beispielsweise das Transmission Control Protocol (TCP)
oder User Datagram Protocol (UDP). Die Betrachtung dieser Protokolle ermöglicht eine
genauere Filterung der Datenpakete. Die Regelsätze eines solchen Paketfilters enthalten
also außer der IP-Adresse auch noch das Protkoll und die zugehörigen Portnummern.
Die Portnummer kann eine Zahl zwischen 0 und 65535 sein und wird der IP-Adresse
mit einem Doppelpunkt angehängt, um diese weiter zu spezifizieren. Auf diese Weise
lässt sich ein Dienst auf einem Server direkt ansprechen. So läuft zum Beispiel auf einem Webserver der Dienst, welcher die Webseite zur Verfügung stellt, standardmäßig
auf Port 80. Soll also ein Paketfilter Datenpakete zu einem Webserver weiterleiten, muss
nur der Port 80 und das Protokoll TCP mit der entsprechenden IP-Adresse freigegeben
werden. Dies entspricht dem Standard des Hypertext Transfer Protocol (HTTP), welches für das Aufrufen von Internetseiten genutzt wird. Durch diese weitere Spezifizierung
können Datenpaket sehr viel genauer gefiltert werden.
2.1.3 Zustandsorientiert
Ein zustandsorientierter Paketfilter kann zusätzlich zu statischen Regelsätzen noch dynamische, zeitlich begrenzte Regel erstellen, falls dies nötig ist. Dies ist besonders bei
zu schützenden Netzwerken sinnvoll. So kann zum Beispiel ein dynamischer Paketfilter,
welcher ein Firmennetz schützen soll, so eingestellt werden, dass er zunächst alle Verbindungen von außen in das Firmennetz abblockt. Bei einem statischen Regelsatz hätte
dies zur Folge, dass beim Aufruf einer Webseite aus dem Firmennetz, der Inhalt vom
Webserver nicht zurückgeschickt werden kann. Der zustandsorientierte Paketfilter hält
jedoch den Zustand einer Verbindung nach und erstellt eine dynamische, zeitlich begrenzte Regel um die Antwortdatenpakete dennoch weiterzuleiten. So ist gewährleistet,
dass nur erwartete Datenpakete von außen in das Firmennetzwerk gelangen können. Die
Abbildung 2.2 zeigt die zustandsorientierte Datenpaketfilterung am Beispiel des User
Datagram Protocol (UDP).
Die dynamische Erstellung von Regeln erhöht zwar die Sicherheit, bedeutet aber auch
enormen Mehraufwand für die Hardware. Denial of Service (DoS) Attacken sind Angriffe,
bei denen gezielt eine Flut von Datenpaketen zu einem Netzwerk gesendet wird, sodass
die Firewall diese nicht mehr bearbeiten kann und dadurch die Verbindung zu dem
Netzwerk nicht mehr möglich ist. Aufgrund des erhöhten Aufwands durch das Speichern
der Zustandsinformationen sind dynamische Paketfilter sehr viel anfälliger für solche
2 Firewall
10
Angriffe als statische Paketfilter.6
Abbildung 2.2: Zustandsorientierter Filterung von UDP-Paketen7
2.1.4 Vor- und Nachteile
Der Paketfilter ist aufgrund seiner einfachen Funktionsweise schnell und effizient. Er ist
preiswert zu implementieren und deshalb in fast jedem Router integriert. Die Filterung
baut nur auf Basis von Datenpaket beschreibenden Parametern auf und nicht auf dem
eigentlichen Inhalt eines Paketes. Dadurch können Angreifer zum Beispiel ein Datenpaket abfangen und dessen Inhalt ändern. Protokoll, IP-Adresse und Portnummmern
6
7
Eckert, IT-Sicherheit, S. 722.
Eckert, IT-Sicherheit, S. 716.
2 Firewall
11
bleiben dabei unverändert. Ein solch schädliches Paket wird von einem Paketfilter nicht
erkannt. Außerdem ist die vollständige und korrekte Ausarbeitung von Regelsätzen sehr
aufwändige und führt schnell zu großen und unübersichtlichen Regelstrukturen.
2.2 Applikationsfilter
Der Applikationsfilter ist eine zustandsorientierte Firewall, welche auf den oberen Schichten fünf bis sieben des ISO/OSI-Schichtenmodells angesiedelt ist. Es handelt sich um die
anwendungsorientierten Schichten, in die Dienste und Applikationen einzuordnen sind,
welche auf einem System zur Verfügung gestellt werden können. Das bedeutet, dass der
Applikationsfilter eine dienstspezifische Kontrollinstanz darstellt und speziell auf die Filterung von Diensten ausgelegt ist. So kann er den Inhalt von Datenpaketen untersuchen
und feststellen ob dessen Inhalt dem erwarteten Muster entspricht. Auf diese Weise kann
auch nach speziellen Schlüsselworten in einem Datenpaket gesucht werden, welche für
den untersuchten Dienst spezifisch sind. Ein Datenpaket, welches an einen File Transfer
Protocol (FTP) Server gesendet wird, könnte also nur dann weitergeleitet werden, wenn
es keine Schlüsselwörter für Schreib- oder Löschvorgänge enthält. Ein weitere Aufgabe
Abbildung 2.3: Einordnung des Applikationsfilters in des ISO/OSI-Schichtenmodell8
8
Alexander, Netzwerke und Netzwerksicherheit, S. 303.
2 Firewall
12
eines Applikationsfilters könnte sein, bestimmte Inhalte aus Paketen zu entfernen. So
könnten zum Beispiel Java Applets auf Internetseiten gefiltert werden, sodass die Seite
zwar angezeigt wird, jedoch ohne das Applet.9
Aufgrund der aufwendigen Filterung von Datenpaketen durch einen Applikationsfilter, benötigt dieser eine potente Hardware. Eine zu hohe Last kann zum Crash der
Firewall führen, was den komplett Ausfall eines Netzwerkes zur Folge haben kann. Der
Applikationsfilter wird meist in Verbindung mit einem Paketfilter verwendet, um durch
dessen Vorfilterung Hardwareressourcen einzusparen. Außerdem kann so die Anfälligkeit
gegenüber Denial of Service (DoS) Attacken reduziert werden.
2.3 Regelung an der RWTH Aachen
An der RWTH Aachen werden als Router fast ausschließlich Fabrikate der Firma Cisco verwendet. Auf diesen Routern ist bereits eine Paketfilterfunktion vorhanden. Jedes
Institut ist mit einem solchen Router verbunden und wird auf diesem durch ein eigenständiges Virtual Local Area Network (VLAN) von den anderen getrennt. Jedes dieser VLANs kann mit eigenen, voneinander unabhängigen Regelsätzen ausgestattet und
somit individuell vom RWTH Gesamtnetzwerk abgegrenzt werden. Da die RWTH Aachen zahlreiche Router besitzt, ist es notwendig diese über weitere Router miteinander zu
verbinden. Netzwerke die ausschließliche Router enthalten aber keine Clients oder Server,
nennt man Transportnetzwerke. Diese übergeordneten Router sind auf Abbildung 2.4 als
blaue, flache Zylinder dargestellt und es ist zu erkennen, dass sie mit zwei weiteren Routern verbunden sind, die als Backbone-Router bezeichnet werden. Die Backbone-Router
sind Identisch aufgebaut und bilden ein redundantes System um Ausfallsicherheit zu
gewährleisten. Durch diesen Aufbau entsteht eine sternförmig hierarchische Anordnung
der Router im Gesamtnetzwerk der RWTH Aachen. Die Backbone-Router sind jeweils
direkt über zwei ebenfalls redundante Leitungen mit dem deutschen Forschungsnetz
(DFN) verbunden. Jede dieser Leitungen wird wiederum von einer Firewall geschützt,
wie ebenfalls auf Abbildung 2.4 zu erkennen ist.
9
Eckert, IT-Sicherheit, S. 727ff.
2 Firewall
13
Abbildung 2.4: Aufbau der Backbone-Router und Firewall an der RWTH Aachen
2.4 Firewall auf Cisco-Routern
Die an der RWTH Aachen eingesetzten Cisco-Router sind einfache Layer-3-Switche, die
Aufgaben von Routern und Switchen kombinieren. Jeder dieser Router besitzt einen
integrierten Paketfilter, der Zustandslos ist und auf der vierten Schicht des ISO/OSISchichtenmodells arbeitet.
2.4.1 Interne Strukturierung
Je nach Größe des Routers gibt es eine Vielzahl von physikalischen Interfaces, eines für
jeden Steckplatz für Netzwerkkabel. Eine Menge physikalischer Interfaces kann zu einem
virtuellen Interface zusammengefasst werden. Dadurch entsteht ein Virtual Local Area
Network (VLAN). Ein physikalisches Interface kann auch zu mehr als einem virtuellen
Interface angehören. Auf jedem Router sind Routen in dafür vorgesehene Routing Tabellen abgespeichert. Die Routen enthalten die Information, in welches an den Router
angeschlossen Netzwerk, also an welches Interface des Routers, ein Datenpaket mit einer
bestimmten Empfängeradresse weitergeleitet werden soll. Ein Interface kann zwei Access
Listen besitzen, eine für ankommende und eine für ausgehende Datenpakete. Access Listen enthalten die Regelsätze für den Paketfilter. Kommt ein Datenpaket von außerhalb
2 Firewall
14
des Routers an einem Interface an, durchläuft der Paketfilter die Regelsätze der Access
Liste für ankommende Pakete dieses bestimmten Interfaces. Wird das Datenpaket nicht
verworfen, wird es, entsprechend der Routing Tabelle, intern auf ein anderes Interface
geroutet und dort nochmals vom Paketfilter überprüft. Diesmal nach den Regelsätzen
der Access Liste für ausgehende Pakete des anderen Interfaces.
2.4.2 Access Listen
Als Access Liste wird auf einem Cisco-Router die tabellarische Auflistung von Firewall Regeln bezeichnet. Diese Listen enthalten einen kompletten Regelsatz für den auf
den Routern enthaltenen Paketfilter. Eine Regel folgt in etwa dem folgendem Schema:
Zunächst wird durch die Schlüsselworte permit (genehmigen) oder deny (ablehnen) die
Art der Regel festgelegt. Danach muss das Transportprotokoll angegeben werden. Ist
hier ip eingetragen, werden alle Protokoll berücksichtigt. Es folgen die Angaben über
IP-Adressen und gegebenenfalls Portnummern von Absender und Empfänger. Die IPAdressen können entweder mit dem vorangestelltem Wort host als eine bestimmte IPAdresse oder mit nachgestellter invertierter Subnetzmaske als Netzwerk definiert sein.
Das Wort any schließt alle existierenden IP-Adressen ein. Protnummern lassen sich ent-
Abbildung 2.5: Access Liste des Interface Vlan933 für ankommende Datenpakete auf
einem Cisco-Router an der RWTH Aachen
2 Firewall
15
weder mit den Schlüsselworten eq (Abkürzung für equal (gleich)) oder range (Bereich)
definieren. Ein Bereich wird durch zwei aufeinander folgende Portnummern beschrieben,
wobei die erste Nummer den Anfang und die zweite Nummer das Ende des Bereichs markiert. Wird keine Portnummer angegeben wird die Regel auf alle Nummern angewendet.
Ein vollständiger Regelsatz einer Access Liste ist in Abbildung 2.5 aufgeführt. Je nach
Softwareversion des Cisco-Routers können leichte unterscheide in der Syntax von Access
Listen auftreten. Regelsätze werden chronologisch von oben nach unten abgearbeitet und
die Regeln nacheinander angewendet. Trifft eine Regel auf das vorliegende Datenpaket
zu, werden die weiteren Regeln nicht mehr beachtet. Wie in Abbildung 2.5 zu erkennen
ist, blockt die letzte Regel alle Datenpakete, falls diese nicht vorher explizit durch eine
andere Regel erlaubt wurden. Durch den Befehl log-input hinter der eigentlichen Regel
werden alle Datenpakete, die auf diese Weise geblockt werden dokumentiert.
2.4.3 Management
Es gibt zwei Möglichkeiten einen Cisco-Router zu konfigurieren, eine Webschnittstelle
oder über eine Konsole. Das Webinterface ist sehr träge und verbraucht viele Ressourcen,
weshalb an der RWTH Aachen ausschließlich über Konsole gearbeitet wird. Ähnlich eines
Linux Betriebssystems kann hier über bestimmte Kommandozeilenbefehle der Router
vollständig konfiguriert werden.
2.5 Internet Protocol Version 6 (IPv6)
Durch die immer größere Knappheit von IPv4-Adressen, setzt sich dessen Weiterentwicklung IPv6 in Netzwerken immer mehr durch. IPv6 bietet circa 3,4 · 1038 Adressen
und löst das Problem der Knappheit von IPv4, welche nur 4.294.967.296 Adressen umfasst.10 Jedoch entstehen auch Nachteile durch die Einführung von IPv6. Die größeren
Adressen benötigen deutlich mehr Speicherplatz. Außerdem ist es üblich, dass während
des nur sehr langsam fortschreitenden Umstellungsprozess, Netzwerkinstanzen sowohl
eine IPv4- als auch eine IPv6-Adresse besitzen. Firewall-Regeln müssen also für beide
IP-Typen angelegt werden. Dies führt zu doppeltem Verwaltungsaufwand.
10
Wikipedia, IP-Adresse — Wikipedia“.
”
2 Firewall
16
2.6 Grenzen einer Firewall
Trotz aller Möglichkeiten, die Firewallsysteme zur Filterung von Datenpaketen bieten,
können sie dennoch keinen vollständigen Schutz eines Netzwerkes vor Angriffen von
außerhalb gewährleisten. Zwar können weitere Verbesserungen der Sicherheit durch Benutzerauthentifizierung und verschlüsselten Verbindungsaufbau erzielt werden, jedoch
ist ein vollständiger Schutz aus technischer Sicht nur durch vollständige Isolierung des
zu schützenden Netzwerkes möglich.
17
3 Datenbankstruktur
Die Verwaltung von Firewall-Regelsätzen ist an einer Institution wie der RWTH Aachen
sehr umfangreich und aufwändig. Die Regeln sind auf vielen verschiedenen Endgeräten
verteilt und müssen, damit ein Gesamtüberblick geschaffen werden kann, an einem zentralen Punkt gespeichert werden. Die einfachste Form der Speicherung ist, die einzelnen
Access Listen in Form von Textdokumenten zentral zu sammeln. Genau dieses Verfahren findet zurzeit Verwendung an der RWTH Aachen. Viele verschiedene Textdokumente
können zwar manuell einfach verwaltet werden, sind aber für die automatisierte, maschinelle Verwaltung nur bedingt einsetzbar. Hier kann ein Datenbanksystem effizientere Ergebnisse erzielen. Datenbanksysteme sind speziell für schnellen Datenzugriff optimiert,
bieten Datenintegrität und Sicherheit vor Race Conditions bei parallelen zugriffen.1
3.1 Anforderungen
Das Konzept der Datenbank soll die gesamte hierarchische Struktur im Inneren eines
Cisco-Routers abdecken. So sollen alle relevanten Informationen des Routers abgespeichert werden können. Dazu gehören dessen Routen, Interfaces und Access Listen sowie
die einzelnen Regeln des Paketfilters. Auf diese Weise kann eine Anwendung, welche
die Datenbank benutzt, auf viele Informationen zurückgreifen und so vielseitig gestaltet werden. Die Datenbankstruktur soll außerdem in der Lage sein IPv6-Adressen zu
speichern.
3.2 Konzept
Abbildung 3.1 zeigt eine mögliche Datenbankstruktur, welche die oben genannten Anforderungen erfüllt. Die Tabelle router soll alle Router der RWTH Aachen enthalten. In
der Tabelle routen sollen wiederum die Routen eines bestimmten Routers gespeichert
1
Wikipedia, Datenbank — Wikipedia“.
”
3 Datenbankstruktur
18
werden. Eine Route enthält die Informationen, an welche Gatewayadresse ein Datenpaket mit einer bestimmten Netzwerkadresse geroutet werden soll. Sie enthält somit
zwei Adressen beziehungsweise Adressbereiche, welche in einer gesonderten Tabelle ip
gespeichert werden. Auf diese Weise kann eine Adresse mehrfach genutzt, muss aber nur
einmal gespeichert werden. Eine Route zeigt immer auf ein Interface. Ein Interface soll
durch Namen und Beschreibung identifiziert werden können und kann bis zu zwei Access Listen besitzen. Eine Access Liste besitzt beliebig viele Regeln welche in der Tabelle
rules gespeichert werden. Genauso können bestimmte Regeln in mehreren Access Listen
enthalten sein. Aus diesem Grund wird eine Verknüpfungstabelle benötigt, in der die
Beziehungen aufgelistet sind. Eine Regel kann ein oder zwei Adressen beziehungsweise
Adressbereiche enthalten, welche erneut, um ein mehrfaches Speichern zu vermeiden,
in die Tabelle ip ausgelagert werden. Die letzte Tabelle enthält die Services, das bedeutet Protokolle und Portnummern von bestimmten Diensten, wie zum Beispiel für
das Hypertext Transfer Protocol (HTTP), das Transportprotokoll Transmission Control
Protocol (TCP) und die Portnummer 80. Diese Services sind teilweise allgemein gültig
und können in einer Vielzahl von Regeln enthalten sein.
3 Datenbankstruktur
Abbildung 3.1: Datenbankkonzept erstellt mit MySQL Workbench
19
20
4 Firewall Management System
Ein Firewall Management System bietet die Möglichkeit, an einer zentralen Stelle alle Firewall Regelsätze einsehen und bearbeiten zu können. Es ermöglicht eine übersichtliche,
grafische Darstellung und erleichtert so die Verwaltung der Firewalls auf verteilten Cisco
Routern.
4.1 Firewall Management an der RWTH Aachen
Das Management der Firewalls wird an der RWTH Aachen über Textdokumente und
Konsolen-Skripte realisiert. Ein Skript wird aufgerufen, welches die Access Listen eines
Routers herunterlädt und in entsprechend benannte Textdateien speichert. Die Dateien
können nun verändert und wieder auf den entsprechenden Router hochgeladen werden.
4.2 Anforderungen
Das Firewall Management System soll als Webseite implementiert werden, um ohne Installation im gesamten Netzwerk der RWTH Aachen erreichbar zu sein. Die Anzeige von
Regelsätzen soll Benutzer spezifisch über ein Login erfolgen. Auf diese Weise können
zum Beispiel Administratoren von bestimmten Instituten Informationen über das entsprechende Institutsnetzwerk einsehen, ohne die Daten anderer Netzwerke einsehen zu
können. Das Erstellen und Bearbeiten von Regeln soll ebenfalls nur mit entsprechenden Rechten möglich sein. Sind diese nicht vorhanden soll die Möglichkeit bestehen ein
Ticket für eine Regeländerung zu erstellen. Dieses Ticket kann von einem mit Rechten
ausgestatteten Administrator bearbeitet werden. Alle Informationen über die einzelnen
Router sollen je nach Bedarf angezeigt und gesucht werden können, um eine bessere
Übersicht zu wahren. Technisch soll das System in der Lage sein, alle benötigten Informationen eines Routers herunterzuladen, diese in einer Datenbank zu speichern, zu
bearbeiten und wieder auf den Router hochzuladen. Regeln sollen Netzwerk spezifisch
4 Firewall Management System
21
angelegt oder bearbeitet werden und das System automatisch erkennen, zu welcher Access Liste, auf welchem Interface, die Regel gehört.
4.3 Aufbau und Struktur
Auf Abbildung 4.1 ist die Netzdatenbank der RWTH Aachen zu erkennen. In ihr sind alle
Netzwerke, Institute und deren Ansprechpartner gespeichert. Die Netzdatenbank kann
also zur Realisierung einer Benutzerverwaltung genutzt werden, da sie eine Zuordnung
von Ansprechpartnern und deren entsprechenden Netzwerken ermöglicht. Außerdem sollen ihr strukturierter und übersichtlicher Aufbau, sowie ihr Aussehen als Vorlage dienen.
Abbildung 4.1: Netzdatenbank der RWTH Aachen
22
5 Zusammenfassung
Eine Firewall ist ein grundlegender Bestandteil für das Sicherheitskonzept eines Netzwerkes, indem sie den Paketfluss zwischen zwei Netzwerken kontrolliert. Das entwickelte
Firewall Management System ermöglicht ein zentralisiertes und komfortables Verwalten von Firewall-Regelsätzen auf verteilten Cisco Routern, sowie eine Benutzerkonten
gesteuertes Zugriffssystem. Für die Realisierung benötigt das Management System eine umfangreiche Datenbankstruktur. In der Datenbank können alle für das Firewalling
relevanten Informationen eines Cisco Routers gespeichert werden.
23
Literatur
[1] Dr. Michael Alexander. Netzwerke und Netzwerksicherheit Das Lehrbuch. Hüthig
Telekommunikation/Heidelberg GmbH, 2006.
[2] Prof. Dr. Claudia Eckert. IT-Sicherheit Konzept-Verfahren-Protokolle. Oldenburg
Wissenschaftsverlag GmbH, 2012.
[3] Eduard Mantl. Holistische IT-Security: Rechtliche Tipps für Österreich und Deutschland. Eduard Mantl, 2007.
[4] Wikipedia. Datenbank — Wikipedia, Die freie Enzyklopädie“. In: (2012). [Online;
”
Stand 15. Dezember 2012]. url: http://de.wikipedia.org/w/index.php?title=
Datenbank&oldid=111231639.
[5] Wikipedia. IP-Adresse — Wikipedia, Die freie Enzyklopädie“. In: (2012). [Online;
”
Stand 13. Dezember 2012]. url: http://de.wikipedia.org/w/index.php?title=
IP-Adresse&oldid=111165690.
[6] Wikipedia. Network Address Translation — Wikipedia, Die freie Enzyklopädie“.
”
In: (2012). [Online; Stand 13. Dezember 2012]. url: http://de.wikipedia.org/
w/index.php?title=Network_Address_Translation&oldid=109993552.
[7] Wikipedia. OSI-Modell — Wikipedia, Die freie Enzyklopädie“. In: (2012). [Online;
”
Stand 12. Dezember 2012]. url: http://de.wikipedia.org/w/index.php?title=
OSI-Modell&oldid=111505410.
[8] Harald Zisler. Computer-Netzwerke Grundlagen, Funktionweise, Anwendung. Galileo Computing, 2012.