Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

15.10 Grenzen der SINUS Firewall-1

Beim momentanen Stand der Sicherheit besitzen viele Organisationen oder Unternehmen weder ein Sicherheitskonzept, noch besitzen diese irgendeinen Schutz auf der Basis der Paketüberwachung. Besonders kritisch wird es, wenn als Clients veraltete Programme im Einsatz sind (Netscape, Internet Explorer). Dasselbe betrifft veraltete Server im Netz, deren bekannte Sicherheitsprobleme nicht beseitigt wurden.

Die Firewall kann selbstverständlich auch keine Pakete überwachen, die nicht über die Firewall selber laufen, beispielsweise über einen Host mit eigenem Internet Anschluß.

Jede Firewall Software, egal ob sie mit kleinen Fehlern behaftet ist, wird die momentane Sicherheitssituation in einem Unternehmen gravierend verbessern können. Dasselbe trifft auch auf Bereiche innerhalb eines Unternehmens zu, z.B. zur Absicherung der unternehmensweiten Datenbanken oder einzelnen Abteilungen.

Die Schutzwirkung der SINUS Firewall

Es ist nun wirklich nicht so, daß eine Firewall gegen alle Angriffe schützen könnte. Wenn es aber jemandem gelingen sollte, die Firewall zu überwinden, so wird er sicherlich ziemlich viele Spuren in den Firewall Logfiles hinterlassen. Genau dies ist der Sinn und Zweck einer Überwachung mit einer Firewall. Es kommt also nicht darauf an, ob ein Angriff abgewehrt werden kann, sondern ob er schnell entdeckt wird.

Bekannte Sicherheitsprobleme

Ein Stateful Paket Filter (SPF), wie die SINUS Firewall kann zwar viele Angriffe abwehren, jedoch bietet sie keinen Schutz gegen "session hijacking", also der Übernahme einer bestehenden Verbindung eines Hosts aus dem Intranet zu einem Server im Internet durch einen Angreifer. Alle Pakete, die von einem Server aus dem Internet in das Intranet gesendet werden, könnten einen Inhalt besitzen, der eine Sicherheitslücke in einem Client ausnutzt.

Es gibt keinen Schutz, der gegen das Abhören von Paßworten bei der Administration der Firewall verhindert. Dieses Problem kann aber leicht durch den Einsatz von zusätzlicher Software beseitigt werden.

Die SINUS Firewall schützt Sie nicht vor Fehlern bei der Konfiguration. Eine Firewall kann nicht hellsehen, auch wenn einige Firewall - Hersteller behaupten, ihr Produkt könne es. Daher sollte man sich stets die gesamte Dokumentation durchlesen, und dann erst zur Tat schreiten. Im Falle eines Fehlers gibt es wirklich keine Rettung.

Copyright (c) der deutschen Version 1999 Guido Stepken

Original Copyright (c) 1996 Robert Muchsel, Roland Schmid.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING