Portbeschränkung unter Windows 2000 Server via IPSec
| Stärken & Schwächen von IPSec |
Seite 1 2 3 4 5 6 7 8 |
Bevor wir mit dem Tutorial beginnen, möchte ich Ihnen noch kurz eine kleine Gegenüberstellung der Unterschiede zwischen einer Software-Firewall, einer Hardware-Firewall und IPSec in Bezug auf die jeweiligen Stärken und Schwächen anbieten.
Themen:
• Vorteile/Nachteile Software-Firewall
• Vorteile/Nachteile Hardware-Firewall
• Vorteile/Nachteile IPSec
• Fazit
Vor- & Nachteile einer Software-Firewall
Software-Firewalls sind Programme, die, wie bereits erwähnt, auf Grundlage unterschiedlicher Filteroptionen "Angriffe" von außen sowie "Aktionen" von innen heraus blockieren oder zulassen. Meist wird dem Nutzer eine dramatisierte Meldung angezeigt, aufgrund welcher er sich dann entscheiden muss, ob er den vermeintlichen "Angriff" bzw. die "Aktion" zulässt oder nicht. Oftmals ist ein simpler "ping-Befehl" ausreichen und man hat das Gefühl, alle Cracker dieser Welt würden sich gegen einen verschwören.
Bei den Software-Firewalls muss man jedoch zwischen "Personal Firewall" (für den Privatanwender) und Unternehmenslösungen unterscheiden.
Sehr beliebte Personal-Firewalls sind beispielsweise Norton Personal Firewall, McAfee Personal Firewall Plus oder Kerio Personal Firewall.
Business-Software-Firewalls erhalten Sie z.B. von Sygate, Symantec und Kerio. Den Unterschied (bis auf den Preis, die Optik und den Umstand dass Personal-Firewalls sich nicht auf Windows Server installieren lassen) konnte ich jedoch bis dato noch nicht erkennen. "Alles können", versprechen Sie alle und sicher sollen sie auch alle sein ;-)
Ungeschlagen sind sie jedoch im Preis. So kosten Personal-Firewalls meist zwischen 50,- und 100,- Euro. Business-Software-Firewalls erhalten Sie bereits ab ca. 300,- Euro.
Ungeachtet meiner eher negativen Schreibweise sollte man allerdings bedenken, dass GAR KEINE Firewall immer noch die schlechtere Alternative ist. So ist eine Software-Firewall zunächst einmal ein guter Schritt in die richtige Richtung. Jedoch sollte man, sofern man die Möglichkeit besitzt, von Software-Firewalls absehen und eher auf einer Hardware-Firewall aufbauen.
Die Gründe hierfür möchte ich nur kurz anschneiden - eine sehr gute Darstellung finden Sie in einem Dokument zum Thema Sicherheit, geschrieben von Urs Traenkner von der TU Ilmenau.
| • |
Beinahe alle Schwachstellen basieren auf Software-Fehlern. Da eine Software-Firewall,
wie der Name bereits verrät, selbst eine Software ist, bietet auch diese eine Angriffsfläche. |
| • |
Ein einmalig, über sonstige Wege (CDs, Disketten, E-Mails), eingeschleuster, bösartiger Virus kann
den Dienst einfach deaktivieren, oder, noch schlimmer, ihn manipulieren und eine neue Lücke öffnen. |
| • |
Reißerische Meldungen der Firewall ("hack attack auf Port xy blocked") selbst
bei simplen "ping-Befehlen" -> welcher Sinn steckt dahinter? |
| • |
Software-Firewalls bauen auf Paketfilterung auf -> dies lässt sich auch mit Windows selbst
steuern, ohne dabei teils performancelastige Software-Firewalls installieren zu müssen |
| • |
Eine Firewall ist nicht nur ein Stück Hard- oder Software. Eine Firewall ist Bestandteil eines
Sicherheitskonzepts - zu diesem zählt auch die Absicherung des Web-, Mail- und SQL-Servers
(sofern vorhanden) sowie der Schutz des gesamten E-Mailverkehrs und viele weitere Funktionen im
Netzwerk. |
Vor- & Nachteile einer Hardware-Firewall
Eine Hardware-Firewall ist entweder ein separater Rechner mit installierter Software-Firewall oder ein eigenständiger "Kasten" (oftmals bereits im Router integriert). Klarer Vorteil dieser Lösung - eine einzige Firewall ist ausreichend, um ein komplettes Netzwerk zu schützen. Sie müssen hierbei nicht jeden Rechner einzeln konfigurieren und absichern, sondern nur die Hardware- Firewall selbst. Zudem ist diese Lösung unabhängig von den eingesetzten Betriebssystemen auf den Desktop-Rechnern.
Sehr gute Hardware-Firewalls erhalten Sie beispielsweise bei Cisco. Weitere Anbieter finden Sie bei vnu.net im Testbericht "Das leisten Hardware-Firewalls".
Wie fast alles auf der Welt hat allerdings auch diese Lösung ihre Nachteile: Hardware-Firewalls sind teuer und lassen sich meist nur von Profis korrekt konfigurieren (korrekt = sicher). Bei wirklich guten Hardware-Firewalls müssen Sie mit einem Preis ca. 1.500 bis 6.000 Euro rechnen.
Wenn Ihnen dieses Budget nicht zur Verfügung steht, Sie einen Co-Located oder Dedicated-Webserver verwenden, oder aber wenn Sie wie ich Schwabe sind, sollten Sie Ihr Hauptaugenmerk auf IPSec werfen :-)
Vor- & Nachteile von IPSec
Der damals wichtigste Grund für meine Entscheidung zugunsten IPSec und gegen Software- und Hardware-Firewalls war der Kosten/Nutzen-Vergleich. Zieht man in Betracht, dass man mit der bereits in Windows integrierten Funktion "Firewall-ähnliche" Möglichkeiten besitzt und hierfür keine hunderte oder gar tausende Euro zahlen muss, so spricht dies doch deutlich FÜR IPSec.
Was IPSec jedoch NICHT kann:
• Anfragen protokollieren
• Benachrichtigung
• Virenschutz
• Contentfilter
IPSec dient einzig und allein der Paketfilterung - sprich: der Filterung des Datenverkehrs nach eingestellten IP- und Port-Regeln.
Weitere Schwachstellen sind Broadcast-, Multicast-Verkehr, RSVP, ISAKMP sowie Keberos. Dieser Netzwerkverkehr kann unter Windows 2000 laut einer Dokumentation der Uni Stuttgart nicht gefiltert werden (siehe "Microsoft IPSec als Paketfilter einsetzen"). Unter Windows 2003 .NET Server ist dies nun allerdings möglich.
Fazit
Wie bereits erwähnt richtet sich diese Dokumentation vor allem an kleine bis mittelständische Unternehmen mit einem Co-Located oder Dedicated-Server, die mit geringem Aufwand und ohne jegliche Kosten ihren Server um einiges sicherer machen möchten. Für diesen Zweck empfehle ich Ihnen den Einsatz von IPSec.
Unternehmen mit hochsensiblen Daten, vielen Feinden (kleiner Scherz ;-) und mit einem ausreichenden IT-Budget sollten sich allerdings auf jeden Fall ein vollständiges Firewall-Konzept von IT-Profis anschaffen.
Privatanwender mit eher geringem technischen Know-how sollten eher mit einer Software-Firewall liebäugeln - für technisch versiertere Privatanwender könnte allerdings auch IPSec interessant sein.
Lesen Sie weiter - und entscheiden Sie selbst.
|
|
