Janaserver Kongress 2002

Viele von euch werden sich sicherlich fragen, ob es zu Beginn eines Vortrages, der auf eine Zielgruppe ausgerichtet ist, die man durchaus als "erfahren, " im Bezug auf das Internet bezeichen kann, also einer Personengruppe, die sich in ihrem Wissensatand schon etwas vom "Normal-PC-Benutzer" abhebt, wirklich notwendig ist, noch einmal ganz von vorne anzufangen, und die fundamentalen Grundlagen zu Firewalls und Sicherheit noch einmal zu wiederholen. Nun, ich denke schon, dass dies sinnvoll ist, auch wenn es in dem hier gegebenen Rahmen, vor allem der Zeit wegen, nur sehr kurz und knapp erfolgen kann. Und zwar aus folgenden Gründen:

0.1 Warum benötige ich Sicherheit?

0.1.0 Der Begriff der Sicherheit:

Auch wenn dies zuerst einmal seltsam erscheinen mag, eine klare Definition von Sicherheit gibt es leider nicht. Sicherheit ist einer der vielschichtigsten, aber auch wiedersprüchlichsten Begriffe, mit denen wir im Alltag konfrontiert werden. Jeder von uns gebraucht ihn oft mehrmals am Tag, aber was verbirgt sich wirklich dahinter?

Das paradoxe am Begriff "Sicherheit" liegt vorallem darin, dass er zum einen den ganz realen , "messbaren" Schutz beschreibt, den wir erlangen, wenn wir schützende technische Einrichtungen verwenden, auf den Computer bezogen z.B. Programme wie Virenscanner, Firewalls usw., deren Funktionsumfang und Qualität wir in einem gewissen Maße überprüfen und testen können, indem wir gewisse Bedrohungen simulieren und nachempfinden, beispielsweise mit Hile eines EICAR-Testvirus. Dieses messbare Sicherheitsniveau stellt dann schon einen Wert dar, um es in einem Bild zu verdeutlichen: Es ist wie bei einem Tresor, bei dem man die Dicke der Stahlwände mit einem Zollstock nachmessen kann.

Leider ist "Sicherheit" aber auch ein subjektiver Begriff. D.h., die Definition von Sicherheit ist bei jedem Menschen eine andere. Das Sicherheitsgefühl ist vor allem von den persönlichen Bedürfnissen, dem Bedarf an Sicherheit, der bei jedem Menschen unterschiedlich ist, aber auch von der Fähigkeit des einzelen abhängig, die Tragweite einer Situation einzuschätzen, kurz gesagt "Sicherheitslücken" erkennen zu können. Somit interpretiert jeder Mensch, je nach seinem Wissensstand, seinem persönlichen Charakter ( ängstlich, aber evtl. auch risikofreudig oder gleichgültig diesem Thema gegenüber), durchaus reale Bedrohungen ganz anders. Was sind mögliche Konsequenzen daraus?

Zum einen gibt es da den Heimanwender, der den Aussagen einer grossen Softwarefirma Glauben schenkt, "alles sei ja ganz risikolos und vorallem viel bequemer", wenn er sein Banking über das Internet abwickelt, der sich noch nie Gedanken über eine Firewall gemacht hat, Emails immer sofort ohne jede Vorsicht öffnet, dies alles ohne ein schlechtes Ge"Wissen", einen Hauch von Zweifel oder Angst.

Zum anderen der Netzwerkadministrator, der mit ganzer Energie jede ihm mögliche Maßnahme zur Absicherung des Firmen-Netzwerkes ausschöpft, ständig neue Sicherheitsprogramme austestet und installiert, um immer auf dem neusten Stand zu sein, und jede neue Virenwarnung der grossen Sicherheits-Institutionen mit einem Anflug von Panik in der Firma verbreitet und mahnend die Hand erhebt, seine Kollegen anflehend, doch bitte vorsichtig zu sein. Der sich ständig und immer wieder gewissenhaft fragt, ob er wirklich alles getan hat, für seine "Schäfchen", die Firmenrechner, und vorallem die "unwissenden" Mitarbeiter, die diese benutzen zu schützen.

Der Heimanwender wird früher oder später seine Lektion lernen, und feststellen, dass doch nicht alles so einfach und vor allem sicher ist, wie man es ihm gesagt hatte. Niemand hat ihm je gesagt, dass es gewisse "messbare" Sicherheitsstandarts gibt, die er immer massiv unterschritten hat. Man hat ihm aus kommerziellen Interessen eher das Gegenteil vermittelt, er hat dies aus Bequemlichkeit und Leichtgläubigkeit geglaubt. Er wird evtl. in seinem Vertrauen stark erschüttert, und vielleicht sogar aufgrund dieser negativen Erfahrungen der Nutzung des PC ganz abschwören.

Der Administrator hingegen muss sich zum Vorwurf machen lassen, dass er zwar alles ihm mögliche getan hat, um ein gewisses Maß an Sicherheit herzustellen, darüber hinaus hat er aber durch sein übervorsichtiges Auftreten die Kollegen in seiner Firma verunsichert und evtl. unnötig erschreckt. Er hat in seiner Firma ein Angst-Klima geschürt. Eventuell hat er auch durch seine umfangreichen Sicherheitsmaßnahmen die praktische Bedienbarkeit und Benutzbarkeit des Mediums in einem zu starken Maße eingeschränkt. Dies alles führt evtl. dazu, dasss die Akzeptanz des Mediums Internet/Netzwerk bei seinen Kollegen, und damit auch das produktive Arbeiten mit diesem Medium, gemindert wurde. Letztendlich hat er also seinen Unternehemen auch geschadet! Um nochmal das Bild mit dem Tresor von oben zu verwenden: Dieser Administrator hat sich einen dicken Tresor gebaut, der so gross, schwer und kompliziert geworden ist, das letztendlich keiner mehr die Tür aufbekommen hat.

0.1.2 Versuch eines Konsens zur Sicherheitsfrage:

Jedem Sicherheitskonzept sollte eine gesunde Abwägung zwischen dem realem Sicherheitsgewinn und den Einschränkungen, die ich den Anwendern damit auflege, darstellen.

0.1.1 Zur Rolle der Janaserver-Administratoren.

Aus dem oben verdeutlichtem lassen sich relativ einfach einige Konsequenzen ableiten, die ein Administrator beachten sollte:

Vor allem für Jana-Neulinge, junge Administratoren, und diejenigen, die bis jetzt auf Sicherheitsfragen nicht allzuviel Zeit verschwendet haben, gilt folgendes:

Die "Sicherheits-Fundamentalisten" unter euch sollten sich aber auch noch einmal vor Augen halten:

Ihr dürft also euren Kollegen im Netzwerk nicht einfach Maßnahmen aufdrängen und vordiktieren, sondern müsst sachlich und vorallem behutsam jede neue Maßnahme, die in irgendeiner Form in die Intressen der Netzwerk-User eingreift und diese bei ihrer Nutzung des Mediums Internet/Netzwerk einschränkt oder sogar behindert, für alle Beteiligten in einer akzeptabelen Form einführen. Der positive Erfolg einer Maßnahme ist leider oft nicht messbar, zwar evtl. schon für den Administrator, der die Möglichkeit hat,die Sicherheit in seinem Netzwerk objektiv zu erfassen und den "Wert der Sicherheit" zu erkennen, den er geschaffen hat, nicht aber für den normalen Anwender. Dieser sieht vorwiegend nur die Einschränkungen und Hemmnisse, die ihm auferlegt werden. Wenn z.B. eine gelungene Virenattacke in einem Unternehmen auf jeden Fall für grossen Schaden und damit für Aufregung sorgt, die auch sehr bald auch mit Vorwürfen an den Administrator gepaart sein wird (hat er seine Arbeit nicht sorgfälltig gemacht?), wird der umgekehrte Fall (geblockte Virenattacke) ja nur vom Administrator selbst registriert. Da hilft es auch wenig, wenn der Administrator durch die Firma läuft, und allen Mitarbeitern erzählt, dass er Sie vor einer grossen Gefahr bewahrt hat. Denn keiner der Anderen kann sich, weil er ja überhaupt nie oder nur selten eintritt, den "Ernstfall" wirklich vorstellen. Jeder Administrator muss sich mit dem Gedanken anfreunden, dass seine Arbeit eine "ruhmlose Kunst" ist, dass seine Leistung nicht gewürdigt wird. Daraus folgt:

0.2 Was ist eine Firewall?

0.2.0 Allgemeine Definition einer Firewall.

Es ist zu Anfang natürlich sinvoll, einmal klar zu definieren, womit wir uns hier eigentlich beschäftigen, kurz gesagt, was eine Firewall eigentlich genau ist:

"Eine Firewall ist jedes Gerät, das dazu entwickelt wurde, Aussenseiter davon abzuhalten, Zugang zu ihrem Netzwerk zu erhalten."

Nun, diese Definition wurde zu einer Zeit formuliert, als zumeist lediglich grössere Organisationen und Unternehmen über eine Firewall verfügten. Dies waren in der Regel unabhängige (Linux) Rechner die als Router fungierten. Um es gleich zu sagen: Meiner Meinung nach ist diese Definition zwar immer noch zutreffend, sie reicht aber heutzutage längst nicht mehr aus, und muss daher erweitert werden. Ich sage heutzutage, weil sich seitdem eine Menge verändert hat:

Die Zahl der Internetanbindungen ist in den letzten Jahren rapide gestiegen, und damit auch die Art der Anbindung, nicht mehr nur ganze Netzwerke sind an das Internet angeschlossen, sondern auch direkt einzelne Desktops.
Da die Angreifer sich in gleichem Maße auf diese neuen Angriffsziele eingeschworen haben, setzt mittlerweile eine breite Masse der Internet-User Produkte auf ihren Einzelplatzrechnern ein, die von ihren Herstellern in der Regel als "Desktop-Firewalls" angepriesen werden. Diese erfüllen zuerst einmal ähnliche Funktionen wie die "Ur-Firewall", zusätzlich sind aber völlig neue Funktionen hinzugekommen, die sich auf einem seperaten Rechner gar nicht realisieren ließen, z.B. das Kontrollieren von Anwendungen. Es wurde also, vor allem von Seiten der Hersteller, der Begriff "Firewall" weit ausgedehnt, was natürlich auch vom Anwender übernommen wurde, zum anderen sind diese Produkte Software-Lösungen, die Bezeichnung "Gerät" ist daher nicht mehr ausreichend.
Firewalls werden heutzutage vermehrt mit anderen Funktionen wie z.B. Virenscanner, Sandbox, Registry-Guard etc. in einem Produkt kombiniert, umfangreiche und komplexe "Allround-Sicherheitstools" wurden geschaffen.
Nicht zuletzt ist die obige Definition etwas unvollständig, aus dem Grunde, weil sie impliziert, das die Initialisierung eines Angriffes immer von aussen erfolgt. Heutzutage geht es aber in einem sehr grossen Maße darum, zu verhindern, dass unerwünschte Programme, die bereits in das Netzwerk gelangt sind, keine Daten unbemerkt nach aussen senden. Die Firewall ist also genauso nach innen ausgerichtet, um die steigende Zahl an Trojanern, Würmern, Spyware und ähnlichem festzunageln. Dies ist existentiell notwendig geworden.

Fassen wir also zusammen:

Der Begriff der Firewall ist nicht mehr klar abgegrenzt, auf ein Gerät/Software mit einem ganz bestimmten Funktionsumfang.
Es sind eine Menge neuer Funktionen hinzugekommen, welche teilweise nur direkt auf dem Rechner, der geschützt werden soll, ausgeführt werden können.
Firewalls sind in neue Bereiche vorgedrungen, sowohl im Netzwerk, als auch gesellschaftlich.

1. Wir dürfen unser Firewall-Produkt nicht mehr nach der Bezeichnung "Firewall" auswählen, sondern danach,

wo Sie im Netzwerk eingesetzt werden soll -> Inwieweit sie an die Standorte Client/Server/Standalone angepasst werden kann.
nach dem Funktionsumfang, den sie bietet, auch an "Non-Firewall"-Sicherheitsfunktionen, bzw. wie sie sich mit anderen, existentiell notwendig gewordenen Sicherheitstools kombinieren lässt.

2. Wir haben erfahren, dass es aufgrund der veränderten und gestiegenen Gefahrensituation nicht länger möglich ist, eine "allumfassende Sicherheit" durch Massnahmen an lediglich einem Ort im Netzwerk zu realisieren. So lassen sich z.B. Applikationen nur auf der Arbeitsstation überwachen, für eine zentrale Benutzerüberwachung ist aber eine Kontrolleinrichtung auf dem Server notwendig. Als Konsequenz daraus stellt sich unsere Sicherheitskonzept als eine verteiltes Netz von Einzelsicherungsmaßnahmen dar. Man kann daher heute durchaus sagen:

Eine Firewall ist ein Sicherheitskonzept, und kein einzelnes Gerät oder Programm!

Verinnerlichen Sie sich die letzte Aussage ruhig noch einmal, denn sie beinhaltet alles Wesentliche, worum es bei der "richtigen" Sicherheit geht: Nicht um das simple Installieren einer Firewall oder eines Sicherheitstools, wonach man sich befriedigt zurück lehnen kann, sondern vor um ein gelungenes, alle Eventualitäten berücksichtigendes Gesamtkonzept. Um diese konzeptionelle Planung soll es vorwiegend in diesem Vortrag gehen.

0.2.1 Typen/Bauarten von Firewalls / Probleme der Abgrenzung zu "Sicherheitstools"

Was sich geändert hat in den Funktionen von Firewalls, möchte ich anhand der folgenden Tabelle verdeutlichen, die einige gängige Softwareprodukte nach ihrem Umfang in Bezug auf Sicherheitfunktionen klassifiziert. Ich benutze explizit den Ausdruck "Softwareprodukte, weil Sie sehr bald feststellen werden, dass dort nicht nur Firewalls aufgeführt sind, um nochmal zu zeigen, dass eine "Vermischung" erfolgt ist, und sogar für völlig andere Zwecke konzipierte Programme heute durchaus Sicherungsfunktionen übernehmen.

Teil 1. Probleme mit Firewalls und Jana bei der Installation, Konfiguration und im laufendem Betrieb erkennen, vorbeugen und beheben.

1.1. Installation und Update von Jana.

Da eine Application-Firewall naturgemäss eine Erlaubnis für jedes Programm einfordert, dass direkt auf das Internet oder das Netzwerk zugreifen möchte, muss dem Hauptprogramm janaadXX.exe und dem Administrationsprogramm janaadmin.exe dieser Zugriff gewährt werden. Sinnvoll sind hier zerst einmal folgende Regeln:

Sowohl eingehenden als auch ausgehenden Datenverkehr (TCP/UDP) für janaadXX.exe komplett erlauben. Dies muss sowohl bei der Erstinstallation als auch für jedes Update erneut erfolgen, da eine gute Firewall immer eine Prüfsumme der Datei erstellt, die freigegeben wird, um zu verhindern, dass das Programm durch einen Trojaner oder ähnlichem mit einer Datei gleichen Namens ersetzt wird. Die komplette Freigabe sichert auch bei eventuell veränderter Konfiguration des Janaservers seine uneingeschränkte Funktionsfähigkeit. Beacheten Sie bitte, dass sich diese uneingeschränkte Freigabe lediglich auf den Janaserver bezieht, andere Programm werden dementsprechend keine Rechte zugeteilt, die sie unter Umständen nicht erhalten sollen.
Falls die Firewall für einen Broadcast eine seperate Erlaubnis erwartet, ist diese für das Administrationsprogramm, sowohl auf dem Server, als auch auf dem Client, wo das Admin-Tool installiert ist, explizit zu erlauben. Denn das Administrationsprogramm braucht diesen, um das Netzwerk auf laufende Janaserver zu überprüfen. Sollten sie denoch einmal zwei oder mehr Janaserver in einem Netzwerk unterhalten, und es ist nicht erwünscht, dass das Administrationsprogramm bestimmte Server mitüberwacht, lösen Sie dies bitte nicht über Sperr-Regeln in der Firewall, sondern durch die entsprechenden Bindungen an IP-Adressen in der Jana-Konfiguration, bzw. durch die Bindung des Administrationsprogrammes an nur eine IP beim Programmaufruf. Der entprechende Aufruf dafür lautet [PFAD]\janaadmin.exe [IP-ADRESSE JANASERVER].
Um mit dem Ping-Befehl vom Client auf den Server und umgekehrt festzustellen, ob das Netzwerk richtig funktioniert, geben Sie bitte das ICMP-Protokoll frei, dass von einer Firewall meist standartmässig geblockt wird, um einen stealth-modus (Unsichtbarkeit im Netz) zu erhalten. Erlaubt ihre Firewall die Option, das ICMP-Protokoll differenziert freizugeben, so können Sie sich zum Beispiel unter http://www.netonfire.de/icmp/icmp.htm genauer über die Aufgaben von ICMP informieren.
Vorsicht ist vor allem während eines Updates von Jana mit dem automatischen Setup-Programm geboten! Denn während der Installation überprüft das Programm, ob eine bereits installierte Version von Jana noch aktiv ist, indem es den Kommunikationsport 4295 zwischen Jana und derJana-Administration anspricht. Wird dieser Datenverkehr blockiert, erkennt das Setup-Programm einen aktiven Janaserver unter Umständen nicht, und wird ihn auch nicht beenden können. Es wird versuchen, über noch aktive Programme wie janaadXX.exe und janaadmin.exe zu installieren! Misslungene Installationen und Datenverlust sind damit vorprogrammiert.

1.1 Probleme im laufenden Betrieb.

Beachten Sie bitte, dass viele Firewalls , vor allem die Produkte, die für den Einzelrechner-Einsatz entwickelt wurden,standartmäßig gerade in der Anfangsphase ohne definierte Freigaberegeln immer wieder Datenverkehr blockieren, der für einen Server sinnvoll und teils auch notwendig ist, z.B. DNS-Anfragen an Jana.

1.2 Positive Nebeneffekte von Firewalls.

In den meisten Fällen bewirkt eine Firewall, nachdem die oben genannten Anfangsschwierigkeiten überwunden wurden, ,dass sich vormals unsichtbare Netzwerkabläufe nun transparent und somit verständlich darstellen lassen. So kann beispielsweise die gesamte Kommunikation zwischen einem Emailserver und dem anfragenden Mailprogramm aufgezeichnet werden. Dies ist zum einen dem Anwender für ein tieferes Verständnis der Zusammenhänge in einem Netzwerk immer dienlich, zum anderen können auch nicht durch die Firewall bedingte Netzwerkfehler eher erkannt und somit behoben werden. Die Administration eines Netzwerkes wird also dadurch auf Dauer eher erleichtert als erschwert! Das Argument mancher Firewall-Gegner, "Firewalls wären schwer zu verstehen und würden immer nur Probleme verursachen", ist damit also hinfällig.

Teil 2. Firewalls als Schutz im Internet.

Hinweis: Sie werden feststellen, dass ich in den nun folgenden Abschnitten den Janaserver zuerst einmal lediglich so behandle, als handle sich um es sich dabei um einen "offenen Proxy", also so, als wären jegliche Funktionen zur Sicherung deaktiviert, wie z.B. die Benutzerverwaltung. Ich mache dies weder, weil ich diese Sicherungsfunktionen verschweigen bzw. leugnen möchte, noch weil ich davon ausgehe, dass dies eine Situation ist, wie Sie vornehmlich auf den installierten Janaservern auf der gesammten Welt zu finden ist. Es geht mir vielmehr zuerst einmal darum, zu zeigen, wie sich die Situation darstellen würde, wenn es diese Sicherungsfunktionen nicht gäbe, wenn also Firewalls das einzige Mittel wären, um die Netzwerksicherheit zu gewährleisten. So kann ich die Stärken, aber vor allem auch die Schwächen von Firewalls zuerst einmal für sich alleine darstellen. Nachdem Sie dann aber etwas über die Bereiche der Sicherung erfahren haben, wo die Firewall uns keine oder nur wenige Hilfe bietet, oder sich eine effektive Absicherung mit Firewalls nur mit erheblichem Aufwand realisieren läßt, werde ich dann aber auf die in Jana eingebauten Sicherheitsfunktionen zurückkommen, und ihre wichtige Rolle, diese Mängel der Firewalls zu schliessen, herausarbeiten.

2.1 Die Firewall auf dem Server.

Fall 1: Der Server wird nicht als Arbeitsstation benutzt.

Wenn Sie sich in der glücklichen Situation befinden, dass ihr Netzwerk so konfortabel ausgestattet ist, dass sie einen kompletten Rechner einzig und allein für die Funktion des Servers installiert haben, hat eine Firewall nur lediglich realtiv geringfügige Sicherungsaufgaben zu erledigen, die Hauptlast der Netzwerksicherung liegt bei dem Janaserver selbst, muss also durch eine konsequente Nutzung der Sicherungsfunktionen von Jana geleistet werden.

Die Gründe dafür sind einfach:

wenn auf dem Server

keine Emails abgerufen werden
keine Downloads durchgeführt werden
nicht mit einem Browser im Internet gesurft wird
keine anderen Applicationen (Anwenderprogramme) ausser Jana auf das Internet zugreifen müssen
keine Ordner-Freigaben vorhanden sind.

sind die potentiellen Kanäle zum Eindringen von unerwünschten Fremdprogrammen nicht gegeben.

Die Firewall hat in diesem Falle lediglich nur noch folgende Aufgaben zu erfüllen:

Betriebssystembedingte Schwachstellen und Angriffspunkte zu schliessen, wie z.B. standartmässig offene Ports (z.B. NETBIOS)
Den Rechner im Internet zu verbergen, falls dies erwünscht ist. (Bei einem Internetserver ist dies nicht immer angebracht)
Zu vermeiden, dass der Server für verteilte Angriffe auf andere missbraucht wird, vorallem über das ICMP-Protokoll (Denial of Service)
Das weitläufige Scannen des Internets insgesamt zu erschweren.

Die zuletzt genannte Aufgabe ist für die Sicherheit ihres Netzwerkes nicht wirklich von Bedeutung, sie leisten hiermit lediglich einen Dienst für die Sicherheit des gesamten Internets, weil Sie den Angreifern die Arbeit wesentlich erschweren. Was ist damit gemeint? Nun, wenn Sie einmal ihren Rechner auf mit Hilfe eines Online-Portscanners überprüft haben, werden Sie wissen, dass ein Scanndurchgang bei nicht installierter oder deaktivierter Firewall sehr viel schneller vonstatten geht, als wenn eine Firewall auf ihrem Rechner aktiv ist. Der Grund dafür ist, dass der Scanner für jeden zu gescannten Port sofort die Meldung zurückbekommt, in welchem Status dieser Port sich befindet, also, ob er geöffnet ist, oder geschlossen. Ist eine Firewall installiert, bekommt er gar nichts zurück! Der Scanner muss also für jeden Port die gesamte Länge des Timeouts abwarten, und den Scannvorgang evtl. mehrmals wiederholen um sein Ergebnis zu überprüfen. Bei insgesamt über 60000 zu scannenden Ports summiert sich dies schnell auf eine Ewigkeit. Der Angreifer ist also in der Lage, in einem weitaus kürzerem Zeitraum einen bestimmten IP-Bereich auf potentielle Angriffsziele zu überprüfen, wenn keine oder wenige Firewalls installiert sind!

Fall 2: Der Server wird als Arbeitsstation mitbenutzt.

Die oben genannten potentiellen Kanäle zum Eindringen von unerwünschten Fremdprogrammen sind gegeben, zusätzlich zu diesen unerwünschten Fremdprogrammen, hat die Firewall auch noch die Anwenderprogramme, die auf dem Server eingesetzt werden, zu schützen und deren Internetzugriff zu verwalten.

Dass die Firewall also eine ganze Menge Aufgaben zu erfüllen hat, ist damit wohl eindeutig, es soll der Kürze halber daher lediglich darauf eingegangen werden, wie zu verfahren ist, damit die Firewall diese Aufgaben auch hinreichend erfüllen kann, und nicht zu überlisten ist:

Alle Anwendungen, vor allem der Internet-Explorer, sollten möglichst nicht mit den Proxy-Einstellungen von Jana konfiguriert werden! Alle Anwendungen können ja auch genausogut direkt ins Internet gehen, die Verbindung ist ja auf dem selben Rechner. Der Grund dafür ist, das jeglicher Datenverkehr, der über den Janaserver läuft, nicht mehr von der Firewall kontrolliert, geschweige denn registriert wird! Denn der rechnerinterne Datenverkehr, beispielsweise vom Browser zu Jana, wird nicht überwacht, und da Jana ja für das Internet freigegeben sein muss, ist jeglicher Datenverkehr der über Jana auf diesem Wege abgewickelt wird, legal, und von der Firewall nicht zu überwachen! Viele Trojaner sind Proxy-fähig und lesen die Konfigurationseinstellungen des Internet Explorer aus der Registry, um diese dann selbst zu verwenden. Sie haben damit freien Zugriff auf das Internet. Deshalb eine Bitte: Sollten Sie, z.B. um die automatische Herstellung der Internetverbindung zu erreichen, oder um zu verhindern, dass Jana die Verbindung trennt, weil kein Datenverkehr über den Server erfolgt, ihren Browser dennoch mit Jana als Proxy einsetzen, verwenden Sie bitte ien Programm wie Netscape, besser noch Opera, damit in ihrer Registry nicht allzu leicht zu verwendene Proxy-Einträge auftauchen. Den ein Trojaner, der die Proxyeinstellungen nicht kennt, wird den direkten Internetzugriff versuchen, und dann zuverlässig von der Application-Firewall "gestellt".

2.2 Firewalls auf dem Client.

Nachdem die Situation auf dem Server beschrieben wurde, wenden wir uns nun den Clients zu.

Auf dem Client ohne Firewall stellt sich die Situation im Grund genommen ähnlich dar, wie auf dem Server, der als Arbeitsstation genutzt wird. Sobald in einem Programm wie dem Internet Explorer potentiell auslesbare Informationen über den zu verwendenden Proxy hinterlegt sind, kann jedes andere Programm, dass proxy-tauglich ist und Zugriff zu den Informationen über den Proxy erlangt, uneingeschränkt auf das Internet zugreifen. Die Server-Firewall wird dies nicht bemängeln, weil die Datenübertragung über einen legalen Proxy-Port, z.B. 3128 von Jana erfolgt. Da der abgehende Port vom System anwendungsunabhängig zufällig vergeben wird, besteht auch keine Möglichkeit, hier mit einer Firewall auf dem Server zwischen einzelnen Programmen zu differenzieren. Leider müssen Sie hier unbedingt Proxy-Konfigurationen in ihren Anwendungen machen, weil keine Möglichkeit für eine direkte Internetverbindung besteht. Sie befinden sich also in einer wirklich schwierigen Situation. Ein wenig Abhilfe kann auch hier die Verwendung von Browsern wie Netscape oder Opera schaffen.

Dieser Standort ist für Fremdprogramme, die eine Datenübertragung ins Internet herstellen wollen, der ungünstigste, dementsprechend ist dies auch der am besten geschützte Bereich im Netzwerk, unabhängig davon, ob sich auf dem Server auch eine Firewall befindet. Hier können ( und müssen) Sie ohne Rücksicht auf die Anwendung Proxy-Einstellungen machen, denn jede Kontaktaufnahme einer Anwendung mit dem Proxy Server läuft immer über das lokale Netzwerk, dass die Application-Firewall ebenso zuverlässig bewacht, als würde es sich um eine Verbindung zum Internet handeln, vorausgesetzt, und dass ist sehr wichtig, die Firewall-Regeln für das lokale Netzwerk sind nicht zu locker.

2.3 Die Rolle von Jana im Sicherheitskonzept.

Wir haben erfahren, dass sich eine konsequente Absicherung des Netzwerkes, wären wir vollständig auf Firewalls angewiesen, sich lediglich realisieren lässt, wenn man sowohl den Server, als auch die Clients, die durchaus zahlenmässig viele sein können, mit Firewalls bestückt, und den Server lediglich als diesen verwendet, und nicht als zusätzlichen Arbeitsplatz. Das Grundproblem besteht darin, dass die Firewall keine Möglichkeit hat, Zugriffe über legale Kommunikationswege, also Ports, die von Jana verwendet werden, und dementsprechend freigegeben werden müssen. Aber glücklicherweise bietet uns der Janaserver selbst auch eine Reihe von Sicherungsfunktionen, die uns bei der Behebung dieser misslichen Situation behilflich sein können.

Das Programm Jana ist naturgemäss keine Firewall, denn das würde bedeuten, dass Jana bewusst und vornehmlich zum Zweck der Netzwerksicherung entwickelt worden wäre. Dennoch, Jana bietet so umfangreiche Sicherungsfunktionen, das es in einem Sicherheitskonzept mehr als nur eine passive Rolle übernehmen kann. Zu nennen sind hier vor allem:

Die konsequente Ausnutzung aller Sicherheitsmöglichkeiten, die Jana uns bietet, ist also ein nicht unbeträchtlicher Beitrag zur Erhöhung der Netzwerksicherheit, damit kann Jana zwar nicht die Firewall auf den Clients vollständig ersetzen, und auch nur bedingt ermöglichen, das wir den Server auch wieder als Arbeitsplatz verwenden "dürfen", es kann aber die Sicherheitsproblematik auf ein kalkulierbares Risiko vermindern.

Produkt	IDS*	IP-Adresse	Adapter	Protokoll	Port-Nummer	Benutzer-Zugriff	Inhalt (Content)	Anwendung (Application)	Sandbox	Kurzinfo / sonstige Zusatzfunktionen
esafe Desktop Software	-	ja	ja	ja	ja/stealth	ja	Begriffe,Passwörter	ja	ja	"Allround"-Desktop Sicherheitstool / Virenscanner, Registry-Zugriffskontrolle
Zonealam 2.6.8.8 Software	-	ja	ja	ja, automatisch	ja/stealth, automatisch	-	ActiveX in Email	ja	-	klassische Desktop-Firewall, für Server nur begrenzt geeignet
Sygate Firewall 5.0beta Software	ja**, nur PRO	ja	ja	ja, manuell	ja/stealth, manuell	-	-	ja	-	klassische Desktop-Firewall, aufgrund umfangreicher Konfigurationsmögl. auch für Server geeignet /Packet-Logger
TINY Trojan Trap Software	-	-	-	-	-	-	ActiveX, Java, VBS, .exe, Cookie, Begriffe in Email und Browser	ja	ja	Speziell auf die Aktivitäten von Trojanern, Würmern und Viren ausgerichtet
Kerio Personal Firewall Software	-	ja	ja	ja, manuell	ja, stealth manuell	-	-	ja	-	ein Tiny-Abkömmling (Nachfolger)
DFÜ-Speed V2.2 Software	-	-	-	-	ja, nur Port 139	-	-	-	-	Tool ist für die Optimierung der DFÜ-Verbindung entwickelt worden
Smoothwall Linux standalone	Ja, Snort	ja	ja	ja	ja	ja	-	-	-	Linux-Firewall-Distribution