Firewall versus NAT-Device
Den Netzverkehr sicher regeln
Aus Kostengründen greifen manche Unternehmen auf ein Network-Address-Translation-Device (NAT) anstelle einer integrierten Firewall- und VPN-Lösung gegen Hackerangriffe zurück. Doch die so gewonnene Sicherheit ist trügerisch: Die "Firewall-ähnlichen" NAT-Devices sind primär auf die Verkehrsregelung im Netz ausgelegt.
Was vor den Blicken Dritter abgeschirmt ist, ist sicher: Diese verkürzte Logik bedingt den Ruf
von NAT-Devices als Sicherheitslösung. Ursprünglich als Zwischenlösung eingesetzt, um der drohenden
Knappheit an IPv4-Adressen Herr zu werden, ermöglichen NAT, S-NAT (Static Network Address
Translation) und P-NAT (Port Address Translation) die transparente Umsetzung von IP-Adressen auf
dem Weg zwischen zwei Endsystemen. Der häufigste Fall ist die Anbindung eines lokalen Netzwerks
über nur eine offizielle IP-Adresse (dynamisches NAT). Aus dem lokalen Netz heraus können mit NAT
alle Serverdienste im Internet – sprich die offiziellen IP-Adressen – erreicht werden, indem das
NAT-Device für jedes Datenpaket die private Adresse durch eine öffentliche ersetzt und damit die
unregistrierte "versteckt". Die NAT-Device-Adresse gilt dann im öffentlichen Netz als Quelladresse,
sodass alle Antworten an das NAT-Device gehen. Dort wird eine Zusatztabelle zwischen internen und
externen Adressen gepflegt – stammt die Antwort von einer bekannten Adresse, öffnet das Device
einen Port und routet die Antwort zu dem entsprechenden Rechner im Netzwerk. Denn jeder Rechner im
lokalen Netzwerk bekommt nur für die Dauer einer Übertragung nach außen eine öffentliche IP-Adresse
aus einem Pool zugeteilt. Solange der private Host die nach außen führende Verbindung hält, kann er
über eben diese öffentliche Adresse auch direkt eintreffende Datenpakete empfangen. Wird die
Verbindung gekappt oder durch ein Time-out beendet, erlischt die Verknüpfung, und die Adresse
wandert wieder in den Pool für eine erneute Verwendung.
Traffic-Regelung
Eine Variante dieses dynamischen NAT ist Port Network Address Translation. Darüber können
verschiedene Hosts eine einzige IP-Adresse teilen, indem sie diesen Weg getrennt durch die
TCP/UDP-Port-Nummer mehrfach nutzen. Gehen also beispielsweise von den privaten Adressen
192.168.0.2 und 192.168.0.3 gleichzeitig Datenpakete über den Source-Port 1108 aus, übersetzt ein
P-NAT-Router beide in die öffentliche IP-Adresse 206.245.160.1 und zwei verschiedene Source-Ports,
etwa 61001 und 61002. Die Antworten, die an Port 61001 ankommen, werden an 192.168.0.2
weitergeleitet, Daten für Port 61002 werden an 192.168.0.3 zurückgeroutet. NAT wird häufig in
kleinen Unternehmen und Home-Offices verwendet, um mehreren Nutzern Internetzugriff über eine
einzige IP-Adresse zu gewähren. Hier liegt die Hauptkompetenz von NAT: die Zugriffs- und
Traffic-Regelung zwischen privaten Netzwerken und dem Internet. Die Firewall-ähnlichen Funktionen –
sprich die Ablehnung von eingehenden Zugriffsanfragen, wenn es keine Übereinstimmung mit der
Adressentabelle gibt – bieten zwar einen gewissen Schutz, darüber hinaus gibt es aber inzwischen so
viele neue Arten von Bedrohungen, dass NAT allein nicht ausreicht.
Gefahr durch Ping-Messages
Da wäre beispielsweise eine einfache Ping-Message, die ein Hacker an Millionen Rechner schickt:
Während Firewalls Pings erkennen und nicht darauf antworten, tun dies NAT-Devices sehr wohl und
lassen den Hacker wissen, dass er eine existierende Verbindung entdeckt hat. Er hat dann
beispielsweise die Möglichkeit, sich mit Angriffen über offene Ports Zugriff auf ein Netzwerk zu
verschaffen. Wenn ein NAT-Device einen Port in die NAT-Tabelle aufnimmt und ihn so öffnet, kann der
gesamte Traffic, der für diesen Port bestimmt ist, direkt zu dem in der Tabelle verzeichneten
Rechner durchlaufen. Hacker nutzen Programme, die per Zufall offene Ports in NAT-Devices
aufspüren.
Eine weitere Form der Attacke ist die DMZ-Serverübernahme. Manche NAT-Devices können so
konfiguriert werden, dass Datenpakete, die nicht mit der NAT-Tabelle übereinstimmen, nicht gleich
abgelehnt, sondern an einen bestimmten Server geschickt werden. Auf diese Weise kann der
Administrator sicherstellen, dass grundsätzlich gewünschte Messages oder Transaktionen nicht
verloren gehen und Applikationen mit Rechnern im Netzwerk kommunizieren können, die normalerweise
ein NAT-Device nicht passieren. Das Problem: Gelingt es einem Hacker, den DMZ-Server zu
kontrollieren, kann er darüber auf das gesamte Netzwerk zugreifen.
Anfällig für Spoofing
NAT-Devices sind darüber hinaus besonders anfällig für Spoofing-Attacken. Inzwischen gibt es im
Internet frei zugängliche Software-Kits, mit denen man die tatsächliche Quelle eines Datenpakets
durch eine neue IP-Adresse ersetzen kann. Gilt diese IP-Adresse in dem mit dem NAT-Device
versehenen Netzwerk als valide, wandert das Datenpaket unbehelligt ins Netzwerk.
Bedacht werden muss schließlich auch der Default-Remote-Access. Viele NAT-Devices halten
beständig einen Port zum Internet geöffnet, um Administration durch Fernzugriff zu ermöglichen. Der
Port ist dabei durch ein Passwort geschützt. Der Haken an diesem Verfahren: Die Default-Passwörter
kursieren auf Listen durch das Internet. Wer sich nicht die Mühe macht, die vom Hersteller
eingesetzten Passwörter zu ändern, läuft Gefahr, dass erfahrene Hacker die offenen Ports aufspüren,
sich ungestört einloggen und schlimmstenfalls das Gerät neu konfigurieren oder andere
administrative Privilegien im Netz übernehmen.
Stateful Packet Inspection
NAT-Devices sind inzwischen häufig mit SPI (Stateful Packet Inspection)-Funktionen kombiniert.
SPI kontrolliert Datenpakete nicht isoliert, sondern sammelt Informationen im Gesamtzusammenhang,
um die Authentizität eines Datenpakets zu verifizieren. Dazu zählen Kommunikationsinformationen von
allen sieben Layern im Paket sowie Statusinformationen, die sich aus zuvor abgelaufenen
Kommunikationen zusammensetzen. Beispielsweise könnte ein ausgehender PORT-Befehl einer FTP-Session
gespeichert werden, sodass eine eingehende FTP-Datenverbindung damit abgeglichen und verifiziert
werden kann. Weiter zählt SPI auf Statusinformationen, die aus anderen Applikationen
zusammengetragen werden. So kann zum Beispiel einem zuvor autorisierten Nutzer wiederum Zugriff
erteilt werden für eben diese bestimmten autorisierten Services. Schließlich lässt sich mit
Informationsmanipulationen überprüfen, ob Daten in jedem Teil des Pakets auf logische oder
arithmetische Tests entsprechend reagieren.
NAT-Devices mit SPI können einige der zuvor geschilderten Gefahren bereits bannen, bieten aber
im Vergleich mit einer integrierten Firewall/VPN-Lösung, die üblicherweise ebenfalls SPI enthält,
keinen umfassenden Schutz. Den gewährleisten die integrierten Lösungen über einen abgestuften
Ansatz, der verschiedene Schutzmechanismen kombiniert:
Authentifizierung von Verbindungen. Statt nur die IP-Adresse der Quelle, die
Ziel-IP-Adresse und die damit verbundenen Port-Nummern auf ihre Authentizität zu prüfen, untersucht
die Firewall auch die Sequenznummer der Datenpakete auf Duplikate oder so genannte
Out-of-Bound-Werte, bei denen Hacker versuchen, existierende Packet-Header mit anderen Daten zu
kombinieren und erneut zu verschicken.
Kontrolle des ausgehenden Datenverkehrs. Mithilfe von Ausgangsfiltern können
Firewalls auch ausgehende Verbindungen kappen. Das ist im Fall von einem Trojaner- oder Wurmbefall
wichtig, wenn diese Schadprogramme den Versuch starten, von infizierten Maschinen im Netzwerk
Messages zu versenden.
Sicherer Umgang mit Spezialfällen. Firewalls unterstützen Applikationen wie
Audio-Video-Streaming oder Netmeeting von Microsoft, weil sie Datenpakete den Anwendungen zuordnen
können. Die Pakete werden so zusammengesetzt und weiter geroutet, dass sie mit der Applikation und
mit dem NAT-Device kompatibel sind.
Hohe Prozessorleistung. NAT-Devices verfügen nicht über dieselbe
Prozessorleistung wie Firewalls, um Deep-Packet-Inspections durchzuführen. Selbst NAT-Devices mit
SPI-Funktionalitäten verlieren an Leistungsfähigkeit, wenn sie jedes Datenpaket inspizieren
müssen.
Schließlich ist NAT mit einigen weiteren Schwächen verknüpft, die bei dem Bestreben, sparsam mit
IPv4-Adressen umzugehen, keine Rolle gespielt haben, aber langfristig Probleme bereiten: Protokolle
wie FTP können IP-Adressen im Payload auf Applikationsebene transportieren – in diesen Fällen ist
ein Gateway auf dieser Ebene gefordert, um die von NAT begonnene Übersetzung zu vervollständigen.
In anderen Fällen ist es dagegen nicht möglich, mithilfe einer Übersetzungsfunktion ein Paket
wiederherzustellen, das durch NAT modifiziert wurde. Dies gilt vor allem für das
Sicherheitsprotokoll IPSec, dessen Authentifizierungs-Header (AH) das gesamte IP-Datenpaket,
einschließlich unveränderlicher Header-Felder wie Quell- und Zieladresse, durch einen
Message-Digest-Algorithmus schickt, um einen verschlüsselten Hash zu produzieren. Der Empfänger
nutzt diesen Hash, um das Paket zu authentifizieren. Wenn ein Feld des ursprünglichen IP-Pakets
modizifiert wurde, scheitert die Authentifizierung und das Datenpaket wird abgelehnt. AH soll damit
vor allem unautorisierte Modifizierungen und Source-Spoofing verhindern. Da aber NAT – schon per
Definition – IP-Pakete verändert, können NAT und IPSec Authentifizierungs-Header nicht ohne
weiteres zusammenarbeiten. Inzwischen gibt es allerdings durchaus Lösungsansätze, die die beiden
Technologien gemeinsam verwenden. Eine Möglichkeit ist, den IPSec-Security-Gateway vor das
NAT-Device zu ziehen. Eine andere besteht darin, integrierte Lösungen mit Firewall- und
Application-Level-Proxy-Funktionalität sowie IPSec und NAT in einem einzigen Gerät zu benutzen.
Dort wird die ausgehende Adressübersetzung durchgeführt, bevor die Sicherheitsregeln greifen – bei
eingehenden Paketen läuft derselbe Prozess umgekehrt ab.
Die Quintessenz: Bei der Wahl des Netzwerkschutzes sollte es nicht um die Frage NAT-Device oder
Firewall gehen, sondern darum, welche bezahlbare Lösung die Kernfunktionen beider Systeme
einschließlich SPI und IPSec miteinander kombiniert.
Lesen Sie mehr zum Thema
