Netzwerk-Perimeter-Sicherheit

Kommt Cyber-Security für den Internetanschluss vom Provider? Welche Empfehlungen gibt es und wie können wir sie wirtschaftlich umsetzen? Wir stellen hier unsere Lösung zum Perimeter-Schutz unseres Praxisnetzwerkes vor. 

Von Thomas Hintze

Die heile Welt des Internets war vorgestern. Schon 1986 wurde in Rechner des MIT und des Pentagon durch den KGB eingedrungen.  Danach kamen Viren, Würmer und Trojaner. Mit zunehmender Computer-Kriminalität entstand die IT-Security-Branche. Bekannte Produktkategorien sind hier u.a. Firewall, EDR, XDR, IDR, IDS, IPS, Proxy, AV und Monitoring.

Ein Internetanschluss gehört heutzutage zu jeder Tierarztpraxis. Ob Surfen, Mails oder Mobile Work - das öffentliche Netzwerk ist zur Datenübertragung unverzichtbar. Damit stellt sich für uns die Frage, wie ein sicherer Anschluss der Praxis-IT an das öffentliche Netzwerk realisiert werden kann.

Der heimische Internetanschluss besteht meist aus einem All-In-One Gerät (Modem, Router, WirelessAP, Firewall oder Paketfilter), dass zwischen dem öffentlichen Netzwerk und dem internen Netzwerk platziert wird. Doch reicht das aus?

Gold Standard

Die Grenzlinie zwischen den Netzwerken wird als Netzwerk-Perimeter bezeichnet. Und genau hier werden Verteidigungsmaßnahmen gegen Angriffe vorgenommen. Und zwar ganz unabhängig davon, welche Cyber-Security-Strategie im jeweiligen Umfeld umgesetzt wird. Die Empfehlungen der NSA (und des BSI) umfassen eine redundante, mehrstufige, multi vendor Firewall-Infrastruktur mit dazwischenliegenden Application-Level-Gateways (BSI: P-A-P Struktur). 

Firewalls unterschiedlicher Hersteller stellen sicher, dass der Netzwerk-Perimeter nicht durch Schwachstellen eines Herstellers überwunden werden kann. Und nur die in der Pufferzone (DMZ) zwischen den Firewalls stehenden Systeme dürfen mit dem öffentlichen Netz interagieren.

redundante, mehrstufige, multi vendor Firewall-Infrastruktur
Redundante Firewall-Kaskade (P-A-P)

Die Umsetzung dieser Empfehlung ist sehr kostenintensiv. Insbesondere Investitionskosten, Administrationskosten (inkl. Monitoring) und  Energiekosten führen zu der Frage, ob Perimeter-Sicherheit nicht einfacher und damit kostengünstiger umgesetzt werden könnte.

Schlechte Alternative

Als einfache Alternative wird häufig eine einstufige Firewall (ggf. auch als Cluster) mit LAN-Ports für separate Netzwerke eingesetzt, an denen sogenannte "Protected DMZ" betrieben wird. 

Nicht empfohlene einstufige Firewall mit protected DMZ
Nicht empfohlene einstufige Firewall mit protected DMZ

Von dieser einstufigen, single vendor Konfiguration raten wir ab. Schwachstellen und komplexere Konfiguration der Firewall erhöhen das Sicherheitsrisiko sowohl für die Systeme in der protected DMZ als auch im internen Netzwerk.

1. Schritt: Redundanzverzicht

Zunächst bietet es sich an, die Cluster-Redundanz des "Gold Standards" aufzulösen. Dadurch sparen wir zunächst Energie zum Betrieb unseres Netzwerk-Perimeters. Aber auch die Administration vereinfacht sich, denn ein Clustersystem zieht erfahrungsgemäß mehr Administrationsaufwand nach sich. Die Verfügbarkeit sinkt, aber Integrität und Vertraulichkeit bleiben dennoch erhalten.

Das Risiko geringerer Verfügbarkeit muss abgewogen werden. Wie wichtig ist uns hohe Verfügbarkeit? Wie lange können wir auf die Netzwerk-Perimeter-Infrastruktur verzichten? Sind unsere internen Abläufe gefährdet? 

mehrstufige, multi vendor Firewall-Infrastruktur
Firewall-Kaskade (P-A-P)

Durch konsequenten Verzicht auf Cloud-Dienste für alle unsere Kernprozesse haben wir die Abhängigkeit vom öffentlichen Netz so stark reduziert, dass wir alle unsere Leistungen grundsätzlich ohne Internetverbindung erbringen können. Nur der E-Mail-Verkehr und diese Website hier sind naturgemäß öffentlich. Für beides nutzen wir externe Provider. Das bedeutet, dass bei einem Netzwerk-Perimeter-Ausfall E-Mail und Website weiterhin öffentlich verfügbar sind. Diese Unabhängigkeit hat den schönen Nebeneffekt, dass wir keinen teuren Internetanschluss brauchen. Ein einfacher ADSL-Anschluss reicht. 

Wird auf Clustersysteme verzichtet, muss kurzfristig Ersatz bereitstehen. Es können beispielsweise konfigurierte Ersatzsysteme bei Ausfall schnell eingebunden werden. So lässt sich die Ausfallzeit begrenzen.

2. Schritt: Zusammenlegen von Hardware

Wer einen einfachen DSL-Anschluss mietet, nutzt meist einen DSL-Router. Diese kleinen Plastik-Boxen sind heutzutage sehr leistungsfähig. Sie vereinen häufig Modem, Router, WLAN-AP, DECT und FW in einem Gerät. Alles in allem sehr funktional. Uns interessiert an dieser Stelle beispielhaft die integrierte Firewall einer AVM Fritzbox.

Schon kleine Fritzboxen besitzen einen Paketfilter samt Stateful-Inspection-Firewall (SPI) . Außerdem beherrschen sie Network Address Translation (NAT) und IP Masquerading. Damit ist sicher gestellt, dass nur Pakete von direkten Antworten auf zuvor gestellte Anfragen ins lokale Netzwerk gelangen und lokale IP-Adressen verschleiert werden. 

mehrstufige, multivendor Firewall-Infrastruktur mit FW-Router
Firewall-Kaskade (P-A-P)

mehrstufige, multi vendor Firewall-Infrastruktur mit FW-Router
Firewall-Kaskade (P-A-P)

Es liegt also nahe, die DSL-Router-Firewall-Kombi als erste Stufe der Firewall-Kaskade einzusetzen. Damit wird die dedizierte Firewall der ersten Stufe  ersetzt. So sparen wir wieder Hardware, Administrationskosten und Energiekosten ein.


Vorsicht vor dem Exposed Host! Die Nutzung der DSL-Router-Firewall-Kombi kann jedoch Einschränkungen haben: Einige Hersteller nutzen für eingehenden Verkehr eine sogenannte Pseudo-DMZ. Dabei wird eine Exposed-Host-Konfiguration aktiviert, auf die jene Pakete weitergeleitet werden, die nicht den Rechnern in Intranet zugeordnet werden können. Exposed-Host-Konfigurationen entsprechen nicht unserer Vorstellung einer sauberen DMZ-Konfiguration.

Zusammenfassung

Die Implementierung einer mehrstufigen, multi vendor Firewall-Infrastruktur kann am Übergang vom Praxisnetzwerk zum öffentlichen Netzwerk wirtschaftlich umgesetzt werden. Durch Verzicht auf Redundanz und das Zusammenlegen von gleichartigen Funktionen kann die Cyber-Security-Strategie auf ansprechendem Niveau umgesetzt werden. 

Empfehlung einer wirtschaftlichen Firewall-Kaskade (P-A-P) als Netzwerk-Perimeter-Infrastruktur
Empfehlung einer wirtschaftlichen Firewall-Kaskade (P-A-P) als Netzwerk-Perimeter-Infrastruktur

Das Security-Monitoring der abgebildeten Konfiguration wird in einem späteren Artikel behandelt.