Nach Kundenwunsch vorkonfigurierte Firewall-Appliance

Korrekte Firewall-Regeln zu zimmern ist für viele Anwender sehr problematisch, stehen sie doch ständig in der Gefahr, unwissentlich durch eine Fehlkonfiguration Sicherheitslöcher aufzureißen. Solche fehlerhaften Firewalls sind oft ein größeres Sicherheitsrisiko als ein nicht vorhandener Paketfilter, da der Admin im Vertrauen auf ein dichtes Netz Angriffe schlicht übersieht.

Genau an diesem Faktor Mensch setzt die am mathematischen Institut der Universität Göttingen[8] entwickelte Bluebox an. Nicht der Admin vor Ort konfiguriert die Linux-Appliance, sondern der Bluebox-Vertriebspartner. Der - so die Idee - verfügt über ausreichend große Fachkenntnis und Routine, um auch in exotischen Konstellationen eine saubere Firewall zu konstruieren. Zudem entfällt auf dem Gerät der potenziell verwundbare Webserver, über dessen HTML-Interface der Admin normalerweise das Setup tätigt.

Ob das Konzept der Bluebox aufgeht und ob sie auch Software-seitig den vielfältig denkbaren Angriffsszenarien standhält, klärt dieser Test.

Testkonfiguration

Dazu bestellte das Linux-Magazin bei einem der beiden Vertriebspartner ([1],[2]) eine Bluebox. Der Auftrag an dessen Vertrieb lautete, die Firewall so zu konfigurieren, dass sie das in Abbildung 1 dargestellte Netzwerk vor Zugriffen von außen schützt. Zudem sollte das Gerät die internen Hosts so reglementieren, dass ihre Nutzer neben HTTP, HTTPS und SSH nach überall nur via SMTP auf den SMTP-Server in der Demilitarized Zone (DMZ) zugreifen dürfen.

Zwei Nutzer im LAN, deren IP-Adressen die Tester explizit nannten, sollten auch den AOL Instant Messenger (AIM) nutzen dürfen. Das interne Netz musste via Network Address Translation (NAT) Zugang nach außen haben. Zur Namensauflösung dürfen die lokalen Nutzer und jene in der DMZ nur den DNS-Server der DMZ erreichen. Die Server in der DMZ sollten von überall für alle erreichbar sein - so wie allerorts üblich.

Tückisch für die Firewall ist der in der DMZ liegende FTP-Server. Bei ungeschickter Konfiguration kann FTP im Passive-Modus ein erhebliches Sicherheitsloch in die Firewall-Konfiguration reißen, da der Server auf allen Highports auf Verbindungsversuche eines Clients reagieren muss. Da auch MySQL standardmäßig auf einem Highport, nämlich 3306, lauscht, steht in der DMZ zusätzlich ein solcher Server. Die Anforderungen schienen die beauftragte Bluebox-Firma nicht weiter zu beeindrucken. Sie wies nur auf die Gefahr von Klartextpasswörtern bei FTP hin und versprach die Firewall zügig zuzusenden.

Blaue Hardware

Tatsächlich traf die Bluebox einige Tage später ein (Abbildung 2). Die Hardware beruht auf einem Lex Thin Client[3] mit einem VIA-Eden-Prozessor (533 MHz) und drei Realtek-100-MBit-Netzwerkports on Board. Das Gerät kommt ohne bewegte Teile aus, arbeitet also lautlos und Strom sparend. Aufgabe des Vertriebspartners ist es, die Bluebox professionell zu konfigurieren. Das Betriebssystem und die Konfiguration der Firewall sind auf je einem per Hardwareschalter schreibgeschützten USB-Stick gespeichert. Zweifellos erleichtert dieses Medium Updates der Konfiguration: Stick auswechseln - fertig.

Abbildung 1: Der Bluebox-Vertrieb erhielt dieses Testsetup inklusive verwendeter IP-Adressen und sollte das Gerät entsprechend konfigurieren. Tückisch ist der FTP-Server in der entmilitarisierten Zone.

Der Konfigurations-Stick steckt im Front-USB, der fürs Betriebssystem an der Rückseite, was laut Hersteller auch unveränderlich ist. Beim rückseitigen Stick ist das gleichgültig, da hier sowieso viele Kabel die Sicht versperren. An der Frontseite ragt der USB-Stick aber allein und somit mechanisch gefährdet heraus. Da das Betriebssystem selbst seltener zu updaten ist, wäre hierfür eine Compactflash im Gehäuse geschickter. Ein CF-Adapter ist nämlich bei dem Gerät sowieso on Board.