1 Einleitung
ISO 27033-4
Die ISO/IEC 27033-4 [1], Information technology – Security techniques – Network security – Securing communications between networks using security gateways, gibt Anleitung zur Absicherung von Netzwerken mittels Security Gateways. Dazu zählen u. a. Firewalls, Application Level Gateways und Intrusion-Detection-Systeme.
Die ISO/IEC 27033-4 [1], Information technology – Security techniques – Network security – Securing communications between networks using security gateways, gibt Anleitung zur Absicherung von Netzwerken mittels Security Gateways. Dazu zählen u. a. Firewalls, Application Level Gateways und Intrusion-Detection-Systeme.
Die Anfangskapitel des Standards gehen nach der Einleitung wie üblich ein auf den Geltungsbereich des Standards sowie normative Referenzen und enthalten Begriffe und deren Definitionen sowie Abkürzungen und die Kapitelstruktur des Standards.
Kapitel
Den Anfangskapiteln des Standards schließen sich die folgenden Kapitel an:
Den Anfangskapiteln des Standards schließen sich die folgenden Kapitel an:
| • | Überblick |
| • | Bedrohungen |
| • | Sicherheitsanforderungen |
| • | Sicherheitsmaßnahmen (security controls) |
| • | Entwurfstechniken |
| • | Richtlinien für die Produktauswahl |
2 Kapitelinhalte
Überblick
Security Gateways befinden sich an der Grenze zwischen Netzsegmenten. Sie filtern den Datenverkehr gemäß einer festgelegten Policy. Security Gateways sind beispielsweise angesiedelt zwischen dem unternehmensinternen und dem öffentlichen Netzwerk, zwischen dem unternehmensinternen und dem unternehmenseigenen WLAN oder zwischen dem unternehmensinternen und dem unternehmenseigenen Extranet, über das z. B. Geschäftspartner angebunden sind.
Security Gateways befinden sich an der Grenze zwischen Netzsegmenten. Sie filtern den Datenverkehr gemäß einer festgelegten Policy. Security Gateways sind beispielsweise angesiedelt zwischen dem unternehmensinternen und dem öffentlichen Netzwerk, zwischen dem unternehmensinternen und dem unternehmenseigenen WLAN oder zwischen dem unternehmensinternen und dem unternehmenseigenen Extranet, über das z. B. Geschäftspartner angebunden sind.
Eine besondere Rolle spielt die demilitarisierte Zone (DMZ) zwischen dem Internet und dem Intranet des Unternehmens. In der DMZ sollte zum einen jegliche externe Verbindung zu einem Dienst terminiert werden. Zum anderen sollten Systeme in der DMZ keinen oder nur geringen Zugang zu internen Systemen haben. Dadurch haben Angreifer im ersten Schritt nur Zugang zu Systemen in der DMZ.
Bedrohungen
Die ISO/IEC 27033-4 nennt sieben Bedrohungen, vor denen sich Unternehmen schützen müssen, um ihre Dienste verfügbar zu halten sowie die Ressourcennutzung und den Informationszugriff nur Berechtigten zu ermöglichen. Zu diesen sieben Bedrohungen gehören u. a. Denial-of-Service-Attacken, die unberechtigte Nutzung unternehmenseigener Ressourcen sowie die unberechtigte Bekanntmachung von Daten.
Die ISO/IEC 27033-4 nennt sieben Bedrohungen, vor denen sich Unternehmen schützen müssen, um ihre Dienste verfügbar zu halten sowie die Ressourcennutzung und den Informationszugriff nur Berechtigten zu ermöglichen. Zu diesen sieben Bedrohungen gehören u. a. Denial-of-Service-Attacken, die unberechtigte Nutzung unternehmenseigener Ressourcen sowie die unberechtigte Bekanntmachung von Daten.
Sicherheitsanforderungen
Security Gateways schützen entweder den Zugang zu einem Netzwerk auf den Ebenen 2 bis 4 des OSI(Open System Interconnection)-Modells oder den Zugang zu einer Applikation auf den OSI-Ebenen 5 bis 7. Die ISO/IEC 27033-4 nennt sieben Sicherheitsanforderungen, die mittels Security Gateways erfüllt werden können. Dazu gehören u. a. die logische Netzsegmentierung, die Zugangskontrolle zum unternehmenseigenen Netzwerk und die Maskierung des internen Netzwerks. In einer Matrix veranschaulicht die ISO/IEC 27033-4, welcher der sieben Bedrohungen welche der sieben Sicherheitsanforderungen gegenübersteht.
Security Gateways schützen entweder den Zugang zu einem Netzwerk auf den Ebenen 2 bis 4 des OSI(Open System Interconnection)-Modells oder den Zugang zu einer Applikation auf den OSI-Ebenen 5 bis 7. Die ISO/IEC 27033-4 nennt sieben Sicherheitsanforderungen, die mittels Security Gateways erfüllt werden können. Dazu gehören u. a. die logische Netzsegmentierung, die Zugangskontrolle zum unternehmenseigenen Netzwerk und die Maskierung des internen Netzwerks. In einer Matrix veranschaulicht die ISO/IEC 27033-4, welcher der sieben Bedrohungen welche der sieben Sicherheitsanforderungen gegenübersteht.
Sicherheitsmaßnahmen
Kapitel 9.1 des Standards weist darauf hin, dass es ein dokumentiertes und implementiertes Regelwerk geben sollte, damit Security Gateways nur gültige Nutzer und zulässigen Datenverkehr durchlassen. Dabei sollten Identifikation und Authentisierung, Zugangskontrolle und Protokollierung eingesetzt werden.
Kapitel 9.1 des Standards weist darauf hin, dass es ein dokumentiertes und implementiertes Regelwerk geben sollte, damit Security Gateways nur gültige Nutzer und zulässigen Datenverkehr durchlassen. Dabei sollten Identifikation und Authentisierung, Zugangskontrolle und Protokollierung eingesetzt werden.
In weiteren Unterkapiteln von Kapitel 9 beschreibt die ISO/IEC 27033-4 die Funktionalitäten von Paketfiltern, Application Firewalls, Inhaltsfilterung (content filtering), Intrusion-Prevention- und Intrusion-Detection-Systemen sowie die Aufgaben eines Security Management Application Programming Interface (API) zur zentralisierten Steuerung der Security Gateways.
Entwurfstechniken
Kapitel 10.1 des Standards beschreibt als Security-Gateway-Komponenten Switches, Router, Application Level Gateways (ALG), Security Appliances sowie Monitoringfunktionen. Kapitel 10.2 erläutert Architekturen, nämlich die Paketfilterarchitektur, die Dual-Homed-Gateway-Architektur, die Screened-Host-Architektur und die Screened-Subnet-Architektur. Bei der Screened-Subnet-Architektur entsteht zwischen zwei Routern ein abgeschirmtes (screened) Netzwerk, das verschiedentlich als demilitarisierte Zone (DMZ) oder Perimeternetzwerk bezeichnet wird. Innerhalb dieses Subnetzwerks befinden sich ein ALG und beispielsweise Web-Server, E-Mail-Server und DNS-Server.
Kapitel 10.1 des Standards beschreibt als Security-Gateway-Komponenten Switches, Router, Application Level Gateways (ALG), Security Appliances sowie Monitoringfunktionen. Kapitel 10.2 erläutert Architekturen, nämlich die Paketfilterarchitektur, die Dual-Homed-Gateway-Architektur, die Screened-Host-Architektur und die Screened-Subnet-Architektur. Bei der Screened-Subnet-Architektur entsteht zwischen zwei Routern ein abgeschirmtes (screened) Netzwerk, das verschiedentlich als demilitarisierte Zone (DMZ) oder Perimeternetzwerk bezeichnet wird. Innerhalb dieses Subnetzwerks befinden sich ein ALG und beispielsweise Web-Server, E-Mail-Server und DNS-Server.
Richtlinien für die Produktauswahl
Kapitel 11 der ISO/IEC 27033-4 gibt Anleitung für den Produktauswahlprozess. Dabei geht der Standard u. a. ein auf die Auswahl der Security-Gateway-Architektur und geeignete Komponenten, die Auswahl der Hardware- und Software-Plattform, die Konfiguration, Leistungsmerkmale für Administration, Protokollierung und Protokollauswertung sowie Schulungs- und Hochverfügbarkeitsaspekte.
Kapitel 11 der ISO/IEC 27033-4 gibt Anleitung für den Produktauswahlprozess. Dabei geht der Standard u. a. ein auf die Auswahl der Security-Gateway-Architektur und geeignete Komponenten, die Auswahl der Hardware- und Software-Plattform, die Konfiguration, Leistungsmerkmale für Administration, Protokollierung und Protokollauswertung sowie Schulungs- und Hochverfügbarkeitsaspekte.
Quellen
1
ISO/IEC 27033-4, Information technology – Security techniques – Network security – Securing communications between networks using security gateways, International Organization for Standardization (ISO), 2014