In heutigen IT-Umgebungen spielt das Thema Sicherheit eine immer größere Rolle. Im Gegensatz zu früher
sind die Netzwerke von Unternehmen nicht mehr physikalisch in sich abgeschlossen; dann kann von einer zumindest gegenüber Angriffen von außen sicheren Umgebung gesprochen werden. Den eigenen
Mitarbeitern wird vertraut, was meistens wohl auch richtig sein mag. Bei hohen Ansprüchen an die Sicherheit, wenn beispielsweise vertrauliche Kundendaten über das unternehmensinterne Netzwerk abrufbar sind oder auch hier "nur" verwaltet werden, sollen unter Umständen nur bestimmte Personen auf diese Daten Zugriff haben. Dann müssen weitere Schutzmechanismen greifen, damit das notwendige
Sicherheitsniveau eingehalten wird.
Speziell durch die heutige übliche Öffnung von Netzwerken nach außen sowie zum Internet braucht es Schutzmechanismen, damit Fremde nicht auf die vertraulichen Daten eines
Unternehmens zugreifen können. Einerseits ist die Kopplung von Netzwerken zwischen Unternehmen, die in bestimmten Bereichen zusammenarbeiten, heute normal; nicht immer herrscht
aber zwischen den Unternehmen ein unbeschränktes Vertrauen, weshalb sind an dieser Stelle Sicherheitsmaßnahmen ergriffen werden müssen. Andererseits sind diese auch notwendig,
wenn das Unternehmen seine IT-Struktur an das Internet anbindet. Ein Anschluss an das Internet für Unternehmen ist heute unumgänglich - und sei es "nur", um mit Kunden, Partnern oder
Interessenten per E-Mail zu kommunizieren oder sich selbst im Internet mit einem Web-Server, der im unternehmenseigenen Netzwerk steht, zu präsentieren oder sogar Umsatz zu
generieren.
Die Sicherheitsmechanismen, die heute implementiert werden müssen, sollen einerseits das vertrauenswürdige Netzwerk physikalisch von einem oder mehreren nicht vertrauenswürdigen
Netzwerken trennen und effektiv schützen. Andererseits besteht aber auch eine Anforderung darin, dass eine gewisse Kommunikation möglich ist. Daneben besteht heute oft die
Notwendigkeit, Benutzer sicher zu authentisieren oder eine vertrauliche Datenübertragung zu tätigen. Letzteres wird in Form von Virtual Private Networks (VPN) umgesetzt. Hierbei werden
die zu übertragenden Daten zwischen zwei festen Punkten verschlüsselt und damit sind sie von Fremden nicht mehr ohne weiteres auswertbar.
Durch die Knappheit von IP-Adressen im heute verwendeten Internet Protocol Version 4 sind viele Unternehmen gezwungen, eine Network Address Translation (NAT) einzusetzen. Damit
können Unternehmen im internen Netzwerk "beliebige" Adressen verwenden.
Bevor aber Datenpakete in das Internet geschickt werden, erfolgt am Übergang zum Internet ein Austausch der IP-Absenderadresse in eine offizielle Adresse, die im Internet geroutet wird
und auf das Unternehmen registriert ist.
Viele der heute gewünschten Maßnahmen sind über Router und andere Geräte umsetzbar. Die Check Point FireWall-1/VPN-1 bietet als Sicherheitslösung diese und mehr Möglichkeiten. Es
handelt sich hierbei um eine reine Software-Lösung, die auf das Betriebssystem einer Maschine aufsetzt. Mindestens jede vierte Sicherheitslösung, die weltweit installiert wird, setzt die
Check Point FireWall-1/VPN-1 ein. Diese Lösung kann auch als eine Art "All-in-One" gesehen werden. Wenn die Sicherheitspolitik des Unternehmens dies vorsieht, kann durchaus die Check
Point FireWall-1/VPN-1 das richtige Werkzeug zur Absicherung des Unternehmens-Netzwerks sein - sie ist es aber nicht zwangsläufig in jedem Fall. Auch andere Firewalls haben ihre
Vorteile, so dass auf keinen Fall die Check Point FireWall-1/VPN-1 immer als die einzige und optimale Lösung angesehen werden darf! Beispielsweise kann auch die Sicherheitspolitik des
Unternehmens fordern, dass die Sicherheitslösung möglichst einfach und wenig komplex sein muss oder auf einem proprietären und damit auch für Angreifer unbekannten Betriebssystem
aufsetzt. Dann ist die komplexe Lösung FireWall-1/VPN-1, die auf verschiedene Standard-Betriebssysteme aufsetzt, nicht immer einsetzbar.
Das Arbeitsprinzip der Check Point FireWall-1/VPN-1 bietet viele Vorteile, fordert vom Administrator allerdings eine gute Ausbildung und ein hohes Maß an Verantwortungsbewusstsein.
Dieses Buch soll Administratoren helfen, die FireWall-1/VPN-1 genauer kennen zu lernen und zu verstehen, damit eben immer wieder gemachte Fehler bei der Einrichtung und dem Betrieb
der Check Point FireWall-1/VPN-1 umgangen werden.
Die Inhalte dieses Buches beziehen sich hauptsächlich auf die Version 4.1 und 4.0 der Check Point FireWall-1 beziehungsweise VPN-1. Es wird auch auf die Problematik beim Upgrade
einer Check Point FireWall-1 eingegangen. Die sich durch die Einführung der "Next Generation" ergebenden Änderungen werden Bestandteil der zweiten Auflage sein, da diese Version
derzeit noch nicht überall verfügbar ist beziehungsweise produktiv eingesetzt wird.
Wenn in diesem Buch häufig lediglich die Rede von einer FireWall-1 ist, meint dieses gleichzeitig auch die VPN-1. Letztere ist eigentlich genau das Gleiche wie eine FireWall-1 - nur dass
die Möglichkeiten zur Verschlüsselung vorhanden sind.
Kommentare, Anfragen und Kritik zu diesem Buch bitte per E-Mail an "mleu@ leu.de" - vielen Dank.
Danksagung
An diesem Buch haben mir viele Freunde, Kollegen und Mitarbeiter geholfen, denen ich an dieser Stelle danken möchte.
Mein besonderer Dank gilt meiner Frau Rubina, die die Entstehungsphase dieses Buches mit allen Höhen und Tiefen miterlebt hat. Weihnachten 1999 und ein erstes Buch über die Check
Point FireWall-1 - da reifte der Entschluss, dieses Buch in deutscher Sprache zu schreiben. Ich meinte, dass es in ungefähr einem halben Jahr fertig sein würde, und inzwischen ist der zweite
Sommer vergangen. Rubina hatte immer Verständnis und vor allem viel Geduld mit mir - herzlichen Dank!
Unermüdlich waren auch viele andere, die einzelne Passagen oder auch das ganze Manuskript vor Ihnen gelesen und vor allem viele Korrekturen und Verbesserungsvorschläge eingebracht
haben. Stellvertretend für viele möchte ich hier speziell Thorsten Bauder, Dr. Peter Bieringer, Harald Geiger, Martin Krafft und Udo Schneider danken. Ihre vielen Tipps haben dieses Buch
erst zu dem werden lassen, was es unter dem Strich geworden ist.
Schließlich möchte ich auch dem Computer- und Literaturverlag danken, dass er die Veröffentlichung des Buches ermöglichte und dabei so viel Geduld mit dem Abgabetermin
zeigte.
Matthias Leu
Der Autor:
Dr. Matthias Leu stammt aus Hamburg, das er 1980 verließ, um in München zu studieren. Heute arbeitet der diplomierte Physiker und promovierte Ingenieur der Elektrotechnik als
Geschäftsführer der AERAsec Network Services and Security GmbH in Hohenbrunn bei München.
Seit 1989 im Internet, hat er sich frühzeitig auf das Thema Netzwerksicherheit spezialisiert. Seine erste Installation einer Check Point FireWall-1 Version 1.02 erfolgte im Jahre 1995.
Seitdem hat er unzählige FireWall-1 beziehungsweise VPN-1 installiert, auditiert und im Bereich Troubleshooting "repariert". Als zertifizierter CCSI führt er für ATCs auch Ausbildungen zum
CCSA und CCSE durch, wobei ihm immer die praktische Komponente dieser Seminare am Herzen liegt.
|
