zur Übersicht

Interne Systeme – öffentlich zugänglich und trotzdem geschützt?!

Jeder IT-Mitarbeiter kennt die Abwägung: interne System möchte man bestmöglich schützen und daher, von außen nicht zugänglich, absichern. Doch auch aufgrund von Corona und dem daraus resultierendem Homeoffice, ist es heute nicht mehr realistisch, dass interne Systeme gänzlich aus dem öffentlichen Zugriff raus gehalten werden. So möchte man Produkte z.B. über einen Webshop anbieten/verkaufen, externen Mitarbeitern den Zugriff auf E-Mail-Konten oder andere Systemen gewähren und selbst um E-Mails überhaupt empfangen zu können, müssen Sie Ihre Türen ein Stück weit öffnen

Somit ist es erforderlich, Regeln auf einer vorgeschalteten Firewall festzulegen, die Sie vor möglichen, kriminellen Zugriffen schützen. In unserem Blog-Beitrag „Die Firewall als eine Art Bodyscanner" ging es darum, dass sich eine Firewall genau anschauen sollte, welche Art Datenverkehr über diese Öffnung im Schutzwall transportiert wird. Aber es gibt mittlerweile viele (Angriffs-) Szenarien, in denen die Firewall schon vorher ausgetrickst wird, z.B. im Rahmen einer SYN-Flood Attacke.

Am Anfang steht der 3-Way-Handshake

Um zu verstehen, wie eine SYN-Flood Attacke funktioniert, muss man zunächst den Aufbau einer TCP-Verbindung betrachten, sie ist die Basis fast jeder Kommunikation im Web.

Bevor ein Client Daten von einem Server abfragen oder dorthin senden kann, schickt er zunächst ein SYN-(Synchronization) Paket zum Server. Dieses stellt quasi die Frage: „Siehst du mich?“ Der Server schickt darauf ein SYN/ACK(Acknowledgement)-Paket zurück und antwortet mit: „Ja, ich habe dich gesehen. Hast Du auch meine Antwort auch bekommen?“ Wenn der Client wiederum dieses Antwortpaket empfängt, quittiert er es mit einem weiteren ACK-Paket, in der Art: „Ja, ich habe deine Antwort auch gesehen.“ Erst nach diesem 3-fachen Handschlag, sind sich beide Kommunikationspartner sicher, dass sie miteinander Daten austauschen können – man spricht hier aufgrund der drei ausgetauschten Initialpakete vom 3-Way-Handshake.

Die Attacke beginnt…

Mit dem ersten SYN-Paket des Clients, startet der Server eine Session und hält in Erwartung des finalen ACK-Pakets die Verbindung offen. Hierfür benötigt er Systemressourcen, im Wesentlichen Speicherkapazität. Bei einer SYN-Flood Attacke ist der Client aber gar nicht an einer echten Kommunikation interessiert, sondern er möchte lediglich den Server in die Knie zwingen. So schickt er statt des einen erwarteten ACK-Paketes viele weitere SYN-Pakete. Mit jedem neuen Paket würde der Server weitere Sessions aufbauen und Speicher reservieren, bis dieser aufgebraucht ist.

Im besten Fall kann der Server dann nur keine neuen Verbindungen (von denen ja durchaus welche legitim sind) mehr annehmen – im schlimmsten Fall hat aber auch das Betriebssystem nicht mehr genug Ressourcen und der Server bootet durch. Eine klassische Denial of Service-(DoS) Attacke

Schützen Sie Ihren Server vor Überlastunglogo_paloalto

Es ist nun der Job der Firewall, einen solchen Angriff zu erkennen und den Server entsprechend zu beschützen – bei Palo Alto geschieht dies in Form von DoS-Protection Profilen.

Der oben beschriebene SYN-Flood-Angriff ist allerdings nur ein Schutzaspekt unter vielen. Anhand der folgenden Screenshots kann man erkennen, dass auch andere Protokolle im Rahmen dieses Schutzprogrammes analysiert werden und die Firewall beim Überschreiten von vorab definierten Schwellwerten entsprechend reagiert.

Je nach Einstellung, wird bei einer niedrigeren Schwelle der Administrator alarmiert, bei entsprechend höherer Schwelle, werden alle Verbindungsversuche einer Quelle, für eine vordefinierte Zeit, blockiert.

Man kann die Firewall hier also als Art Spundwand verstehen, welche den zu schützenden Bereich (Server) vor einer (SYN-) Flut schützt.sc_paloalto_bb2_1

Auch die Firewall selbst braucht Schutz

Ebenso wie sie Drittsysteme vor Angriffen schützen kann, ist die Palo Alto auch in der Lage, sich selbst zu schützen. Schließlich hilft es wenig, wenn zwar der nachgelagerte Webserver sicher ist, aber die Firewall davor, in ihrer Gateway-Funktion in die Knie geht. Die zum Selbstschutz verwendete Zone-Protection ist ganz ähnlich der DoS-Protection aufgebaut. Auch hier gibt es für die unterschiedlichen Protokolle sowohl Alarmierungs- als auch Blockschwellwerte.sc_paloalto_bb2_2

Bereits an der „Action: SYN Cookies“ kann man sehen, dass die Firewall ebenfalls SYN Cookies verwendet - eine Technik, um den Effekt von SYN-Flood-Attacken weiter zu reduzieren. Statt Speicher für halboffene Verbindungen zu verwenden, wird dabei der Verbindungsstatus in der Sequenznummer des SYN/ACK-Paketes kodiert. Wird dieses SYN/ACK-Paket korrekt vom Client beantwortet, baut das Empfängersystem anhand der Sequenznummer tatsächlich die Session auf, erst jetzt wird der erforderliche Speicher reserviert. Wird hingegen das Paket nicht beantwortet, werden keine Ressourcen verschwendet.

Zugriffsbeschränkung nach geografischen Regionen

Bei der Firewall von Palo Alto lassen sich Zugriffe auch auf Basis von geografischen Regionen beschränken. Zwar kann man die Quell-IP für Zugriffsregeln nicht immer angeben, z.B. da User im Homeoffice meistens durch ihre Provider bedingt nur über dynamische IPs verfügen, aber vielleicht wissen Sie ja, dass bestimmte Zugriffe grundsätzlich nur aus Deutschland erfolgen sollen? Dann limitieren Sie den Zugriff doch auf diese Region.

Hierbei macht sich die Firewall die bei der Internet Assigned Numbers Authority (IANA) hinterlegten Information zu IPs und den Ländern, in denen sie registriert sind, zu Nutze. Eine außerhalb von Deutschland registrierter Quell-IP, würde über die unten gezeigt Beispiel-Regel keinen Zugriff auf die veröffentlichte Ressource erhalten. Natürlich besteht die Möglichkeit, die eigene IP zu verschleiern, z.B. über Tor-Browser aber der Aufwand ist vielen Gelegenheitsangreifern zu hoch und die Verwendung von Regionen zur Reduktion des Angriffsvektors somit ein probates Mittel.

sc_paloalto_bb2_3

Fazit

Auch wenn die Betriebsabläufe eine Veröffentlichung interner Ressourcen erfordern, können und sollten Sie Ihre Systeme vor DoS-Attacken beschützen. Die effektive Schutzmechanismen einer Palo Alto Firewall helfen Ihnen, auch in diesem Fall Ihre Infrastruktur sicher und zuverlässig zu betreiben.

Wenn wir Ihnen beim Schutz Ihrer Systeme helfen können und/oder Sie erst mal eine gute Beratung wünschen, vereinbaren Sie gerne einen Termin mit uns.

Vereinbaren Sie einen Beratungstermin mit uns!

Designed by mindandi / Freepik

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net