Security-/NAT-Gateway (Secomat)
Systeme innerhalb des Münchner Wissenschaftsnetzes (MWN) mit privaten IP-Adressen brauchen für viele Internetdienste eine offizielle IP-Adresse. Die Umsetzung der privaten in eine öffentliche IP-Adresse erfolgt durch ein sogenanntes NAT-Gateway. Zeitgleich werden an dieser Schlüsselstelle verschiedene Security-Überprüfungen durchgeführt.
Inhalt
- Vorbemerkung
- NAT
- Verhinderung von Portscans, Denial of Service und Spam-Angriffen
- Technische Realisierung
- Fragen & Antworten
Vorbemerkung
| NAT | Network Address Translation | Netzwerkadressübersetzung |
Jeder Rechner benötigt zur Kommunikation im Internet und MWN eine IP-Adresse. Rechner mit privaten IP-Adressen, die vom LRZ zugewiesen werden, können ohne weiteres Zutun innerhalb des MWNs kommunizieren, jedoch nicht über die Grenzen des MWNs hinaus ins Internet. Damit diese Rechner bei Bedarf die MWN-Grenze überschreiten können, betreibt das LRZ ein zentrales NAT-Gateway mit dem Projektnamen Secomat. Wie der Name bereits vermuten lässt, hat der Secomat noch andere Funktionen: er kann z.B. die Datenübertragungsrate begrenzen oder verschiedene Angriffsszenarien erkennen und unterbinden.
In einigen Studentenwohnheimen (z.B. in der Studentenstadt Freimann) werden eigene Router, Gateways und Proxy-Server betrieben. Der Internetzugang wird hier nicht über den Secomat des LRZ ermöglicht.
NAT
| SNAT | Source Network Address Translation | Source NAT |
IP-Adressen aus bestimmten Bereichen (z.B. 10.155.1.1) werden als privat bezeichnet (RFC 1918), da Datenpakete mit solchen IP-Adressen nicht im Internet weitergeleitet - geroutet - werden.
Hat ein Rechner im MWN eine private IP-Adresse, so kann kein Paket aus dem Internet diesen direkt erreichen. Rechner mit privaten IP-Adressen sind damit automatisch vor (Hacker-)Angriffen aus dem Internet geschützt. Ebenso kann jedoch kein Datenpaket mit einer privaten IP-Adresse das MWN verlassen und Dienste außerhalb des MWNs nutzen. Private IP-Adressen schützen somit vor Zugriffen aus dem Internet, verhindern aber auch den Datenverkehr nach außen. Siehe hierzu auch: Welchen Vorteil bieten private IP-Adressen?
NAT ist eine Möglichkeit, die Grenze privater IP-Adressen bei Bedarf zu überwinden. Datenpakete einer Verbindungsanfrage mit privater Quell-IP-Adresse werden dabei von einem NAT-Gateway mit einer öffentlichen, d.h. weltweit im Internet nutzbaren Quell-IP-Adresse versehen und ins Internet weitergeleitet. Dieses Verfahren wird Source NAT genannt und im Prinzip auch bei leitungsgebunden Internetanschlüssen im Privatkundenbereich (DSL, Kabelanschlüsse) verwendet. Dabei wird sicher gestellt, dass Verbindungen nur zustande kommen, wenn sie vom privaten Netz aus aufgebaut werden, nicht aber von außen (also aus dem Internet).
Verhinderung von Angriffen aus dem MWN
| Scan | Portscanner | |
| DoS | Denial of Service | ( DoS ) und - Distributed Denial-of-Service - ( DDoS ) - BSI |
| DDoS | Distributed Denial of Service | ( DoS ) und - Distributed Denial-of-Service - ( DDoS ) - BSI |
Zur Verhinderung von Scan-, DoS- und DDoS-Angriffen, die von Rechnern im MWN ausgehen, wird während einer Verbindung die Anzahl der Pakete von und zu bestimmten Zielen gemessen. Die Messwerte werden mit definierten Obergrenzen verglichen, die protokollabhängig empirisch bestimmt werden:
- Rechner, die einen bestimmen Ziel-Port auf vielen verschiedenen Ziel-Rechnern erreichen wollen, werden als DoS- oder Scan-Angreifer klassifiziert.
- Rechner, die mit vielen (gefälschten) Quell-IPs einen einzigen Ziel-Rechner kontaktieren wollen, werden als DDoS-Angreifer klassifiziert.
- Für die TCP-Ports 25 (SMTP, E-Mail), 80 (HTTP, WWW), 443 (HTTPS, WWW) und den UDP-Port 53 (DNS-Anfragen) gibt es individuelle Obergrenzen.
- Für alle anderen Protokolle gibt es eine großzügige allgemeine Obergrenze.
Wird eine dieser Obergrenzen überschritten, so erhält der Rechner einen "Strafpunkt". Bei 120 Strafpunkten innerhalb eines gleitenden Zeitfensters von 15 Minuten wird davon ausgegangen, dass der Rechner ein abnormales Kommunikationsverhalten zeigt und möglicherweise kompromittiert ist (z.B. durch einen Virus). Daraufhin erfolgt die automatische Sperrung des Rechners am Internet-Zugang. Benützt ein Anwender auf dem blockierten Rechner einen Web-Browser, so wird dieser während der Blockade auf eine WWW-Seite umgeleitet, die einen Hinweis auf die Blockade und einen Link zur AntiVirus-Seite des LRZ enthält. Werden die 120 Strafpunkte innerhalb von 15 Minuten wieder unterschritten, so wird der Rechner - wiederum automatisch - freigeschaltet.
Die Policies für die Beschränkung unerwünschter Pakete sind ausführlicher hier beschrieben.
Trotz dieser Maßnahmen ist jeder Benutzer auch weiterhin selbst für die Sicherheit seines Rechners verantwortlich. Hierzu gehört ein aktuelles Betriebssystem, der Einsatz eines aktuellen Virenscanners und der vorsichtige Umgang mit Programmen, die auf das Internet zugreifen.
Technische Realisierung
Der Secomat ist kein kommerzielles Produkt, sondern eine Eigenentwicklung. Die Kernkomponente des Secomats ist der Linux-Firewall-Mechanismus Netfilter/Iptables. Neben Regeln für NAT gibt es hier auch Regeln (Hashlimits) gegen DoS, DDoS, Portscans und Schadprogramme (Malware). Den Rahmen bilden verschiedene Linux-Standard-Dienste, die über eine Reihe von selbst entwickelten Bash- und Perl-Skripte gesteuert werden. So werden z.B. Firewall-Logs analysiert oder grafische Auswertungen via RRDtool (http://www.rrdtool.org) erzeugt. Der Datenverkehr wird gleichmäßig auf mehrere, identisch konfigurierte Linux-Server verteilt, die einen hochverfügbaren Cluster bilden. Für die Hochverfügbarkeit sorgen die Software-Pakete Corosync und Pacemaker.
Fragen & Antworten
Siehe FAQs.