1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

26
1 Firewalls Firewalls Firewalls Firewalls von von Hendrik Lennarz Hendrik Lennarz

Transcript of 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

Page 1: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

1

FirewallsFirewalls

Firewalls Firewalls

vonvon

Hendrik LennarzHendrik Lennarz

Page 2: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

2

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 3: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

3

FirewallsFirewalls

• Sicherheitskonzepte für IT-Landschaften sind unabkömmlich

• Sensible Daten erfordern Schutz von Firewall-Systemen

• Von einfachen Personal Firewalls bis hin zu komplexen Firewall-Systemen

• Unterscheidung der verschiedenen Ansätze bezüglich:

- Technik- Realisierung - Einsatzmöglichkeiten

1. Einleitung1. Einleitung

Page 4: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

4

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 5: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

5

FirewallsFirewalls

• FW sichert und kontrolliert den Übergang zwischen zu schützendem Netz und unsicherem öffentlichen Netz

1. Funktion als Brandschutzmauer

2. Funktion als elektronischer Pförtner

• Voraussetzung:

Existenz eines Sicherheitskonzepts

2.2. ZieleZiele

Page 6: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

6

FirewallsFirewalls

• Ziele nach Pohlmann:

- Zugangskontrolle auf NW-Ebene / Benutzerebene / Datenebene

- Rechteverwaltung- Kontrolle auf der Anwendungsebene- Entkopplung von Diensten- Protokollauswertung / Beweissicherung- Alarmierung- Verbergen der internen Netzstruktur- Vertraulichkeit der Nachrichten

2. ZieleZiele

Page 7: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

7

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 8: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

8

FirewallsFirewalls

3.1 Aktive Elemente3.1 Aktive Elemente

Page 9: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

9

FirewallsFirewalls

• Kontrolle der ein-/ausgehenden Pakete• Vergleicht die Daten des Paketheaders der

jeweiligen Kommunikationsebene mit den definierten Regeln

3.2 Paket Filter3.2 Paket Filter

Page 10: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

10

FirewallsFirewalls

• Statisch:

Eingangsmodul prüft die Richtung des Pakets

Netzzugangsebene analysiert Ziel- /Quelladressen des Ethernet MAC-Frames

Netzwerkebene überprüft Quell-/Ziel-IP

Transportebene (UDP, TCP) vergleicht Quell-/Ziel-Ports

Flag-, IP-Optionen- oder Code-Bits-Felder gewährleisten weitere Filtermöglichkeiten

3.2 Paket Filter3.2 Paket Filter

Page 11: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

11

FirewallsFirewalls

• Dynamisch:

bei UDP-Protokoll

temporäre Anpassung der Filterregeln durch Merken der IPs und Ports

• Benutzerorientiert:

Benutzer muss sich bei PF authentisieren

(z.B. mit Chipkarte und PIN)• Zustandsorientiert (stateful inspection):

interpretiert Pakete auch auf höherer Ebene und speichert Statusinformationen für jede

Verbindung

3.2 Paket Filter3.2 Paket Filter

Page 12: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

12

FirewallsFirewalls

• Realisierung im Router:

kostengünstig

für nicht sehr sicherheitsrelevante Daten

viele Nachteile

• Realisierung als seperate Komponente

kostenaufwendiger

Konzentration auf das Wesentliche

Umsetzung einer Sicherheitspolitik

3.2 Paket Filter3.2 Paket Filter

Page 13: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

13

FirewallsFirewalls 3.3 Application Gateway3.3 Application Gateway

Page 14: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

14

FirewallsFirewalls

• Software die Paketübertragung zwischen den beiden Schnittstellen im AG realisert

• Keine Routingfunktionalität !• SMTP, FTP, Telnet • HTTP beinhaltet:

Befehl-Filter

URL-Blocker

• Filter für aktive Inhalte, Malware, Java-Applets …

3.3 Proxy-Technik 3.3 Proxy-Technik

Page 15: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

15

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 16: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

16

FirewallsFirewalls

Alternative Merkmale Anwendungsgebiete

Ausschliesslich Paket-Filter

• Benutzung nur von erlaubten Ports und Protokollen• kontrollierte Auswertung protokollierter Ereignisse

• Reicht zur Ankopplung an unsichere Netze nicht aus• Mit Verschlüsselung für das Intranet geeignet

Ausschliesslich Application Gateway

• nur Dienste ausführbar, für die Proxy installiert ist• Zugangskontrolle auf Benutzerebene• Anwendungsfilter•Verbergen der Netzstruktur

• Koppeln von zwei Netzen mit vergleichbarem Schutzniveau

4. Konzepte / Lösungen 4. Konzepte / Lösungen

Page 17: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

17

FirewallsFirewalls

Alternative Merkmale Anwendungsgebiete

Paket-Filter + single-homed Application Gateway

• eigentliche Sicherheit vom PF• AG stellt weitere Mechanismen zur Verfügung• sehr flexibel

• nicht für die Anbindung ans Internet

Paket-Filter + dual-homed Application Gateway

• Höchstmaß an Gesamtsicherheit• Verwendung unterschiedlicher Einbindungs- und Analysekonzepte

• für Netze ohne besonders hohen Schutzbedarf ist die Anbindung ans Internet möglich

Single-homed:Pakete kommen und gehen über dieselbe Schnittstelle

Dual-homed:Zwei SchnittstellenSomit kann nicht am AG vorbeigeroutet werden

Single-homed:Pakete kommen und gehen über dieselbe Schnittstelle

Dual-homed:Zwei SchnittstellenSomit kann nicht am AG vorbeigeroutet werden

4. Konzepte / Lösungen 4. Konzepte / Lösungen

Page 18: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

18

FirewallsFirewalls

Alternative Merkmale Anwendungsgebiete

Screened Subnet + single-homed Application Gateway

• Sehr flexibel, weil alle Elemente gut zu konfigurieren• Paket-Filter leistet Großteil der Sicherheitsmaßnahmen

• nicht für die Anbindung ans Internet • aber für besonders schutzwürdige Einheiten im Intranet

Screened Subnet, dual-homed AG und seperates Security Management

(High-Level Security Firewall-System)

• besonders hohes Maß an Gesamtsicherheit• AG im Subnet• Kontrolle auf allen Protokollebenen

• auch Netze mit hohem Schutzbedarf können an das Internet gekoppelt werden

(De-Militarised Zone)

Isoliertes Teilnetzwerk zwischen den Netzen

Paket-Filter am Eingang sowie am Ausgang

(De-Militarised Zone)

Isoliertes Teilnetzwerk zwischen den Netzen

Paket-Filter am Eingang sowie am Ausgang

4. Konzepte / Lösungen 4. Konzepte / Lösungen

Page 19: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

19

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 20: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

20

FirewallsFirewalls

• Internet Server/Intranet Security

sollten nur Daten halten, die auch für die Öffentlichkeit bestimmt sind

Server wird vor oder hinter HLSS installiert, um Zugriff auf das Intranet zu vermeiden

Einsatz von weiteren Paket-Filtern

Verschlüsselung (VPN-Box) ermöglicht eine Sicherung des lokalen Intranets (Intranet Security)

ermöglicht Abschotten von verschiedenen Organisationseinheiten in einem Unternehmen

5. Der praktische Einsatz 5. Der praktische Einsatz

Page 21: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

21

FirewallsFirewalls

• Virenscanner

Problem: stündlich neue Viren, demnach keine aktuellen Scanner

Alternativen:

- Lösung im zentralen Mail-Server

- single-homed Viren-Scanner im Intranet

(Store-and-Forward-Prinzip)

am besten:

- Viren-Scanner an unterschiedlichen Stellen installieren

5. Der praktische Einsatz 5. Der praktische Einsatz

Page 22: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

22

FirewallsFirewalls 5. Der praktische Einsatz 5. Der praktische Einsatz

Internet

Intranet

Rechnermit Virenscanner

Page 23: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

23

FirewallsFirewalls

• Personal Firewall

für Privatrechner oder Arbeitsplatzrechner

In Unternehmen als Zusatz zum zentralen FW-System

sollen möglichst Lücken schliessen die vom zentralen System auf der Datenebene nicht erkannt wurden wie z.B.:

- Back Doors, Interne Angriffe, Maleware, aktive Inhalte von Webseiten und bösartige Email-Anhänge

5. Der praktische Einsatz 5. Der praktische Einsatz

Page 24: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

24

FirewallsFirewalls

• Tunnel-Problematik

Technik zur Umgehung von Restriktionen einer Firewall

alle erlaubten Protokolle können getunnelt werden

Port-80 Tunnel:

- senden von Daten, eingebettet in ein HTTP-Protokoll, an einen modifizierten Server im Internet

- Firewall lässt HTTP-Paket durch

- Server verarbeitet Daten und packt seine Antwort wiederum in HTTP-Pakete ein

5. Der praktische Einsatz 5. Der praktische Einsatz

Page 25: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

25

FirewallsFirewalls

1. Einleitung2. Ziele einer Firewall3. Paket-Filter/Application Gateway4. Konzepte / Lösungen5. Der praktische Einsatz6. Fazit

Page 26: 1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz.

26

FirewallsFirewalls

• Grundlage für Anbindung ans Internet ist ein lückenloses Sicherheitskonzepts

• nicht nur technische Umsetzung von Schutzmaßnahmen

Sensibilisierung von Mitarbeitern• Firewalls versuchen Sicherheitslücken von Software und

Protokollen zu stopfen

liefern dafür eigentlich geeignete Maßnahmen

Probleme:

- Tunneling

- Back-Doors

- Interne Angriffe

- Benutzer fühlt sich zu sicher

6. Fazit 6. Fazit