Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.
-
Upload
baerbel-gerber -
Category
Documents
-
view
218 -
download
4
Transcript of Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.
![Page 1: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/1.jpg)
Firewalls
Ein Vortrag von Oliver Hardt und Michael Tümmel
![Page 2: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/2.jpg)
Übersicht
Einführung Klassische Elemente von FWs Hochgeschwindigkeits- FWs Desktop FWs
![Page 3: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/3.jpg)
Einführung
Grundlagen des IP Protokolls IP Pakete mit variabler Länge TCP, UDP, ICMP Header mit Ursprungs-, Ziel- Adresse
und Port
![Page 4: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/4.jpg)
Was ist eine Firewall ?
Komponente oder Menge von Komponenten (Hard- und/oder Software), Regeln und Protokollen, welche den Zugriff zwischen geschütztem Netzwerk und dem Internet (oder anderen Netzwerken) kontrollieren und regeln
Dabei gilt es nicht nur das zu sichernde Netzwerk zu schützen, sondern auch die Firewall selbst
![Page 5: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/5.jpg)
Wovor gilt es zu schützen ?
Ausspionierenvon Daten auf Systemen durch Einbruch in diese Systeme
Ausspionieren bei der Übertragung zwischen Systemen (Mitlesen)
Manipulation von Verbindungen (Übernehmen einer Verbindung mit Hilfe gefälschter Adressen)
Verhindern der normalen Funktion eines Rechners (Denial of Service Attack) Beispiel: Syn Flooding
![Page 6: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/6.jpg)
Bereitgestellte Schutzmaßnahmen Blockieren unerwünschten Verkehrs Weiterleitung eingehenden Verkehrs an vertrauens-
würdigere, interne Systeme Verbergen verwundbarer Systeme, welche nicht auf
einfache Art gesichert werden können, vor dem Internet
Protokollierung des Verkehrs von und zum privaten Netzwerk
Verstecken von Informationen wie Systemnamen, Netzwerktopologie, Netzwerk-Gerätetypen und interne Usernamen vor dem Internet
Können eine robustere Authentifizierung als die meisten Standardprogramme anbieten
![Page 7: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/7.jpg)
Firewalltypen
Packet Filtering Firewalls
Circuit Level GatewaysProxies
Application Level Gateways
Statefull Inspection Firewalls
Die wenigsten professionellen Firewalls gehören nur einer einzige Kategorie an
Meistens werden verschiedene Typen kombiniert
![Page 8: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/8.jpg)
Packet Filtering Firewalls
Arbeiten auf dem Netzwerk-Layer des OSI-Modells oder auf dem IP-Layer des TCP/IP Modells
Sind üblicherweise Teil eines Routers Router erhält Pakete von einem Netzwerk und leitet
sie an ein anderes Netzwerk weiter Jedes Paket wird mit einer Anzahl Regeln verglichen,
bevor es weitergeleitet wird Abhängig vom TCP- und IP-Header der Pakete und
von den Regeln kann die Firewall das Paket ablehnen, es weiterleiten oder eine Nachricht zum Ursprung zurücksenden.
![Page 9: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/9.jpg)
Screening Regeln
Bestehend aus 2 Bestandteilen
Selektionskriterien
Politik
![Page 10: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/10.jpg)
Selektionskriterien IP-Addressen im IP Header Portnummern im TCP/UDP Header Protokollnummern je nach benutztem Service
(Datagrammtyp) (TCP/UDP/…) unterschiedlich SYN-/ACK-Flagzur Richtungsfeststellung (TCP)
nach diesen Kriterienwird das Paket dannjeweils gefiltert
![Page 11: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/11.jpg)
Politik Zwei Arten von Regeln
Gebotsregeln (Allow)
Alles, was nicht explizit erlaubt ist, ist verboten
Verbotsregeln (Deny)
Alles was nicht explizit verboten ist, ist erlaubt
Die erste Strategie ist der zweiten vorzuziehen
![Page 12: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/12.jpg)
Ein Beispiel
Nr Typ Quell-adr. Ziel-adr. Quell-port
Ziel-port
Aktion
1 TCP * 123.4.5.6 >1023 23(telnet)
Allow
2 TCP * 123.4.5.7 >1023 80(WWW)
Allow
3 TCP 129.6.48.254 123.4.5.8 >1023 22(SSH)
Allow
6 * * * * * Deny
![Page 13: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/13.jpg)
Stärken von Packet Filtern
Paketfilterung ist eine kostengünstige Technologie Paketfilter ist heute auf fast allen Router-Produkten
standardmäßig implementiert Oft kein zusätzlicher Administrations- und
Konfigurationsaufwand notwendig Paketfilterregeln können dem Benutzer kommuniziert
werden Paketfiltertechnologie unterliegt keinen US-
Exportbeschränkungen wie z.B. Kryptographie-Software
Sie sind leicht erweiterbar, wenn neue Dienste oder Protokolle transportiert werden müssen (hinzufügen neuer Regeln reicht im Normalfall)
![Page 14: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/14.jpg)
Schwächen von Packet Filtern
Paketfilterregeln für den Durchschnittsbenutzer oft recht verwirrend
Bei großen Netzen können Filterregeln sehr umfangreich und schwer nachvollziehbar werden
Protokollmeldungen enthalten oft keine Informationen über Inhalt der übertragenen und verworfenen Pakete
Einige Protokolle sind für Packet Filter ungeeignet, da variable Portnummern verwendet werden
Unzureichende Integrität der Portnummern und IP-Adressen, da diese leicht gefälscht werden können (IP-Spoofing)
Keine Benutzerauthentifizierung Keine Kontrolle der Inhalte der Datagramme
![Page 15: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/15.jpg)
Proxies / Application Gateways Packet Filter werten die
Informationen der ISO/OSI-Schichten 3 und 4 aus
Proxies dagegen die der Anwendungsschicht (5-7)
i.d.R. bilden mehrere Proxy-Prozesse einen Application Gateway
Bestehen aus Circuit-Level-Proxies und/oder Application-Level-Proxies
![Page 16: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/16.jpg)
Circuit Level Gateways
Arbeiten auf dem Session-Layer des OSI-Modells oder auf dem TCP-Layer des TCP/IP-Modells
Überwachen das TCP-Handshaking zwischen Paketen von vertrauenswürdigen Servern oder Clients und nicht vertrauenswürdigen Hosts und umgekehrt, um herauszufinden, ob eine Session legitim ist oder nicht
Um Pakete auf diesem Weg zu filtern, benutzen Circuit Level Gateways die Daten, welche im Header des TCP Session-Layer Protokolls vorhanden sind
Wurde das Handshaking als legitim erkannt baut das C.-L.-Gateway die Verbindung auf und die Pakete werden nur noch hin und her transportiert ohne weiteres Filtern
![Page 17: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/17.jpg)
Circuit Level Gateways (2)
Wurde die Session vollendet wird sie aus der Tabelle gelöscht
Der Client wird vollständig hinter dem Gateway verborgen (Verbergen der Netztopologie)
C.-L.-Proxies sind unabhängig vom Protokoll einsetzbar und i.d.R. für den Client transparent
Die notwendigen Informationen werden vom Client Prozess erzeugt und dem Proxy zur Verfügung gestellt
![Page 18: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/18.jpg)
Application Level Gateways
Arbeiten auf dem Application Layer Für jeden Dienst ist ein spezifisches Proxyprogramm
auf dem Proxy-Server erforderlich (telnet, FTP, HTTP) Nutzdatenanalyse ist möglich
Daten können analysiert und z.B. nach bestimmten Schlüsselwörtern durchsucht werden (z.B. E-Mail, HTML-Seite)
Möglichkeit einiger HTTP-Proxies, alle Zeilen innerhalb einer Seite, die zu Java-Applets gehören, zu löschen
Möglichkeit der Einschränkung von Dienstmerkmalen Cache Funktionalität für Webseiten
![Page 19: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/19.jpg)
Proxies / Application Gateways
Bieten ein hohes Maß an Sicherheit Sehr umfangreiche Protokollierung ist möglich Authentisierung des Benutzers kann vorgenommen
werden (im Gegensatz zu Packet Filtering) Granularität auf Dienstebene Dienste können benutzerabhängig erlaubt werden Verbindung zwischen dem zu schützenden Netz und
dem Internet wird durch Application Gateway völlig entkoppelt
Höherer Rechenaufwand nötig Wenig skalierbar
![Page 20: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/20.jpg)
Statefull Inspection Firewalls
Kombinieren Aspekte der ersten drei Firewallgruppen
Filtern Pakete auf dem Netzwerk-Layer Erkennen ob Session Pakete legitim sind Zustandsabhängige Paketfilterung Bieten hohes Maß an Sicherheit, gute
Leistung und Transparenz
Sind teuer und sehr komplex Anfällig für Sicherheitslöcher/falsche
Konfiguration Keine physische Netztrennung
![Page 21: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/21.jpg)
Firewallarchitekturen
Allgemeine Grundsätze Position der eingesetzten Geräte sollte
möglichst weit außen sein Bei stark zu schützenden Netzen sollten Geräte
redundant eingesetzt werden Unterschiedliche Hersteller Unterschiedliche Filterformate
Anzahl und Art der Firewall-komponenten sollte dem Sicherheits-konzept angepaßt sein
Nicht unbedingt der Grundsatz je mehr Komponenten desto höher die Sicherheit
![Page 22: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/22.jpg)
Bastion Host
□ Erster oder einziger Rechner der aus dem Internet erreichbar ist□ Höchste Hostsicherheit ist erforderlich□ Softwareausstattung sollte so einfach wie möglich gehalten werden (Minimalsystem/Least Privilege)□ Erbringen und leiten Internetdienste weiter□ Benutzeraccounts sollten nicht eingerichtet werden□ Darf nicht die Funktionalität eines Routers erfüllen□ Übernimmt oftmals die Protokollfunktionen (Logging/Auditing)
![Page 23: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/23.jpg)
Screening Router
Vorteile:
□ Einfache Installation□ Geringer Administrationsaufwand□ Kostengünstig
Nachteile:
□ Nur geringer Schutz□ Gelingt es dem Angreifer die Packet- Screen zu überwinden liegt gesamtes
Netz offen□ Begrenzte Protokollmöglichkeiten□ Gefahr durch IP-Spoofing
![Page 24: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/24.jpg)
Dual Homed Host / Gateway FW
Vorteile:
□ Umfangreiche Zugriffskontrolle□ Angriffe können gut nachvollzogen werden□ Nur erlaubte Dienste können in Anspruch genommen werden
Nachteile:
□ Hoher Installationsaufwand□ begrenzte Erweiterungsmöglichkeiten□ Bastions müssen sehr gut gegen Angriffe geschützt werden
![Page 25: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/25.jpg)
Screened Host
Vorteile:
□ Verbindet Vorteile der ersten beiden Architekturen□ Bastion durch Screening Router geschützt□ mehrere Bastion Rechner sind möglich
Nachteile:
□ Höhere Kosten□ innerer Netzwerkverkehr kann nach erfolgreichem Angriff der Bastion mitgehört werden (sniffing)□ Router als Single Point of Failure
![Page 26: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/26.jpg)
Screened Subnet
Screened Subnet =
Perimeter Network =
Grenznetz =
DMZ
Vorteile:
□ Gute Skalierbarkeit□ Es müssen zwei Packet Filter überwunden werden (am besten unterschiedlicher Bauart)
Nachteile:
□ Höhere Kosten□ Hoher Administrationsaufwand
![Page 27: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/27.jpg)
Datennetz am Campus Stellingen
U n iR R Z
Haus FHaus D
Haus E
Haus G134.100.94.0
134.100.93.0134.100.197.0
134.100.10.0
134.100.11.0134.100.13.0134.100.15.0
134.100.9.0134.100.8.0
Haus A 134.100.9.0
Switch 134.100.8.0Ethernet-Hub
UniRRZ
Router-Sw itch
Router
C isc o 750 5Router-Sw itch
Router-Sw itch ATM-SwitchC isc o L S 10 10
ATM-SwitchC isc o L S 10 10
Haus R 134.100.12.0
Router-Sw itchGigabit-Switch
Haus C 134.100.7.0
1 00 M Bit/s Fa stE th erne t
1 0 M B it/s E thern e t
100 0 M B it/s G iga bitEthe rn et
155 M Bit/s ATM
ATM-SwitchC isc o LS 101 0
134.100.6.0
Pavillon 4
134.100.252.0
Allied Te lesynAT-37 26
Router-Sw itch
G W IN
Pavillon 3
134.100.246.0
Firewall
Anordnung der F irewall
![Page 28: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/28.jpg)
Sicherheitspolitik des Fachbereichs
Kein Verbindungsaufbau aus dem externen Netz erlaubt Schutz vor unsicheren Protokollen/Diensten Ausnahmen (SSH-, WWW-, SMTP-, … Server)
Aus dem internen Netz soll alles möglich sein Keine Einschränkungen bei der Nutzung des
Internets Ausnahmen (Versand von E-Mails)
![Page 29: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/29.jpg)
Cisco Secure PIX Firewall
Security Level pro Interface Alles verboten, nur Ausnahmen erlaubt Ausnahmen durch Access Listen
Statefull Inspection Verbindungsorientiert (TCP/UDP)
Fixup-Funktionalität PIX hört Datenkommunikation z.B. der ftp-
Kontrollverbindung mit (intern => extern) Öffnung der Datenverbindung vom ftp-Server
zum Client (aktives FTP)
![Page 30: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/30.jpg)
Die modernen Firewalls von heute
Technologisch ausgereift Deshalb Konzentration auf Zusatzfunktionalitäten Remote Management Tools in verteilten
Unternehmen VPN-Funktionalitäten (Vortrag am 16.01.2003) Virenschutz URL-Filter
Statefull Inspection oder Application Proxies
![Page 31: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/31.jpg)
Hochgeschwindigkeitsfirewalls
![Page 32: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/32.jpg)
Hochgeschwindigkeitsfirewalls
Hochgeschwindigkeitsverbindungen ATM, Glasfaser, Gigabit – Ethernet
Hoher Datendurchsatz Zusätzliche Probleme :
Pakete liegen nicht immer im IP Format vor
Paketscreen wird zum Flaschenhals Nicht immer liegt physische Trennung von
Netzen vor
![Page 33: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/33.jpg)
Hochgeschwindigkeitsfirewalls
![Page 34: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/34.jpg)
Hochgeschwindigkeitsfirewalls
![Page 35: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/35.jpg)
Hochgeschwindigkeitsfirewalls
Parallele Verarbeitung Verbindungsparallel
Für jede Verbindung einen Prozess / Prozessor
Evtl. schlechtes Verhalten bei nur wenigen Verbindungen
Paketparallel Verteilen der einzelnen Pakete auf
Prozessoren Nutzung der Protokoll Eigenschaften
![Page 36: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/36.jpg)
Parallele Verarbeitung
Skalierbarkeit Overhead ? Aufwand
Implementation Konfiguration
Zuverlässigkeit Einschränkungen ?
![Page 37: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/37.jpg)
Parallele Verarbeitung
Mittel der Wahl : Parallele Paketverarbeitung
![Page 38: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/38.jpg)
Paketparallele Verarbeitung
Reihenfolge der IP Pakete egal feine Granulierung möglich Grundsätzlich sind keine
Kontextinformationen nötig Sehr gut skalierbar, ausfallssicher Leicht konfigurierbar
![Page 39: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/39.jpg)
Lastverteilung
Verteilung Zentraler Verteiler
Überwacht Prozessoren Sorgt für gleichmäßige Auslastung
Dezentraler Verteiler Nur „broadcast“ auf die Prozessoren Weniger fehleranfällig Dem zentralen Verteiler vorzuziehen
![Page 40: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/40.jpg)
Verteilung der Pakete
Neues Problem : Auswahlverfahren der Prozessoren
Muss möglichst schnell erfolgen Zuordnung muss eindeutig und
gleichmäßig sein Möglichst unabhängig von der Anzahl
der Prozessoren
![Page 41: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/41.jpg)
Parallelverarbeitung
Erstellen eines Hashwertes über IP Adresse IP Identifikation (IP Seq. No.) Header Checksum Frame Checksum Kombinationen
![Page 42: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/42.jpg)
Nutzung dieses Hashwertes in den einzelnen Prozessoren Bei n Prozessoren und Prozessoren von
0 bis (n – 1) Bei wiederholtem Senden möglichst
neuer Hashwert -> neuer Prozessor
![Page 43: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/43.jpg)
Realisierung
![Page 44: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/44.jpg)
Realisierung
Hubs sind ungünstig nur „broadcast“ Kein „Full Duplex“
Alternative : Nutzung von Switches in Verbindung
mit Multicast Adressen Zusätzliche Konfiguration von Switches
und Paketscreens
![Page 45: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/45.jpg)
Performance
Performance : OC-3 ohne jeden Filter : ca. 155 mbit/s Ab ca. 10 Filtern nur noch 60 % der
Leistung Ab ca. 100 Filtern nur noch ca. 30 %
der Leistung
![Page 46: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/46.jpg)
Parallele Proxyserver
Für einzelne Protokolle getrennt Mehrere Instanzen pro Prozessor Problematisch bei z.B. FTP
Verbindungen Weiteres Problem : Verhältnismäßig
hohe Dauer für Verbindungsaufbau
![Page 47: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/47.jpg)
Verteilen der Verbindungen
Statisches Verteilen der Verbindungen
Dynamisches Verteilen Round Robin DNS „Meta“ Proxy Problem : Zentral vs. Dezentral
![Page 48: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/48.jpg)
![Page 49: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/49.jpg)
Desktop Firewalls
Für Privatnutzer. Z.B. für Windows Systeme. Im Prinzip ein Paketscreen /
Paketfilter. Ermöglicht den Internetzugang für
einzelne Programme zu beschränken.
![Page 50: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/50.jpg)
Hochgeschwindigkeitsfirewalls
Kann Ping- / Traceroute – Antworten unterbinden.
Kontrolle über einzelne Ports, Ursprungsadressen, ICMP Typen, etc.
![Page 51: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/51.jpg)
Desktop Firewalls
Beispiel Applikationen : McAfee Desktop Firewall Norton / Symantec Personal Firewall Tiny Personal Firewall WinXP (nur eingehende Verb. !) Zone Alarm
![Page 52: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/52.jpg)
Desktop Firewalls
Nachteile : Trügerische Sicherheit Applikationen können sich „tarnen“ Z.B. eingebetteter Internet Explorer Firewall kann „ausgeschaltet“ werden Oft schlechtes Logging / schlechte
Reports
![Page 53: Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel.](https://reader035.fdokument.com/reader035/viewer/2022081517/570491c41a28ab14218d9ec6/html5/thumbnails/53.jpg)
Desktop Firewalls
Beispiel : Tiny Personal Firewall Für jede Applikation einzeln
konfigurierbar MD5 Hash über EXE für Sicherheit Komplette Netzblöcke ein- /
ausschliessbar