Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter...

35
Firewalls

Transcript of Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter...

Page 1: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

Firewalls

Page 2: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

Themen

1. Sicherheitspolitik

2. Angriffstypen

3. Grundsätzliches zu Firewalls

4. Paketfilter

5. Proxies

6. Firewall Architekturen

Page 3: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1. Sicherheitspolitik

• Festlegung der schützenswerten Güter

• Bedrohungsanalyse

• Schwachstellenanalyse

• Risikoanalyse

• Sicherheitsmassnahmen

Page 4: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1.1 Festlegung der schützenswerten Güter

• Daten in Dateien oder noch in Bearbeitung

• Prozesse: laufende Anwendungen

• Ressourcen: Rechenleistung, Plattenkapazität

Page 5: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1.2.1 Bedrohungsanalyse

• Verlust der Vertraulichkeit

• Verlust der Integrität

• Verlust der Verfügbarkeit

Page 6: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1.2.2 Schwachstellenanalyse

• Ist – Zustand

• Organisatorische Ebene

• Personelle Ebene

• Technische Ebene

Page 7: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1.2.3 Risikoanalyse

• Eintretenswahrscheinlichkeit

• Schadenspotential

( = Schadenshöhe * Eintretenswahrscheinlichkeit )

Page 8: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

1.3 Sicherheitsmassnahmen

• Technische Maßnahmen

• Sensibilisierung und Schulung der Mitarbeiter

• Festlegung von Verantwortlichkeiten

Page 9: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2. Angriffstypen

Page 10: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.1 Source IP Address Spoofing Attack

• Änderung der IP – Absenderadresse in netzinterne Adresse

Von außen kommende Pakete mit netzinterner Adresse abweißen

Page 11: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.2 Sniffer Attack

• Gezieltes belauschen des Netzwerkverkers

• Ziel: Erlangen von Benutzerkennungen und Passwörtern

• Software meist Freeware physikalische Abtrennung durch Switch

oder Router

Page 12: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.3 Denial of Service Attack

• Überlastung durch Sturm von Dienstanfragen

Zugriffsbeschränkung pro IP und Zeiteinheit

Page 13: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.4 Source Routing Attack

• Vorgabe einer konkreten Route um Sicherheitsmaßnahmen zu umgehen

Pakete mit diesem Flag abweisen

Page 14: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.5 Tiny Fragment Attack

• Senden vieler extrem kleiner Pakete, wobei nur das erste den TCP-Header enthält

Pakete verwerfen bei denen Feld Fragment - Offset auf eins gesetzt ist

Page 15: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

2.6 Port Scan

• Überprüfung welche Ports auf dem System offen sind

• Ungewöhnlich viele Verbindungsanfragen von einer IP

Diese IP für eine bestimmte Zeit komplett sperren

Page 16: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3. Grundsätzliches zu Firewalls

Definition: Hard- und Softwarekomponenten, welche Netzte sicherheitsmäßig

trennen

Page 17: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3.1 Aufgaben einer Firewall

• Sicherheitspolitik technisch umsetzen

• Kommunikationen protokollieren

• Kommunikationen kontrollieren

• Kommunikationen überwachen

Page 18: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3.2 Firewall Risiken

• Zu strikte Sicherheitspolitik

Benutzer unzufrieden

suchen eigenen Weg in Internet

• Zu großes Vertrauen in Firewall

Interne Sicherheit wird vernachlässigt

kein Schutz vor internen Angriffen

Page 19: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3.3 Firewall Paradigmen

• Es ist alles verboten was nicht ausdrücklich erlaubt ist

• Es ist alles erlaubt was nicht ausdrücklich verboten ist

Page 20: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3.4 Firewall Grundsätze

• Dedizierte Maschine

• Keine Benutzerkonten

• Minimales Beriebssystem

Page 21: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

3.5 Firewall im OSI - Referenzmodell

7 Anwendungsschicht

6 Darstellungsschicht

5 Sitzungsschicht

4 Transportschicht

3 Vermittlungsschicht

2 Sicherungsschicht

1 Bitübertragungsschicht

Screnning Router

ApplicationlevelGateway

Circuit Level Proxy

NAT

Page 22: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

4. Paketfilter

Page 23: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

4.1 Worauf kann gefilter werden

• Quell- oder Ziel- IP – Adressen

• Quell- oder Ziel- Port – Nummern

• Protokollnummer

Page 24: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

4.2 Stärken von Paketfiltern

• Kostengünstig

• Unterliegen nicht den US-Exportbeschränkungen

Page 25: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

4.3 Schwächen von Paketfiltern

• Relativ langsam

• Portnummern können leicht verändert werden

• Sicherheitslücke bei X11 – Systemen

Page 26: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

5. Proxies

• Auf Server läuft Stellvertreterprogramm

• Proxy sieht und kontrolliert ganze Beziehung nicht nur einzelnes Paket

• Original Pakete verschwinden

• Benutzer Authentifizierung möglich

Page 27: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

5.1 Circuit Level Proxy

• Verzichtet auf die Kontrolle der Paketinhalte

• Authentifiziert Benutzer ohne Benutzerinteraktion

Page 28: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

5.2 Application Level Proxy

• Authentifiziert Benutzer explizit

• Kann gesamte Kommunikation kontrollieren, da anwendungsspezifisch

z.B. Datentransfer nur in einer Richtung

• Kontrolliert Paketinhalt

Page 29: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6. Firewall Architekturen

Page 30: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6.1 Dual Homed

Page 31: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6.2 Screened Host

Page 32: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6.3 Screened Subnet

DMZ

Page 33: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6.4 Dual Homed Screened Subnet

DMZ DMZ

Page 34: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.

6.5 Fake Host

DMZ DMZ

Page 35: Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter 5.Proxies 6.Firewall Architekturen.