Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999.
Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter...
-
Upload
kathrin-moninger -
Category
Documents
-
view
104 -
download
0
Transcript of Firewalls. Themen 1.Sicherheitspolitik 2.Angriffstypen 3.Grundsätzliches zu Firewalls 4.Paketfilter...
Firewalls
Themen
1. Sicherheitspolitik
2. Angriffstypen
3. Grundsätzliches zu Firewalls
4. Paketfilter
5. Proxies
6. Firewall Architekturen
1. Sicherheitspolitik
• Festlegung der schützenswerten Güter
• Bedrohungsanalyse
• Schwachstellenanalyse
• Risikoanalyse
• Sicherheitsmassnahmen
1.1 Festlegung der schützenswerten Güter
• Daten in Dateien oder noch in Bearbeitung
• Prozesse: laufende Anwendungen
• Ressourcen: Rechenleistung, Plattenkapazität
1.2.1 Bedrohungsanalyse
• Verlust der Vertraulichkeit
• Verlust der Integrität
• Verlust der Verfügbarkeit
1.2.2 Schwachstellenanalyse
• Ist – Zustand
• Organisatorische Ebene
• Personelle Ebene
• Technische Ebene
1.2.3 Risikoanalyse
• Eintretenswahrscheinlichkeit
• Schadenspotential
( = Schadenshöhe * Eintretenswahrscheinlichkeit )
1.3 Sicherheitsmassnahmen
• Technische Maßnahmen
• Sensibilisierung und Schulung der Mitarbeiter
• Festlegung von Verantwortlichkeiten
2. Angriffstypen
2.1 Source IP Address Spoofing Attack
• Änderung der IP – Absenderadresse in netzinterne Adresse
Von außen kommende Pakete mit netzinterner Adresse abweißen
2.2 Sniffer Attack
• Gezieltes belauschen des Netzwerkverkers
• Ziel: Erlangen von Benutzerkennungen und Passwörtern
• Software meist Freeware physikalische Abtrennung durch Switch
oder Router
2.3 Denial of Service Attack
• Überlastung durch Sturm von Dienstanfragen
Zugriffsbeschränkung pro IP und Zeiteinheit
2.4 Source Routing Attack
• Vorgabe einer konkreten Route um Sicherheitsmaßnahmen zu umgehen
Pakete mit diesem Flag abweisen
2.5 Tiny Fragment Attack
• Senden vieler extrem kleiner Pakete, wobei nur das erste den TCP-Header enthält
Pakete verwerfen bei denen Feld Fragment - Offset auf eins gesetzt ist
2.6 Port Scan
• Überprüfung welche Ports auf dem System offen sind
• Ungewöhnlich viele Verbindungsanfragen von einer IP
Diese IP für eine bestimmte Zeit komplett sperren
3. Grundsätzliches zu Firewalls
Definition: Hard- und Softwarekomponenten, welche Netzte sicherheitsmäßig
trennen
3.1 Aufgaben einer Firewall
• Sicherheitspolitik technisch umsetzen
• Kommunikationen protokollieren
• Kommunikationen kontrollieren
• Kommunikationen überwachen
3.2 Firewall Risiken
• Zu strikte Sicherheitspolitik
Benutzer unzufrieden
suchen eigenen Weg in Internet
• Zu großes Vertrauen in Firewall
Interne Sicherheit wird vernachlässigt
kein Schutz vor internen Angriffen
3.3 Firewall Paradigmen
• Es ist alles verboten was nicht ausdrücklich erlaubt ist
• Es ist alles erlaubt was nicht ausdrücklich verboten ist
3.4 Firewall Grundsätze
• Dedizierte Maschine
• Keine Benutzerkonten
• Minimales Beriebssystem
3.5 Firewall im OSI - Referenzmodell
7 Anwendungsschicht
6 Darstellungsschicht
5 Sitzungsschicht
4 Transportschicht
3 Vermittlungsschicht
2 Sicherungsschicht
1 Bitübertragungsschicht
Screnning Router
ApplicationlevelGateway
Circuit Level Proxy
NAT
4. Paketfilter
4.1 Worauf kann gefilter werden
• Quell- oder Ziel- IP – Adressen
• Quell- oder Ziel- Port – Nummern
• Protokollnummer
4.2 Stärken von Paketfiltern
• Kostengünstig
• Unterliegen nicht den US-Exportbeschränkungen
4.3 Schwächen von Paketfiltern
• Relativ langsam
• Portnummern können leicht verändert werden
• Sicherheitslücke bei X11 – Systemen
5. Proxies
• Auf Server läuft Stellvertreterprogramm
• Proxy sieht und kontrolliert ganze Beziehung nicht nur einzelnes Paket
• Original Pakete verschwinden
• Benutzer Authentifizierung möglich
5.1 Circuit Level Proxy
• Verzichtet auf die Kontrolle der Paketinhalte
• Authentifiziert Benutzer ohne Benutzerinteraktion
5.2 Application Level Proxy
• Authentifiziert Benutzer explizit
• Kann gesamte Kommunikation kontrollieren, da anwendungsspezifisch
z.B. Datentransfer nur in einer Richtung
• Kontrolliert Paketinhalt
6. Firewall Architekturen
6.1 Dual Homed
6.2 Screened Host
6.3 Screened Subnet
DMZ
6.4 Dual Homed Screened Subnet
DMZ DMZ
6.5 Fake Host
DMZ DMZ