Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Am Fassberg, 37077 Göttingen

Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de

von

Firewallkonzept der GWDGFirewallkonzept der GWDG(IK GWDG 10/06)(IK GWDG 10/06)

Andreas Ißleiber

2

Firewallkonzept der GWDG Firewallkonzept der GWDG (Notwendigkeiten)(Notwendigkeiten)

Dienstleistungsangebot der GWDG für Institute Schutz des gesamten GÖNET sowie aller Institutsnetze

vor Angriffen von Außen Absicherung der Institutsnetze untereinander Prävention bei Viren,Trojaner sowie Hacker-Angriffen

aus dem Intra- und Internet (primär eine Aufgabe des IPS)

Ablösung der bestehenden ACLs der zentralen Router Vereinfachung/Verbesserung der ACLs (statefull

inspection FW) Ausfallsicherheit: Aufbau von redundanten Systemen Vereinfachtes Management der Sicherheitsregeln

3

Firewallkonzept der GWDG Firewallkonzept der GWDG (Auswahlkriterien)(Auswahlkriterien)

1) Einheitliches Management

2) Mehrmandantenfähigkeit

3) Fähigkeit zur Redundanz, Loadbalacing

4) Hoher Durchsatz

5) Einfache Regelstruktur (leicht erlernbar)

6) Transparenter Mode (Stealth Mode)

7) Einfache Integration in bestehende Netzwerkstruktur

8) Logging (syslog)

9) Kombination mit Viruserkennung

10) Erweiterbarkeit

11) Preis

Fett = Muß-KriterienNormal = Kann-Kriterien

4

Firewallkonzept der GWDG Firewallkonzept der GWDG (Firewallanbieter)(Firewallanbieter)

CISCO FWSM (Firewall Service Modul) gute Integration

CISCO PIX zu wenig Interfaces(VLANs)

Checkpoint Firewall-I sehr hoher Preis

Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis

Fortigate (Fortinet) Probleme im Testbetrieb (GWDG)

Sonicwall zu geringe Performance

5

Firewallkonzept der GWDG Firewallkonzept der GWDG (Auswahl)(Auswahl)

Ergebnis 2004:

Entscheidung für CISCO FWSM (FireWall Service Modul)

Begründung:

1) Gute Integration in bestehenden Struktur durch VLANs 2) Mehrmandantenfähigkeit3) Redundanz4) Transparenz (Stealth Mode)5) Management

Was ist mit der Grundregel, möglichst zwei unterschiedliche Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO FWSM)

Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da unterschiedliches Management, mangelnde Integration in Netzumgebung, zu hoher Preis es nicht rechtfertigen

?!

6

Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz)

Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen

Absicherung der Institutsnetze untereinanderPrävention bei Viren,Trojaner sowie Hacker-Angriffen aus

dem Intra- und Internet

Zie

l

Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus …

1.) Zentrale Firewall (First Level Firewall, CISCO Firewall Service Modul)

Rea

lisie

run

g

Diese Firewall befindet sich am Übergabepunkt zwischen X-WIN und GÖNET

Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an zentraler Stelle für alle Institute durch Basisregeln aufgebaut werden

Die Basisregeln haben für das gesamte GÖNET Gültigkeit

7

Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz)

Die dezentralen Firewalls befinden sich an den entscheidenden vier Knotenpunkten des GÖNET

Diese sind als Zusatzmodule direkt in die GÖNET-Router integriert

Die Module werden an strategisch wichtigen Orten eingesetzt

Vorhandene Infrastruktur der Router (redundante Anbindung, redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar

Institutseigene Firewall ist nicht mehr erforderlich

2.) Dezentrale Firewalls (Second Level Firewall, CISCO Firewall Service Modul)

Rea

lisie

run

g

8

5

1Zentrale, schnelle Firewall für den grundlegenden Schutz des gesamten GÖNET (first Level Firewall)

GÖNET-Backbone-Router4

Durch zusätzliche, dezentrale Firewall geschütztesInstitut. Hohe Sicherheitsstufe bestehend aus Kombination von First level & Second Level Firewall

5

Institut ist durch die zentrale Firewall mit einem Basisregelsatz geschützt ist.

Dezentrale Firewalls sind in die Backbone-Router integriert (second Level Firewall)

2

Internet

4

GÖNET

zentrales Firewall-Managementbei der GWDG

Institut

Institut

1

Bereich mit hohem Schutz(second Level)

Bereich mit hohem Schutz(second Level)

Bereich mit mittlerem Schutz

(first Level)

Bereich mit mittlerem Schutz

(first Level)

2

7

Zentrale Administration der Firewalls, integriert in ein bestehendes Netzwerkmanagement

3

Internet-Router3

6

7

6

Legende …

Firewallkonzept der GWDG Firewallkonzept der GWDG (Integration im GÖNET)

9

Firewallkonzept der GWDG Firewallkonzept der GWDG ((Virtuelle Firewall & Administration)

GÖNET RouterCISCO 6509

FWSMFireWall Service Modulemit virtuellen Firewalls (FW)

Institut BInstitut A

Virtuelle Firewall mit Regelsatz B

Virtuelle Firewall mit Regelsatz B

Virtuelle Firewall mit Regelsatz A

Virtuelle Firewall mit Regelsatz A Zzgl.

BasisregelnZzgl.

Basisregeln

Zentrale Firewall mit Basisregeln

Zentrale Firewall mit Basisregeln

FirewallAdministrationdes Instituts B

FirewallAdministrationdes Instituts A

Jede institutsspezifische Firewall ist durch eine „virtuelle“ Firewall auf dem FWSM abgebildet

Virtuelle FW´s erlauben eine getrennte, autonome Administration der Firewallregeln für das jeweilige Institut

Komplettschutz• Alles von Innen nach Außen ist erlaubt• Alles von Außen nach Innen ist verboten

Zugriff auf interne Server• Alles von Innen nach Außen ist erlaubt• Zugriffe auf interne Dienste von Außen

sind erlaubt• Alles Andere ist verboten… Weitere Regelsätze …

Die GWDG kann zusätzlich alle virtuellen Instituts-Firewalls zentral administrieren

Realisierung durch CISCO FWSM (FireWallServiceModul), integriert in allen GÖNET CISCO Routern (6509)

Die GWDG stellt vordefinierte Regelsätze für die virtuellen FWs zur Verfügung:

Internet

10

Firewallkonzept der GWDG Firewallkonzept der GWDG ((Failover & Redundanz)

1

Kommunikationsweg bei einer logischen oder physischen Unterbrechung der Strecke zwischen Institut und Die Verbindung läuft hierbei über die redundanten Backbone-Router des GÖNET, wobei der Schutz der Institutedurch die Firewall(s) bestehen bleibt

Firewall-Redundanz im GÖNET geplant ab Anfang 2007

Kommunikationsweg zwischen Institut und im störungsfreien Betrieb

2

Internet

Institut

Legende …

1

2

A

B

A B

A B

Institut

11

Firewallkonzept der GWDG Firewallkonzept der GWDG ((Ausbaustand, 10/06)

Internet

GWDGModule:2

PhysiologieModule: 2

TheologicumModule:2

GWDG/Internet(XWIN)

PhysikModule: 2

FMZ(in Zukunft)

MPIBPCModule:2 GÖNET

Theor.Physik Röntgenphysik

Metallphysik

Astrophysik

III-Physik

Biochemie

Veg.Physiologie

Servernetz

MPI f. Dynamik

SUB ZVW

Alle Abteilungender MPIBPC

* Ein Reservemodul stets bei der GWDG

NMR-II

Mitarbeiternetz

GuestNet

Stand: 10/06, A.Ißleiber

12

Firewallkonzept der GWDGFirewallkonzept der GWDG (CISCO FWSM, Features)

FWSM, Features

Als Modul in bestehende CISCO Router integrierbar Nahezu gleiche Konfiguration wie PIX-Firewalls Variable, große Anzahl an Interfaces (VLANs) Hoher Durchsatz <= 6 GBps Management IOS- sowie webbasiert und durch PDM/ASDM Betrieb im transparenten, oder Routed-Mode (NAT/PAT) Multiple security contexts (Mehrmandantenfähig) Special Features: • ARP Inspection

• DNS Guard• Flood Guard• Frag Guard• ICMP Filtering• Mail Guard• TCP Intercept• Unicast Reverse• Path Forwarding

13

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Funktionsprinzip)

FWSM

Internet

InternDMZ

Intern2VLAN20

VLAN30

VLAN10

Router (CISCO 65xx)

VLAN1

Switching-engine

VLAN1: Kommunikation zwischen FWSM und Router

VLAN10,20,30: Interne Netze durch VLANs getrennt

…

VLAN10,20,30: VLANs können, … müssen aber nicht an physikalische Interfaces gebunden sein

VLANxx

• Das Firewallmodul besitzt keine eigenen Interfaces• Kommunikation erfolgt ausschließlich über VLANs!

14

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Funktionsprinzip)

Position des FWSM und der MSFC (Multilayer Switch Feature Card)

Routing zwischen VLANs 301,302,303 ohne

Nutzung des FWSM

Firewallregeln zwischen VLANs 201,202,203

bestimmen den Verkehr

15

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Modes)

Zwei grundlegend unterschiedliche Modi für das FWSM möglich

1.) Routed Mode NAT/PAT ist aktiviert FWSM übernimmt das Routing Firewallregeln zwischen VLANs FWSM-Interfaces

bekommen IP-Adresse VLAN1=SVI

(Switched VLAN Interfaces) i.d.R. NAT nach Außen

FWSM

Internet

VLAN1

IP: 192.168.10.1Mask: 255.255.255.0Default GW: 192.168.10.254


192.168.10.0/24 192.168.20.0/24

192.168.30.253

192.168.30.254

192.168.20.254(VLAN 3)192.168.10.254

(VLAN 2)

Default route des FWSM

192.168.30.254

16

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Modes)

2.) Transparent Mode Stealth mode Gleiches Netz hinter und! vor

der Firewall Vorteil: wenig Änderungen an

bestehender Struktur IP-Adressen werden nicht

verändert (kein NAT) Eine IP für das Management

der Firewall Nur ein inside & ein outside

Interface pro Gruppe

FWSM

Internet

VLAN1



192.168.10.0/24 192.168.20.0/24

192.168.20.254(VLAN 3)

192.168.10.254(VLAN 2)

VLAN 2

VLA

N 3

192.168.20.253(Management IP)

inside

outside

17

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Context)

Virtuelle Firewalls Context erlaubt die Unterteilung in virtuelle Firewalls Jeder Context kann eigenständig administriert werden Voneinander

getrennte, eigene Konfigurationsdatei pro Context

Getrennte Administration

Jeder Context bekommteigene(s) VLAN(s)

Zuweisung von Ressourcen proContext möglich

per default, zweiContexts verfügbar

Lizenzen in 20érSchritten möglich

18

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, NAT)

Unterschiedliche NAT/PAT Verfahren:

• Dynamic NAT• PAT• Static NAT• Static PAT• Bypassing NAT, Exemption

19

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Dynamic NATDynamic NAT)

Dynamisches NAT

IP Pool mit ext. Adressen n m Anzahl interner IPs

≠externer IPs

Internet

192.168.20.1

192.168.20.0/24

192.168.20.254

NAT Pool: 134.76.10.1-20

192.168.20.2

dyn. NAT

134.76.20.55

192.168.20.1

134.76.10.1 134.76.10.2

192.168.20.2

20

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, PATPAT)

PAT n 1 Lokaler IP-Pool (n)

nach Außen mit z.B.einer externen IP-Adressesichtbar

Internet

192.168.20.1

192.168.20.0/24

Single IP 134.76.10.1

192.168.20.2

PAT

134.76.20.55

192.168.20.1

134.76.10.1 134.76.10.1

192.168.20.2

21

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Static NATStatic NAT)

Statisches NAT

n n, 11 Jede lokale Adresse mit

exakt einer globalen Adresse sichtbar

Internet

192.168.20.1

192.168.20.0/24

NAT Tabelle:1:1-Nat

192.168.20.1 134.76.30.56192.168.20.2 134.76.30.78

…oder auch

n:n-NAT192.168.20.0/24 134.76.30.0/24

192.168.20.2

Static NAT

134.76.20.55

192.168.20.1

134.76.30.56 134.76.30.78

192.168.20.2

22

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Port Redirect)

Port Redirection Bsp: Umleitung

zu einem Web-Proxy

Internet

192.168.20.1

192.168.20.0/24

192.168.20.2WWW Proxy Server

redirect

134.76.20.55

WWW zu 134.76.20.55

redirect zu 192.168.20.2

Verbindung zu 192.168.20.2

23

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, bypassing NATbypassing NAT)

Kein NAT, NAT-Excemption

Quell- & Zieladressebleiben unverändert

Quell- & Zielportbleiben unverändert

Bsp.: PC baut direkte Verbindung zu PC aufACLs bleiben aktiv

Internet

192.168.20.1255.255.0.0

Inside192.168.20.0/24

192.168.30.50255.255.0.0

134.76.20.55

DMZ192.168.30.0/24

1

1

2

2NAT

24

Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Management)

Management der Firewall durch:

IOS• commandline• ssh• telnet (wg. Seicherheit nicht sinnvoll)• console (seriell)• Über den Catalyst (Switch/Router)

Web-basiert• PDM (Pix Device Manager) bzw. ASDM (neu)• mittlerweile gute Alternative zur Commandline

Cisco Security Manager (in Zukunft parallel zum ASDM)• Zentrale Cisco Security Managementlösung• Definition von Regelsätzen und Verteilung auf die Firewalls

https://134.76.105.253/

25

Firewallkonzept der GWDGFirewallkonzept der GWDG (Management, Zugang)

Zugang zu den Firewallsystemen:

Über das ASDM• Authentifizierung wird über zentrale RADIUS-Server erreicht, sodass

die Aministratoren das eigene Password benutzen können.• Gruppierung/Zugriffsrechte erfolg über RADIUS-Server (Wer, darf von

Wo, Was an der Firewall administrieren)

Unterschiedliche Zugriffvarianten• FullAccess (für wenige Administratoren: Mather, Gelbe, Beck,

Ißleiber)• Firewallgruppen (z.B. GWDG-Helpdesk)• ReadOnly (GWDG – Intern, fast Alle)

26

Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)

ACL vs. Firewall(ACL):

ACL:- ACL werden auf dem Router definiert.- Basieren auf einfachen Regeln (Quell-IP ►Port ► Ziel-IP)- Beide Richtungen müssen beachtet werden (IN/OUT)- Bsp:

permit tcp 134.76.10.0 0.0.0.255 any eq 80

27


Router-ACL

Pro Contra

Ohne Zusatzkosten nutzbar auf vorhandenen GÖNET-Routern

Nicht „stateful“, daher komplexe Struktur

Schnell in der Ausführung Kein Management, undurchschaubare Konfiguration

Bei „UDP-Traffic“ praktisch nicht einsatzfähig (wg. „Öffnen“ der Rückports)

Keine Korrelation zwischen IN- und OUT-Traffic (non stateful) Bsp.: FTP

Keine (nicht binären) Gruppierungen möglich

Inspection höherer OSI-Schichten nicht möglich (z.B. HTTP,FTP-Traffic-Inspection)

Kein NAT,PAT

Kein IP-Spoofing-Protection

28


Firewall (ACL)Pro Contra

Statefull: Rückverbindungen werden erkannt und erlaubt

Hoher Preis

Regeln mit UDP-Traffic Zusätzliche Hardware erforderlich (Firewallmodul)

Einfache Gruppierungen: IP-Gruppen, Port-Gruppen

Überschaubares Management, Mandantenfähig, Rechtemanagement

Inspection der höheren Layer möglich (bis zu L7)

NAT,PAT, Policy-NAT,Excemtion-NAT etc.

Inspection-MAP erlaubt die Anpassung von Inhalten in der Paketen (Bsp: DNS bei NAT).

Randomize TCP-sequence numbers

Syntax-Check in den Firewallregeln

29


Verbindungsbeispiel TCP:

Webserver: 134.76.10.47Client: 134.76.20.1

Nr. Source Port Destination1.) 134.76.20.1 80 134.76.10.472.) 134.76.10.47 (>1024) 134.76.20.1

• Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden (ggf. nur Vereinfachung durch z.B. Syn-Flag-Filterung)

• Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel (stateful)

Source Port=1025, Dest-Port=80

Source Port=80, Des.Port=1025

30


Verbindungsbeispiel UDP:

DNS-Server: 134.76.10.46Client: 134.76.20.1

Nr. Source Port Destination1.) 134.76.20.1 53 134.76.10.462.) 134.76.10.46 (>1024) 134.76.20.1

• Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden. Bei UDP ist diese nicht (sinnvoll) möglich (UDP ist nicht verbindungsorientiert).

• Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel auch bei UDP (stateful)

Source Port=1030, Dest-Port=53

Source Port=53, Des.Port=1030

31


... permit tcp host 10.76.36.208 any eq 3389 permit tcp host 10.76.36.208 any eq 443 permit tcp host 10.76.64.25 any eq 3389 permit tcp host 10.76.64.25 any eq 443 permit tcp host 10.76.64.58 any eq 3389 permit tcp host 10.76.64.58 any eq 443 permit tcp host 10.76.64.68 any eq 3389 permit tcp host 10.76.64.68 any eq 443 permit tcp host 10.76.118.62 any eq 3389 permit tcp host 10.76.118.62 any eq 443 permit tcp host 10.76.118.63 any eq 3389 permit tcp host 10.76.118.63 any eq 443 permit tcp host 10.76.118.64 any eq 3389 permit tcp host 10.76.118.64 any eq 443...

962 weitere ACL(s) !!Rückverbindungen müssen auch berücksichtigt werden !!

Beispiel: Zugriff der Verwaltungssysteme auf die Terminalserver

in Router ACL(s):

32


in Firewall (ACL)

- Definition der Server IP-Gruppe (Source)

- Definition IP-Gruppe (Destination)

- Definition der Ports als Gruppe

33

Firewallkonzept der GWDGFirewallkonzept der GWDG (Erfahrungen)

Erfahrungen:

CISCO hat eine etwas andere Sichtweise hinsichtlich Firewall im Vgl. zu anderen Herstellern

Einarbeitungszeit erforderlich Bei Vorhandensein von CISCO Routern, fast keine sinnvolle Alternative

zum FWSM Sehr gutes Commandline Interface sowie Management CISCO ist auch nicht Fehlerfrei: SMTP-Bug, ASDM-Bugs Firewall durchaus auch in Kombination mit Router ACL sinnvoll nutzbar

(Voraussetzung: CISCO Security Manager)

Fazit:

Das FWSM ist im GÖNET (GWDG) die richtige Wahl

34

Firewallkonzept der GWDGFirewallkonzept der GWDG (Weitere Planung)Weitere Planungen:

1) 1/2007 : werden wir redundante FWSM im GÖNET über verschiedene Standorte aufbauen

2) Ende 2006 : Zusammen mit dem GWDG-HelpDesk (AG-H) die einfache Administration von Sperrlisten ermöglichen

3) Ende 2006 : Installation des CISCO Security Managers (virtual Host), um zentral die FWSM zu administrieren. Überdies ist eine zusätzliches Management der Router ACLs hiermit möglich

4) Ende 2006/Anfang 2007-∞: Weiterer Ausbau der Institutsfirewalls:- ZHG, WI2, UNI-Techniknetz, MPIBPC (Abteilungen), Campus, ...

5) 2007 – 2008 :Erweiterung des Managements hinsichtlich Authorisierung der Administratoren (ggf. über TACACS)

6) in 2007 : Logfileauswertung der Firewall zur Erkennung interner Attacken (Virenausbreitung etc.)

35

Firewallkonzept der GWDGFirewallkonzept der GWDG (Ansprechpartner)

Ansprechpartner bei der GWDG:

Kollegen: B,Gelbe, H.Beck, K.Mather, A.Ißleiber

... sind hinsichtlich Firewall im GÖNET(&GWDG) die Ansprechpartner

36

CISCOSYSTEMSCISCOYSTEMSS

CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragen

Vielen Dank!Vielen Dank!

und Diskussionen!und Diskussionen!

Vortrag ist unter: …http://www.gwdg.de/~aisslei… zu finden

??

http://www.gwdg.de/~aisslei

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...

Documents

Transcript of Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...