Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999.

Sicherheit in Netzen

Angriffsmethoden

Firewalls

VPN

Erstellt von: Holger Viehoefer © 1999

Gliederung des Vortrages

1. Bedrohungen aus dem Netz

2. Angriffsmethoden

3. Warum Firewalls ?

4. Welche Firewall-Elemente gibt es ?

5. Moderne Firewallarchitekturen

6. Virtual Private Networks & Firewalls

7. Zukunft der Sicherheitstechnologie

Bedrohungen aus dem Netz


Merkmale des Internets

• Einfacher, kostengünstiger Zugang

• Einheitlicher Standard ( TCP / IP )

• Weltweites Netz, shared infrastructure

• Steigende Akzeptanz (Über 145 Mio Nutzer 8/98)

• Günstig für internationale Geschäftsbeziehung

• Absatzmarkt ( ECommerce )


Gefahren aus dem Internet

• High-Tech-Spione stehlen fremdes Know-how, persönliche Daten oder Strategiepläne und verkaufen sie lukrativ an andere oder verursachen Schaden.

• Cracker brechen in das lokale Netz von Firmen ein und fälschen Daten oder schleusen falsche Informationen ein.

• Cracker können die Rechnersysteme einer Organisation lahmlegen und so wirtschaftlichen Schaden in Millionenhöhe verursachen.


passwordguessing

self-replicatingcode

passwordcracking

exploitingknown

vulnerabilities

disablingaudits

backdoors

hijackingsessions

sniffer /sweepers

stealthdiagnostics

packet forging /spoofing

GUI

Increasingly Sophisticated Tools Reduce Increasingly Sophisticated Tools Reduce Need for Hacking ExpertiseNeed for Hacking Expertise

Increasingly Sophisticated Tools Reduce Increasingly Sophisticated Tools Reduce Need for Hacking ExpertiseNeed for Hacking Expertise

HackingTools

AverageIntruder

1980 1985 1990 19951980 1985 1990 19951980 1985 1990 19951980 1985 1990 1995

Rel

ativ

e R

elat

ive

Tec

hnic

al C

ompl

exit

yT

echn

ical

Com

plex

ity

Rel

ativ

e R

elat

ive

Tec

hnic

al C

ompl

exit

yT

echn

ical

Com

plex

ity

Congress, 1996


Informationen sammeln

Schwachstellen identifizieren

Angriff durchführen

Rechte aneignen

Vorgehensweise beim Angriff

Angriffsmethoden

Angriffsmethoden

Idee eines Angriffes

Ein Angreifer versucht Zugriff zu bekommen, um:

• an bestimmte Informationen zu kommen, die nicht für Ihn bestimmt sind,

• Aktion auszulösen, die er nicht auslösen darf, oder

• Ressourcen zu nutzen, die er nicht nutzen darf.

Angriffsmethoden

Idee eines Angriffes

Dies tut ein Angreifer:

• um mit den Informationen Geld zu verdienen,

• um dem Opfer zu schaden,

• aus reiner Spielleidenschaft

Angriffsmethoden

Analyse des Netzes durch Scanner

• Benutzerinformationen

• Topologie

• aktive Dienste

• Schwachstellenanalyse

Angriffsmethoden

Password-Snooping und IP-Spoofing

• Passwortklau, danach

• Eindringen in das System

• Fälschen der Identität

• Datenklau

Angriffsmethoden

Nutzung falscher Informationen

• Möglichkeit zum Ausnutzen der Schwachstellen, die in der Analyse gefunden worden sind.

• Zugriff auf Filesysteme ( NFS ) und andere Systemdienste ( POP3 )

• DOS-Attacken ( Denial Of Service )

• korrupte Java-Applets, Javascripts, Active X

• Viren durch downloads ( auch MS-Word Makroviren )

• Verkehrflußanalyse

Warum Firewalls ?

Warum Firewalls ?

Analogie zur Firewall

• Brandschutzmauer

Man kann ein elektronisches Firewall-System wie eine Brandschutzmauer betrachten, die dafür zuständig ist, einen bestimmten Bereich abzuschotten, damit Schäden, die auf der einen Seite der Mauer auftreten, nicht auf die andere Übergreifen.

• Pförtner

Ein Pförtner hat wie eine Firewall die Aufgabe zu bestimmen, wer rein und raus darf. Andere Personen müssen sich bei Ihm identifizieren.

Warum Firewalls ?

Allgemeine Ziele von Firewall-SystemenAllgemeine Ziele von Firewall-Systemen

• Zugangskontrolle auf Netzwerkebene

Es wird überprüft, welche Rechnersysteme über den Firewall miteinander kommunizieren dürfen.

• Zugangskontrolle auf Benutzerebene

Das Firewall-System überprüft, welche Benutzer eine Kommunikation zur Firewall durchführen dürfen. Dazu wird die Echtheit (Authentizität) des Benutzer festgestellt.

• Rechteverwaltung

Hier wird festgelegt, mit welchem Protokollen und Diensten und zu welchen Zeiten über die Firewall Kommunikation stattfinden darf.

Warum Firewalls ?


• Kontrolle auf der Anwendungesebene

Überprüfung auf korrupte Dateiinhalte oder Virensignaturen

• Entkopplung von Diensten

Implementierungsfehler, Schwachstellen und Konzeptionsfehler der Dienste sollen keine Angriffsmöglichkeiten bieten.

• Beweissicherung und Protokollauswertung

Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert. ( Beweissicherung, Sicherheitsverletzungen )

Warum Firewalls ?


• Alarmierung

Besonders sicherheitsrelevante Ereignisse gehen an das Security-Management.

• Verbergen der internen Netzstruktur

Die interne Netzstruktur soll verborgen bleiben, es soll nicht sichtbar sein, ob 10 , 100, 1.000 oder 10.000 Rechner im geschützen Netz vorhanden sind.

• Vertraulichkeit von FW-Nachrichten

Verschlüsselung der Nachrichten an das SM und den Administrator

Welche Firewall-Elemente gibt es ?


Klassifizierung von Firewall-Elementen


Architektur von Firewall-Elementen


Allgemeine Arbeitsweise von Packet Filtern

Ein Packet-Filter prüft:

• Es wird überprüft, von welcher Seite das Packet empfangen wird.

• Auf der Netzzugangsebene werden die Quell- und Ziel-Adresse und der verwendete Protokolltyp kontrolliert.

• Auf der Transportebene werden die Portnummern überprüft.

• Zeitliche Regelungen können implementiert werden.


Allgemeine Arbeitsweise von Packet Filtern


Beispiel eines Verbindungsaufbaus


Spezielle Packet Filter


Regeln für Packet Filter

Grundsätzlich :

• Es muß genau festgelegt werden, was erlaubt sein soll.

• Alles was nicht explizit erlaubt wird, ist automatisch verboten.

• Das Firewall-Element erlaubt nur das, was explizit in den Access-Listen als >>erlaubt<< gekennzeichnet ist.


Vorteile von Packet Filtern

• Transparent & unsichtbar für die Benutzer ( Ausnahme Authentikation ist notwendig )

• einfach und erweiterungsfähig für andere Protokolle

• flexibel für neue Dienste

• hohe Performance durch optimale Mechanismen ( Eigenes Betriebssystem, abgestimmte Hardware )

• geringe Komplexität, dadurch leicht realisierbar

• geringe Kosten ( im Vergleich Application-Gateway )


Nachteile von Packet Filtern

• Daten oberhalb der Transportebene werden nicht analysiert.

• Keine direkte Sicherheit bei Anwendungen

• Packet-Filter können die Struktur des Netzes nicht verbergen.

• ( aus Punkt 1 ) Keine Protokolldaten oberhalb der Transportschicht

Allgemeine Arbeitsweise von Application-Gateways



Beispiel eines Proxy-Dienstes : TELNET


Vorteile von Application-Gateways

• Sicheres Designkonzept, da kleine, gut überprüfbare Module (Proxies)

• Alle Pakete müssen über das Application-Gateway übertragen werden, somit höhere Sicherheit.

• Echte Entkopplung der Dienste

• Verbindungsdaten, Applikationsdaten & Anwenderdaten können protokolliert werden

• Verbergen der Internen Netzstruktur

• Sicherheitsfunktionen für Anwendungen ( Kommando-, Datei-, Datenfilter )


Nachteile von Application-Gateways

• geringe Flexibilität ( Jeder Dienst ein Proxy )

• hohe Kosten

• kompliziertere Administration und Konfiguration


Kosten ?

ResidualRisk

Cos

t

$0100% 0%

Cost of Controls

Cost ofExploitation

X Spend about this much. Today.

$Lots

ResidualRisk

is directly proportional to Threat, Vulnerability, ValueControl, Countermeasureis inversely proportional to

Fielding a trustworthy capability requires the implementation of a complete program.

NetworkRe-engineering

ProcessRe-engineering

SecurityManagement

Administrationand Testing

Education andAwareness

SecurityPolicy


Security verstehen:


Auf dem laufenden bleiben:

Security Policy Development

Preinstallation Site Survey

Site Security Survey

Enterprise AssuranceRisk Assessment

Unprotected

Networks

time

IT advancement

defensive technologiesvulnerability gap

Threat &Vulnerability

Threat &Vulnerability

Security Policy Development

Site Security Survey

Enterprise AssuranceRisk Assessment

time

IT advancement

defensive technologies

process improvement

M A N A G E M E N T B U Y - I N

SECURITYPOLICY

NETWORKREENGINEERING

PROCESSREENGINEERING

L A Y E R E D S E C U R I T Y I N D E PT H

EDUCATION&

AWARENESS

ADMIN.&

TEST

NETWORKMGMT.P

R O

C E

S S

D

R I

V E

N I N V

O L

V E

A L

L


Investieren, Updaten:

Moderne Firewallarchitekturen


Ausschließlicher Einsatz eines Packet-Filters


Ausschließlicher Einsatz eines Application-Gateways


Packet Filter und dual-homed Application-Gateway


Zwei Packet-Filter & dual-homed Application-GatewayZwei Packet-Filter & dual-homed Application-Gateway

Höchstes Maß an Sicherheit !


Einsatz für Internet-Server


Einsatz für Mail-Server

Zusätzliche Virenscanner ( optional )


Empfehlungen:

VPN & Firewalls

VPN & Firewalls

Grundsätzliches :

Vorteile:

• VPNs erhöhen die Sicherheit durch Verschlüsselung auf verschiedenen Ebenen.

• Dadurch werden einige Angriffsmöglichkeiten abgeschwächt. ( Man-In-The-Middle -Attack )

Nachteile:

• Es muß spezielle Hard- oder ( und ) Software eingesetzt werden.

• Geschwindigkeitsverluste bei der Datenübertragung

VPN & Firewalls

Aufbau mit Hardware :

VPN & Firewalls

Möglichkeiten :

VPN & Firewalls

Besser mit Firewall !

Zukunftstechnologien


Interne Sicherheit ? JA !


Aussichten:

• Verbesserung der Sicherheitsmechanismen in IPv6

• Zusammenwachsen von Packet-Filter & Application-Gateways, die auch redundante, leistugnsstärkere Systeme bilden ( Clustering ).

• Zusammenwachsen von Netzwerkmanagement mit Sicherheitsmanagement.

• Geplant: Sicherheit in Netzen als Studiengang ( Klagenfurt,Bochum, Bonn, München und Darmstadt )

Quellenangabe :

• Firewall-Systeme / DATACOM / Norbert Pohlmann

• Einrichten von Firewalls / O´Reilly / Chapman, Zwicky

• Intranet Security / SUN / Linda Mc Carthy

• Firewalls / dPunkt / Strobel

• SAFER NET / dPunkt / Schmeh

• Sicherheitskonzepte für das Internet / dPunkt / Raepple

•IPnG / DATACOM / Stainov

• Gateway, Information-Week, Internet

Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999.

Documents

Transcript of Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999.