Download - Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

Transcript
Page 1: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

Firewalls

Saskia Schild, Manuel Grbac & Nerma Taletovic

Page 2: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

2

Inhaltsverzeichnis• Was ist eine Firewall?

• Aufgaben einer Firewall

• Was eine Firewall nicht kann

• Fernzugriff

• Sichtbarkeit für Anwender

• Regelwerk

• Firewall-Arten

– Personal Firewall

– Externe Firewall

• Filtertechnologien

• Netfilter/IPtables

• Sicherheit und Kostenfrage

Page 3: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

3

Was ist eine Firewall?

• engl. Brandschutzmauer

• dient dazu, nur bestimmte Anwendungen Zugriff zu gewähren

• Trennt sozusagen den privaten vom öffentlichen Bereich

Page 4: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

4

Aufgaben einer Firewall

• Paketfilter und -analyse

• Protokoll- und Inhaltsblockierung

• Benutzer-, Verbindungs- und Sitzungsauthentifizierung und Verschlüsselung

• ...

Page 5: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

5

Was eine Firewall nicht kann

• Fremde Verbindungen schützen:

Eine Firewall schützt nur Verbindungen, die über sie laufen

• Angriffe erkennen:Eine Firewall soll grundsätzlich die Regeln für die Netzwerkkommunikation umsetzen und so den Datenverkehr voninnen nach außen unterstützen.

Page 6: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

6

Fernzugriff

• Zugriff auf den Netzwerkdienst (Unsichere Netzwerkdienste, ...)

• Rückschluss vom Netzwerkdienst auf den Client

• Netzwerkimplementierung des Betriebssystems (fehlerhafte Treiber, falsche Implementierung, ...)

Page 7: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

7

Sichtbarkeit für Anwender

Es gibt 4 Erscheinungsformen einer externen Firewall:

– SichtbarFirewall stellt sich sichtbar zwischen das Quell- und Zielsystem

– einer Seite gegenüber transparenteinseitig direkte Verbindung

– beiden Seiten gegenüber transparentbeidseitig durchgehende Verbindung

– UnsichtbarUnterschied zu beidseitiger Transparenz: Systeme können sich gegenseitig nicht erkennen

Page 8: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

8

Regelwerk

Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.

Eine Regel setzt sich aus folgenden Komponenten zusammen:

• Absender IP-Adresse

• Ziel IP-Adresse

• Netzwerkprotokoll

• Port Nummer

• Aktion:

– DROP: ein Paket wird verworfen

– REJECT/DENY: es wird aktiv abgelehnt

– ACCEPT/ALLOW/PASS: es wird angenommen

• Loggen

Page 9: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

9

Firewall-Arten Personal Firewalls

• Ist eine Software, die auf dem Rechner des Endnutzers installiert ist

• Sie ist keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert, sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz

• Sie wird auf Einzelcomputern eingesetzt

• Überwacht auch welche Programme versuchen ausgehende Netzwerk- oder Internet-Kommunikationen zu starten

Page 10: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

10

Firewall-Arten Personal Firewalls

Funktionsweise

• Der Paketfilter filtert und blockiert Datenpakete nach den Regeln des Regelwerk

• Über die Adressierungsinformation die ein Datenpaket enthält wird es zum Ziel weitergeleitet

• Der Anwendungsfilter kann einzelne Programme von der Netzkommunikation ausschließen

• Mit Hilfe des grafischen Frontends kann der Benutzer die Filter selbst konfigurieren

Page 11: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

11

Firewall-Arten Personal Firewalls

• Ein Lernmodus einer Firewall ermöglicht es, das durch die Interaktion mit dem Benutzer die Filterkriterien festgelegt werden.

• Web Shields oder Web Application Firewalls filtern ActiveX und JavaScript Inhalte

• Firewalls können auch über ein Einbrucherkennungs- und -Abwehrsystem verfügen (auch Intrusion Detection System - IDS genannt)

• Sandboxing kann ein Programm daran hindern, auf Systemressourcen zuzugreifen – dadurch können Schäden am System verhindert werden.

• Dynamische Paketfilterung

Page 12: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

12

Vorteile einer Personal Firewall

• Kennen lernen des paketorientierten Datenverkehrs im Internet

• Softwarelösungen sind günstiger als Hardwarelösungen

• Der Schutz einer Softwarelösung ist oft aktueller als der einer Hardwarevariante

• schneller und komfortabler Schutz

• ausgehender Verkehr wird auch kontrolliert

Page 13: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

13

Nachteile einer Personal Firewall

• Installation einer weiteren komplizierten Software

• Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen

• verbrauchen Systemressourcen

• Manipulationsgefahr

• Lernphase nötig

• Höhere Komplexität → mehr Angriffsfläche

• Je komplexer eine Firewall ist, desto größer ist die Wahrscheinlichkeit, dass Softwarefehler auftreten

Page 14: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

14

Grenzen einer Personal Firewall

• Antivirensoftware und Viren-und Spywarescanner sind unerlässlich

• Regelmäßige Datensicherung

• Akutalisierung der Software

• Sichere Konfiguration von Webbrowser,..

• Vorsichtiger Umgang mit dem Internet

Page 15: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

15

Firewall-Arten Externe Firewalls

Allgemein

• kontrolliert die Verbindung zweier Netze

• Läuft auf einem eigenständigen System

• Durch die physische Trennung der Firewall und der zu

schützenden PCs ist eine Manipulation nicht einfach durchzuführen

Page 16: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

16

Typen einer Externen Firewall

Man unterscheidet folgende Arten:

» Bridging-Firewall» Routing-Firewall» Proxy-Firewall

Page 17: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

17

Topologie

• Dual-homed Firewall

InternetHub

Workstation

Firewall

Page 18: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

18

Topologie

• Two-legged Network

Internet

Firewall

Hub oder Switch

DMZZone

Public Webserver

Public Mailserver

Workstation

Hub oder Switch

Page 19: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

19

Topologie

• Three-legged Network

Internet

DMZZone

Firewall

Public Webserver

Public Mailserver

Hub oder Switch

Hub oder Switch

Workstation

Page 20: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

20

Vorteile einer Externen Firewall

• Konfiguration nur einmal notwendig

• Trennung von internem und öffentlichem Netz

• Optimiert für Arbeitsabläufe und entlastet PC

• Schützt auch andere Geräte im internen Netz

• Betriebssystemunabhängiger Schutz

• Möglichkeit des Kaufs eines Zusatzpaketes

• Black- und Whitelist

Page 21: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

21

Nachteile einer Externen Firewall

• Wehrt nur Angriffe von außen ab

• kostenspielig

• Kein „Rundum-Schutz“

Page 22: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

22

Grenzen einer Externen Firewall

• Workflow evtl. gestört durch oftmaliges „nachfragen“ beim Benutzer

• Verwendung von Proxies eine gute Alternative, aber kein garantierter Schutz

Page 23: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

23

Filtertechnologien

• Paketfilter

• Stateful Inspection

• Proxyfilter

• Contentfilter

Page 24: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

24

Netfilter

• Netfilter: stellt Werkzeuge für Linux-Firewall zur Verfügung

• Gruppen von Firewall-Regeln = Tabellen

• Tabelle enthält verschiedene Ketten/Chains

• Beispiel: filter table mit ihren drei Standardchains:

Linux-Netfilter Firewall

INPUTOUTPUT

FORWARD

Page 25: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

25

IPTables

• Chains sind Listen von Regeln

• IPTables dient dem Anlegen und Löschen von Regeln/Chains

• Regel = mehrere Bedingungen und eine Aktion/Target

• Syntax einer Regel:iptables name_of_table name_of_chain -p protokoll -s source -p destination -j jump_target

• Beispiele:

Alle Pakete die der von IP-Adresse 127.0.0.1 kommen, verwerfen:iptables -A INPUT -s 127.0.0.1 -j DROP

Alle TCP Pakete von der IP-Adresse 1.2.3.4 an benutzerdefinierte Chain test leiten:

iptables -A INPUT -p TCP -s 1.2.3.4 -j test

Page 26: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

26

Sicherheit und Kostenfrage

• Kostenspielig (zw. 50€ und 150.000€)

• Monatliche Wartungskosten

• Oftmals nur von großen Betrieben genutzt

• Personal Firewall + Antivirenprogramm statt externe Firewall

Page 27: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

27

Quellen

• Building Internet Firewalls, Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman, Second Edition, June 2000

• http://www.nm.ifi.lmu.de/~sicherheitsbuch/Paketfilter.pdf

• wikipedia.org

• http://subs.emis.de/LNI/Proceedings/Proceedings17/GI-Proceedings.17-9.pdf

• firewall.cx/networking-topics/firewalls/209-firewall-topologies.html

• linuxreport.org/content/view/26/23/

• centos.org/docs/4/4.5/System_Administration_Guide/iptables-command-syntax.html

• help.ubuntu.com/community/IptablesHowTo

Page 28: Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic.

28

Danke für die Aufmerksamkeit