Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ein Vortrag von Oliver Hardt und Michael Tümmel

Veröffentlicht von:Bärbel Gerber Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Ein Vortrag von Oliver Hardt und Michael Tümmel"—  Präsentation transkript:

1 Ein Vortrag von Oliver Hardt und Michael Tümmel
Firewalls Ein Vortrag von Oliver Hardt und Michael Tümmel

2 Übersicht Einführung Klassische Elemente von FWs
Hochgeschwindigkeits- FWs Desktop FWs

3 Einführung Grundlagen des IP Protokolls IP Pakete mit variabler Länge
TCP, UDP, ICMP Header mit Ursprungs-, Ziel- Adresse und Port

4 Was ist eine Firewall ? Komponente oder Menge von Komponenten (Hard- und/oder Software), Regeln und Protokollen, welche den Zugriff zwischen geschütztem Netzwerk und dem Internet (oder anderen Netzwerken) kontrollieren und regeln Dabei gilt es nicht nur das zu sichernde Netzwerk zu schützen, sondern auch die Firewall selbst

5 Wovor gilt es zu schützen ?
Ausspionierenvon Daten auf Systemen durch Einbruch in diese Systeme Ausspionieren bei der Übertragung zwischen Systemen (Mitlesen) Manipulation von Verbindungen (Übernehmen einer Verbindung mit Hilfe gefälschter Adressen) Verhindern der normalen Funktion eines Rechners (Denial of Service Attack) Beispiel: Syn Flooding

6 Bereitgestellte Schutzmaßnahmen
Blockieren unerwünschten Verkehrs Weiterleitung eingehenden Verkehrs an vertrauens-würdigere, interne Systeme Verbergen verwundbarer Systeme, welche nicht auf einfache Art gesichert werden können, vor dem Internet Protokollierung des Verkehrs von und zum privaten Netzwerk Verstecken von Informationen wie Systemnamen, Netzwerktopologie, Netzwerk-Gerätetypen und interne Usernamen vor dem Internet Können eine robustere Authentifizierung als die meisten Standardprogramme anbieten

7 Firewalltypen Packet Filtering Firewalls Circuit Level Gateways
Proxies Application Level Gateways Statefull Inspection Firewalls Die wenigsten professionellen Firewalls gehören nur einer einzige Kategorie an Meistens werden verschiedene Typen kombiniert

8 Packet Filtering Firewalls
Arbeiten auf dem Netzwerk-Layer des OSI-Modells oder auf dem IP-Layer des TCP/IP Modells Sind üblicherweise Teil eines Routers Router erhält Pakete von einem Netzwerk und leitet sie an ein anderes Netzwerk weiter Jedes Paket wird mit einer Anzahl Regeln verglichen, bevor es weitergeleitet wird Abhängig vom TCP- und IP-Header der Pakete und von den Regeln kann die Firewall das Paket ablehnen, es weiterleiten oder eine Nachricht zum Ursprung zurücksenden.

9 Screening Regeln Bestehend aus 2 Bestandteilen Selektionskriterien
Politik

10 Selektionskriterien IP-Addressen im IP Header
Portnummern im TCP/UDP Header Protokollnummern je nach benutztem Service (Datagrammtyp) (TCP/UDP/…) unterschiedlich SYN-/ACK-Flag zur Richtungsfeststellung (TCP) nach diesen Kriterien wird das Paket dann jeweils gefiltert

11 Politik Zwei Arten von Regeln
Gebotsregeln (Allow) Alles, was nicht explizit erlaubt ist, ist verboten Verbotsregeln (Deny) Alles was nicht explizit verboten ist, ist erlaubt Die erste Strategie ist der zweiten vorzuziehen

12 Ein Beispiel Nr Typ Quell-adr. Ziel-adr. Quell-port Ziel-port Aktion 1
TCP * >1023 23 (telnet) Allow 2 80 (WWW) 3 22 (SSH) 6 Deny

13 Stärken von Packet Filtern
Paketfilterung ist eine kostengünstige Technologie Paketfilter ist heute auf fast allen Router-Produkten standardmäßig implementiert Oft kein zusätzlicher Administrations- und Konfigurationsaufwand notwendig Paketfilterregeln können dem Benutzer kommuniziert werden Paketfiltertechnologie unterliegt keinen US-Exportbeschränkungen wie z.B. Kryptographie-Software Sie sind leicht erweiterbar, wenn neue Dienste oder Protokolle transportiert werden müssen (hinzufügen neuer Regeln reicht im Normalfall)

14 Schwächen von Packet Filtern
Paketfilterregeln für den Durchschnittsbenutzer oft recht verwirrend Bei großen Netzen können Filterregeln sehr umfangreich und schwer nachvollziehbar werden Protokollmeldungen enthalten oft keine Informationen über Inhalt der übertragenen und verworfenen Pakete Einige Protokolle sind für Packet Filter ungeeignet, da variable Portnummern verwendet werden Unzureichende Integrität der Portnummern und IP-Adressen, da diese leicht gefälscht werden können (IP-Spoofing) Keine Benutzerauthentifizierung Keine Kontrolle der Inhalte der Datagramme

15 Proxies / Application Gateways
Packet Filter werten die Informationen der ISO/OSI-Schichten 3 und 4 aus Proxies dagegen die der Anwendungsschicht (5-7) i.d.R. bilden mehrere Proxy-Prozesse einen Application Gateway Bestehen aus Circuit-Level-Proxies und/oder Application-Level-Proxies

16 Circuit Level Gateways
Arbeiten auf dem Session-Layer des OSI-Modells oder auf dem TCP-Layer des TCP/IP-Modells Überwachen das TCP-Handshaking zwischen Paketen von vertrauenswürdigen Servern oder Clients und nicht vertrauenswürdigen Hosts und umgekehrt, um herauszufinden, ob eine Session legitim ist oder nicht Um Pakete auf diesem Weg zu filtern, benutzen Circuit Level Gateways die Daten, welche im Header des TCP Session-Layer Protokolls vorhanden sind Wurde das Handshaking als legitim erkannt baut das C.-L.-Gateway die Verbindung auf und die Pakete werden nur noch hin und her transportiert ohne weiteres Filtern

17 Circuit Level Gateways (2)
Wurde die Session vollendet wird sie aus der Tabelle gelöscht Der Client wird vollständig hinter dem Gateway verborgen (Verbergen der Netztopologie) C.-L.-Proxies sind unabhängig vom Protokoll einsetzbar und i.d.R. für den Client transparent Die notwendigen Informationen werden vom Client Prozess erzeugt und dem Proxy zur Verfügung gestellt

18 Application Level Gateways
Arbeiten auf dem Application Layer Für jeden Dienst ist ein spezifisches Proxyprogramm auf dem Proxy-Server erforderlich (telnet, FTP, HTTP) Nutzdatenanalyse ist möglich Daten können analysiert und z.B. nach bestimmten Schlüsselwörtern durchsucht werden (z.B. , HTML-Seite) Möglichkeit einiger HTTP-Proxies, alle Zeilen innerhalb einer Seite, die zu Java-Applets gehören, zu löschen Möglichkeit der Einschränkung von Dienstmerkmalen Cache Funktionalität für Webseiten

19 Proxies / Application Gateways
Bieten ein hohes Maß an Sicherheit Sehr umfangreiche Protokollierung ist möglich Authentisierung des Benutzers kann vorgenommen werden (im Gegensatz zu Packet Filtering) Granularität auf Dienstebene Dienste können benutzerabhängig erlaubt werden Verbindung zwischen dem zu schützenden Netz und dem Internet wird durch Application Gateway völlig entkoppelt Höherer Rechenaufwand nötig Wenig skalierbar

20 Statefull Inspection Firewalls
Kombinieren Aspekte der ersten drei Firewallgruppen Filtern Pakete auf dem Netzwerk-Layer Erkennen ob Session Pakete legitim sind Zustandsabhängige Paketfilterung Bieten hohes Maß an Sicherheit, gute Leistung und Transparenz Sind teuer und sehr komplex Anfällig für Sicherheitslöcher/falsche Konfiguration Keine physische Netztrennung

21 Firewallarchitekturen
Allgemeine Grundsätze Position der eingesetzten Geräte sollte möglichst weit außen sein Bei stark zu schützenden Netzen sollten Geräte redundant eingesetzt werden Unterschiedliche Hersteller Unterschiedliche Filterformate Anzahl und Art der Firewall-komponenten sollte dem Sicherheits-konzept angepaßt sein Nicht unbedingt der Grundsatz  je mehr Komponenten desto höher die Sicherheit

22 Bastion Host Erster oder einziger Rechner der aus dem Internet erreichbar ist Höchste Hostsicherheit ist erforderlich Softwareausstattung sollte so einfach wie möglich gehalten werden (Minimalsystem/Least Privilege) Erbringen und leiten Internetdienste weiter Benutzeraccounts sollten nicht eingerichtet werden Darf nicht die Funktionalität eines Routers erfüllen Übernimmt oftmals die Protokollfunktionen (Logging/Auditing)

23 Screening Router Vorteile: Nachteile: Einfache Installation
Geringer Administrationsaufwand Kostengünstig Nachteile: Nur geringer Schutz Gelingt es dem Angreifer die Packet- Screen zu überwinden liegt gesamtes Netz offen Begrenzte Protokollmöglichkeiten Gefahr durch IP-Spoofing

24 Dual Homed Host / Gateway FW
Vorteile: Umfangreiche Zugriffskontrolle Angriffe können gut nachvollzogen werden Nur erlaubte Dienste können in Anspruch genommen werden Nachteile: Hoher Installationsaufwand begrenzte Erweiterungsmöglichkeiten Bastions müssen sehr gut gegen Angriffe geschützt werden

25 Screened Host Vorteile: Nachteile:
Verbindet Vorteile der ersten beiden Architekturen Bastion durch Screening Router geschützt mehrere Bastion Rechner sind möglich Nachteile: Höhere Kosten innerer Netzwerkverkehr kann nach erfolgreichem Angriff der Bastion mitgehört werden (sniffing) Router als Single Point of Failure

26 Screened Subnet Screened Subnet = Perimeter Network Grenznetz DMZ
Vorteile: Gute Skalierbarkeit Es müssen zwei Packet Filter überwunden werden (am besten unterschiedlicher Bauart) Nachteile: Höhere Kosten Hoher Administrationsaufwand

27 Datennetz am Campus Stellingen

28 Sicherheitspolitik des Fachbereichs
Kein Verbindungsaufbau aus dem externen Netz erlaubt Schutz vor unsicheren Protokollen/Diensten Ausnahmen (SSH-, WWW-, SMTP-, … Server) Aus dem internen Netz soll alles möglich sein Keine Einschränkungen bei der Nutzung des Internets Ausnahmen (Versand von s)

29 Cisco Secure PIX Firewall
Security Level pro Interface Alles verboten, nur Ausnahmen erlaubt Ausnahmen durch Access Listen Statefull Inspection Verbindungsorientiert (TCP/UDP) Fixup-Funktionalität PIX hört Datenkommunikation z.B. der ftp-Kontrollverbindung mit (intern => extern) Öffnung der Datenverbindung vom ftp-Server zum Client (aktives FTP)

30 Die modernen Firewalls von heute
Technologisch ausgereift Deshalb Konzentration auf Zusatzfunktionalitäten Remote Management Tools in verteilten Unternehmen VPN-Funktionalitäten (Vortrag am ) Virenschutz URL-Filter Statefull Inspection oder Application Proxies

31 Hochgeschwindigkeitsfirewalls

32 Hochgeschwindigkeitsfirewalls
Hochgeschwindigkeitsverbindungen ATM, Glasfaser, Gigabit – Ethernet Hoher Datendurchsatz Zusätzliche Probleme : Pakete liegen nicht immer im IP Format vor Paketscreen wird zum Flaschenhals Nicht immer liegt physische Trennung von Netzen vor

33 Hochgeschwindigkeitsfirewalls

34 Hochgeschwindigkeitsfirewalls

35 Hochgeschwindigkeitsfirewalls
Parallele Verarbeitung Verbindungsparallel Für jede Verbindung einen Prozess / Prozessor Evtl. schlechtes Verhalten bei nur wenigen Verbindungen Paketparallel Verteilen der einzelnen Pakete auf Prozessoren Nutzung der Protokoll Eigenschaften

36 Parallele Verarbeitung
Skalierbarkeit Overhead ? Aufwand Implementation Konfiguration Zuverlässigkeit Einschränkungen ?

37 Parallele Verarbeitung
Mittel der Wahl : Parallele Paketverarbeitung

38 Paketparallele Verarbeitung
Reihenfolge der IP Pakete egal feine Granulierung möglich Grundsätzlich sind keine Kontextinformationen nötig Sehr gut skalierbar, ausfallssicher Leicht konfigurierbar

39 Lastverteilung Verteilung Zentraler Verteiler Dezentraler Verteiler
Überwacht Prozessoren Sorgt für gleichmäßige Auslastung Dezentraler Verteiler Nur „broadcast“ auf die Prozessoren Weniger fehleranfällig Dem zentralen Verteiler vorzuziehen

40 Verteilung der Pakete Neues Problem : Auswahlverfahren der Prozessoren
Muss möglichst schnell erfolgen Zuordnung muss eindeutig und gleichmäßig sein Möglichst unabhängig von der Anzahl der Prozessoren

41 Parallelverarbeitung
Erstellen eines Hashwertes über IP Adresse IP Identifikation (IP Seq. No.) Header Checksum Frame Checksum Kombinationen

42 Nutzung dieses Hashwertes in den einzelnen Prozessoren
Bei n Prozessoren und Prozessoren von 0 bis (n – 1) Bei wiederholtem Senden möglichst neuer Hashwert -> neuer Prozessor

43 Realisierung

44 Realisierung Hubs sind ungünstig Alternative : nur „broadcast“
Kein „Full Duplex“ Alternative : Nutzung von Switches in Verbindung mit Multicast Adressen Zusätzliche Konfiguration von Switches und Paketscreens

45 Performance Performance : OC-3 ohne jeden Filter : ca. 155 mbit/s
Ab ca. 10 Filtern nur noch 60 % der Leistung Ab ca. 100 Filtern nur noch ca. 30 % der Leistung

46 Parallele Proxyserver
Für einzelne Protokolle getrennt Mehrere Instanzen pro Prozessor Problematisch bei z.B. FTP Verbindungen Weiteres Problem : Verhältnismäßig hohe Dauer für Verbindungsaufbau

47 Verteilen der Verbindungen
Statisches Verteilen der Verbindungen Dynamisches Verteilen Round Robin DNS „Meta“ Proxy Problem : Zentral vs. Dezentral

48

49 Desktop Firewalls Für Privatnutzer. Z.B. für Windows Systeme.
Im Prinzip ein Paketscreen / Paketfilter. Ermöglicht den Internetzugang für einzelne Programme zu beschränken.

50 Hochgeschwindigkeitsfirewalls
Kann Ping- / Traceroute – Antworten unterbinden. Kontrolle über einzelne Ports, Ursprungsadressen, ICMP Typen, etc.

51 Desktop Firewalls Beispiel Applikationen : McAfee Desktop Firewall
Norton / Symantec Personal Firewall Tiny Personal Firewall WinXP (nur eingehende Verb. !) Zone Alarm

52 Desktop Firewalls Nachteile : Trügerische Sicherheit
Applikationen können sich „tarnen“ Z.B. eingebetteter Internet Explorer Firewall kann „ausgeschaltet“ werden Oft schlechtes Logging / schlechte Reports

53 Desktop Firewalls Beispiel : Tiny Personal Firewall
Für jede Applikation einzeln konfigurierbar MD5 Hash über EXE für Sicherheit Komplette Netzblöcke ein- / ausschliessbar

Herunterladen ppt "Ein Vortrag von Oliver Hardt und Michael Tümmel"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Netzwerke und Zubehör von Lars Schulz.

Netzwerke und Zubehör von Lars Schulz.
Einführung/Praxisbeispiel:

Einführung/Praxisbeispiel:
Einer der Dienste im Internet

Einer der Dienste im Internet
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Firewalls.

Firewalls.
Agenda 1. Wie funktionieren Netzwerke ? 2. Agenda 3.

Agenda 1. Wie funktionieren Netzwerke ? 2. Agenda 3.
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Microsoft Windows 2000 Terminal Services

Microsoft Windows 2000 Terminal Services
Beispiel-Netzwerk eines vernetzten IT-Systems:

Beispiel-Netzwerk eines vernetzten IT-Systems:
Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Virtual Private Networks

Virtual Private Networks
Firewalls Firewalls von Hendrik Lennarz.

Firewalls Firewalls von Hendrik Lennarz.
Firewalls Holger Stengel Vortrag am 1999-12-20. Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.

Firewalls Holger Stengel Vortrag am Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.

Ähnliche Präsentationen

Google-Anzeigen