Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Ähnliche Präsentationen


Präsentation zum Thema: "Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp."—  Präsentation transkript:

1 Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp

2 Index 1. Netzwerkgrundlagen1.1 LAN / MAN / WAN 1.2 Zugriffsformen 1.3 Verkabelungsstrukturen 1.4 OSI Referenzmodel 1.5 TCP / IP 2. Firewall-Systeme2.1 Definition 2.2 Unterscheidungsmerkmale 2.3 Bsp. Aufbau 2.4 Angriffsarten 2.5 IDS & IPS 3. VPN3.1 Definition 3.2 Typen 3.3 Tunneling 3.4 Protokolle 3.5 Angriffsarten 4. Fazit4.1 konzeptionelle Problem 4.2 Lösung

3 Netzwerkgrundlagen 1.1 LAN / MAN / WAN LAN = Local Area Network MAN = Metropolitan Area Network WAN = Wide Area Network - Sind räumlich abgegrenzte Datennetze - Nutzen gemeinsame Übertragungsmedien - Topologie: RING, BUS, BAUM und STERN

4 Netzwerkgrundlagen 1.2 Zugriffsformen Zentral Dezentral Server - Client Client - Client Der Server bestimmt die Richtlinien des Netzes welche für alle Clients bindend sind Clients bestimmen ihr eigenes Verhalten im Netz

5 Netzwerkgrundlagen 1.3 Verkabelungsstruktur MAN / WAN LAN GV EV 1 EV 2 EV n TA n

6 Netzwerkgrundlagen 1.4 OSI Referenzmodel Entwicklung Int. Telecommunication Union (ITU) 1984 Int. Organization for Standardization (ISO) Referenzmodell für Netzwerkprotokolle Schichtenarchitektur Kommunikation zw. Unters. Techn. Systeme 7.Layers mit eng begrenzten Aufgaben Netzwerkprotokolle in Schicht untereinander austauschbar

7 Netzwerkgrundlagen 1.4 OSI Referenzmodel SchichtenEinordnungDoD- Schicht EinordnungProtokoll Bsp. EinheitenKopplungselemente 7Anwendungen (Application) Anwendungs- orientert Anwendung End-to-End (Multihop) HTTP FTP HTTPS SMTP LDAP NCP DatenGateway, Content- Switch, Layer-4-7- Switch 6Darstellung (Presentation) 5Sitzung (Session) 4Transport (Transport) Transport-orientiert Transport TCP UDP SCTP SPX TCP = Segmente UDP = Datagramme 3Vermittlung (Network) Vermittlung Point-to-Point ICMP/IG MP IP/Ipsec IPX Ethernet Token ring FDDI ARCNET Pakete Rahmen (Frames) Router, Layer-3- Switch Bridge, Switch 2Sicherung (Data Link) Netzzugriff 1Bitübertragung (Physical)Bits, Symbole, Pakete Repeater, Hub

8 Netzwerkgrundlagen 1.5 TCP / IP Transmission Control Protocol / Internet Protocol TCP Verbindungsorientiertes, paketvermittelndes Transportprotokoll Ende-zu-Ende Verbindung Übertragung in beide Richtungen gleichzeitig Wird durch Software verwertet Standardisiert: RFC 793 & RFC1323 IP Grundlage des Internets Adressiert alle Teilnehmer Standardisiert: RFC 791 & RFC 2460

9 Firewall-Systeme 1.1 Definition Als Firewall-Systeme werden alle Schutzmaßnahmen bezeichnet die einen unerlaubten Zugriff von Außen auf ein privates Datennetz oder PC verhindern Die Grundsätzliche Funktion ist das Blockieren von Kommunikationsdaten zwischen verschiedenen Netzen und Usern Die Richtlinien müssen festgelegt und administriert werden!

10 Firewall-Systeme 1.2 Unterscheidungsmerkmale nach Art  Hardware Firewall  Software Firewall  Kombinierte Firewall nach Funktion  Paketfilter Softwarebasiert Wertet Inhalte der Pakete aus  Proxy (Application Gateway) Hardwarebasiert Protokolliert Daten Ein- und Ausgang Stellt Nutzerprofile bereit (Rechteverwaltung) NAT-Funktion Netze werden physikalisch getrennt Etherchannel

11 Firewall-Systeme 1.2 Bsp. Aufbau Internet Fw A Fw B Switch NAT ftpmail web DMZ Geschützte Zone

12 Firewall-Systeme 2.4 Angriffsarten TCP-Portscan / UDP-Portscan –Vorbereitende Aktion um Schwachstellen des Host zu entdecken Denial of Service –Host wird gezielt zum Absturz gebracht Smurf-Attack –Ausspähen von Hostinformationen Trojanische Pferde –Paket wird nicht als gefährlich eingestuft und darf passieren IP-Spoofing –Vortäuschen einer IP-Adresse Uvm.

13 Firewall-Systeme 2.5 IDS & IPS Intrusion Detection Systeme & Intrusion Prevention Systeme Als Hostanwendung oder Hardwaredevice (Module) Zeichnet vollständigen Netzverkehr auf Wertet IP Protokoll aus nach Mustern bekannter Angriffe Zusätzlicher Schutz!

14 VPN 3.1 Definition Privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur Nur zugehörige Kommunikationspartner können kommunizieren/Daten austauschen Sicherheit von:  Authentizität: Identifizierung Überprüfung der Daten  Vertraulichkeit Verschlüsselung  Integrität Keine Veränderung durch Dritte

15 VPN 3.1 Typen & Protokolle HostLan RouterInetRouterLanHost End-to-Site-VPN / Remote-Acces-VPN Heimarbeitsplatz/ Mobile Benutzer –VPN-Tunnel > öffentliches Netzwerk > lokales Netzwerk VPN-Client Minimaler finanzieller & technischer Aufwand

16 VPN 3.1 Typen & Protokolle Site-to-Site VPN/ LAN-to-LAN VPN/ Branch-Office VPN  Mehrere lokale Netzwerke Angemietete Standleitungen -Frame Relay/ ATM -hohe Kosten Site-to-Site (global) / LAN2LAN Kopplung (lokal) -vorhandenes WWW nutzen -weniger Kosten Main-LANSub-LAN HostLAN RouterWWWRouterLANHost

17 VPN 3.1 Typen & Protokolle End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN HostLan RouterInetRouterLanHost Client Client Gesamte Strecke getunnelt VPN-Software auf beiden Seiten Verbindungsaufbau über Gateway (Verlängerung) Remote-Desktop: Teamviewer /GotoMyPC

18 VPN 3.3 Tunneling Unbekannte Infrastruktur Weg nicht : –nachvollziehbar –vorhersagbar –Kontrollierbar An Jedem Knotenpunkt können Datenpakete: –Gespeichert –Verändert –Gelöscht PC LAN Datenpakete Interne t Tunneling-Protokoll = verschlüsselte Verbindung Zwischen beliebigen Endpunkten Endpunkt (Anfang & Ende) –Einhaltung der 3 Sicherheitspunkte v. VPN‘s –Router, Gateway oder Software-Client

19 VPN 3.4 Protokolle Ipsec (im Tunnelmodus) Erweiterung des IP Protokolls –Gateway to Gateway –Netzwerkschicht 3 –Gewährleistet 3 VPN-Sicherheitspunkte –Gehört fest zum IPv6 Standard –Für IPv4 nachträglich spezifiziert

20 VPN 3.4 Protokolle L2TP – Layer-2-Tunneling-Protocol PTP-Verbindungen über IP-Netzwerke Eigenen Netzwerken oder Netzwerk-Stationen –Bsp.: Außendienstler – getunnelt durchs Internet zum Firmennetzwerk mit Standleitung zu diesem. 2 logische Systeme –L2TP Acces Concentrator (LAC) Verwaltet Verbindung zum LAC –L2TP Network Server (LNS) Routing & Kontrolle der empfangenen Pakete 2 Kanäle im Tunnel –Kontrollnachricht (gesichert) –Nutzdaten (ungesichert)

21 VPN 3.4 Protokolle MPLS – Multiprotocol Label Switching Verbindungsorientierte Übertragung Verbindungslosen Netz Aufgebauten Pfad Sprach & Datendienste auf IP Basis (Internetprovider) Ohne feste Verbindung Dazwischen liegende Netzwerkknoten ( Router) wissen eigenständig, wie Daten weiterzuleiten sind vom Endgerät bis zum Empfänger Mit fester Verbindung Es wird erst ein Pfad vom Endgerät durch das Netz bis zum Empfänger signalisiert

22 VPN 3.4 Protokolle IPSecL2TPPPTPMPLS OSI-SchichtSchicht 3Schicht 2 StandardJa NeinJa Paket- Authentisierung JaNein Benutzer- Authentisierung Ja Nein Daten- verschlüsselung JaNeinJaNein Schlüssel- management JaNein Quality of ServiceJaNein Ja IP-TunnelingJa IPX-TunnelingNeinJa HauptanwendungEnd-to-EndProviderEnd-to-EndNetzbetreiber

23 VPN 3.5 Angriffsarten Man-in-the-Middle Angriff Wiretapping Spoofing ICMP/ARP Angriff Denial of Service TCP Sequenznummer Replay Smurf Attack Uvm.

24 FAZIT 4.1 konzeptionelle Probleme Häufig ungeahnte Probleme –Firewall verhindert gekapselten Datenverkehr –Offene Tür im Sicherheitskonzept Platzierung des VPN-Endpunktes = wichtige Entscheidung Vor oder hinter die Firewall??

25 FAZIT 4.1 konzeptionelle Probleme Firewall kann nicht in die verschlüsselten Pakete zu gucken Pakete werden über Port500 an das VPN-Gateway durchgelassen Unkontrolliertes eindringen durch VPN-Teilnehmer WA N LAN Firewall VPN- Gateway WA N LAN Firewall VPN- Gateway Vor der Firewall Erst entschlüsseln der Datenpakete Danach Prüfung auf ungewollte Daten durch Firewall

26 FAZIT 4.2 Bsp. Aufbau Demilitarisierte Zone Zwischen Router und Firewall Zweite Filterstufe Sicherheits- /Verbindungsprobleme vermeiden –Router als VPN-Endpunkt mit integrierter Firewall Demilitarisierte Zone (DMZ) WA N LAN Firewall Router VPN- Gateway Port-Forwarding auf Router


Herunterladen ppt "Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp."

Ähnliche Präsentationen


Google-Anzeigen