Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Firewall und Tunneling

Veröffentlicht von:Ishild Schiel Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Firewall und Tunneling"—  Präsentation transkript:

1 Firewall und Tunneling
(c) Christian Watzke

2 Inhalt Grundlagen Firewall-Systeme Netzwerk-Firewall
Host-Firewall (Personal Firewall) Komponenten einer Firewall Paketfilter (Content-Filter) Proxy DMZ (c) Christian Watzke

3 Inhalt Tunnelklassen PPP VPN HTTP DNS, SMTP TCP/IP Gegenmaßnahmen
Empfehlungen (c) Christian Watzke

4 Grundlagen Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen kontrollieren den Datenverkehr zwischen den Teilbereichen verhindern ungewünschten Verkehr Häufiger Einsatz zwischen LANs und WANs Unterbinden von Datenverkehr von extern zum geschützten Bereich und umgekehrt (c) Christian Watzke

5 Grundlagen Hardware für Senden und Empfange der Datenpakete zuständig
kein sicherndes Element häufige Netzelemente: Router, Gateways Software regelt den Datenverkehr (wer darf, wer nicht?) läuft oft auf spezieller Hardware (c) Christian Watzke

6 Netzwerk-Firewall Gerät mit mehreren Netzwerkschnittstellen
darauf laufende Software dient hauptsächlich als Firewall In der Regel wird zwischen drei Netzwerkzonen unterschieden das externe Netz (WAN), nicht vertrauenswürdig => Untrusted demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server interne Netz (LAN), vertrauenswürdig => Trustet (c) Christian Watzke

7 Host-Firewall Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird ( PC mit Windows oder Linux ) „Personal Firewalls“ werden als Software-Firewall bezeichnet Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells (c) Christian Watzke

8 Personal Firewall lokale Installation auf dem zu schützenden Rechner
Regelt nur Verkehr vom und zum Rechner Keine Überwachung zwischen verschiedenen Netzen Einfache Konfiguration Application Control Stealth-Modus Eher geringe Schutzwirkung Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2) (c) Christian Watzke

9 Paketfilter Vergleich von Quell –und/oder Zieladresse der Pakete
nimmt Filterungen das erstellten Regeln vor Ebene der Ports FTP – Port 21 sperren Ebene der IP-Adressen Paket von nicht druchlassen Sichere Kommunikation über VPN – Virtual Private Network (c) Christian Watzke

10 Paketfilter NAT – Network Address Translation
PAT – Port Address Translation Umsetzung von privaten IP – Adressen auf eine öffentliche z.B. DSL – Anschluss mit dynamischer IP Netzwerk nach Außen nicht sichtbar Produkte: iptables (Linux ) (c) Christian Watzke

11 Router ===========> NAT
Paketfilter BASIC NAT lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP Router ===========> NAT (c) Christian Watzke

12 Router ===========> NAT
Paketfilter HIDING NAT bzw. Masquerading lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP :1050 :80 Router ===========> NAT :1050 :6425 :6425 :8080 :9000 :8080 :9010 (c) Christian Watzke

13 Paketfilter Kritik Keine saubere Einhaltung der Netzwerkschichten
Netzwerkprotokolle der Schicht 4 funktionieren oft nur wenn sie explizit vom Paketfilter unterstützt werden Erschwert die Entwicklung neuer Protokolle besonders betroffen (FTP, VoIP) deshalb auch zügige Einführung von IPv6, da NAT aufgrund des ausreichend großen Adressraums unnötig wird (c) Christian Watzke

14 Content-Filter – Stateful Inspection
Filter höherer Ebenen (nicht Meta Daten) Aufgaben Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten Filtern/Kennzeichnen von Spam-Mails Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite) Pakete werden zusammengesetzt Überprüfung Pakete werden wieder in ursprünglichen Datenstrom zerlegt (c) Christian Watzke

15 Proxy ist mehrfach in Firewall-Systemen einsetzbar
für Clients und Server weitgehend unbemerkbar nimmt Protokollvalidierung und Anpassung vor Sperrung bestimmter Protokolltransaktionen Zugriffssteuerung Protokollierung der Zugriffe Unterstützt FTP, DNS, HTTP, SMTP, POP3 (c) Christian Watzke

16 DMZ Demilitarized Zone Zone zwischen geschützten Netz und Internet
Wird von zwei Firewallsystemen abgeschirmt Internetdienste wie z.B. oder WWW werden durch die erste Firewall durchgelassen Die zweite Firewall besitzt engere Vorschriften (c) Christian Watzke

17 DMZ (c) Christian Watzke

18 Tunnelklassen einfachste Verbindung PPP „Point to Point Protocol“
(c) Christian Watzke

19 Tunnelklassen VPN – Virtual Private Network
Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567 diese Verbindungen laufen durch den VPN-Tunnel anderer Datenverkehr geht über gewohnte Verbindungen einfache Skripte, IProute2, IPtables (c) Christian Watzke

20 Tunnelklassen HTTP – Tunnel
GET HTTP/1.1 Host: auch.der.Rechnername.eignet.sich X-Data: Im Datenfeld ist es sehr einfach (c) Christian Watzke

21 Tunnelklassen DNS und SMTP
nicht effektiv, da nur kleine Datenmengen übertragen werden können kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist auffällig wenn DNS – Traffic extrem zunimmt weniger auffällig ist SMTP (Bilder, Dokumente) SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet (c) Christian Watzke

22 Tunnelklassen Untere Schichten (TCP/IP)
Sequenznummernfeld wird als Datenfeld verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte. (c) Christian Watzke

23 Tunnelklassen Untere Schichten (TCP/IP)
Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen. (c) Christian Watzke

24 Gegenmaßnahmen Tunnel sind nur schwer aufzuspüren
Verschlüsselung durch SSL Die Charakteristik des Verkehrs analysieren (c) Christian Watzke

25 Gegenmaßnahmen Client sendet mehr Daten Dauer der Verbindung
Verbindung zu ein und demselben Host Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen (c) Christian Watzke

26 Empfehlungen nicht benötigte Ports sperren
Firewall mit Statefull-Filter verwenden lange Timeouts vermeiden <CONNECT> Befehl deaktivieren (HTTP) HTTP/HTTPS – Proxy mit Authentifizierung und Logging Standardkonformität der Protokolle überwachen Virenschutz Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen (c) Christian Watzke

27 Quellen http://de.wikipedia.org http://www.heise.de
(c) Christian Watzke

Herunterladen ppt "Firewall und Tunneling"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Powerpoint-Präsentation

Powerpoint-Präsentation
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Firewalls.

Firewalls.
Die Firewall in der Musterlösung

Die Firewall in der Musterlösung
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Beispiel-Netzwerk eines vernetzten IT-Systems:

Beispiel-Netzwerk eines vernetzten IT-Systems:
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Offene Systeme, Rechnernetze und das Internet

Offene Systeme, Rechnernetze und das Internet
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Virtual Private Networks

Virtual Private Networks
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Der IPCOP-Router Bastian Neubarth 28.03.2008.

Der IPCOP-Router Bastian Neubarth
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
Virtual Private Networks

Virtual Private Networks

Ähnliche Präsentationen

Google-Anzeigen