Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

08.05.2006(c) Christian Watzke1 Firewall und Tunneling.

Ähnliche Präsentationen


Präsentation zum Thema: "08.05.2006(c) Christian Watzke1 Firewall und Tunneling."—  Präsentation transkript:

1 (c) Christian Watzke1 Firewall und Tunneling

2 (c) Christian Watzke2 Inhalt Grundlagen Firewall-Systeme Netzwerk-Firewall Host-Firewall (Personal Firewall) Komponenten einer Firewall Paketfilter (Content-Filter) Proxy DMZ

3 (c) Christian Watzke3 Inhalt Tunnelklassen PPP VPN HTTP DNS, SMTP TCP/IP Gegenmaßnahmen Empfehlungen

4 (c) Christian Watzke4 Grundlagen Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen kontrollieren den Datenverkehr zwischen den Teilbereichen verhindern ungewünschten Verkehr Häufiger Einsatz zwischen LANs und WANs Unterbinden von Datenverkehr von extern zum geschützten Bereich und umgekehrt

5 (c) Christian Watzke5 Grundlagen Hardware für Senden und Empfange der Datenpakete zuständig kein sicherndes Element häufige Netzelemente: Router, Gateways Software regelt den Datenverkehr (wer darf, wer nicht?) läuft oft auf spezieller Hardware

6 (c) Christian Watzke6 Netzwerk-Firewall Gerät mit mehreren Netzwerkschnittstellen darauf laufende Software dient hauptsächlich als Firewall In der Regel wird zwischen drei Netzwerkzonen unterschieden das externe Netz (WAN), nicht vertrauenswürdig => Untrusted demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server interne Netz (LAN), vertrauenswürdig => Trustet

7 (c) Christian Watzke7 Host-Firewall Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird ( PC mit Windows oder Linux ) Personal Firewalls werden als Software-Firewall bezeichnet Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells

8 (c) Christian Watzke8 Personal Firewall lokale Installation auf dem zu schützenden Rechner Regelt nur Verkehr vom und zum Rechner Keine Überwachung zwischen verschiedenen Netzen Einfache Konfiguration Application Control Stealth-Modus Eher geringe Schutzwirkung Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2)

9 (c) Christian Watzke9 Paketfilter Vergleich von Quell –und/oder Zieladresse der Pakete nimmt Filterungen das erstellten Regeln vor Ebene der Ports FTP – Port 21 sperren Ebene der IP-Adressen Paket von nicht druchlassen Sichere Kommunikation über VPN – Virtual Private Network

10 (c) Christian Watzke10 Paketfilter NAT – Network Address Translation PAT – Port Address Translation Umsetzung von privaten IP – Adressen auf eine öffentliche z.B. DSL – Anschluss mit dynamischer IP Netzwerk nach Außen nicht sichtbar Produkte: iptables (Linux )

11 (c) Christian Watzke11 Paketfilter BASIC NAT lokales Netz (LAN)öffentliches Netz (WAN) Quell-IPZiel-IP Router ===========> NAT Quell-IPZiel-IP

12 (c) Christian Watzke12 Paketfilter HIDING NAT bzw. Masquerading lokales Netz (LAN)öffentliches Netz (WAN) Quell-IPZiel-IPQuell-IPZiel-IP : :80 Router ===========> NAT : : : : : : : : : : : : : :80

13 (c) Christian Watzke13 Paketfilter Kritik Keine saubere Einhaltung der Netzwerkschichten Netzwerkprotokolle der Schicht 4 funktionieren oft nur wenn sie explizit vom Paketfilter unterstützt werden Erschwert die Entwicklung neuer Protokolle besonders betroffen (FTP, VoIP) deshalb auch zügige Einführung von IPv6, da NAT aufgrund des ausreichend großen Adressraums unnötig wird

14 (c) Christian Watzke14 Content-Filter – Stateful Inspection Filter höherer Ebenen (nicht Meta Daten) Aufgaben Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten Filtern/Kennzeichnen von Spam-Mails Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite) Pakete werden zusammengesetzt Überprüfung Pakete werden wieder in ursprünglichen Datenstrom zerlegt

15 (c) Christian Watzke15 Proxy ist mehrfach in Firewall-Systemen einsetzbar für Clients und Server weitgehend unbemerkbar nimmt Protokollvalidierung und Anpassung vor Sperrung bestimmter Protokolltransaktionen Zugriffssteuerung Protokollierung der Zugriffe Unterstützt FTP, DNS, HTTP, SMTP, POP3

16 (c) Christian Watzke16 DMZ Demilitarized Zone Zone zwischen geschützten Netz und Internet Wird von zwei Firewallsystemen abgeschirmt Internetdienste wie z.B. oder WWW werden durch die erste Firewall durchgelassen Die zweite Firewall besitzt engere Vorschriften

17 (c) Christian Watzke17 DMZ

18 (c) Christian Watzke18 Tunnelklassen einfachste Verbindung PPP Point to Point Protocol

19 (c) Christian Watzke19 Tunnelklassen VPN – Virtual Private Network Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567 diese Verbindungen laufen durch den VPN-Tunnel anderer Datenverkehr geht über gewohnte Verbindungen einfache Skripte, IProute2, IPtables

20 (c) Christian Watzke20 Tunnelklassen HTTP – Tunnel GET HTTP/1.1 Host: auch.der.Rechnername.eignet.sich X-Data: Im Datenfeld ist es sehr einfach

21 (c) Christian Watzke21 Tunnelklassen DNS und SMTP nicht effektiv, da nur kleine Datenmengen übertragen werden können kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist auffällig wenn DNS – Traffic extrem zunimmt weniger auffällig ist SMTP (Bilder, Dokumente) SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet

22 (c) Christian Watzke22 Tunnelklassen Untere Schichten (TCP/IP) Sequenznummernfeld wird als Datenfeld verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte.

23 (c) Christian Watzke23 Tunnelklassen Untere Schichten (TCP/IP) Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär 0, eine Verzögerung die 1. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen.

24 (c) Christian Watzke24 Gegenmaßnahmen Tunnel sind nur schwer aufzuspüren Verschlüsselung durch SSL Die Charakteristik des Verkehrs analysieren

25 (c) Christian Watzke25 Gegenmaßnahmen Client sendet mehr Daten Dauer der Verbindung Verbindung zu ein und demselben Host Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen

26 (c) Christian Watzke26 Empfehlungen nicht benötigte Ports sperren Firewall mit Statefull-Filter verwenden lange Timeouts vermeiden Befehl deaktivieren (HTTP) HTTP/HTTPS – Proxy mit Authentifizierung und Logging Standardkonformität der Protokolle überwachen Virenschutz Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen

27 (c) Christian Watzke27 Quellen


Herunterladen ppt "08.05.2006(c) Christian Watzke1 Firewall und Tunneling."

Ähnliche Präsentationen


Google-Anzeigen