Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Ähnliche Präsentationen


Präsentation zum Thema: "Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann."—  Präsentation transkript:

1 Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann

2 Dr. Norbert Pohlmann, Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen

3 Dr. Norbert Pohlmann, Chance und Risiko - Zwei Seiten einer Medaille

4 Dr. Norbert Pohlmann, Idee eines Firewall-Systems Chancen nutzen Risiken minimieren

5 Dr. Norbert Pohlmann, Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten Sicherheitsziele eines Firewall-Systems

6 Bedrohungen - Firewall-Systeme

7 Dr. Norbert Pohlmann, Vereinfachtes logisches Kommunikationsmodell

8 Dr. Norbert Pohlmann, Bedrohungen (1/4) -> Angriffe durch Dritte Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde,...)

9 Dr. Norbert Pohlmann, Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies,...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung

10 Dr. Norbert Pohlmann, Bedrohung (3/4) -> Vorbereitung eines Angriffs Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe

11 Dr. Norbert Pohlmann, Bedrohungen (4/4) -> Angriffe auf das Firewall-System Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems

12 Firewall-Elemente

13 Dr. Norbert Pohlmann, Definition eines Firewall-Elements

14 Firewall-Elemente Packet Filter Application Gateway

15 Dr. Norbert Pohlmann, Allgemeine Arbeitsweise eines Packet Filters

16 Dr. Norbert Pohlmann, Analysemöglichkeit eines IP-Frames

17 Dr. Norbert Pohlmann, Analysemöglichkeit eines TCP-Frames

18 Dr. Norbert Pohlmann, Bewertung: Packet Filter Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA,...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen

19 Dr. Norbert Pohlmann, Analysemodule für Proxies auf dem Application Gateway

20 Dr. Norbert Pohlmann, SMTP Proxy -> Analogie zum Sammelbriefkasten

21 Dr. Norbert Pohlmann, FTP Proxy

22 Dr. Norbert Pohlmann, HTTP Proxy

23 Dr. Norbert Pohlmann, Bewertung: Application Gateway Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent

24 Möglichkeiten und Grenzen von Firewall-Systemen

25 Dr. Norbert Pohlmann, Das Kommunikationsmodell mit integriertem Firewall-System Anwender: Konfiguration Hersteller: Implementierung Hersteller: Tiefe der Analyse Vertrauenswürdigkeit Authentikation Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Anwender: Sicherheitspolitik

26 Dr. Norbert Pohlmann, Protokolle, die nicht erlaubt sind Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos Einschränkung der erlaubten Protokolle Einschränkung der erlaubten Rechnersysteme Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP zeitliche Einschrängung

27 Dr. Norbert Pohlmann, Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit

28 Dr. Norbert Pohlmann, Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2) Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene

29 Dr. Norbert Pohlmann, Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2) Security versus connectivity Risiko versus Chance

30 Umfassende Firewall-Systeme

31 Dr. Norbert Pohlmann, Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann

32 Dr. Norbert Pohlmann, Zentrales Firewall-System Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen

33 Dr. Norbert Pohlmann, Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen

34 Dr. Norbert Pohlmann, Zentraler Virenscanner -> Analogie zur zentralen Poststelle Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung

35 Dr. Norbert Pohlmann, Intrusion Detection -> Analogie zur Videoüberwachung Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung

36 Dr. Norbert Pohlmann, Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen: Firewall-Funktionalitäten Advanced Sandboxing

37 Die Wirkung von umfassenden von Firewall-Systemen

38 Dr. Norbert Pohlmann, Definition der verwendeten Symbole

39 Dr. Norbert Pohlmann, Umfassendes Firewallsystem 1/3

40 Dr. Norbert Pohlmann, Umfassendes Firewallsystem 2/3

41 Dr. Norbert Pohlmann, Umfassendes Firewallsystem 3/3 Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.

42 Dr. Norbert Pohlmann, Weiterentwicklung von umfassenden Firewall-Systemen Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/- mechanismen Intrusion Detection Systems

43 Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ?


Herunterladen ppt "Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann."

Ähnliche Präsentationen


Google-Anzeigen