Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Ähnliche Präsentationen


Präsentation zum Thema: "Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann."—  Präsentation transkript:

1 Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann

2 Dr. Norbert Pohlmann, 2002 2 Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen

3 Dr. Norbert Pohlmann, 2002 3 Chance und Risiko - Zwei Seiten einer Medaille

4 Dr. Norbert Pohlmann, 2002 4 Idee eines Firewall-Systems Chancen nutzen Risiken minimieren

5 Dr. Norbert Pohlmann, 2002 5 Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten Sicherheitsziele eines Firewall-Systems

6 Bedrohungen - Firewall-Systeme

7 Dr. Norbert Pohlmann, 2002 7 Vereinfachtes logisches Kommunikationsmodell

8 Dr. Norbert Pohlmann, 2002 8 Bedrohungen (1/4) -> Angriffe durch Dritte Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde,...)

9 Dr. Norbert Pohlmann, 2002 9 Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies,...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung

10 Dr. Norbert Pohlmann, 2002 10 Bedrohung (3/4) -> Vorbereitung eines Angriffs Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe

11 Dr. Norbert Pohlmann, 2002 11 Bedrohungen (4/4) -> Angriffe auf das Firewall-System Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems

12 Firewall-Elemente

13 Dr. Norbert Pohlmann, 2002 13 Definition eines Firewall-Elements

14 Firewall-Elemente Packet Filter Application Gateway

15 Dr. Norbert Pohlmann, 2002 15 Allgemeine Arbeitsweise eines Packet Filters

16 Dr. Norbert Pohlmann, 2002 16 Analysemöglichkeit eines IP-Frames

17 Dr. Norbert Pohlmann, 2002 17 Analysemöglichkeit eines TCP-Frames

18 Dr. Norbert Pohlmann, 2002 18 Bewertung: Packet Filter Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA,...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen

19 Dr. Norbert Pohlmann, 2002 19 Analysemodule für Proxies auf dem Application Gateway

20 Dr. Norbert Pohlmann, 2002 20 SMTP Proxy -> Analogie zum Sammelbriefkasten

21 Dr. Norbert Pohlmann, 2002 21 FTP Proxy

22 Dr. Norbert Pohlmann, 2002 22 HTTP Proxy

23 Dr. Norbert Pohlmann, 2002 23 Bewertung: Application Gateway Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent

24 Möglichkeiten und Grenzen von Firewall-Systemen

25 Dr. Norbert Pohlmann, 2002 25 Das Kommunikationsmodell mit integriertem Firewall-System Anwender: Konfiguration Hersteller: Implementierung Hersteller: Tiefe der Analyse Vertrauenswürdigkeit Authentikation Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Anwender: Sicherheitspolitik

26 Dr. Norbert Pohlmann, 2002 26 Protokolle, die nicht erlaubt sind Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos Einschränkung der erlaubten Protokolle Einschränkung der erlaubten Rechnersysteme Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP zeitliche Einschrängung

27 Dr. Norbert Pohlmann, 2002 27 Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit

28 Dr. Norbert Pohlmann, 2002 28 Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2) Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene

29 Dr. Norbert Pohlmann, 2002 29 Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2) Security versus connectivity Risiko versus Chance

30 Umfassende Firewall-Systeme

31 Dr. Norbert Pohlmann, 2002 31 Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann

32 Dr. Norbert Pohlmann, 2002 32 Zentrales Firewall-System Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen

33 Dr. Norbert Pohlmann, 2002 33 Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen

34 Dr. Norbert Pohlmann, 2002 34 Zentraler Virenscanner -> Analogie zur zentralen Poststelle Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung

35 Dr. Norbert Pohlmann, 2002 35 Intrusion Detection -> Analogie zur Videoüberwachung Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung

36 Dr. Norbert Pohlmann, 2002 36 Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen: Firewall-Funktionalitäten Advanced Sandboxing

37 Die Wirkung von umfassenden von Firewall-Systemen

38 Dr. Norbert Pohlmann, 2002 38 Definition der verwendeten Symbole

39 Dr. Norbert Pohlmann, 2002 39 Umfassendes Firewallsystem 1/3

40 Dr. Norbert Pohlmann, 2002 40 Umfassendes Firewallsystem 2/3

41 Dr. Norbert Pohlmann, 2002 41 Umfassendes Firewallsystem 3/3 Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.

42 Dr. Norbert Pohlmann, 2002 42 Weiterentwicklung von umfassenden Firewall-Systemen Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/- mechanismen Intrusion Detection Systems

43 Möglichkeiten und Grenzen von Firewall-Systemen norbert.pohlmann@gmx.de Vielen Dank für Ihre Aufmerksamkeit Fragen ?


Herunterladen ppt "Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann."

Ähnliche Präsentationen


Google-Anzeigen