Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Adalbert Zauner Geändert vor über 10 Jahren
1
Möglichkeiten und Grenzen von Firewall-Systemen
Dr. Norbert Pohlmann
2
Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente
Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen
3
Chance und Risiko - Zwei Seiten einer Medaille
4
Idee eines Firewall-Systems
Chancen nutzen Risiken minimieren
5
Sicherheitsziele eines Firewall-Systems
Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten
6
Bedrohungen - Firewall-Systeme
7
Vereinfachtes logisches Kommunikationsmodell
8
Bedrohungen (1/4) -> Angriffe durch Dritte
Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)
9
Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern
Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung
10
Bedrohung (3/4) -> Vorbereitung eines Angriffs
Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe
11
Bedrohungen (4/4) -> Angriffe auf das Firewall-System
Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems
12
Firewall-Elemente
13
Definition eines Firewall-Elements
14
Firewall-Elemente Packet Filter Application Gateway
15
Allgemeine Arbeitsweise eines Packet Filters
16
Analysemöglichkeit eines IP-Frames
17
Analysemöglichkeit eines TCP-Frames
18
Bewertung: Packet Filter
Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen
19
Analysemodule für Proxies auf dem Application Gateway
20
SMTP Proxy -> Analogie zum Sammelbriefkasten
21
FTP Proxy
22
HTTP Proxy
23
Bewertung: Application Gateway
Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent
24
Möglichkeiten und Grenzen von Firewall-Systemen
25
Das Kommunikationsmodell mit integriertem Firewall-System
Anwender: Konfiguration Hersteller: Implementierung Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Vertrauenswürdigkeit Authentikation Hersteller: Tiefe der Analyse Anwender: Sicherheitspolitik
26
Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos
Einschränkung der erlaubten Protokolle Protokolle, die nicht erlaubt sind zeitliche Einschrängung Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP Einschränkung der erlaubten Rechnersysteme
27
Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept
Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit
28
Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2)
Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene
29
Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2)
Security versus connectivity <-> Risiko versus Chance
30
Umfassende Firewall-Systeme
31
Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems
Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann
32
Zentrales Firewall-System
Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen
33
Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter
Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen
34
Zentraler Virenscanner -> Analogie zur zentralen Poststelle
Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung
35
Intrusion Detection -> Analogie zur Videoüberwachung
Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung
36
Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen:
Firewall-Funktionalitäten Advanced Sandboxing
37
Die Wirkung von umfassenden von Firewall-Systemen
38
Definition der verwendeten Symbole
39
Umfassendes Firewallsystem 1/3
40
Umfassendes Firewallsystem 2/3
41
Umfassendes Firewallsystem 3/3
Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.
42
Weiterentwicklung von umfassenden Firewall-Systemen
Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen Intrusion Detection Systems
43
Vielen Dank für Ihre Aufmerksamkeit
Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ?
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.