Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Möglichkeiten und Grenzen von Firewall-Systemen

Veröffentlicht von:Adalbert Zauner Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Möglichkeiten und Grenzen von Firewall-Systemen"—  Präsentation transkript:

1 Möglichkeiten und Grenzen von Firewall-Systemen
Dr. Norbert Pohlmann

2 Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente
Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen

3 Chance und Risiko - Zwei Seiten einer Medaille

4 Idee eines Firewall-Systems
Chancen nutzen Risiken minimieren

5 Sicherheitsziele eines Firewall-Systems
Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten

6 Bedrohungen - Firewall-Systeme

7 Vereinfachtes logisches Kommunikationsmodell

8 Bedrohungen (1/4) -> Angriffe durch Dritte
Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)

9 Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern
Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung

10 Bedrohung (3/4) -> Vorbereitung eines Angriffs
Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe

11 Bedrohungen (4/4) -> Angriffe auf das Firewall-System
Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems

12 Firewall-Elemente

13 Definition eines Firewall-Elements

14 Firewall-Elemente  Packet Filter  Application Gateway

15 Allgemeine Arbeitsweise eines Packet Filters

16 Analysemöglichkeit eines IP-Frames

17 Analysemöglichkeit eines TCP-Frames

18 Bewertung: Packet Filter
Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen

19 Analysemodule für Proxies auf dem Application Gateway

20 SMTP Proxy -> Analogie zum Sammelbriefkasten

21 FTP Proxy

22 HTTP Proxy

23 Bewertung: Application Gateway
Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent

24 Möglichkeiten und Grenzen von Firewall-Systemen

25 Das Kommunikationsmodell mit integriertem Firewall-System
Anwender: Konfiguration Hersteller: Implementierung Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Vertrauenswürdigkeit Authentikation Hersteller: Tiefe der Analyse Anwender: Sicherheitspolitik

26 Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos
Einschränkung der erlaubten Protokolle Protokolle, die nicht erlaubt sind zeitliche Einschrängung Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP Einschränkung der erlaubten Rechnersysteme

27 Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept
Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit

28 Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2)
Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene

29 Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2)
Security versus connectivity <-> Risiko versus Chance

30 Umfassende Firewall-Systeme

31 Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems
Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann

32 Zentrales Firewall-System
Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen

33 Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter
Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen

34 Zentraler Virenscanner -> Analogie zur zentralen Poststelle
Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung

35 Intrusion Detection -> Analogie zur Videoüberwachung
Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung

36 Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen:
Firewall-Funktionalitäten Advanced Sandboxing

37 Die Wirkung von umfassenden von Firewall-Systemen

38 Definition der verwendeten Symbole

39 Umfassendes Firewallsystem 1/3

40 Umfassendes Firewallsystem 2/3

41 Umfassendes Firewallsystem 3/3
Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.

42 Weiterentwicklung von umfassenden Firewall-Systemen
Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen Intrusion Detection Systems

43 Vielen Dank für Ihre Aufmerksamkeit
Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ?

Herunterladen ppt "Möglichkeiten und Grenzen von Firewall-Systemen"

Ähnliche Präsentationen

Powerpoint-Präsentation

Powerpoint-Präsentation
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
Firewalls.

Firewalls.
CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.

CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.
Trimino zum Kopf- oder halbschriftlichen Rechnen

Trimino zum Kopf- oder halbschriftlichen Rechnen
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.

2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Computerkriminalität, Datenschutz, Datensicherheit

Computerkriminalität, Datenschutz, Datensicherheit
Scratch Der Einstieg in das Programmieren. Scatch: Entwicklungsumgebung Prof. Dr. Haftendorn, Leuphana Universität Lüneburg, www.mathematik-verstehen.de.

Scratch Der Einstieg in das Programmieren. Scatch: Entwicklungsumgebung Prof. Dr. Haftendorn, Leuphana Universität Lüneburg,
Daniel Kanis und Daniel Schüßler

Daniel Kanis und Daniel Schüßler
© 2006 W. Oberschelp, G. Vossen Rechneraufbau & Rechnerstrukturen, Folie 2.1.

© 2006 W. Oberschelp, G. Vossen Rechneraufbau & Rechnerstrukturen, Folie 2.1.
Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.

Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
PKJ 2005/1 Stefan Dissmann Rückblick auf 2005 Was zuletzt in 2005 vorgestellt wurde: Klassen mit Attributen, Methoden und Konstruktoren Referenzen auf.

PKJ 2005/1 Stefan Dissmann Rückblick auf 2005 Was zuletzt in 2005 vorgestellt wurde: Klassen mit Attributen, Methoden und Konstruktoren Referenzen auf.
PKJ 2005/1 Stefan Dissmann Zusammenfassung Bisher im Kurs erarbeitete Konzepte(1): Umgang mit einfachen Datentypen Umgang mit Feldern Umgang mit Referenzen.

PKJ 2005/1 Stefan Dissmann Zusammenfassung Bisher im Kurs erarbeitete Konzepte(1): Umgang mit einfachen Datentypen Umgang mit Feldern Umgang mit Referenzen.
Betreuerin: Kathleen Jerchel

Betreuerin: Kathleen Jerchel
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken

Ähnliche Präsentationen

Google-Anzeigen