Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

UnterrichtsvorlageSeite # Armin Dagenbach 13.12.2007Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch Router PC`s Büro 1PC`s.

Ähnliche Präsentationen


Präsentation zum Thema: "UnterrichtsvorlageSeite # Armin Dagenbach 13.12.2007Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch Router PC`s Büro 1PC`s."—  Präsentation transkript:

1 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch Router PC`s Büro 1PC`s Büro 2PC`s Verwaltung File-Server Drucker Beispiel-Netzwerk eines vernetzten IT-Systems: Drucker Internet Web-Server 1 Web-Server 2 Auftrag: Eine Firma die über einen Internet-Shop Produkte verkauft, möchte ihr internes Netz vor Bedrohungen aus dem Internet schützen. Es sollen keine Programme mit schädigender Wirkung aus dem Internet eingeschleust werden können und es darf keine unbefugten Zugriffe über das Internet auf das lokale Netzwerk geben. LAN-Switch

2 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Bedrohungen aus dem Internet: Aus der Anbindung eines Rechners oder lokalen Netzes an das öffentliche Internet ergeben sich vielfältige Bedrohungen: Siehe Videos! Address Spoofing: Unter einer gefälschten Indendität wird eine Kommunikationsverbindung aufgebaut. Hierbei erzeugt der Angreifer IP-Pakete mit gefälschter IP- Absenderadresse. Denial-of-Service-Angriff: Ziel ist es, einen bestimmten Server lahmzulegen und ihn so daran zu hindern, Antworten auf Anfragen zu erzeugen. Dies geschieht meist in der Form, dass die Ressourcen des Servers vollbelegt werden und so für weitere Anfragen keine Ressourcenmehr zur Verfügung stehen. Abhören fremder Zugangsdaten während des Netzverkehrs. Eine Schutzmaßnahme gegen diese Bedrohungen ist die Verwendung von Firewall-Systemen: Firewalls

3 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch NAT/PAT- Router PC`s Büro 1PC`s Büro 2PC`s Verwaltung File-Server Drucker Beispiel-Netzwerk eines vernetzten IT-Systems mit einer Firewall: Drucker Internet Web-Server 1Web-Server 2 Platzierung der Firewall! LAN-Switch Eine Firewall ist ein System, das zwei Netzwerke koppelt und sicherstellt, dass jeglicher Verkehr zwischen den beiden Netzen ausschließlich durch die Firewall geleitet wird. Dabei wird die Weiterleitung von Paketen verhindert, die eine mögliche Bedrohung des internen Netzes bedeuten können.

4 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Aufgaben einer Firewall: Schutz vor unbefugten Netzzugriffen Zugangskontrolle: Steuerung, welche Nutzer in welcher Form auf welche Netzressourcen zugreifen dürfen. Protokollierung der Netzwerkaktivitäten: Aufzeichnung des Netzwerkverkehrs, um hieraus Rückschlüsse auf erfolgte Angriffe ziehen zu können. Alarmierung bei sicherheitsrelevanten Ereignissen: Werden sicherheitsrelevante Aktionenvon hierzu nicht befugten Nutzern ausgeführt, so wird durch die Firewall ein Alarm ausgelöst. Verbergen der internen Netzstruktur: Angreifern werden mögliche Angriffspunkte des internen Netzes dadurch vorenthalten, dass die Firewall die interne Netzstruktur verbirgt. Sicherstellung der Vertraulichkeit der Daten: Sicherstellen, das der interne Verkehr nicht abgehört werden kann.

5 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Paketfilter-FirewallLayer 3 (und 4) Proxy-FirewallLayer 4 Applikationsfilter-FirewallLayer 7

6 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Paketfilter-Firewall Layer 3 (und 4) Paketfilter sind IP-Router mit der zusätzlichen Fähigkeit, ankommende Datenpakte entsprechend eines Regelwerks weiterzuleiten oder zu sperren. Die Filterung der Datenpakte nach Regeln wird vom Administrator eingerichtet und konfiguriert. Eine Regel kann das Passieren oder das Zurückweisen der Pakete durch die Firewall bewirken. Beispiele: Sperre alle Datenpakete mit der Quell-IP-Adresse: Leite alle Daten des PC an den PC weiter, verwerfe jedoch alle Pakete, die in umgekehrter Richtung die Firewall passieren möchten. Sperre alle Datenpakete, die den Dienst FTP verwenden. Vorteile: - Hohe Geschwindigkeit - Kostengünstig (vielfach implementiert) Nachteile: - Kein umfassender Schutz - Nur einfache Protokollierungsmöglichkeit

7 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Proxy-FirewallLayer 4 Unter einem Proxy versteht man eine Software, die bestimmte dienste stellvertretend für eine Rechner ausführt. Ein großes Problem besteht darin, dass einzelne PC des internen Netzes oftmals nicht ausreichend gegen Angriffe aus z.B. dem Internet geschützt sind. So können unbedarfte Nutzer Programme für den Aufbau von Internetverbindungen verwenden, die einen unbefugten Zugriff über das Internet auf diese PC zulassen. Der Proxy befindet sich zwischen den beiden Netzwerken und vermittelt z.B. zwischen einem Client und einem Server. Soll ein Zugriff auf das jeweilige andere Netz erfolgen, so kann das nicht direkt durch den Client oder Server erfolgen. Dies muss über den Proxy erfolgen. Dieser bietet hierfür einen entsprechenden Dienst (z.B. Web, Print,....) an, den der Client und der Server verwenden müssen. So wird sichergestellt, das die eigentliche Netzverbindung nur über die sichere Software des Proxy-Server erfolgen kann.

8 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Proxy-FirewallLayer 4 Neben der Funktion als Firewall dient ein Proxy-Server häufig auch der Zwischenspeicherung von Webseiten. Hierbei speichert der Proxy die oft angeforderten Webseiten zwischen.Dadurch ist es möglich Anfragen schneller zu beantworten und die Netzlast zu reduzieren. Bevor der Proxy die Daten aus dem internen Netz an das externe Netz weiterleitet, ersetzt er die IP-Absendeadressen jeweils durch seine eigene IP- Adresse (NAT). Werden nicht nur die IP-Adressen sondern auch die Portnummern ersetzt wird dies als Masquerading, PAT oder NAPT bezeichnet. Die Rechner des externen Netzes kommunizieren dann nur direkt mit dem Proxy und erlangen keine Kenntnis der internen Netzstruktur. Vorteile: - Für viele Dienste einsetzbar: Web, Mail, Print,... - Direkte Verbindungen zwischen Client und Server werden verhindert - Die interner Netzstruktur wird verborgen Nachteile: - Kein umfassender Schutz - Konfiguration der Clients erforderlich, sich für bestimmte Dienste an den Proxy zu wenden

9 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Applikationsfilter-Firewall Layer 7 Applikationsfilter arbeiten auf der Anwendungsschicht des ISO/OSI- Referenzmodells und stellen im Prinzip eine Proxy-Firewall dar. Vorteile: - Durchführen von Kontrollen in Abhängigkeit der versendeten Nachricht - Hohe Sicherheit Nachteile: - Langsamer als Paketfilter - Langsamer als einfache auf der Transportschicht arbeitende Proxy-Firewalls Sie besitzen jedoch die Fähigkeit die einzelnen Datenpakete zu entpacken und bzgl. des Inhalts zu untersuchen. Ein Applikationsfilter für den FTP-Dienst kann so z.B. erkennen, welche FTP- Befehle übertragen werden und behandelt diese dann gemäß der festgelegten Sicherheitsstrategie unterschiedlich. So können z.B. Schreibzugriffe aus dem externen Netz auf den FTP-Server untersagt und nur Lesezugriffe erlaubt werden. Es können mehrere Dienste gleichzeitig unterstützt werden wie z.B. HTTP, FTP, SMTP, Telnet,....

10 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Firewall-Architekturen Um einen höheren Sicherheitsgrad zu erzielen werden oft kombinierte Firewalls mit Paketfiltern und Applikationsfiltern verwendet. Einige typische Kombinationsmöglichkeiten sind: Dual-Homed-Firewall: PC mit zwei Netzwerkschnittstellen und einer implementierten Applikationsfilter-Firewall. Hohe Sicherheit, da ein Datenpaket die Firewall nicht durchqueren kann, wenn kein Proxy für den Dienst zur Verfügung steht. Screened-Host-Firewall: Diese Kombination enthält eine Applikationsfilter-Firewall, die durch eine Paketfilter-Firewall geschützt wird. Die Applikationsfilter-Firewall hat nur einen Netzwerkanschluss und ist nur mit dem internen LAN verbunden. Die Paketfilter-Firewall (Screening Router) hat zwei Schnittstellen und trennt das interne LAN vom Internet. Screened-Subnet-Firewall: Hier wird um eine höhere Sicherheit zu erreichen ein zusätzliches Netzsegment als Isolierung zwischen das interne und das externe Netz eingefügt. Diese Firewall wird auch als Demilitarisierte Zone (DMZ) bezeichnet.

11 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Demilitarisierte Zone (Pufferzone [zwischen Nord- und Südkorea]) DMZ = Demilitarisierte Zone Um einen höheren Sicherheitsgrad zu erzielen, wird bei der DMZ ein zusätzliches Netzsegment als Isolierung zwischen dem internen Netz und dem externen Netz eingefügt (Screened-Subnet-Firewall). Zur Realisierung der DMZ ist dem Applikationsfilter je ein Screening Router (Paketfilter) vor- und nachgeschaltet. Neben dem Applikationsfilter können innerhalb der DMZ noch Server enthalten sein, die Kontakt mit dem Internet haben, wie z.B. ein Web-, Mail- oder FTP-Server. Durch die Einbettung der Server in die isolierte Zone (DMZ) wird erreicht, dass Angreifer, die es geschafft haben, einen dieser Server zu knacken und unter ihre Kontrolle zubringen, trotzdem keinen Zugriff auf das interne Netz haben, da sie zunächst einen weiteren Paketfilter überwinden müssen. Zur Nutzung vertrauenswürdiger Dienste kann der Applikationsfilter gezielt umgangen werden, so dass Datenpakete direkt an die Server in der DMZ zugestellt werden können (Sicherheitsrisiko!). Auf Grund der DMZ ist es aber nicht möglich, dass Datenpakete direkt zwischen dem internen und dem externen Netz ausgetauscht werden.

12 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch NAT/PAT- Router PC`s Büro 1PC`s Büro 2PC`s Verwaltung File-Server Drucker Beispiel-Netzwerk eines vernetzten IT-Systems mit DMZ: Drucker Internet Web-Server 1Web-Server 2 Unterschiedliche Firewalls (Paketfilter) erhöhen die Sicherheit! DMZ-Switch Ressourcentrennung im Firmen-Netz durch Schaffung unabhängiger Zonen auf Netzebene! Applikationsfilter Der Paketfilter leitet den Datenverkehr an den Applikationsfilter weiter! z.B. Checkpoint- Firewall oder ein PC mit einer Firewall-Software und zwei Netzwerkkarten! Hinweis: Da das Firmennetz vom Internet aus nicht erreichbar ist muss für Außendienstmitarbeiter ein Zugang mittels eines VPN eingerichtet werden. DMZ

13 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch PC`s Büro 1PC`s Büro 2PC`s Verwaltung File-Server Drucker Beispiel für eine DMZ mit nur einem PC und z.B. der Software IPCop: Drucker Internet Web-Server 1Web-Server 2 Eine echte DMZ einzurichten ist aufwändig und teuer! Es ist möglich die Paketfilter und die DMZ (sowie das VPN-Gateway) auch nur auf einem Rechner einzurichten (-> Achtung: geringerer Schutz!) Zur Umsetzung dieser kostengünstigen Variante eignet sich z.B. die auf einer Linux-Umgebung aufgesetzten Open-Source-Software IPCop. Diese wurde speziell für den Einsatz als Router und Firewall konzipiert DSL DMZPaketfilter DMZ

14 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik Beispiel für eine DMZ mit nur einem PV und z.B. der Software IPCop: DMZ mit einem IPCop-PC: Mindestvoraussetzung/Gegebenheiten für den IPCop-PC: - Pentium-1-Prozessor mit 90 MHz - 32 MByte Arbeitsspeicher MByte Festplatte - ca. 50 Clients Weiterhin erforderlich für den PC: -> 3 Netzwerkkarten: - 1. Netzwerkkarte: Internet - 2. Netzwerkkarte: Demilitarisierte Zone - 3. Netzwerkkarte: LAN Regeln zur Umsetzung der Firewall mit IPCop: - Definition von Regeln für die Paketfilter (und ggf. Von Schlupflöchern) - ggf. Einrichtung des VPN-Zugangs für z.B. Außendienstmitarbeiter - Realisierung einer möglichst automatischen Erkennung von Angriffen

15 UnterrichtsvorlageSeite # Armin Dagenbach Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch NAT/PAT- Router PC`s Büro 1PC`s Büro 2PC`s Verwaltung File-Server Drucker Beispiele für eine schlechte DMZ mit z.B. einem DSL-Router: Drucker Internet Web-Server 1Web-Server 2 Eine echte DMZ einzurichten ist aufwändig! LAN-Switch Soho-Router bieten deshalb eine Sparversion an, indem ein PC eingerichtet wird, an den aller Internet-Traffic ungefiltert weitergeleitet wird. DMZ-PC Gelingt es einem Hacker diesen PC zu übernehmen steht ihm das gesamte interne Netz offen! DSL DMZ !?!


Herunterladen ppt "UnterrichtsvorlageSeite # Armin Dagenbach 13.12.2007Firewall_DMZ.PPT Quelle: Fachbuch Net IT, Verlag Handwerk und Technik LAN-Switch Router PC`s Büro 1PC`s."

Ähnliche Präsentationen


Google-Anzeigen