Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999.

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999."—  Präsentation transkript:

1

2 Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999

3 Gliederung des Vortrages 1. Bedrohungen aus dem Netz 2. Angriffsmethoden 3. Warum Firewalls ? 4. Welche Firewall-Elemente gibt es ? 5. Moderne Firewallarchitekturen 6. Virtual Private Networks & Firewalls 7. Zukunft der Sicherheitstechnologie

4 Bedrohungen aus dem Netz

5 Bedrohungen aus dem Netz Merkmale des Internets Einfacher, kostengünstiger Zugang Einheitlicher Standard ( TCP / IP ) Weltweites Netz, shared infrastructure Steigende Akzeptanz (Über 145 Mio Nutzer 8/98) Günstig für internationale Geschäftsbeziehung Absatzmarkt ( ECommerce )

6 Bedrohungen aus dem Netz Gefahren aus dem Internet High-Tech-Spione stehlen fremdes Know-how, persönliche Daten oder Strategiepläne und verkaufen sie lukrativ an andere oder verursachen Schaden. Cracker brechen in das lokale Netz von Firmen ein und fälschen Daten oder schleusen falsche Informationen ein. Cracker können die Rechnersysteme einer Organisation lahmlegen und so wirtschaftlichen Schaden in Millionenhöhe verursachen.

7 Bedrohungen aus dem Netz password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions sniffer / sweepers stealth diagnostics packet forging / spoofing GUI Increasingly Sophisticated Tools Reduce Need for Hacking Expertise Hacking Tools Average Intruder Relative Technical Complexity Relative Congress, 1996

8 Bedrohungen aus dem Netz Informationen sammeln Schwachstellen identifizieren Angriff durchführen Rechte aneignen Vorgehensweise beim Angriff

9

10 Angriffsmethoden

11 Angriffsmethoden Idee eines Angriffes Ein Angreifer versucht Zugriff zu bekommen, um: an bestimmte Informationen zu kommen, die nicht für Ihn bestimmt sind, Aktion auszulösen, die er nicht auslösen darf, oder Ressourcen zu nutzen, die er nicht nutzen darf.

12

13 Angriffsmethoden Idee eines Angriffes Dies tut ein Angreifer: um mit den Informationen Geld zu verdienen, um dem Opfer zu schaden, aus reiner Spielleidenschaft

14 Angriffsmethoden Analyse des Netzes durch Scanner Benutzerinformationen Topologie aktive Dienste Schwachstellenanalyse

15

16

17 Angriffsmethoden Password-Snooping und IP-Spoofing Passwortklau, danach Eindringen in das System Fälschen der Identität Datenklau

18

19

20 Angriffsmethoden Nutzung falscher Informationen Möglichkeit zum Ausnutzen der Schwachstellen, die in der Analyse gefunden worden sind. Zugriff auf Filesysteme ( NFS ) und andere Systemdienste ( POP3 ) DOS-Attacken ( Denial Of Service ) korrupte Java-Applets, Javascripts, Active X Viren durch downloads ( auch MS-Word Makroviren ) Verkehrflußanalyse

21

22

23

24 Warum Firewalls ?

25

26 Analogie zur Firewall Brandschutzmauer Man kann ein elektronisches Firewall-System wie eine Brandschutzmauer betrachten, die dafür zuständig ist, einen bestimmten Bereich abzuschotten, damit Schäden, die auf der einen Seite der Mauer auftreten, nicht auf die andere Übergreifen. Pförtner Ein Pförtner hat wie eine Firewall die Aufgabe zu bestimmen, wer rein und raus darf. Andere Personen müssen sich bei Ihm identifizieren.

27 Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Zugangskontrolle auf Netzwerkebene Es wird überprüft, welche Rechnersysteme über den Firewall miteinander kommunizieren dürfen. Zugangskontrolle auf Benutzerebene Das Firewall-System überprüft, welche Benutzer eine Kommunikation zur Firewall durchführen dürfen. Dazu wird die Echtheit (Authentizität) des Benutzer festgestellt. Rechteverwaltung Hier wird festgelegt, mit welchem Protokollen und Diensten und zu welchen Zeiten über die Firewall Kommunikation stattfinden darf.

28 Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Kontrolle auf der Anwendungesebene Überprüfung auf korrupte Dateiinhalte oder Virensignaturen Entkopplung von Diensten Implementierungsfehler, Schwachstellen und Konzeptionsfehler der Dienste sollen keine Angriffsmöglichkeiten bieten. Beweissicherung und Protokollauswertung Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert. ( Beweissicherung, Sicherheitsverletzungen )

29 Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Alarmierung Besonders sicherheitsrelevante Ereignisse gehen an das Security-Management. Verbergen der internen Netzstruktur Die interne Netzstruktur soll verborgen bleiben, es soll nicht sichtbar sein, ob 10, 100, oder Rechner im geschützen Netz vorhanden sind. Vertraulichkeit von FW-Nachrichten Verschlüsselung der Nachrichten an das SM und den Administrator

30

31

32 Welche Firewall-Elemente gibt es ?

33 Klassifizierung von Firewall-Elementen

34 Welche Firewall-Elemente gibt es ? Architektur von Firewall-Elementen

35 Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Packet Filtern Ein Packet-Filter prüft: Es wird überprüft, von welcher Seite das Packet empfangen wird. Auf der Netzzugangsebene werden die Quell- und Ziel- Adresse und der verwendete Protokolltyp kontrolliert. Auf der Transportebene werden die Portnummern überprüft. Zeitliche Regelungen können implementiert werden.

36 Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Packet Filtern

37 Welche Firewall-Elemente gibt es ? Beispiel eines Verbindungsaufbaus

38 Welche Firewall-Elemente gibt es ? Beispiel eines Verbindungsaufbaus

39 Welche Firewall-Elemente gibt es ? Spezielle Packet Filter

40 Welche Firewall-Elemente gibt es ? Regeln für Packet Filter Grundsätzlich : Es muß genau festgelegt werden, was erlaubt sein soll. Alles was nicht explizit erlaubt wird, ist automatisch verboten. Das Firewall-Element erlaubt nur das, was explizit in den Access-Listen als >>erlaubt<< gekennzeichnet ist.

41 Welche Firewall-Elemente gibt es ? Vorteile von Packet Filtern Transparent & unsichtbar für die Benutzer ( Ausnahme Authentikation ist notwendig ) einfach und erweiterungsfähig für andere Protokolle flexibel für neue Dienste hohe Performance durch optimale Mechanismen ( Eigenes Betriebssystem, abgestimmte Hardware ) geringe Komplexität, dadurch leicht realisierbar geringe Kosten ( im Vergleich Application-Gateway )

42 Welche Firewall-Elemente gibt es ? Nachteile von Packet Filtern Daten oberhalb der Transportebene werden nicht analysiert. Keine direkte Sicherheit bei Anwendungen Packet-Filter können die Struktur des Netzes nicht verbergen. ( aus Punkt 1 ) Keine Protokolldaten oberhalb der Transportschicht

43 Allgemeine Arbeitsweise von Application-Gateways Welche Firewall-Elemente gibt es ?

44 Allgemeine Arbeitsweise von Application-Gateways

45 Welche Firewall-Elemente gibt es ? Beispiel eines Proxy-Dienstes : TELNET

46 Welche Firewall-Elemente gibt es ? Vorteile von Application-Gateways Sicheres Designkonzept, da kleine, gut überprüfbare Module (Proxies) Alle Pakete müssen über das Application-Gateway übertragen werden, somit höhere Sicherheit. Echte Entkopplung der Dienste Verbindungsdaten, Applikationsdaten & Anwenderdaten können protokolliert werden Verbergen der Internen Netzstruktur Sicherheitsfunktionen für Anwendungen ( Kommando-, Datei-, Datenfilter )

47 Welche Firewall-Elemente gibt es ? Nachteile von Application-Gateways geringe Flexibilität ( Jeder Dienst ein Proxy ) hohe Kosten kompliziertere Administration und Konfiguration

48 Welche Firewall-Elemente gibt es ? Kosten ? Residual Risk Cost $0 100%0% Cost of Controls Cost of Exploitation X Spend about this much. Today. $Lots Residual Risk is directly proportional to Threat, Vulnerability, Value Control, Countermeasure is inversely proportional to

49 Fielding a trustworthy capability requires the implementation of a complete program. Network Re-engineering Process Re-engineering Security Management Administration and Testing Education and Awareness Security Policy Welche Firewall-Elemente gibt es ? Security verstehen:

50 Welche Firewall-Elemente gibt es ? Auf dem laufenden bleiben: Security Policy Development Preinstallation Site Survey Site Security Survey Enterprise Assurance Risk Assessment Unprotected Networks time IT advancement defensive technologies vulnerability gap Threat & Vulnerability

51 Threat & Vulnerability Security Policy Development Site Security Survey Enterprise Assurance Risk Assessment time IT advancement defensive technologies process improvement M A N A G E M E N T B U Y - I N SECURITY POLICY NETWORK REENGINEERING PROCESS REENGINEERING L A Y E R E D S E C U R I T Y I N D E PT H EDUCATION & AWARENESS ADMIN. & TEST NETWORK MGMT. P R O C E S S D R I V E N I N V O L V E A L L Welche Firewall-Elemente gibt es ? Investieren, Updaten:

52 Moderne Firewallarchitekturen

53 Ausschließlicher Einsatz eines Packet-Filters

54 Moderne Firewallarchitekturen Ausschließlicher Einsatz eines Application-Gateways

55 Moderne Firewallarchitekturen Packet Filter und dual-homed Application-Gateway

56 Moderne Firewallarchitekturen Zwei Packet-Filter & dual-homed Application-Gateway Höchstes Maß an Sicherheit !

57 Moderne Firewallarchitekturen Einsatz für Internet-Server

58 Moderne Firewallarchitekturen Einsatz für Mail-Server Zusätzliche Virenscanner ( optional )

59

60 Moderne Firewallarchitekturen Empfehlungen:

61 VPN & Firewalls

62 VPN & Firewalls Grundsätzliches : Vorteile: VPNs erhöhen die Sicherheit durch Verschlüsselung auf verschiedenen Ebenen. Dadurch werden einige Angriffsmöglichkeiten abgeschwächt. ( Man-In-The-Middle -Attack ) Nachteile: Es muß spezielle Hard- oder ( und ) Software eingesetzt werden. Geschwindigkeitsverluste bei der Datenübertragung

63 VPN & Firewalls Aufbau mit Hardware :

64 VPN & Firewalls Möglichkeiten :

65 VPN & Firewalls Besser mit Firewall !

66 Zukunftstechnologien

67

68 Zukunftstechnologien Interne Sicherheit ? JA !

69 Zukunftstechnologien Aussichten: Verbesserung der Sicherheitsmechanismen in IPv6 Zusammenwachsen von Packet-Filter & Application- Gateways, die auch redundante, leistugnsstärkere Systeme bilden ( Clustering ). Zusammenwachsen von Netzwerkmanagement mit Sicherheitsmanagement. Geplant: Sicherheit in Netzen als Studiengang ( Klagenfurt,Bochum, Bonn, München und Darmstadt )

70 Quellenangabe : Firewall-Systeme / DATACOM / Norbert Pohlmann Einrichten von Firewalls / O´Reilly / Chapman, Zwicky Intranet Security / SUN / Linda Mc Carthy Firewalls / dPunkt / Strobel SAFER NET / dPunkt / Schmeh Sicherheitskonzepte für das Internet / dPunkt / Raepple IPnG / DATACOM / Stainov Gateway, Information-Week, Internet

71


Herunterladen ppt "Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999."

Ähnliche Präsentationen


Google-Anzeigen