Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 1 Einführungsvortrag Rechner-Sicherheit und Firewalls für Netz- und.

Ähnliche Präsentationen


Präsentation zum Thema: "Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 1 Einführungsvortrag Rechner-Sicherheit und Firewalls für Netz- und."—  Präsentation transkript:

1 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 1 Einführungsvortrag Rechner-Sicherheit und Firewalls für Netz- und EDV-Beauftragte Netzfort

2 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 2 Ziele des Vortrages Einführung für Anfänger in dem Gebiet Vorbereitung auf die Vorstellung und Diskussion des uniweiten Sicherheits-Konzeptes Eine Firewall und auch rechnerseitige Maßnahmen sind nicht alleinseligmachend Letztlich bleibt eine Verantwortung beim Nutzer Es ist auch eine Aufgabe des Netzbeauftragten, dafür zu sorgen, dass jeder Nutzer diese kennt.

3 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 3 "Disclaimer" dieser Vortrag soll nur der Übersicht dienen nicht, dass dies alles Ansprüche oder Anforderungen sind oder auch nur werden sollten an einer Uni sind viele der im Vortrag erwähnten Punkte hinderlich und/oder unnötig, führen zur Verärgerung von Nutzern, und sind auch schwierig zu administrieren

4 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 4 Themen 1. Was ist "Sicherheit" 2. Gefahren aus dem Netz 3. Möglichkeiten und Mühen einer "Firewall" 4. Bemerkungen zum Schluss

5 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 5 1. Was ist Sicherheit? Definition Sicherheit der Hardware Sicherheit der Software und Daten Sicherheit der Kommunikation Wer sollte sich um Sicherheit bemühen Sicherheits-Prinzipien / Policy

6 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Sicherheit Def. (jp): in Erfahrung gegründetes und sich bestätigendes Gefühl, von gewissen Gefahren nicht vorrangig getroffen zu werden –mathematisch sicher (p=1) ist hier nicht angebracht... Abgrenzung zu –Risiko: Produkt aus Eintreffenswahrscheinlichkeit und Schadenshöhe –Gefahr: schädigendes Ereignis, das mit nichtverschwindender Wahrscheinlichkeit eintreffen kann

7 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Sicherheit der Hardware Gefahr: –Verlust der Geräte, Software und Daten –Schaden durch Nicht-Verfügbarkeit Sichern durch: –kontrollierten Zugang zum Rechner und anderen Komponenten –Befestigen von Rechnern und Komponenten bei Aufstellung an öffentlich zugänglichen Orten –Besondere Sicherung/Überwachung von PC-Pools, Server-Räumen, PC-Werkstatt etc.

8 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Sicherheit der Software und Daten Gefahren/Schäden: Verlust von... –arbeitszeitintensiver Rechner-Installation –arbeitszeitintensiven/seltenen/wichtigen/vertraulichen Daten auf dem Rechner –Plattenplatz, Rechnerzeit, etc. Sichern durch: –Kennwortvergabe / sichere Kennwörter / Schulung... –Datensicherung / ADSM (RAID/Disketten...) –Antivirenschutz / McAffee –Deaktivierung fataler Automatismen (im Browser etc.) –Verschlüsselung (nur bei ganz geheimen Daten, sonst lieber nicht) –weitere Maßnahmen siehe unten

9 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Sicherheit der Kommunikation Echtheit/Authentizität des Urhebers und des Gegenübers –digitale Unterschrift/Key, Zertifikate, Sicherung/Verschlüsselung von Kennwörtern –Die Protagonisten: Alice, Bob, Charly... Unverfälschtheit/integrity –Prüfsummenverfahren/Hashing Vertraulichkeit/privacy –Verschlüsselung von Kennwörtern und/oder Daten, ssh/spop/simap Verfügbarkeit von Kommunikation und Rechnern Guter Ruf, etc.

10 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich um Sicherheit sorgen / bemühen? securitas System- admin NutzerNetz- admin

11 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 11 Nutzer Wer sollte sich um Sicherheit sorgen / bemühen? securitas System- admin Netz- admin

12 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich um Sicherheit sorgen / bemühen? securitas System- admin Netz- admin securitas

13 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich um Sicherheit sorgen / bemühen? securitas System- admin Netz- admin ritassecu

14 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich um Sicherheit sorgen / bemühen? System- admin Netz- admin ritas secu

15 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich um Sicherheit sorgen / bemühen? System- admin Netz- admin ritas secu

16 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Wer sollte sich also um Sicherheit bemühen? securitas System- admin NutzerNetz- admin

17 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Sicherheits-"Prinzipien" minimale Zugriffsrechte ("nur soviel wie nötig") mehrschichtige Verteidigung (nicht auf nur eine Maßnahme vertrauen) Passierstellen einrichten (aber: single point of failure) einschränkende Grundhaltung ("alles ist verboten, was nicht ausdrücklich erlaubt ist") minimale, dafür effektive verwaltbare und durchschaubare Maßnahmen ("nur soviel wie nötig) Policy: der Versuch, einen für die eigene Einrichtung angemessenen Satz von (Schutz-) Zielen und (grundsätzlichen) Regeln für Sicherheit zusammenzustellen

18 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren aus dem Netz Gefahren für Endsysteme/Clients Gefahren für Server Gefahren beim Datenaustausch

19 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren a.d.N. für Endsysteme Fehlkonfiguration –versehentlich installierte Serverdienste, die ungeschützt daliegen (IIS, Netbios-Shares...) Netzwerk-Betriebssystem-Schwächen –offenliegende Registrierung, Systemdaten, die hinausposaunt werden, automatisch sich ladende Fremdprogramme etc. Nutzer lädt Virus/Trojaner (malicious code) –der liest Passwörter im System oder im Netz (sniffing) mit –löscht Dateien, versendet Mails oder anderes –ILOVEYOU etc., Microsoft-Vorfall??? Wie begegne ich diesen Gefahren? –Nutzerverhalten: wissen, wo man surft, was man lädt und was der nächste Klick auf dem eigenen Rechner bewirkt / bewirken kann Dies ist die einzige Maßnahme, die bei neuen/unbekannten Gefahren wirksam hilft!!! –Datensicherung/Datenvorhaltung: einfaches Neueinspielen nach Vorfall –lokaler Virenscanner –Zentralisierte Verwaltung: möglichst wenig Rechte für den Nutzer, Programme zentral Einspielen, Patches/Service-Packs auch für Endsysteme etc. –Firewall mit Mail- und Virenscanner als Oberaufsicht

20 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren a.d.N. für Server Hacker/Cracker erreicht Dienst-Account auf Server –unsichere Dienste (i.d.R. buffer overflow) –zu viele Dienste mit root-Rechten... Server wird außer Dienst gesetzt (DoS, denial-of-service) Netzwerk-Scans, Robots, unsichere Konfiguration –z. B. lesbare cgi-Scripte mit Kennwörten... Vermindern der Gefahren durch –Zuverlässige Systemadministration Patches einspielen Logbuchauswertung, Rechnerprüfung (Tripwire), IDS (Intrusion- Detection-System) –Dienstebeschränkung (Admin, TCP-Wrapper, Firewall) –Nutzerverhalten (IRC-Server sind häufiges Attackenziel...)

21 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren a.d.N. für Server Beispiel einer DoS-Attacke, um andere Aktivität in den Logbüchern zu vertuschen: aus: Asterix, Bd.VI: Tour de France

22 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren beim Datenaustausch Abhören von Passwörtern und/oder Daten (sniffing, hijacking) –Netz physikalisch sichern: Datenverteiler, LWL... –Protokolle mit verschlüsselten Passwörtern und Anti-Spoofing- Mechanismen verwenden Spam-Mail/Datenpaket-Verschickung im fremden Namen (spoofing) –oder mit fremder IP-Adresse –oder Verfälschung fremder Daten –sichern durch: Echtheitsnachweis Vortäuschen eines erwünschten Servers (spoofing, hijacking) –Erhalten von Kreditkartennummern –sichern durch: entsprechende Protokolle, Konfiguration der Endsysteme, Schulung der Nutzer

23 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Stichpunkte für Nutzerschulung Schulung, Information, Appell an Selbstdisziplin Verschlüsselung, Authentifizierung, digitale Signatur Was passiert im Internet, wenn ich klicke... Was passiert auf meinem Rechner... Vergleich: Autofahren, Zündschüssel todo...

24 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Möglichkeiten und Mühen einer "Firewall" Was ist eine Firewall Bestandteile einer Firewall / Wie arbeitet eine Firewall Firewall-Architektur / Pla(t)zierung im Netz Was kann eine Firewall nicht sichern Weitere Maßnahmen

25 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Was ist ein/e Firewall Brandschutzmauer - mögliche Ziele: –Abtrennung (mindestens) eines "inneren" Netzes vom Internet –Verstecken der Rechner vor bestimmten Daten-Paketen –Vermindern von Administrationsfehlern durch Beschränkung der Dienste –Logging/Protokollierung von Zugriffen –Zentrale Zugangskontrolle / -Beschränkung Firewall: –Ansammlung von Maßnahmen, die diese Ziele unterstützen –das kann für kleine oder einheitliche Netze eine Kiste bedeuten –kann aber auch auf anderen Wegen erreicht werden

26 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Bestandteile einer Firewall Bedrohungsanalyse / Risikoabschätzung Policy / Notfallplan NAT etc. Paketfilter Proxies /Application-Level-Firewalls regelmäßige Administration regelmäßige Revision

27 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Bedrohungsanalyse und Risikoabschätzung Gefahren: siehe Bemerkungen oben welcher konkrete Schaden kann entstehen? wie hoch ist der Aufwand zur Beseitigung des Schadens? wie hoch sind Folgeschäden, z. B. durch Unbenutzbarkeit der Rechner etc.? wie hoch darf der Aufwand zur Sicherheit sein?

28 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Policy / Notfallplan wie teilt sich der Aufwand für Sicherheit in einzelne Maßnahmen auf? –wer entscheidet, welche Maßnahmen durchgeführt werden, wer setzt diese durch und wie? –whitelist-Problematik: ich weiß, was meine Nutzer dürfen; Richtlinien dazu? (real, HBCI...) was geschieht, wenn (doch) etwas passiert ist? –wie kann ich das feststellen? –wer wird informiert? was ist zu tun?...

29 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Gefahren bei falscher Policy Tresortür am Pappkarton (ganz schön teuer...) Haustür offen lassen, weil ja die Gartentür gesichert ist Schlüsselbund liegt unter der Fußmatte, weil man so viele Schlüssel nicht bei sich tragen will

30 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls OSI-7-Schichten-Modell Layer1: Physical Layer2: Data Link Layer3: Network Layer4: Transport Layer5: Session Layer6: Presentation Layer7: Application Layer8: Benutzer Layer0: Mechanik Anwendungsschichten (ftp, telnet, smtp, http, smb,...) } } Protokollschichten (TCP/IP, IPX/SPX, Netbios...) Physikalische Schichten (Ethernet, FDDI, Token Ring) } Zusätzliche Schichten (zur Fehlersuche)

31 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls NAT etc. vorbereitend: Osi-Modell/Datenpaket technisches Grundprinzip: –Verstecken der Rechner/Dienste security heavy: Reales Privates Netzwerk (L0:-) Network Address Translation: Umsetzung von IP- Adressen (L3) –one-to-one –many-to-many –many-to-one/Masquerading: nur eine Adresse wird nach außen sichtbar –ursprünglich: Erweiterung des Adressraumes

32 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Paketfilter Einfacher Paketfilter (L4) –TCP/UDP-Ports –/etc/services: well-known-ports –ICMP Typ/Code "intelligente" Paketfilter (L4/5)

33 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls TCP/UDP-Ports L2: MAC 8+14 Bytes L3: IP >=64 Bytes L4: TCP-Port 8-64 Bytes L5-7: Anwendung Benutzerdaten Source-Port: auf diesem rechner-internen Anschluss lauscht der Absender des Paketes (d. i. ein Prozess) auf die Antwort Destination Port: auf diesem Anschluss erwartet der Absender, dass der Zielrechner das Paket weiterverarbeiten kann, d.h. es gibt auf dem Zielrechner einen Prozess, dem die Daten des Paketes übergeben und von dem diese weiterverarbeitet werden Serverdienst: ständiges Offenhalten eines Ports für eine bestimmte Funktion/Protokoll/Anwendung, z.B. 80/tcp: http (httpd, z.B. apache) 23/tcp: telnet (telnetd via inetd) 53/udp: dns (named, z.B. bind) 137/udp: netbios L2: MAC 4 Bytes Ein Datenpaket (frame):

34 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls /etc/services # Copyright (c) 1995 Microsoft Corp. # # Diese Datei enthlt die Anschluánummern (Port Numbers) fr bekannte # Dienste gemá RFC 1060 (Assigned Numbers). # Bearbeiten Sie diese Datei mit einem ASCII-Editor. # # Format: # # / [Alias...] [# ] # echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp systat 11/tcp users daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote qotd 17/udp quote chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail... domain 53/tcp nameserver # name-domain server domain 53/udp nameserver nameserver 53/tcp domain # name-domain server nameserver 53/udp domain... pop 109/tcp postoffice pop2 109/tcp # Post Office pop3 110/tcp postoffice portmap 111/tcp portmap 111/udp sunrpc 111/tcp sunrpc 111/udp auth 113/tcp authentication sftp 115/tcp path 117/tcp uucp-path 117/tcp nntp 119/tcp usenet # Network News Transfer ntp 123/udp ntpd ntp # network time protocol (exp) nbname 137/udp nbdatagram 138/udp nbsession 139/tcp NeWS 144/tcp news sgmp 153/udp sgmp tcprepo 158/tcp repository # PCMAIL snmp 161/udp snmp snmp-trap 162/udp snmp print-srv 170/tcp # network PostScript... gibts also auch bei Windows... siehe auch IANA/ICANN (Link todo)

35 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Filterliste - Prinzip 1 ! in - was darf vom Subnetz in die Welt: ! ! Stufe 1: Clienten greifen auf URZ/Uni-Server zu access-list 153 permit udp any gt eq 53 ! dns access-list 153 permit tcp any gt 1023 host www-proxy.uni-heidelberg.de eq 8080 !http access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 25 ! smtp access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq pop3 ! pop3 access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 995 ! spop access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 143 ! imap2 access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 993 ! simap access-list 153 permit tcp any gt eq 113 ! auth ins urz access-list 153 permit udp any eq eq 123 ! ntp ins urz/uni

36 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Filterliste - Prinzip 2 ! in - was darf vom Subnetz in die Welt: ! ! Stufe 1: Clienten greifen auf URZ/Uni-Server zu access-list 153 permit udp any gt eq 53 ! dns access-list 153 permit tcp any gt 1023 host www-proxy.uni-heidelberg.de eq 8080 !http access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 25 ! smtp access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq pop3 ! pop3 access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 995 ! spop access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 143 ! imap2 access-list 153 permit tcp any gt 1023 host popix.urz.uni-heidelberg.de eq 993 ! simap access-list 153 permit tcp any gt eq 113 ! auth ins urz access-list 153 permit udp any eq eq 123 ! ntp ins urz/uni ! ! Stufe 2: lokale unsichere "Clienten"/Netzwerk-Protokolle ! Stufe 2b: verschluesselte Clienten-Protokolle weltweit ! Stufe 2s: lokale Serverdienste ! ! Stufe 3: weltweite unsichere Clienten-Protokolle ! Stufe 3s: weltweite Serverdienste ! access-list 153 deny ip any any log ! ! ! out - was darf in das Subnetz: ! ! Stufe 1: zugriff auf lokale server, verschluesselte Clienten-Protokolle access-list 154 permit udp eq 53 any gt 1023 ! dns access-list 154 permit udp eq 53 any gt 1023 ! dns 127 access-list 154 permit tcp host www-proxy.uni-heidelberg.de eq 8080 any gt 1023 established ! http access-list 154 permit tcp host popix.urz.uni-heidelberg.de eq 25 any gt 1023 established ! smtp access-list 154 permit tcp host popix.urz.uni-heidelberg.de eq pop3 any gt 1023 established ! pop3 access-list 154 permit tcp host popix.urz.uni-heidelberg.de eq 995 any gt 1023 established ! spop access-list 154 permit tcp host popix.urz.uni-heidelberg.de eq 143 any gt 1023 established ! imap2 access-list 154 permit tcp host popix.urz.uni-heidelberg.de eq 993 any gt 1023 established ! simap... access-list 154 deny ip any any log

37 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls stateful statischer Paketfilter vs. Verbindungskontrolle: –für einfachen Paketfilter nur bei TCP erkennbar –nicht bei UDP (z. B. DNS) oder ICMP (Typ/Code: 8/0 echo request, 0/0 echo reply - ping) –auch bei TCP nur gesetztes ACK-Bit –glauben wir das? echte Kontrolle der Verbindung ist besser Lösung: –stateful inspection, dynamische (reflexive) Paketfilterung –Firewall merkt sich zu jeder Verbindung den Zustand –überwacht u. a. durch Timeouts, explizite Authentifizierung –nur solche Pakete, deren Verbindungsaufbau-Paket erlaubt war und deren state noch offen ist, kommen durch –weniger Aufwand, mehr Effekt

38 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Proxying Proxy (auch: Gateway, Gatekeeper): –naher Server, der ferne Anfragen durchführt und zwischenspeichert –http (https ohne proxy?) mit/ohne Verstecken der Source-Informationen –ftp, telnet, rlogin, X11, archie, gopher –längst nicht für alle Dienste möglich am URZ: –www-proxy (caching-only), relay (mail-proxy), vpnsrv (DNS-proxy), videosrv (streaming-proxy) Application-Level-Firewall –Filterung/Manipulation von Informationen aus Anwendungs-Protokollen (L5-7) –z.B. http-URL, smtp- -Adressen, -Betreff, -Anhangs-Datei –Problemzone Überwachung... begleitende Konfiguration nötig –im Client: Proxy-Angaben, SOCKS, Winsock (MS-Proxy) –im Paketfilter oder Netz: Verbindungen nur durch Proxy hindurch, direkte Verbindungen verbieten –Bastion-Host im Grenznetz: öffentliche Server auslagern, im lokalen Netz nur Clients

39 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Architektur / Pla(t)zierung im Netz Netzwerk mit direktem Internet-Anschluss Netzwerk mit Grenznetz Netzwerk mit DMZ

40 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Netzwerk mit Internet Passierstelle

41 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Netzwerk mit Grenznetz

42 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Netzwerk mit DMZ Zusammenlegen verschiedener FW- Komponenten in einem Gerät Problematisch im Kompromittierungsfall

43 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Was kann eine Firewall nicht sichern? Nutzerverhalten –nur was vorhersehbar ist, kann abgefangen werden Das interne Netz vor Angriffen von innerhalb Umgehung der Firewall –Tunnel, Dial-Out/In, Disketten etc. Benötigte Serverdienste sind offen und damit angreifbar Das Netz vor der Firewall –Vortäuschen, Abhören dort etc. -> andere Maßnahmen nötig Kann einen selbst nicht vor Arbeit und Ärger sichern –Beispiel URZ-Mailfirewall: vorher - nachher

44 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Weitere mögliche/nötige Maßnahmen Weitere Maßnahmen zum Betrieb Das große Aber Weitere Maßnahmen zur Sicherheit der Kommunikation via Internet

45 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Weitere Maßnahmen zum Betrieb einer Firewall ständige Kontrolle der Logbücher/Protokolle ständige Aktualisierung und Backup der Konfiguration ständige Aktualisierung der Firewall-Software und des zugrundeliegenden Betriebssystems externe Revision / Security Audit Nutzerschulung (Beispiel aus der Beratung) Zertifizierung: mindestens drei Schichten von 2 unabhängigen Herstellern, z. B. PF-ALF-PF

46 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Bei eigener Firewall intensive Betreuung und Administration erforderlich, sonst sinnlos! gute selbst angelegte Dokumentation erforderlich separate Hardware an separatem Ort nur minimale Software- und Dienste-Ausstattung des FW-Rechners ohne Policy und Bedrohungsanalyse keine Befürwortung durch URZ keine Unterstützung in der Administration durch das URZ keine Netzwerkunterstützung, wenn nicht voller IP-Zugang zu den Netzkomponenten bei Verbindungsproblemen muss das Institut sagen, wo das Problem liegt, das URZ kann die Konfigurationsprobleme der Firewall nicht erkennen... Zukunftsfähig? Fast-Ethernet / Gigabit Ethernet...

47 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Aber: Das Internet basiert auf Zugänglichkeit und Erreichbarkeit nicht mehr direkte Erreichbarkeit bereitet Probleme Fehlersuche viel schwieriger, z. T. unmöglich Verstecken der Rechner heißt nicht: kein DNS-Eintrag ;-) neue Dienste nur mit Aufwand und/oder zusätzlichen Problemen manche Dienste funktionieren nicht mehr unter bestimmten Sicherheitskonfigurationen, z. B. ftp, portmapper,... Verwaltungsaufwand für Betrieb und Instandhaltung –neue Ports einpflegen –Logbücher kontrollieren –Information von Benutzern und anderen Beteiligten über Angriffe, Sperrungen, Maßnahmen (allein schon das Herausfinden der -Adresse...) –Beschwerden (daher unbedingt Policy vorab!)...

48 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Weitere Maßnahmen Verstecken der Information: Verschlüsseln –ssh (Kennwörter) –https, spop, simap, ssl (Kennwörter, Daten?) –aktuelle Mailclienten / pgp etc. (Kennwörter, Daten) –IPSec/VPN (Daten); ACHTUNG: z. B. URZ-VPN ist unverschlüsselt, dient anderem Zweck Bitte keine Tunnel ohne Absprache mit/Zustimmung durch das URZ, diese Dienste sind sonst nicht garantiert Tunnel umgehen eventuelle Firewall-Kontrollen! Wir empfehlen: –Kennwörter über fremde Netze nur verschlüsselt –bei wichtigen Daten die Unverfälschtheit und Herkunft sicherstellen –bei vertraulichen Daten verschlüsseln

49 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Fazit: Zum Firewall-Einsatz im Institut Wenn das URZ einen Paketfilter in verschiedenen Varianten anbietet, dann braucht der Netzbeauftragte lediglich im Institut darauf hinwirken, dass die von ihm präferierte Policy abgesegnet wird und kann sich dann darauf konzentrieren, seine Nutzer in der Policy zu schulen, z. B. –sichere von den Nutzern selbst gewählte Passwörter –sichere/verschlüsselte Passwort-Übermittlung über fremde Netze –Verhalten im Netz ( , Chat, Web-Browsing mit Nachdenken...) –Datensicherung –Virenschutz –Aktualisierung der Serverdienste und Workstation-Programme –Beschränkung der Dienste Wer schon die obigen Punkte zeitlich nicht leisten kann oder will, der wird sich mit dem Einrichten einer Instituts-eigenen Firewall zwar dem Anschein größerer Sicherheit hingeben, ohne diese jedoch effektiv zu erreichen

50 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls Bemerkungen zum Schluss Mailliste –Sicherheitshinweise von CERT (Computer Emergency Response Team) diversen Herstellern (IBM, sun, hp, sgi, Linux-Distributoren) –Aufnahme in Liste: Mail an web-urz > Netz > Netzbetrieb > Netzadmin > Computer Network Security –Sammlung wichtiger Dokumente und Links zum Thema Sicherheit –neue Seite für Endnutzer ist in Arbeit... Datensicherheitsbehörde (BSI,...), Hersteller...BSI Literaturhinweis: –Chapman/Zwicky: Einrichten von Internet-Firewalls (URZ: II9603), OReilly 1996 Hersteller, Produkte –Cisco Pix, Checkpoint FW1, Nokia, Genua, WatchGuard, security-academy... –Bitte nichts ohne Absprache mit / Zustimmung durch das URZ kaufen

51 Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 51 ENDE Vielen Dank für das Interesse!


Herunterladen ppt "Universität Heidelberg Rechenzentrum Joachim Peeck Rechner-Sicherheit und Firewalls 1 Einführungsvortrag Rechner-Sicherheit und Firewalls für Netz- und."

Ähnliche Präsentationen


Google-Anzeigen