Kommunikationssysteme Firewall Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Kommunikationssysteme

Einleitung Internet: Wachstum 50-200% pro Jahr Thema: Firewall Angriffe Firewall-Architekturen Auditing Schlussteil Internet: Wachstum 50-200% pro Jahr Firmen wollen internes Netz ans Internet hängen Dank Kabel, xDSL, WLL: auch Private Internet als Ganzes unsicher  Firewalls

Firewall-Architekturen und -Typen Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Firewalls, IDS, Sicherheit allgemein Hacker vs. Cracker Hilfsmittel und tools Firewall-Architekturen und -Typen Firewall-Typen

Firewalls: Definition (1) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Eine Firewall ist eine Schutzmassnahme bzw. Grenzschicht, bestehend aus einem oder mehreren Komponenten, welche zwischen einem zu schützenden Netz und dem Internet (oder einem anderen Netz) den Zugriff überwacht resp. beschränkt.

Firewalls: Definition (2) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Kombination von: Hardware Software Protokolle und Regeln

Firewalls: Schutzmassnahmen Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil unerwünschten Verkehr blockieren eingehenden Verkehr weiterleiten verwundbare Systeme verstecken Verkehr protokollieren Informationen vor dem Internet verstecken. bieten robustere Authentifizierung an

IDS IDS = Intrusion Detection System Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil IDS = Intrusion Detection System Durch Überwachen einer Vielzahl von Netzaktivitäten in der Lage, mögliche Systemeinbrüche zu erkennen

Sicherheit Bruce Schneier (Guru der IT-security Szene): Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Bruce Schneier (Guru der IT-security Szene): "Um die Sicherheit im Internet ist es schlecht bestellt. Jahr für Jahr tauchen immer raffiniertere Hackmethoden auf. Damit kann die Netzgemeinde nicht Schritt halten: Wir verlieren den Kampf!"

Sicherheit Authentizität Integrität Vertraulichkeit Verbindlichkeit Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Authentizität Integrität Vertraulichkeit Verbindlichkeit Verfügbarkeit Betriebssicherheit/Zuverlässigkeit

Sicherheit: Authentizität Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Authentizität (authenticity) "Ist der am anderen Ende wirklich jener, für den ich ihn halte?"  Zertifizierung (Certification)

Sicherheit: Integrität Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Integrität (integrity) "Stimmen diese Daten wirklich?"  checksums (Prüfsummen)  constraints (Einschränkungen, Auflagen)

Sicherheit: Vertraulichkeit Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Vertraulichkeit (confidentiality) "Kann ich sicher sein, dass kein Unbefugter meine Daten einsehen kann?"  Verschlüsselung (Kryptographie) -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.0i for non-commercial use MessageID: VU5rCu6cHK8JH26mvsZ4+ugMXZl1JCdX iQCVAwUBOuN8YO3dx9aqIeKpAQFkAwQAmJRuvoDC/hj0JPk3H2H6mui92zE0uChT LmmoNsJCDJW6uXFGrWTt0/qo0csuWEgmjmZoy6aQWZmgUvyguGU5p4+PEP7TDpdp xKJxgV+myvgg9qF24z0ZVlDFufasyMukv5jpsFwMn/QW4fDoqSIfxh6sMOTwgu9w 4qc2MK1/Bu8= =BL0n -----END PGP SIGNATURE-----

Sicherheit: Verbindlichkeit Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Verbindlichkeit (binding force, accountability, non-repudiation) "Kann ich davon ausgehen, dass unterschriebenes auch wirklich verbindlich ist?"  Zertifizierung  Digitale Signatur

Sicherheit: Verfügbarkeit Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Verfügbarkeit (availability) "Sind die Dienste auch wirklich da, wenn ich sie brauche?"  Redundanzen  USV

Sicherheit: Zuverlässigkeit/ Betriebssicherheit Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Zuverlässigkeit/Betriebssicherheit (reliabilty) "Ist überhaupt Sicherheit gewährleistet?"  Qualitätsmanagement

Übersicht Hacker vs. Cracker Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Hacker vs. Cracker Geschichtlicher Abriss über das Hacken und Cracken Destruktive Programme/Angriffe Scanner Passwort-Knacker Trojanisches Pferd Sniffer Attacke

Wo liegt der Unterschied zwischen einem Hacker und einem Cracker? Hacker vs. Cracker Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Wo liegt der Unterschied zwischen einem Hacker und einem Cracker?

Geschichtlicher Abriss Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Phreaking Aufkommen des Internets Morris-Wurm Zukünftige Entwicklung

Destruktive Programme/Angriffe Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil E-Mail-Bomben DoS Computerviren

Scanner Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Scanner sind Programme, mit denen ein Angreifer einen Ziel-Host nach fehlerhaften Diensten und Schwachstellen abtasten kann.

Scanner Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Beispiel Nmap  auditor@host:~$ nmap www.unizh.ch  Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on rzuds5.unizh.ch (130.60.68.45): Port State Protocol Service 7 open tcp echo 9 open tcp discard 13 open tcp daytime 19 open tcp chargen 21 open tcp ftp 22 open tcp ssh 23 open tcp telnet 37 open tcp time 79 open tcp finger 80 open tcp http 111 open tcp sunrpc 113 open tcp auth 199 open tcp smux 443 open tcp https 512 open tcp exec 513 open tcp login 514 open tcp shell 543 open tcp klogin 544 open tcp kshell 732 open tcp unknown 733 open tcp unknown 746 open tcp unknown 794 open tcp unknown 2049 open tcp nfs 2401 open tcp cvspserver 2784 open tcp www-dev 3128 open tcp squid-http 3306 open tcp mysql 6001 open tcp X11:1 6002 open tcp X11:2 6003 open tcp X11:3 8080 open tcp http-proxy

Passwort-Knacker Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Passwort-Knacker sind Programme, die Passwörter aufdecken, welche verschlüsselt worden sind.

Trojanisches Pferd Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Ein Trojanisches Pferd ist ein eigenständiges Programm, das versteckte Prozesse ausführt, die der Benutzer nicht erwartet oder es erweitert ein bestehendes Programm auf einem Rechner um weitere vom Benutzer unerwünschte, versteckte Funktionen.

Sniffer hören den gesamten Datenverkehr über ein Netz ab. Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Sniffer hören den gesamten Datenverkehr über ein Netz ab.

Attacke Ziel: Rechner X lahm legen Mit Spoofing Zugriff auf Y erlangen Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Ziel: Rechner X lahm legen Mit Spoofing Zugriff auf Y erlangen

Attacke Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil

Attacke Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil

Firewall Architekturen (1) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Single Layer Architecture Multiple Layer Architecture

Firewall Architekturen (2) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Basic Border Firewall

Firewall Architekturen (3) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Untrustworthy Host Server befindet sich vor der Firewall Server wird nicht von der Firewall gesichert

Firewall Architekturen (4) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil DMZ Network Server ist in einem eigenen Netz Firewall verbindet 3 Netze

Firewall Architekturen (4) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Dual Firewall 2 Firewallhosts Server befindet sich in der DMZ

OSI- und TCP/IP-Modell Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil

Typen von Firewalls Firewalls können in vier Kategorien eingeteilt Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Firewalls können in vier Kategorien eingeteilt werden: Packet Filtering Firewalls Circuit Level Gateways Application Level Gateways Statefull Inspection Firewalls

Packet Filtering Firewalls Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil + tiefer Preis + in den meisten Routern eingebaut + kleine Auswirkung auf das Netz - tiefe Sicherheit - schnell komplexe Regeln - schlecht skalierbar - anfällig auf IP-Spoofing 1 Physical 2 Data Link 3 Internet Protocol (IP) 5 Application 4 Transport Control Protocol (TCP)

Curcuit Level Firewalls Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil + günstiger Preis + NAT filtern keine individuellen Pakete - anfällig auf SYN/ACK-Spoofing 1 Physical 2 Data Link 3 Internet Protocol (IP) 5 Application 4 Transport Control Protocol (TCP)

Application Level Firewall Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil + hohes Mass an Sicherheit + alle Pakete werden analysiert - starke Auswirkung auf die Netzwerkauslastung 1 Physical 2 Data Link 3 Internet Protocol (IP) 5 Application 4 Transport Control Protocol (TCP)

Stateful Inspection Firewalls Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil + hohes Mass an Sicherheit + wenig Auswirkung auf die Netzauslastung + hohe Transparenz + Algorithmen, an Stelle von Anwendungsspezifische Proxies - eher anfällig auf Sicherheitslöcher 5 Application 4 Transport Control Protocol (TCP) 3 Internet Protocol (IP) 2 Data Link 1 Physical

Security Auditing Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil “In today's world, there's no way to eliminate the total threat because there will always be people who can get behind the walls. But people are the weakest link. Make sure they understand security is a dynamic process.“ “It's naïve to assume that just installing a firewall is going to protect you from all potential security threat. That assumption creates a false sense of security, and having a false sense of security is worse than having no security at all.”  Kevin Mitnick

Querschnittsaufgabe Sicherheitsmanagement Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil  Sicherheit betrifft Menschen  Sicherheit betrifft alle Ebenen Strategische Ebene Sicherheitspolitik und Sicherheitskultur Taktische Ebene Sicherheitsdispositiv und Sicherheitskonzeption Operative Ebene Umsetzung

Vereinbartes Rendite(Kosten/Nutzen)- Sicherheit als Ziel (1) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Vereinbartes Rendite(Kosten/Nutzen)- /Risiko-Niveau 0% Risiko 100% 0% Sicherheit 100% Risiko = Eintrittswahrscheinlichkeit * Schadenspotential

Sicherheit als Ziel (2) Gesamtrisiko Thema: Firewall Überwälzen Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Gesamtrisiko Überwälzen Vermindern Vermeiden Selbst tragen - Versicherung - Krisenstäbe - Kata-Plan - Ausbildung - Training - Laufende Überprüfung des Sicherheits-dispositivs - Restrisiko

Sicherheit als Prozess Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Einfluss auf Sicherheit: Vorgaben seitens der Sicherheitspolitik Umsetzung der Vorgaben Umfeld Diese Faktoren ändern sich im Laufe der Zeit Sicherheit ist ein dynamischer Prozess Teil dieses Prozesses: Security Auditings

Sicherheitsmassnahmen Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Personelle Massnahmen Organisatorische Massnahmen Technische Massnahmen Bauliche Massnahmen Überprüfen der Massnahmen Aufzeigen von Massnahmen Security Auditing

Security Auditing Was ist Security Auditing? Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Was ist Security Auditing? Teilbereich personelle/organisatorische Massnahmen des Sicherheitsmanagements Überprüfung/Vorschlagen von Massnahmen Durch externe/interne Sicherheitsspezialisten Ablauf von Security Audits? Ablauf eines Angriffs Ablauf des Auditings 1. Erkundung 1. Bestandesaufnahme 2. Auswertung der Informationen 3. Überschreitung von Privilegien 3. Aufzeigen von notwendigen Änderungen

SA - Bestandesaufnahme(1) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Klassen sicherheitsrelevanter Objekte Transportknoten Filter an den Grenzen der Domänen Application Level Gateways Application Servers 4-Schichten-Modell Applikation Netzwerk Betriebssystem Hardware

SA - Bestandesaufnahme(2) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Beispiel: Abfragen eines Applikationsservers (Webserver) auf Netzwerk-/Applikationsebene (HTTP-Protokoll) mittels Telnet auditor@host:~$ telnet www.unizh.ch 80 Trying 130.60.68.45... Connected to rzuds5.unizh.ch. Escape character is '^]'. GET /doesnotexist/ HTTP/1.1 Host: www.unizh.ch   HTTP/1.1 404 Not Found Date: Tue, 24 Apr 2001 22:14:48 GMT Server: Apache/1.3.14 (Unix) PHP/4.0.4pl1 mod_ssl/2.7.1 OpenSSL/0.9.5a Transfer-Encoding: chunked Content-Type: text/html

SA- Bestandesaufnahme(3) Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Beispiel Applikationsserver – Applikationsschicht Schwachstellenbibliotheken: Securityfocus (http://www.securityfocus.org/vdb/)

SA – Informationsauswertung Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Übergang Bestandesaufnahme – Informationsauswertung fliessend Gesamtbild/Überblick verschaffen Übers Grobe ins Detail Rangfolge der Schwachstellen Eintrittswahrscheinlichkeit Schadenspotential Gesamtrisiko

SA – Aufzeigen von Änderungen Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Grundprinzipien: Least Privilege Defense in Depth Choke Point Weakest Link Fail-Safe Stance Universal Participation Diversity of Defense Simplicity („KISS – Keep it simple and small“) Neu auch: Closed vs. Open Source Software

Fazit und Ausblick Sicherheitsfragen gewinnen an Bedeutung Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Sicherheitsfragen gewinnen an Bedeutung Sicherheitsfragen werden zunehmend komplexer  Ausbildung und Sensibilisierung enorm wichtig