© 2002 greyhat.de – Oliver Karow – – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002
© 2002 greyhat.de – Oliver Karow – – TOPICS Was ist eine Firewall? Firewalltypen Was ist eine Checkpoint FW1? Was wird geprüft?
© 2002 greyhat.de – Oliver Karow – – Was ist eine Firewall Eine Firewall ist ein Filtermechanismus zwischen zwei oder mehr Netzwerken. Die Firewall regelt welcher Verkehr zwischen den Netzen durchgelassen wird.
© 2002 greyhat.de – Oliver Karow – – Firewall-Typ: Paketfilter Filterkriterien: Quell-/Ziel-IP Quell-/Ziel-Port FLAG‘s (Syn/Ack..) State-Table OSI-Layer: <5 IP-Forwarding
© 2002 greyhat.de – Oliver Karow – – Firewall-Typ: Proxy Filterkriterien: Siehe Paketfilter Features der Proxysoftware -FTP-PUT/GET... -HTTP-GET/POST OSI-Layer: <=7 Kein IP-Forwarding im reinen Proxy-Betrieb
© 2002 greyhat.de – Oliver Karow – – Was ist eine Checkpoint FW1? Statefull Inspection OSI-Layer 3-7 Secure Services (Proxy) HTTP SMTP TELNET FTP Malicious Activity Detection Portscan VPN-Endpunkt Site-Site Client-Site CVP Antivirus (TrendMicro usw.) Active Code (MimeSweeper)
© 2002 greyhat.de – Oliver Karow – – Checkpoint Client-Server Architektur Management Modul GUI FW-Modul
© 2002 greyhat.de – Oliver Karow – – Was wird geprüft? Firewalldesign Betriebssystemsicherheit Firewalleinstellungen Regelwerk Prozesse
© 2002 greyhat.de – Oliver Karow – – Firewalldesign Platzierung der Komponenten Proxy vs. Paketfilter Einstufiges vs. Mehrstufiges Design FW-Produkt und Betriebssystem
© 2002 greyhat.de – Oliver Karow – – Einstufiges Firewallmodell
© 2002 greyhat.de – Oliver Karow – – Mehrstufiges Firewallmodell
© 2002 greyhat.de – Oliver Karow – – Betriebssystemsicherheit Patchlevel Accounts Auditing Logging Monitoring Hardening
© 2002 greyhat.de – Oliver Karow – – Firewallkonfiguration Patch-Level Existenz bekannter Verwundbarkeiten Verzeichnisberechtigungen Berechtigungen / Accounts Sicherheitsrelevante Einstellungen der Software
© 2002 greyhat.de – Oliver Karow – – Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – – Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – – Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – – Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – – Check Point Policy Editor
© 2002 greyhat.de – Oliver Karow – – Security Policy
© 2002 greyhat.de – Oliver Karow – – Log & Alert
© 2002 greyhat.de – Oliver Karow – – SYNDefender
© 2002 greyhat.de – Oliver Karow – – Security Servers
© 2002 greyhat.de – Oliver Karow – – ACCESS LISTS
© 2002 greyhat.de – Oliver Karow – – Desktop Security
© 2002 greyhat.de – Oliver Karow – – Authentication
© 2002 greyhat.de – Oliver Karow – – Anti-Spoofing
© 2002 greyhat.de – Oliver Karow – – Regelwerk
© 2002 greyhat.de – Oliver Karow – – Implied Rules
© 2002 greyhat.de – Oliver Karow – – BASIC RULES STEALTH RULE Schützt die Firewall selbst vor Angriffen Möglichst zu Beginn des Regelwerks Verhindert aber auch Management-Verbindungen, daher folgende Regel zusätzlich:
© 2002 greyhat.de – Oliver Karow – – BASIC RULES CLEAN-UP RULE Steht am Ende des Regelwerks Loggt alle Pakete für die keine gültige Regel gefunden wurde Blockt alle Pakete für die keine gültige Regel gefunden wurde (ist in FW-Software hardgecodet)
© 2002 greyhat.de – Oliver Karow – – Beliebte Fehler im Regelwerk Unübersichtliches Regelwerk Keine Zusammenfassung in Gruppen Keine bzw. unzureichende Dokumentierung der einzelnen Regeln Verwendung der Implied-Rules Großzügige Verwendung von ANY Kein Logging wichtiger Regelverstöße Regeln die nie zutreffen können (z.B. weil Pakete die Firewall nie erreichen )
© 2002 greyhat.de – Oliver Karow – – Prozesse rund um die Firewall Change- und Updatemanagement Administration Zentrales Logging Wohin wird geloggt? UDP-Syslog vs. SecureSyslog SNMP-Traps Monitoring Alarming