Saskia Schild, Manuel Grbac & Nerma Taletovic Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic 1

Inhaltsverzeichnis Was ist eine Firewall? Aufgaben einer Firewall Was eine Firewall nicht kann Fernzugriff Sichtbarkeit für Anwender Regelwerk Firewall-Arten Personal Firewall Externe Firewall Filtertechnologien Netfilter/IPtables Sicherheit und Kostenfrage 2

Was ist eine Firewall? engl. Brandschutzmauer dient dazu, nur bestimmte Anwendungen Zugriff zu gewähren Trennt sozusagen den privaten vom öffentlichen Bereich 3

Aufgaben einer Firewall Paketfilter und -analyse Protokoll- und Inhaltsblockierung Benutzer-, Verbindungs- und Sitzungsauthentifizierung und Verschlüsselung ... 4

Was eine Firewall nicht kann Fremde Verbindungen schützen: Eine Firewall schützt nur Verbindungen, die über sie laufen Angriffe erkennen: Eine Firewall soll grundsätzlich die Regeln für die Netzwerkkommunikation umsetzen und so den Datenverkehr von innen nach außen unterstützen. 5

Fernzugriff Zugriff auf den Netzwerkdienst (Unsichere Netzwerkdienste, ...) Rückschluss vom Netzwerkdienst auf den Client Netzwerkimplementierung des Betriebssystems (fehlerhafte Treiber, falsche Implementierung, ...) 6

Sichtbarkeit für Anwender Es gibt 4 Erscheinungsformen einer externen Firewall: Sichtbar Firewall stellt sich sichtbar zwischen das Quell- und Zielsystem einer Seite gegenüber transparent einseitig direkte Verbindung beiden Seiten gegenüber transparent beidseitig durchgehende Verbindung Unsichtbar Unterschied zu beidseitiger Transparenz: Systeme können sich gegenseitig nicht erkennen 7

Regelwerk Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt. Eine Regel setzt sich aus folgenden Komponenten zusammen: Absender IP-Adresse Ziel IP-Adresse Netzwerkprotokoll Port Nummer Aktion: DROP: ein Paket wird verworfen REJECT/DENY: es wird aktiv abgelehnt ACCEPT/ALLOW/PASS: es wird angenommen Loggen 8

Firewall-Arten Personal Firewalls Ist eine Software, die auf dem Rechner des Endnutzers installiert ist Sie ist keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert, sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz Sie wird auf Einzelcomputern eingesetzt Überwacht auch welche Programme versuchen ausgehende Netzwerk- oder Internet-Kommunikationen zu starten 9

Firewall-Arten Personal Firewalls Funktionsweise Der Paketfilter filtert und blockiert Datenpakete nach den Regeln des Regelwerk Über die Adressierungsinformation die ein Datenpaket enthält wird es zum Ziel weitergeleitet Der Anwendungsfilter kann einzelne Programme von der Netzkommunikation ausschließen Mit Hilfe des grafischen Frontends kann der Benutzer die Filter selbst konfigurieren 10

Firewall-Arten Personal Firewalls Ein Lernmodus einer Firewall ermöglicht es, das durch die Interaktion mit dem Benutzer die Filterkriterien festgelegt werden. Web Shields oder Web Application Firewalls filtern ActiveX und JavaScript Inhalte Firewalls können auch über ein Einbrucherkennungs- und - Abwehrsystem verfügen (auch Intrusion Detection System - IDS genannt) Sandboxing kann ein Programm daran hindern, auf Systemressourcen zuzugreifen – dadurch können Schäden am System verhindert werden. Dynamische Paketfilterung 11

Vorteile einer Personal Firewall Kennen lernen des paketorientierten Datenverkehrs im Internet Softwarelösungen sind günstiger als Hardwarelösungen Der Schutz einer Softwarelösung ist oft aktueller als der einer Hardwarevariante schneller und komfortabler Schutz ausgehender Verkehr wird auch kontrolliert 12

Nachteile einer Personal Firewall Installation einer weiteren komplizierten Software Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen verbrauchen Systemressourcen Manipulationsgefahr Lernphase nötig Höhere Komplexität → mehr Angriffsfläche Je komplexer eine Firewall ist, desto größer ist die Wahrscheinlichkeit, dass Softwarefehler auftreten 13

Grenzen einer Personal Firewall Antivirensoftware und Viren-und Spywarescanner sind unerlässlich Regelmäßige Datensicherung Akutalisierung der Software Sichere Konfiguration von Webbrowser,.. Vorsichtiger Umgang mit dem Internet 14

Firewall-Arten Externe Firewalls Allgemein kontrolliert die Verbindung zweier Netze Läuft auf einem eigenständigen System Durch die physische Trennung der Firewall und der zu schützenden PCs ist eine Manipulation nicht einfach durchzuführen 15

Typen einer Externen Firewall Man unterscheidet folgende Arten: Bridging-Firewall Routing-Firewall Proxy-Firewall 16

Topologie Dual-homed Firewall Firewall Internet Hub Workstation 17

Topologie Internet Two-legged Network DMZ Zone Hub oder Switch Firewall Internet Workstation Public Webserver Public Mailserver DMZ Zone 18

Topologie Internet Three-legged Network DMZ Zone Workstation Hub oder Switch Internet Firewall Hub oder Switch Public Webserver Public Mailserver DMZ Zone 19

Vorteile einer Externen Firewall Konfiguration nur einmal notwendig Trennung von internem und öffentlichem Netz Optimiert für Arbeitsabläufe und entlastet PC Schützt auch andere Geräte im internen Netz Betriebssystemunabhängiger Schutz Möglichkeit des Kaufs eines Zusatzpaketes Black- und Whitelist 20

Nachteile einer Externen Firewall Wehrt nur Angriffe von außen ab kostenspielig Kein „Rundum-Schutz“ 21

Grenzen einer Externen Firewall Workflow evtl. gestört durch oftmaliges „nachfragen“ beim Benutzer Verwendung von Proxies eine gute Alternative, aber kein garantierter Schutz 22

Filtertechnologien Paketfilter Stateful Inspection Proxyfilter Contentfilter 23

Linux-Netfilter Firewall Netfilter: stellt Werkzeuge für Linux-Firewall zur Verfügung Gruppen von Firewall-Regeln = Tabellen Tabelle enthält verschiedene Ketten/Chains Beispiel: filter table mit ihren drei Standardchains: INPUT Linux-Netfilter Firewall OUTPUT FORWARD 24

IPTables Chains sind Listen von Regeln IPTables dient dem Anlegen und Löschen von Regeln/Chains Regel = mehrere Bedingungen und eine Aktion/Target Syntax einer Regel: iptables name_of_table name_of_chain -p protokoll -s source -p destination -j jump_target Beispiele: Alle Pakete die der von IP-Adresse 127.0.0.1 kommen, verwerfen: iptables -A INPUT -s 127.0.0.1 -j DROP Alle TCP Pakete von der IP-Adresse 1.2.3.4 an benutzerdefinierte Chain test leiten: iptables -A INPUT -p TCP -s 1.2.3.4 -j test 25

Sicherheit und Kostenfrage Kostenspielig (zw. 50€ und 150.000€) Monatliche Wartungskosten Oftmals nur von großen Betrieben genutzt Personal Firewall + Antivirenprogramm statt externe Firewall 26

Quellen Building Internet Firewalls, Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman, Second Edition, June 2000 http://www.nm.ifi.lmu.de/~sicherheitsbuch/Paketfilter.pdf wikipedia.org http://subs.emis.de/LNI/Proceedings/Proceedings17/GI- Proceedings.17-9.pdf firewall.cx/networking-topics/firewalls/209-firewall-topologies.html linuxreport.org/content/view/26/23/ centos.org/docs/4/4.5/System_Administration_Guide/iptables- command-syntax.html help.ubuntu.com/community/IptablesHowTo 27

Danke für die Aufmerksamkeit 28