Internet-Grundlangen Dennis Rösner & Sandro Damp Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp

Index 1. Netzwerkgrundlagen 1.1 LAN / MAN / WAN 1.2 Zugriffsformen 1.3 Verkabelungsstrukturen 1.4 OSI Referenzmodel 1.5 TCP / IP 2. Firewall-Systeme 2.1 Definition 2.2 Unterscheidungsmerkmale 2.3 Bsp. Aufbau 2.4 Angriffsarten 2.5 IDS & IPS 3. VPN 3.1 Definition 3.2 Typen 3.3 Tunneling 3.4 Protokolle 3.5 Angriffsarten 4. Fazit 4.1 konzeptionelle Problem 4.2 Lösung

Netzwerkgrundlagen Sind räumlich abgegrenzte Datennetze 1.1 LAN / MAN / WAN LAN = Local Area Network MAN = Metropolitan Area Network WAN = Wide Area Network Sind räumlich abgegrenzte Datennetze Nutzen gemeinsame Übertragungsmedien Topologie: RING, BUS, BAUM und STERN

Clients bestimmen ihr eigenes Verhalten im Netz Netzwerkgrundlagen 1.2 Zugriffsformen Zentral Dezentral Server - Client Client - Client Der Server bestimmt die Richtlinien des Netzes welche für alle Clients bindend sind Clients bestimmen ihr eigenes Verhalten im Netz

Netzwerkgrundlagen 1.3 Verkabelungsstruktur MAN / WAN LAN GV EV 1 EV 2 EV n TA n TA n TA n

Netzwerkgrundlagen Entwicklung 1977 1.4 OSI Referenzmodel Entwicklung 1977 1983 Int. Telecommunication Union (ITU) 1984 Int. Organization for Standardization (ISO) Referenzmodell für Netzwerkprotokolle Schichtenarchitektur Kommunikation zw. Unters. Techn. Systeme 7.Layers mit eng begrenzten Aufgaben Netzwerkprotokolle in Schicht untereinander austauschbar

Netzwerkgrundlagen 1.4 OSI Referenzmodel Schichten Einordnung DoD-Schicht Protokoll Bsp. Einheiten Kopplungselemente 7 Anwendungen (Application) Anwendungs-orientert Anwendung End-to-End (Multihop) HTTP FTP HTTPS SMTP LDAP NCP Daten Gateway, Content- Switch, Layer-4-7- Switch 6 Darstellung (Presentation) 5 Sitzung (Session) 4 Transport (Transport) Transport-orientiert Transport TCP UDP SCTP SPX TCP = Segmente UDP = Datagramme 3 Vermittlung (Network) Vermittlung Point-to-Point ICMP/IGMP IP/Ipsec IPX Ethernet Token ring FDDI ARCNET Pakete Rahmen (Frames) Router, Layer-3- Bridge, 2 Sicherung (Data Link) Netzzugriff 1 Bitübertragung (Physical) Bits, Symbole, Repeater, Hub

Transmission Control Protocol / Internet Protocol Netzwerkgrundlagen 1.5 TCP / IP Transmission Control Protocol / Internet Protocol TCP Verbindungsorientiertes, paketvermittelndes Transportprotokoll Ende-zu-Ende Verbindung Übertragung in beide Richtungen gleichzeitig Wird durch Software verwertet Standardisiert: RFC 793 & RFC1323 IP Grundlage des Internets Adressiert alle Teilnehmer Standardisiert: RFC 791 & RFC 2460

Firewall-Systeme 1.1 Definition Als Firewall-Systeme werden alle Schutzmaßnahmen bezeichnet die einen unerlaubten Zugriff von Außen auf ein privates Datennetz oder PC verhindern Die Grundsätzliche Funktion ist das Blockieren von Kommunikationsdaten zwischen verschiedenen Netzen und Usern Die Richtlinien müssen festgelegt und administriert werden!

Firewall-Systeme 1.2 Unterscheidungsmerkmale nach Funktion nach Art Paketfilter Softwarebasiert Wertet Inhalte der Pakete aus Proxy (Application Gateway) Hardwarebasiert Protokolliert Daten Ein- und Ausgang Stellt Nutzerprofile bereit (Rechteverwaltung) NAT-Funktion Netze werden physikalisch getrennt Etherchannel nach Art Hardware Firewall Software Firewall Kombinierte Firewall

Firewall-Systeme 1.2 Bsp. Aufbau Fw A Fw B Internet DMZ NAT Switch Geschützte Zone ftp mail web

Firewall-Systeme 2.4 Angriffsarten TCP-Portscan / UDP-Portscan Vorbereitende Aktion um Schwachstellen des Host zu entdecken Denial of Service Host wird gezielt zum Absturz gebracht Smurf-Attack Ausspähen von Hostinformationen Trojanische Pferde Paket wird nicht als gefährlich eingestuft und darf passieren IP-Spoofing Vortäuschen einer IP-Adresse Uvm.

Intrusion Detection Systeme & Intrusion Prevention Systeme Firewall-Systeme 2.5 IDS & IPS Intrusion Detection Systeme & Intrusion Prevention Systeme Als Hostanwendung oder Hardwaredevice (Module) Zeichnet vollständigen Netzverkehr auf Wertet IP Protokoll aus nach Mustern bekannter Angriffe Zusätzlicher Schutz!

VPN 3.1 Definition Privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur Nur zugehörige Kommunikationspartner können kommunizieren/Daten austauschen Sicherheit von: Authentizität: Identifizierung Überprüfung der Daten Vertraulichkeit Verschlüsselung Integrität Keine Veränderung durch Dritte

End-to-Site-VPN / Remote-Acces-VPN 3.1 Typen & Protokolle End-to-Site-VPN / Remote-Acces-VPN Host Lan Router Inet Heimarbeitsplatz/ Mobile Benutzer VPN-Tunnel > öffentliches Netzwerk > lokales Netzwerk VPN-Client Minimaler finanzieller & technischer Aufwand

Site-to-Site VPN/ LAN-to-LAN VPN/ Branch-Office VPN 3.1 Typen & Protokolle Site-to-Site VPN/ LAN-to-LAN VPN/ Branch-Office VPN Sub-LAN Host LAN Router WWW Main-LAN Mehrere lokale Netzwerke Angemietete Standleitungen Frame Relay/ ATM hohe Kosten Site-to-Site (global) / LAN2LAN Kopplung (lokal) vorhandenes WWW nutzen weniger Kosten

End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN 3.1 Typen & Protokolle End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN Host Lan Router Inet Client < entferntes Netzwerk > Client Gesamte Strecke getunnelt VPN-Software auf beiden Seiten Verbindungsaufbau über Gateway (Verlängerung) Remote-Desktop: Teamviewer /GotoMyPC

VPN 3.3 Tunneling Internet PC LAN Datenpakete Unbekannte Infrastruktur Weg nicht : nachvollziehbar vorhersagbar Kontrollierbar An Jedem Knotenpunkt können Datenpakete: Gespeichert Verändert Gelöscht PC LAN Datenpakete Internet Tunneling-Protokoll = verschlüsselte Verbindung Zwischen beliebigen Endpunkten Endpunkt (Anfang & Ende) Einhaltung der 3 Sicherheitspunkte v. VPN‘s Router, Gateway oder Software-Client

VPN 3.4 Protokolle Ipsec (im Tunnelmodus) Erweiterung des IP Protokolls Gateway to Gateway Netzwerkschicht 3 Gewährleistet 3 VPN-Sicherheitspunkte Gehört fest zum IPv6 Standard Für IPv4 nachträglich spezifiziert

VPN 3.4 Protokolle L2TP – Layer-2-Tunneling-Protocol PTP-Verbindungen über IP-Netzwerke Eigenen Netzwerken oder Netzwerk-Stationen Bsp.: Außendienstler – getunnelt durchs Internet zum Firmennetzwerk mit Standleitung zu diesem. 2 logische Systeme L2TP Acces Concentrator (LAC) Verwaltet Verbindung zum LAC L2TP Network Server (LNS) Routing & Kontrolle der empfangenen Pakete 2 Kanäle im Tunnel Kontrollnachricht (gesichert) Nutzdaten (ungesichert)

VPN 3.4 Protokolle MPLS – Multiprotocol Label Switching Verbindungsorientierte Übertragung Verbindungslosen Netz Aufgebauten Pfad Sprach & Datendienste auf IP Basis (Internetprovider) Ohne feste Verbindung Dazwischen liegende Netzwerkknoten ( Router) wissen eigenständig, wie Daten weiterzuleiten sind vom Endgerät bis zum Empfänger Mit fester Verbindung Es wird erst ein Pfad vom Endgerät durch das Netz bis zum Empfänger signalisiert

VPN 3.4 Protokolle IPSec L2TP PPTP MPLS OSI-Schicht Schicht 3 Standard Ja Nein Paket-Authentisierung Benutzer- Authentisierung Daten-verschlüsselung Schlüssel-management Quality of Service IP-Tunneling IPX-Tunneling Hauptanwendung End-to-End Provider Netzbetreiber

VPN 3.5 Angriffsarten Man-in-the-Middle Angriff Wiretapping Spoofing ICMP/ARP Angriff Denial of Service TCP Sequenznummer Replay Smurf Attack Uvm.

FAZIT 4.1 konzeptionelle Probleme Häufig ungeahnte Probleme Firewall verhindert gekapselten Datenverkehr Offene Tür im Sicherheitskonzept Platzierung des VPN-Endpunktes = wichtige Entscheidung Vor oder hinter die Firewall??

FAZIT WAN Firewall VPN-Gateway LAN WAN LAN Firewall VPN-Gateway 4.1 konzeptionelle Probleme WAN Firewall VPN-Gateway LAN Firewall kann nicht in die verschlüsselten Pakete zu gucken Pakete werden über Port500 an das VPN-Gateway durchgelassen Unkontrolliertes eindringen durch VPN-Teilnehmer WAN LAN Firewall VPN-Gateway Vor der Firewall Erst entschlüsseln der Datenpakete Danach Prüfung auf ungewollte Daten durch Firewall

FAZIT WAN LAN Firewall Router VPN-Gateway 4.2 Bsp. Aufbau Port-Forwarding auf Router Demilitarisierte Zone (DMZ) Demilitarisierte Zone Zwischen Router und Firewall Zweite Filterstufe Sicherheits- /Verbindungsprobleme vermeiden Router als VPN-Endpunkt mit integrierter Firewall