Firewall und Tunneling 08.05.2006 (c) Christian Watzke
Inhalt Grundlagen Firewall-Systeme Netzwerk-Firewall Host-Firewall (Personal Firewall) Komponenten einer Firewall Paketfilter (Content-Filter) Proxy DMZ 08.05.2006 (c) Christian Watzke
Inhalt Tunnelklassen PPP VPN HTTP DNS, SMTP TCP/IP Gegenmaßnahmen Empfehlungen 08.05.2006 (c) Christian Watzke
Grundlagen Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen kontrollieren den Datenverkehr zwischen den Teilbereichen verhindern ungewünschten Verkehr Häufiger Einsatz zwischen LANs und WANs Unterbinden von Datenverkehr von extern zum geschützten Bereich und umgekehrt 08.05.2006 (c) Christian Watzke
Grundlagen Hardware für Senden und Empfange der Datenpakete zuständig kein sicherndes Element häufige Netzelemente: Router, Gateways Software regelt den Datenverkehr (wer darf, wer nicht?) läuft oft auf spezieller Hardware 08.05.2006 (c) Christian Watzke
Netzwerk-Firewall Gerät mit mehreren Netzwerkschnittstellen darauf laufende Software dient hauptsächlich als Firewall In der Regel wird zwischen drei Netzwerkzonen unterschieden das externe Netz (WAN), nicht vertrauenswürdig => Untrusted demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server interne Netz (LAN), vertrauenswürdig => Trustet 08.05.2006 (c) Christian Watzke
Host-Firewall Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird ( PC mit Windows oder Linux ) „Personal Firewalls“ werden als Software-Firewall bezeichnet Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells 08.05.2006 (c) Christian Watzke
Personal Firewall lokale Installation auf dem zu schützenden Rechner Regelt nur Verkehr vom und zum Rechner Keine Überwachung zwischen verschiedenen Netzen Einfache Konfiguration Application Control Stealth-Modus Eher geringe Schutzwirkung Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2) 08.05.2006 (c) Christian Watzke
Paketfilter Vergleich von Quell –und/oder Zieladresse der Pakete nimmt Filterungen das erstellten Regeln vor Ebene der Ports FTP – Port 21 sperren Ebene der IP-Adressen Paket von 87.92.100.100 nicht druchlassen Sichere Kommunikation über VPN – Virtual Private Network 08.05.2006 (c) Christian Watzke
Paketfilter NAT – Network Address Translation PAT – Port Address Translation Umsetzung von privaten IP – Adressen auf eine öffentliche z.B. DSL – Anschluss mit dynamischer IP Netzwerk nach Außen nicht sichtbar Produkte: iptables (Linux 2.4 + 2.6) 08.05.2006 (c) Christian Watzke
Router ===========> NAT Paketfilter BASIC NAT lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP Router ===========> NAT 192.168.0.2 170.0.0.1 205.0.0.2 192.168.0.3 205.0.0.4 192.168.0.4 205.0.0.3 08.05.2006 (c) Christian Watzke
Router ===========> NAT Paketfilter HIDING NAT bzw. Masquerading lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP 192.168.0.2:1050 170.0.0.1:80 Router ===========> NAT 210.1.1.2:1050 192.168.0.3:6425 210.1.1.2:6425 192.168.0.4:8080 210.1.1.2:9000 192.168.0.5:8080 210.1.1.2:9010 08.05.2006 (c) Christian Watzke
Paketfilter Kritik Keine saubere Einhaltung der Netzwerkschichten Netzwerkprotokolle der Schicht 4 funktionieren oft nur wenn sie explizit vom Paketfilter unterstützt werden Erschwert die Entwicklung neuer Protokolle besonders betroffen (FTP, VoIP) deshalb auch zügige Einführung von IPv6, da NAT aufgrund des ausreichend großen Adressraums unnötig wird 08.05.2006 (c) Christian Watzke
Content-Filter – Stateful Inspection Filter höherer Ebenen (nicht Meta Daten) Aufgaben Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten Filtern/Kennzeichnen von Spam-Mails Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite) Pakete werden zusammengesetzt Überprüfung Pakete werden wieder in ursprünglichen Datenstrom zerlegt 08.05.2006 (c) Christian Watzke
Proxy ist mehrfach in Firewall-Systemen einsetzbar für Clients und Server weitgehend unbemerkbar nimmt Protokollvalidierung und Anpassung vor Sperrung bestimmter Protokolltransaktionen Zugriffssteuerung Protokollierung der Zugriffe Unterstützt FTP, DNS, HTTP, SMTP, POP3 08.05.2006 (c) Christian Watzke
DMZ Demilitarized Zone Zone zwischen geschützten Netz und Internet Wird von zwei Firewallsystemen abgeschirmt Internetdienste wie z.B. E-Mail oder WWW werden durch die erste Firewall durchgelassen Die zweite Firewall besitzt engere Vorschriften 08.05.2006 (c) Christian Watzke
DMZ 08.05.2006 (c) Christian Watzke
Tunnelklassen einfachste Verbindung PPP „Point to Point Protocol“ 08.05.2006 (c) Christian Watzke
Tunnelklassen VPN – Virtual Private Network Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567 diese Verbindungen laufen durch den VPN-Tunnel anderer Datenverkehr geht über gewohnte Verbindungen einfache Skripte, IProute2, IPtables 08.05.2006 (c) Christian Watzke
Tunnelklassen HTTP – Tunnel GET http://hier.darf/was/rein.html HTTP/1.1 Host: auch.der.Rechnername.eignet.sich X-Data: Im Datenfeld ist es sehr einfach 08.05.2006 (c) Christian Watzke
Tunnelklassen DNS und SMTP nicht effektiv, da nur kleine Datenmengen übertragen werden können kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist auffällig wenn DNS – Traffic extrem zunimmt weniger auffällig ist SMTP (Bilder, Dokumente) SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet 08.05.2006 (c) Christian Watzke
Tunnelklassen Untere Schichten (TCP/IP) Sequenznummernfeld wird als Datenfeld verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte. 08.05.2006 (c) Christian Watzke
Tunnelklassen Untere Schichten (TCP/IP) Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen. 08.05.2006 (c) Christian Watzke
Gegenmaßnahmen Tunnel sind nur schwer aufzuspüren Verschlüsselung durch SSL Die Charakteristik des Verkehrs analysieren 08.05.2006 (c) Christian Watzke
Gegenmaßnahmen Client sendet mehr Daten Dauer der Verbindung Verbindung zu ein und demselben Host Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen 08.05.2006 (c) Christian Watzke
Empfehlungen nicht benötigte Ports sperren Firewall mit Statefull-Filter verwenden lange Timeouts vermeiden <CONNECT> Befehl deaktivieren (HTTP) HTTP/HTTPS – Proxy mit Authentifizierung und Logging Standardkonformität der Protokolle überwachen Virenschutz Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen 08.05.2006 (c) Christian Watzke
Quellen http://de.wikipedia.org http://www.heise.de http://www.linux-magazin.de 08.05.2006 (c) Christian Watzke