Firewall und Tunneling

Slides:



Advertisements
Ähnliche Präsentationen
Aufbau eines Netzwerkes
Advertisements

Powerpoint-Präsentation
Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth
Firewalls.
Die Firewall in der Musterlösung
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Die Firewall Was versteht man unter dem Begriff „Firewall“?
Konfiguration eines VPN Netzwerkes
Beispiel-Netzwerk eines vernetzten IT-Systems:
1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Offene Systeme, Rechnernetze und das Internet
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Virtual Private Networks
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Der IPCOP-Router Bastian Neubarth
Einführung in die Technik des Internets
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
Virtual Private Networks
Netzwerkkomponenten (Hardware)
Referat über das Thema: Firewall
Internet-Protokolle Tanja Witze.
Sicherer Zugang zu internen Terminalservern von öffentlichen PCs
Weltweite Kommunikation mit Exchange Server über das Internet
3 Wie funktioniert TCP/IP?
Mit Schülern ein internetfähiges Netzwerk aufbauen
Learning By Doing TCP/IP Netzwerke mit TCP/IP Das Internet verwendet weitgehend das rund 30-jährige TCP/IP-Protokoll (TCP: Transmission Control Protocol,
PC1 schickt Anfrage an http-Server (Port 80)
Rechnerkommunikation I
Schützen, aber wie ? Firewalls wie wir sie kennen.
VPN Virtual Private Network
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Das OSI Schichtenmodell
Freifach Netzwerktechnik mit Übungen
Julia Grabsch Florian Hillnhütter Fabian Riebschläger
Netzwerke Ein Referat.
NAT NETWORK ADDRESS TRANSLATION
Grundlagen der Netzwerktechnik
Virtual Private Network
Netzwerke.
TCP – transmission control protocol Wenn eine Applikation (z. B
V irtuelle P rivate N etzwerk Autor Michael Hahn.
Meldungen über Ethernet mit FINS/UDP
Netzwerke.
IP: :80 IP: IP: IP: :20 :21 ftp-Server Router Franz Kohnle Internet IP: : Ziel - IPQuell -
Peer-to-Peer-Netzwerke
Konfiguration zu W2K3S Server
Christian Schindelhauer Sommersemester Vorlesung
Virtual Private Network
VPN – Virtual Private Network
Agenda 1. Definition (TCP/ IP Protokollfamilie) 2.
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
Schutzvermerk nach DIN 34 beachten TCP / IP. Schutzvermerk nach DIN 34 beachten TCP / IP und das OSI-Referenzmodell Process / Application Host-to-Host.
Virtual Private Network
Kirsten Kropmanns Allgemeine Technologien II 9. März 2009
Lisa Huber DHBW Mannheim
Netzwerke und Systemintegration
Sicherheitskomponente in der Computertechnik
NiederwangenWinterthurBaselMünchenFrankfurt Ralf Fachet Das M2M Kochbuch Fernzugriff mit Mobilfunk.
LINUX II Harald Wegscheider
Manuel Blechschmidt & Volker Grabsch CdE Sommerakademie 2006 Kirchheim
Port-Forwarding Der PC möchte vom Internet aus auf den http-Server zugreifen. Er sieht nur die IP-Adresse und den Port des Routers. http-Server PC Router.
Firewall.
Verbindung mit einem Netzwerk
Netzwerksicherheit Netzwerkgrundlagen.
Netzwerke Netzwerkgrundlagen.
Ich brauche eine Web-Seite vom Server im Internet
 Präsentation transkript:

Firewall und Tunneling 08.05.2006 (c) Christian Watzke

Inhalt Grundlagen Firewall-Systeme Netzwerk-Firewall Host-Firewall (Personal Firewall) Komponenten einer Firewall Paketfilter (Content-Filter) Proxy DMZ 08.05.2006 (c) Christian Watzke

Inhalt Tunnelklassen PPP VPN HTTP DNS, SMTP TCP/IP Gegenmaßnahmen Empfehlungen 08.05.2006 (c) Christian Watzke

Grundlagen Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen kontrollieren den Datenverkehr zwischen den Teilbereichen verhindern ungewünschten Verkehr Häufiger Einsatz zwischen LANs und WANs Unterbinden von Datenverkehr von extern zum geschützten Bereich und umgekehrt 08.05.2006 (c) Christian Watzke

Grundlagen Hardware für Senden und Empfange der Datenpakete zuständig kein sicherndes Element häufige Netzelemente: Router, Gateways Software regelt den Datenverkehr (wer darf, wer nicht?) läuft oft auf spezieller Hardware 08.05.2006 (c) Christian Watzke

Netzwerk-Firewall Gerät mit mehreren Netzwerkschnittstellen darauf laufende Software dient hauptsächlich als Firewall In der Regel wird zwischen drei Netzwerkzonen unterschieden das externe Netz (WAN), nicht vertrauenswürdig => Untrusted demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server interne Netz (LAN), vertrauenswürdig => Trustet 08.05.2006 (c) Christian Watzke

Host-Firewall Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird ( PC mit Windows oder Linux ) „Personal Firewalls“ werden als Software-Firewall bezeichnet Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells 08.05.2006 (c) Christian Watzke

Personal Firewall lokale Installation auf dem zu schützenden Rechner Regelt nur Verkehr vom und zum Rechner Keine Überwachung zwischen verschiedenen Netzen Einfache Konfiguration Application Control Stealth-Modus Eher geringe Schutzwirkung Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2) 08.05.2006 (c) Christian Watzke

Paketfilter Vergleich von Quell –und/oder Zieladresse der Pakete nimmt Filterungen das erstellten Regeln vor Ebene der Ports FTP – Port 21 sperren Ebene der IP-Adressen Paket von 87.92.100.100 nicht druchlassen Sichere Kommunikation über VPN – Virtual Private Network 08.05.2006 (c) Christian Watzke

Paketfilter NAT – Network Address Translation PAT – Port Address Translation Umsetzung von privaten IP – Adressen auf eine öffentliche z.B. DSL – Anschluss mit dynamischer IP Netzwerk nach Außen nicht sichtbar Produkte: iptables (Linux 2.4 + 2.6) 08.05.2006 (c) Christian Watzke

Router ===========> NAT Paketfilter BASIC NAT lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP Router ===========> NAT 192.168.0.2 170.0.0.1 205.0.0.2 192.168.0.3 205.0.0.4 192.168.0.4 205.0.0.3 08.05.2006 (c) Christian Watzke

Router ===========> NAT Paketfilter HIDING NAT bzw. Masquerading lokales Netz (LAN) öffentliches Netz (WAN) Quell-IP Ziel-IP 192.168.0.2:1050 170.0.0.1:80 Router ===========> NAT 210.1.1.2:1050 192.168.0.3:6425 210.1.1.2:6425 192.168.0.4:8080 210.1.1.2:9000 192.168.0.5:8080 210.1.1.2:9010 08.05.2006 (c) Christian Watzke

Paketfilter Kritik Keine saubere Einhaltung der Netzwerkschichten Netzwerkprotokolle der Schicht 4 funktionieren oft nur wenn sie explizit vom Paketfilter unterstützt werden Erschwert die Entwicklung neuer Protokolle besonders betroffen (FTP, VoIP) deshalb auch zügige Einführung von IPv6, da NAT aufgrund des ausreichend großen Adressraums unnötig wird 08.05.2006 (c) Christian Watzke

Content-Filter – Stateful Inspection Filter höherer Ebenen (nicht Meta Daten) Aufgaben Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten Filtern/Kennzeichnen von Spam-Mails Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite) Pakete werden zusammengesetzt Überprüfung Pakete werden wieder in ursprünglichen Datenstrom zerlegt 08.05.2006 (c) Christian Watzke

Proxy ist mehrfach in Firewall-Systemen einsetzbar für Clients und Server weitgehend unbemerkbar nimmt Protokollvalidierung und Anpassung vor Sperrung bestimmter Protokolltransaktionen Zugriffssteuerung Protokollierung der Zugriffe Unterstützt FTP, DNS, HTTP, SMTP, POP3 08.05.2006 (c) Christian Watzke

DMZ Demilitarized Zone Zone zwischen geschützten Netz und Internet Wird von zwei Firewallsystemen abgeschirmt Internetdienste wie z.B. E-Mail oder WWW werden durch die erste Firewall durchgelassen Die zweite Firewall besitzt engere Vorschriften 08.05.2006 (c) Christian Watzke

DMZ 08.05.2006 (c) Christian Watzke

Tunnelklassen einfachste Verbindung PPP „Point to Point Protocol“ 08.05.2006 (c) Christian Watzke

Tunnelklassen VPN – Virtual Private Network Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567 diese Verbindungen laufen durch den VPN-Tunnel anderer Datenverkehr geht über gewohnte Verbindungen einfache Skripte, IProute2, IPtables 08.05.2006 (c) Christian Watzke

Tunnelklassen HTTP – Tunnel GET http://hier.darf/was/rein.html HTTP/1.1 Host: auch.der.Rechnername.eignet.sich X-Data: Im Datenfeld ist es sehr einfach 08.05.2006 (c) Christian Watzke

Tunnelklassen DNS und SMTP nicht effektiv, da nur kleine Datenmengen übertragen werden können kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist auffällig wenn DNS – Traffic extrem zunimmt weniger auffällig ist SMTP (Bilder, Dokumente) SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet 08.05.2006 (c) Christian Watzke

Tunnelklassen Untere Schichten (TCP/IP) Sequenznummernfeld wird als Datenfeld verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte. 08.05.2006 (c) Christian Watzke

Tunnelklassen Untere Schichten (TCP/IP) Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen. 08.05.2006 (c) Christian Watzke

Gegenmaßnahmen Tunnel sind nur schwer aufzuspüren Verschlüsselung durch SSL Die Charakteristik des Verkehrs analysieren 08.05.2006 (c) Christian Watzke

Gegenmaßnahmen Client sendet mehr Daten Dauer der Verbindung Verbindung zu ein und demselben Host Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen 08.05.2006 (c) Christian Watzke

Empfehlungen nicht benötigte Ports sperren Firewall mit Statefull-Filter verwenden lange Timeouts vermeiden <CONNECT> Befehl deaktivieren (HTTP) HTTP/HTTPS – Proxy mit Authentifizierung und Logging Standardkonformität der Protokolle überwachen Virenschutz Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen 08.05.2006 (c) Christian Watzke

Quellen http://de.wikipedia.org http://www.heise.de http://www.linux-magazin.de 08.05.2006 (c) Christian Watzke

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.