Firewalls
Themen Sicherheitspolitik Angriffstypen Grundsätzliches zu Firewalls Paketfilter Proxies Firewall Architekturen
1. Sicherheitspolitik Festlegung der schützenswerten Güter Bedrohungsanalyse Schwachstellenanalyse Risikoanalyse Sicherheitsmassnahmen
1.1 Festlegung der schützenswerten Güter Daten in Dateien oder noch in Bearbeitung Prozesse: laufende Anwendungen Ressourcen: Rechenleistung, Plattenkapazität
1.2.1 Bedrohungsanalyse Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit
1.2.2 Schwachstellenanalyse Ist – Zustand Organisatorische Ebene Personelle Ebene Technische Ebene
1.2.3 Risikoanalyse Eintretenswahrscheinlichkeit Schadenspotential ( = Schadenshöhe * Eintretenswahrscheinlichkeit )
1.3 Sicherheitsmassnahmen Technische Maßnahmen Sensibilisierung und Schulung der Mitarbeiter Festlegung von Verantwortlichkeiten
2. Angriffstypen
2.1 Source IP Address Spoofing Attack Änderung der IP – Absenderadresse in netzinterne Adresse Von außen kommende Pakete mit netzinterner Adresse abweißen
2.2 Sniffer Attack Gezieltes belauschen des Netzwerkverkers Ziel: Erlangen von Benutzerkennungen und Passwörtern Software meist Freeware physikalische Abtrennung durch Switch oder Router
2.3 Denial of Service Attack Überlastung durch Sturm von Dienstanfragen Zugriffsbeschränkung pro IP und Zeiteinheit
2.4 Source Routing Attack Vorgabe einer konkreten Route um Sicherheitsmaßnahmen zu umgehen Pakete mit diesem Flag abweisen
2.5 Tiny Fragment Attack Senden vieler extrem kleiner Pakete, wobei nur das erste den TCP-Header enthält Pakete verwerfen bei denen Feld Fragment - Offset auf eins gesetzt ist
2.6 Port Scan Überprüfung welche Ports auf dem System offen sind Ungewöhnlich viele Verbindungsanfragen von einer IP Diese IP für eine bestimmte Zeit komplett sperren
3. Grundsätzliches zu Firewalls Definition: Hard- und Softwarekomponenten, welche Netzte sicherheitsmäßig trennen
3.1 Aufgaben einer Firewall Sicherheitspolitik technisch umsetzen Kommunikationen protokollieren Kommunikationen kontrollieren Kommunikationen überwachen
3.2 Firewall Risiken Zu strikte Sicherheitspolitik Benutzer unzufrieden suchen eigenen Weg in Internet Zu großes Vertrauen in Firewall Interne Sicherheit wird vernachlässigt kein Schutz vor internen Angriffen
3.3 Firewall Paradigmen Es ist alles verboten was nicht ausdrücklich erlaubt ist Es ist alles erlaubt was nicht ausdrücklich verboten ist
3.4 Firewall Grundsätze Dedizierte Maschine Keine Benutzerkonten Minimales Beriebssystem
3.5 Firewall im OSI - Referenzmodell 7 Anwendungsschicht 6 Darstellungsschicht 5 Sitzungsschicht 4 Transportschicht 3 Vermittlungsschicht 2 Sicherungsschicht 1 Bitübertragungsschicht Applicationlevel Gateway Circuit Level Proxy Screnning Router NAT
4. Paketfilter
4.1 Worauf kann gefilter werden Quell- oder Ziel- IP – Adressen Quell- oder Ziel- Port – Nummern Protokollnummer
4.2 Stärken von Paketfiltern Kostengünstig Unterliegen nicht den US-Exportbeschränkungen
4.3 Schwächen von Paketfiltern Relativ langsam Portnummern können leicht verändert werden Sicherheitslücke bei X11 – Systemen
5. Proxies Auf Server läuft Stellvertreterprogramm Proxy sieht und kontrolliert ganze Beziehung nicht nur einzelnes Paket Original Pakete verschwinden Benutzer Authentifizierung möglich
5.1 Circuit Level Proxy Verzichtet auf die Kontrolle der Paketinhalte Authentifiziert Benutzer ohne Benutzerinteraktion
5.2 Application Level Proxy Authentifiziert Benutzer explizit Kann gesamte Kommunikation kontrollieren, da anwendungsspezifisch z.B. Datentransfer nur in einer Richtung Kontrolliert Paketinhalt
6. Firewall Architekturen
6.1 Dual Homed 6.1
6.2 Screened Host 6.1
6.3 Screened Subnet 6.1 DMZ
6.4 Dual Homed Screened Subnet 6.1 DMZ DMZ
6.5 Fake Host 6.1 DMZ DMZ