Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann
Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen
Chance und Risiko - Zwei Seiten einer Medaille
Idee eines Firewall-Systems Chancen nutzen Risiken minimieren
Sicherheitsziele eines Firewall-Systems Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten
Bedrohungen - Firewall-Systeme
Vereinfachtes logisches Kommunikationsmodell
Bedrohungen (1/4) -> Angriffe durch Dritte Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)
Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung
Bedrohung (3/4) -> Vorbereitung eines Angriffs Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe
Bedrohungen (4/4) -> Angriffe auf das Firewall-System Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems
Firewall-Elemente
Definition eines Firewall-Elements
Firewall-Elemente Packet Filter Application Gateway
Allgemeine Arbeitsweise eines Packet Filters
Analysemöglichkeit eines IP-Frames
Analysemöglichkeit eines TCP-Frames
Bewertung: Packet Filter Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen
Analysemodule für Proxies auf dem Application Gateway
SMTP Proxy -> Analogie zum Sammelbriefkasten
FTP Proxy
HTTP Proxy
Bewertung: Application Gateway Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent
Möglichkeiten und Grenzen von Firewall-Systemen
Das Kommunikationsmodell mit integriertem Firewall-System Anwender: Konfiguration Hersteller: Implementierung Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Vertrauenswürdigkeit Authentikation Hersteller: Tiefe der Analyse Anwender: Sicherheitspolitik
Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos Einschränkung der erlaubten Protokolle Protokolle, die nicht erlaubt sind zeitliche Einschrängung Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP Einschränkung der erlaubten Rechnersysteme
Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit
Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2) Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene
Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2) Security versus connectivity <-> Risiko versus Chance
Umfassende Firewall-Systeme
Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann
Zentrales Firewall-System Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen
Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen
Zentraler Virenscanner -> Analogie zur zentralen Poststelle Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung
Intrusion Detection -> Analogie zur Videoüberwachung Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung
Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen: Firewall-Funktionalitäten Advanced Sandboxing
Die Wirkung von umfassenden von Firewall-Systemen
Definition der verwendeten Symbole
Umfassendes Firewallsystem 1/3
Umfassendes Firewallsystem 2/3
Umfassendes Firewallsystem 3/3 Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.
Weiterentwicklung von umfassenden Firewall-Systemen Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen Intrusion Detection Systems
Vielen Dank für Ihre Aufmerksamkeit Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ? norbert.pohlmann@gmx.de