Möglichkeiten und Grenzen von Firewall-Systemen

Slides:



Advertisements
Ähnliche Präsentationen
Powerpoint-Präsentation
Advertisements

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Thema: Sicherheitsarchitektur für mobiles Arbeiten
Firewalls.
CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.
Trimino zum Kopf- oder halbschriftlichen Rechnen
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.
Schwachstellenanalyse in Netzen
Computerkriminalität, Datenschutz, Datensicherheit
Scratch Der Einstieg in das Programmieren. Scatch: Entwicklungsumgebung Prof. Dr. Haftendorn, Leuphana Universität Lüneburg,
Daniel Kanis und Daniel Schüßler
© 2006 W. Oberschelp, G. Vossen Rechneraufbau & Rechnerstrukturen, Folie 2.1.
Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.
1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
PKJ 2005/1 Stefan Dissmann Rückblick auf 2005 Was zuletzt in 2005 vorgestellt wurde: Klassen mit Attributen, Methoden und Konstruktoren Referenzen auf.
PKJ 2005/1 Stefan Dissmann Zusammenfassung Bisher im Kurs erarbeitete Konzepte(1): Umgang mit einfachen Datentypen Umgang mit Feldern Umgang mit Referenzen.
Betreuerin: Kathleen Jerchel
Sicherheit in Rechnernetzen- Denial of Service- Attacken
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Differentieller Stromverstärker
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Virtual Private Networks
Firewalls Firewalls von Hendrik Lennarz.
Firewalls Holger Stengel Vortrag am Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.
Einführung in die Technik des Internets
Angriffsmethoden Firewalls VPN
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Rechneraufbau & Rechnerstrukturen, Folie 12.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 12.
Distanzbasierte Sprachkommunikation für Peer-to-Peer-Spiele
2 Distanzbasierte Sprachkommunikation für Peer-to-Peer-Spiele.
Internet-Protokolle Tanja Witze.
Bild 1.1 Copyright © Alfred Mertins | Signaltheorie, 2. Auflage Vieweg+Teubner PLUS Zusatzmaterialien Vieweg+Teubner Verlag | Wiesbaden.
20:00.
SK / , , in Hochkössen und der Wildschönau flow Ski- und Snowboardschule Intersport Menzel.
1 Übersicht Absicherung Internet Layer Absicherung Transport Layer Absicherung Application Layer.
Warum ist Sicherheit überhaupt ein Thema?
Auslegung eines Vorschubantriebes
NEU! 1 2. Wo kommt diese Art von Rezeptor im Körper vor?
Sichern und Retten bei Arbeiten in Höhen und Tiefen
Analyse von Ablaufdiagrammen
SSB – Folie 1 © Schweizerischer Samariterbund Gery Meier.
PROCAM Score Alter (Jahre)
Symmetrische Blockchiffren DES – der Data Encryption Standard
Managemententscheidungsunterstützungssysteme (Ausgewählte Methoden und Fallstudien) ( Die Thesen zur Vorlesung 3) Thema der Vorlesung Lösung der linearen.
PARTENARIAT ÉDUCATIF GRUNDTVIG PARTENARIAT ÉDUCATIF GRUNDTVIG REPERES KULTURELLER ZUSAMMENHALT UND AUSDEHNUNG DER IDEEN AUF EUROPÄISCHEM.
1 (C)2006, Hermann Knoll, HTW Chur, FHO Quadratische Reste Definitionen: Quadratischer Rest Quadratwurzel Anwendungen.
Analyseprodukte numerischer Modelle
+21 Konjunkturerwartung Europa Dezember 2013 Indikator > +20 Indikator 0 bis +20 Indikator 0 bis -20 Indikator < -20 Europäische Union gesamt: +14 Indikator.
Pigmentierte Läsionen der Haut
Evaluation des Zweiten Betreuungsrechtsänderungsgesetzes (2. BtÄndG)
Schutzvermerk nach DIN 34 beachten 20/05/14 Seite 1 Grundlagen XSoft Lösung :Logische Grundschaltung IEC-Grundlagen und logische Verknüpfungen.
Vortrag von Rechtsanwältin Verena Nedden, Fachanwältin für Steuerrecht zur Veranstaltung Wege zum bedingungslosen Grundeinkommen der Piratenpartei Rhein-Hessen.
Ertragsteuern, 5. Auflage Christiana Djanani, Gernot Brähler, Christian Lösel, Andreas Krenzin © UVK Verlagsgesellschaft mbH, Konstanz und München 2012.
Virtual Private Network
SiLeBAT Sicherstellung der Futter- und Lebensmittelwarenkette bei bio- und agro-terroristischen (BAT)-Schadenslagen.
Bildergalerie PRESEASON CAMP Juni 2014 Romanshorn Get ready for the Season!
VPN – Virtual Private Network
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.
Datum:17. Dezember 2014 Thema:IFRS Update zum Jahresende – die Neuerungen im Überblick Referent:Eberhard Grötzner, EMA ® Anlass:12. Arbeitskreis Internationale.
Kompetenztraining Jura Martin Zwickel / Eva Julia Lohse / Matthias Schmid ISBN: © 2014 Walter de Gruyter GmbH, Berlin/Boston Abbildungsübersicht.
Exploiting Web Applications
Das IT - Informationssystem
1 Medienpädagogischer Forschungsverbund Südwest KIM-Studie 2014 Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Monatsbericht Ausgleichsenergiemarkt Gas – Oktober
Monatsbericht Ausgleichsenergiemarkt Gas – November
Workshop Sicherheit Von Christian Hövels Klasse: ITA U1 Fach: Betriebs- und Netzwerke Abgabetermin:
Netzwerksicherheit Netzwerkgrundlagen.
 Präsentation transkript:

Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann

Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen

Chance und Risiko - Zwei Seiten einer Medaille

Idee eines Firewall-Systems Chancen nutzen Risiken minimieren

Sicherheitsziele eines Firewall-Systems Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten

Bedrohungen - Firewall-Systeme

Vereinfachtes logisches Kommunikationsmodell

Bedrohungen (1/4) -> Angriffe durch Dritte Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)

Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung

Bedrohung (3/4) -> Vorbereitung eines Angriffs Weitere Angriffsarten Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe

Bedrohungen (4/4) -> Angriffe auf das Firewall-System Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems

Firewall-Elemente

Definition eines Firewall-Elements

Firewall-Elemente  Packet Filter  Application Gateway

Allgemeine Arbeitsweise eines Packet Filters

Analysemöglichkeit eines IP-Frames

Analysemöglichkeit eines TCP-Frames

Bewertung: Packet Filter Möglichkeiten transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...) hohe Performance Grenzen keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen

Analysemodule für Proxies auf dem Application Gateway

SMTP Proxy -> Analogie zum Sammelbriefkasten

FTP Proxy

HTTP Proxy

Bewertung: Application Gateway Möglichkeiten Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent

Möglichkeiten und Grenzen von Firewall-Systemen

Das Kommunikationsmodell mit integriertem Firewall-System Anwender: Konfiguration Hersteller: Implementierung Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste Vertrauenswürdigkeit Authentikation Hersteller: Tiefe der Analyse Anwender: Sicherheitspolitik

Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos Einschränkung der erlaubten Protokolle Protokolle, die nicht erlaubt sind zeitliche Einschrängung Kommunikations- Profile spezielle Anwendungen, wie z.B. SMTP Einschränkung der erlaubten Rechnersysteme

Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept Kosten Umsetzung der Sicherheitspolitik Sicherheitsinfrastruktur Sicherheit durch Abschottung Überprüfbarkeit

Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2) Hintertüren (Back Door) Interne Angriffe Angriffe auf Datenebene

Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2) Security versus connectivity <-> Risiko versus Chance

Umfassende Firewall-Systeme

Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann

Zentrales Firewall-System Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen

Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen

Zentraler Virenscanner -> Analogie zur zentralen Poststelle Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung

Intrusion Detection -> Analogie zur Videoüberwachung Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung

Personal Firewall Ziel: Schaden verhindern Sicherheitsmechanismen: Firewall-Funktionalitäten Advanced Sandboxing

Die Wirkung von umfassenden von Firewall-Systemen

Definition der verwendeten Symbole

Umfassendes Firewallsystem 1/3

Umfassendes Firewallsystem 2/3

Umfassendes Firewallsystem 3/3 Bei diesem Angriff haben die nichttechnischen Sicherheits- mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.

Weiterentwicklung von umfassenden Firewall-Systemen Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen Intrusion Detection Systems

Vielen Dank für Ihre Aufmerksamkeit Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ? norbert.pohlmann@gmx.de

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.