Daniel Kanis und Daniel Schüßler Referat zum Thema: Der Einsatz einer „Firewall“ in einem Firmennetzwerk von: Daniel Kanis und Daniel Schüßler am 17.11.2004
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Gliederung: Teil I - Theorie Begriffe, Gründe, Aufgaben/Ziele, Datenverkehr, Funktion, Aufbau, Einsatzorte, Unterteilung, Elemente, Kosten-Nutzen-Analyse Personal Firewalls, Fazit von: Teil II – Praxis Installation und Verwaltung einer Personal Firewall Literaturverzeichnis
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Definition: Ein Firewall-System sichert und kontrolliert den Übergang von einem zu schützenden Netz zu einem (unsicheren) öffentlichen Netz. Quelle: Firewall-Systeme, Seite 43 zu schützendes Netz unsicheres, öffentliches Netz Firewall-System Teil I - Begriff
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Gefahren: a) Eindringen von Außen b) illegaler Informationsfluss nach Außen Beispiele im Privatbereich ... manipuliertes Onlinebanking zur Erlangung von PIN‘s und Kreditkartennummern persönliche Informationen / Daten Beispiele im Geschäftsbereich ... Spionage von Forschungs – oder Kundendaten Installation von Hintertüren (Backdoors) „Denial of Service Attacken“ Teil I - Gründe
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Zugangskontrolle auf Netzwerk-, Benutzer-, und Datenebene Rechteverwaltung (welche Protokolle/Dienste und Zeiten) Kontrolle auf Anwendungsebene Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Teil I – Aufgaben/Ziele
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Datenaustausch zwischen Computern mittels Protokollen wichtigsten Transportprotokolle im Inter- bzw. Intranet sind TCP/IP TCP/IP zerlegen die Daten in einzelne kleine Pakete, welche beim Empfänger wieder zusammengesetzt werden Aufbau der Verbindung erfolgt über Ports Definition bestimmter Portnummern, die standardmäßig für best. Dienste zur Verfügung stehen = well-known-ports Dienst Portnummer ftp – Dateiübertragung auf Server 20 smtp – Emai Abholung 25 www / http – Internetseiten 80 pop3 – Email Versendung 110 z.B.: Teil I – Datenverkehr
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Internet Protocol IP stellt Verbindung zwischen zwei Endpunkten oder Rechnersystemen her Transmission Control Protocol TCP Header eines TCP-Datenpaketes Quelle: Firewall-Systeme, Seite 70 bestimmt den Aufbau und Transportweg von Datenpaketen Header eines IP-Datenpaketes Quelle: Firewall-Systeme, Seite 63 Teil I - Datenverkehr
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall * Sicherheitskonzept für den Datenverkehr * hieraus werden Regeln abgeleitet und definiert (wer darf was zu welcher Zeit) Grundprinzip: was nicht erlaubt ist, wird nicht zugelassen * Firewall prüft die Datenpakete auf diese Regeln, vor dem Zusammensetzen der einzelnen Datenpakete regelkonform Datenpakete dürfen passieren Regelverstoß Datenpakete dürfen nicht passieren vergleichbar mit Pförtnerfunktion Teil I - Funktion
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Achtung: Prüfung von ein- und ausgehenden Daten !!! Benutzer xy darf nur Dienstag ins Netz Port 80 nur Freitag 20-22 Uhr zulässig Server fhtw-berlin.de zulässig Schützt die Firewall selbst vor Angriffen Aufbau eines aktiven Firewall-Elementes Quelle: Firewall-Systeme, Seite 116 Teil I - Aufbau
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall an der Verbindung zwischen Intranet (geschäftlich) und dem Internet ( = Gateway) die Verbindung mit dem Internet sollte nur über einen Rechner laufen, auf welchem dann die Firewall installiert wird innerhalb eines Netzwerkes um bestimmte kritische Bereiche (z.B. F&E) separat abzusichern und / oder Teil I – Einsatzorte
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Unterscheidungsmerkmale Materialität Einsatzbereich Eingriff Unternehmens-Firewall Aktive Firewall-Elemente Hardeware-Firewall Passiv bzw. Element Security Management Softeware-Firewall Personal-Firewall Teil I - Unterteilung
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Die vier Grundelemente eines aktiven Firewall-Systems – gruppiert nach Prüfungstiefe Packet Filter prüft nur die Adressen des Datenpaketes Application Gateway/Proxies Adressen + angegebene Inhalt+ Öffnung und Prüfung des kompletten Inhaltes, keine direkte Weiterleitung des Paketes Quelle: Firewall-Systeme, Seite 120 Quelle: Firewall-Systeme, Seite 144 zustandsorientierte Packet Filter (stateful inspection) prüft Adressen und den angegebenen Inhalt Adaptive Proxies wie Application Gateway, jedoch bei Kenntnis des Absenders direkte Weiterleitung des Paketes Quelle: Firewall-Systeme, Seite 180 Quelle: Firewall-Systeme, Seite 142 Teil I - Elemente
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Die vier Grundelemente eines Firewall-Systems - Verhältnis Geschwindigkeit zu Sicherheit Magische Firewall Dreieck Geschwindigkeit Sicherheit Benutzbarkeit schnell Packet Filters Stateful Inspections Geschwindigkeit Adaptive Proxies Applications Proxies langsam gering hoch Sicherheit Teil I - Elemente
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Kosten für: Beschaffung, Installation, Pflege Beispiel: Bank – 1000 Mitarbeiter – 25 Mio EUR Gewinn Firewall * AK : 250 TEUR (= 1 % des Gewinns) * Betriebskosten: 80 TEUR p.a. +++ Investition in Firewall schien sich für den zuständigen BWL‘er nicht zu rechnen +++ Angriff über das Internet +++ Namen und Kontostände der besten Kunden werden kopiert +++ am nächsten Tag in der BILD veröffentlicht +++ Teil I – Kosten Nutzen Analyse
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Folgen des Hackerangriffs: Kunden ziehen Ihre Gelder ab Gewinn bricht sofort auf 12,5 Mio EUR (- 50 %) ein mittelfristiger erheblicher Gewinnrückgang 1 % des Gewinns für eine gute Firewall hätte der Bank einen Schaden erspart, der sich auf das 50fache der Investition für die Firewall beläuft. Quelle: Firewall-Systeme, Seite 393 Teil I – Kosten Nutzen Analyse
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall keine zentrale Installation und Konfiguration mehr Installation auf jedem Rechner Faustformel: bis 10 EDV-Arbeitsplätze Kosten und Pflegeaufwand niedrig, wenig Funktionen Benutzer kann um Entscheidung für Verbindung gebeten werden (Port 80: http, Office-Programme, troj. Pferde) Absicherung auf Applikationsebene (Content-Security) meist schon eingebunden Systeme zur Überwachung und Alarmierung bei verdächtigen Aktivitäten auf dem Rechner selbst (Intrusion-Detection-Systeme) Teil I – Personal Firewalls
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Firewall filtert ein- und ausgehende Datenpakete nach bestimmten, festzusetzenden Regeln Firewall ist kein Virenschutz Firewall kann aufgrund der Aufzeichnung der Filtervorgänge z.B. auch dazu benutzt werden, die Internetnutzung der Mitarbeiter zu überwachen Personal Firewall nur bis max. 10 Rechner (oft kostenlos) prof. Firewall zwar teuer, aber kann vielfachen Schaden ersparen Jeder Privatrechner mit Internetzugang braucht eine Personal Firewall !!! Jedes Firmennetzwerk / Intranet mit oder ohne Internetzugang braucht eine Firewall !!! Teil I – Fazit
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Daniel Kanis und Daniel Schüßler Firewall Teil II – Die Praxis Installation und Verwaltung einer Personal Firewall am Beispiel der kostenlosen Firewall: ZoneAlarm http://www.zonelabs.de von: Teil II
Nerven- & Kostenfalle
einfache Version
1. Schritt der Einführung zur Handhabung von ZoneAlarm
„Internet“ immer als unsicher ansehen, und daher immer als Einstellung (Regel) für alle Programme & Verbindungen die mit dem Internet Kommunizieren. „Sicher“ wird für alle internen Netzwerkelemente als „Zone“ definiert.
Not – Schalter
Warnmeldung erscheint so bald Aktualisierung auf „ Manuell “ gestellt wird
Der „ Stealth-Modus “ ermöglicht es, das der Häcker keine Antwort auf sein „ an Pingen “ erhält, und weiß so mit nicht einmal das ein Computer mit dieser IP-Adresse im Netz ist.
Direkt anklicken und zwischen „Internet“ & „Sicher“ entscheiden. „Internet“ sollte für alle unsicheren Leitungen und Verbindungen gewählt werden die irgend wann mit dem Internet kommunizieren oder in fremde Netzwerke eingebunden werden. „Sicher“ kann dann gewählt werden wenn das Netzwerk mit dem die Schnittstelle verbunden werden soll vertrauenswürdig ist.
„Zugriff“ bedeutet das dass Programm von außen Daten empfangen kann und anderen Personen / Programme der Zugriff auf den Computer über diese Programme möglich ist.
„Server“ bedeutet das diese Programme in das Internet senden, wie www-Seiten aufrufe oder upload‘s. Aber auch ungewollte Daten können übermittelt werden, wie Spams oder MS-Fehler-Nachrichten.
Es kann immer nur ein Anti-Virus-Programm aktiv sein.
Diese Meldung entsteht sobald ein neues oder ein auf Fragezeichen gesetztes Programm versucht mit dem Internet zu kommunizieren. Dann muss der User die Entscheidung treffen ob dieses Programm die generelle Erlaubnis bzw. Verweigerung oder eine einmalige Erlaubnis bzw. Verweigerung erhält.
User die glauben Sie brauchen keine Firewall, es ging doch bisher auch immer ohne! 10 versuche diesen Computer „an zu Pingen“ innerhalb 30 Sekunden
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall 1. Dr. Pohlmann, Norbert (2003): Firewall-Systeme, 5. Auflage, mitp-Verlag / Bonn 2003 - 39,95 EUR a campo, Markus (2002): Mehr Sicherheit mit Firewalls, 1. Auflage, verlag moderne industrie Buch AG & Co. KG, Bonn 2002 – 9,95 EUR Wetter, Jörg u.a.(2002): Firewalls für Dummies, 1. Auflage, mitp-Verlag / Bonn 2003 – 24,95 EUR Literaturverzeichnis
Daniel Kanis und Daniel Schüßler Kanis,D. Schüßler, D. Firewall Vielen Dank ! Wir hoffen, das wir euch ein Grundverständnis der Arbeitsweise von Firewalls vermitteln konnten und das Ihr euch eine Firewall umgehend installiert, wenn Ihr noch keine habt.