Internet-Firewalls Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska.

Slides:



Advertisements
Ähnliche Präsentationen
Sichere Anbindung kleiner Netze ans Internet
Advertisements

3. Internet Protocol (IP)
Tolle Protokolle Frankfurt/Main Presentation by Dipl.-Ing. Ralf Steffler Netcool Certified Consultant
Internet Protokolle und Formate 1.1 HTTP 1.2 HTML 1.3 SGML 2. XML 3. WAP Matthias Thränhardt Sebastian Weber.
Vortragsreihe von Michael Dirska Hasso-Plattner-Institut Potsdam
Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel
Anforderungen an globales und privates IP-Networking Berlin - 27
Netze Vorlesung 11 Peter B. Ladkin
Link Layer. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
3. Internet Protocol (IP)
Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol unzuverlässiges Transportprotokoll.
Virtual Private Networks
Einführung in die Technik des Internets
Internet DVG1 - Internet.
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
CCNA Exploration Network Fundamentals
CCNA2 – Module 11 Access Control Lists
Internet Protocol [IP] Adressen und Adressklassen
Protokolle Protokolle sind definierte Regeln (Software) zum geordneten Ablauf einer Verbindung zweier oder mehrerer Knoten (Server- und Client-Rechner)
Internet-Protokolle Tanja Witze.
IP Adresse / DNS / URL Bernd Liebenwein.
3 Wie funktioniert TCP/IP?
Mit Schülern ein internetfähiges Netzwerk aufbauen
Peer-to-Peer-Netzwerke
Discovery & Inventory. 2 2 Inhalt Discovery Sinn und Zweck des Network Scanners Einrichten des Network Scanners Prerequisites (Ports, Protokolle) LiveScan.
Ethernet Thomas Stich & Patrick Stern. Übersicht Geschichte Geschichte Netzwerk Elemente Netzwerk Elemente Topologien Topologien Beziehungen zum ISO/OSI.
Freifach Netzwerktechnik mit Übungen
TCP/IP Networking Basics
The free XML Editor for Windows COOKTOP Semistrukturierte Daten 1 Vortrag Semistrukturierte Daten 1 COOKTOP The free XML-Editor for Windows
Referat von Markus Hertel
Grundlagen der Netzwerktechnik
FINS Kommunikation.
FINS Kommunikation.
Netzwerke.
© 2001 Matthias Bossardt 1 Routing. © 2001 Matthias Bossardt 2 Dienstmodell Findet den günstigsten Pfad um ein Datenpaket vom Sender zum Empfänger zu.
Unterschiedliche Netzwerke
Stand: Version: LANCOM Systems GmbH Stand: Version:
Ciiema CITEM - Dr. Siegl VU Dr. Manfred Siegl ENTWURF, ERRICHTUNG, BETRIEB VON DATENNETZEN VU Dr. Manfred Siegl
Meldungen über Ethernet mit FINS/UDP
Funktionsweise der 4. Schicht im OSI-Modell am Beispiel TCP und UDP.
IP: :80 IP: IP: IP: :20 :21 ftp-Server Router Franz Kohnle Internet IP: : Ziel - IPQuell -
Launch ON Global.vi System ID object name classname Services to suscribe Observer Control Ref vi-path Service name Step 1 : Objects register to the Global.vi´s,
IT Security Cross Protocol Scripting & NAT Pinning Emanuel Klein.
1 Albert-Ludwigs-Universität Freiburg Rechnernetze und Telematik Prof. Dr. Christian Schindelhauer Systeme II Christian Schindelhauer Sommersemester 2006.
1 Albert-Ludwigs-Universität Freiburg Rechnernetze und Telematik Prof. Dr. Christian Schindelhauer Systeme II Christian Schindelhauer Sommersemester 2006.
CAS ICT Modul Netzwerk Christoph Röthenmund
IPv6-Basisregelwerk mit ip6tables
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
Intrusion Detection Systems Funktionsweise, Probleme und Lösungsversuche.
Willkommen zum Brückensemester
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom ISO/OSI Referenzmodell.
AINF / 3. Jahrgang Netzwerke Protokolle
IPv4 Miller Patrice, Romagnolo Alessio, Topuz Scheba, Schykes Stefan.
Ein Referat von Rahul Chanana, Sebastian Callian und Steffen Klikar.
TCP/IP.
Schutzvermerk nach DIN 34 beachten TCP / IP. Schutzvermerk nach DIN 34 beachten TCP / IP und das OSI-Referenzmodell Process / Application Host-to-Host.
Network Address Translation (NAT)
Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte.
LINUX II Harald Wegscheider
IP version 6 The next Generation Konrad Rosenbaum, 2009.
Datenkommunikation Prof. Dr. Marke SS 2006 Seminar-Thema : IPTABLE Aufbau und Funktion Vortrag : Kulyk Nazar.
Center for Biotechnology Bielefeld Bioinformatics Service Netzwerk - Programmierung Netzwerke Alexander Sczyrba Jan Krüger.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Manuel Blechschmidt & Volker Grabsch CdE Sommerakademie 2006 Kirchheim
Netzwerke Netzwerkgrundlagen.
Ich brauche eine Web-Seite vom Server im Internet
PC2 PC1 Router IP: MAC: AA:AA:AA:11:11:11
TCP/IP Transmission Control Protocol/Internet Protocol
 Präsentation transkript:

Internet-Firewalls Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska

Sicherheit im Internet? Verbindung zum Netzwerk keine Sicherheit

Sicherheit im Internet? keine Verbindung zum Netzwerk Sicherheit

Sicherheit im Internet? gefilterte Verbindung etwas Sicherheit

Eine Firewall ist... security policy ein System von Geräten, das den Zugang zum Internet regelt ein System, das die eigenen Sicherheitsrichtlinien (security policy) in die Realität umsetzt Firewall security policy eigene Geräte mit wichtigen Daten Nur eine gute security policy kann die eigenen Daten schützen.

Position einer Firewall eine Firewall muss an der Stelle stehen, wo Datenpakete das lokale Netz verlassen Beispiel: Wenn der Laptop-Rechner Daten an einen Computer schicken will, der nicht im Netz 192.168.1.0/24 liegt, müssen die Pakete von einem IP-Router weitergeleitet werden Router sind ideale Standorte für Firewalls Firewall IP-Router 192.168.1.3 192.168.1.2 internes Netz: 192.168.1.0/24

Innenleben Firewall Paket-Filter Demilitarized Zone (DMZ) Proxy- Server Web- Server Viren- Checker internes Netz

Paket-Filter IP-Pakete können anhand von Merkmalen wie Absender- und Empfänger-Adresse oder Diensten (Port-Nummern) gefiltert werden IP-Pakete lassen sich auch aufgrund ihrer Zugehörigkeit zu einer IP-Verbindung filtern (stateful inspection – Erfindung des Firewall-Marktführers Checkpoint http://www.checkpoint.com/products/firewall-1/index.html ) „Filtern“ lässt sich mit drei unterschiedliche Aktionen beschreiben: ACCEPT – das Paket wird weitergeleitet DROP – das Paket wird weggeworfen REJECT – das Paket wird nicht weitergeleitet, statt- dessen wird eine Fehlermeldung an den Absender zurückgeschickt

Ethernet-Pakete 60 – 1514 Bytes Header FCS 2 Bytes Absender Empfänger Typ 6 Bytes + 6 Bytes + 2 Bytes = 14 Bytes Beispiel: 00:10:B5:5E:D9:A6 jede Netzwerkkarte hat eine eindeutige Nummer die Pakete sind zusätzlich mit einer Prüfsumme versehen (Frame Check Sequence, FCS) kaputte Pakete werden nicht repariert sondern ignoriert

Ethernet-Paket-Typen http://www.iana.org/assignments/ethernet-numbers Ethernet Exp. Ethernet Description References ------------- ------------- ----------- ---------- decimal Hex decimal octal 0000 0000-05DC - - IEEE802.3 Length Field [XEROX] 0257 0101-01FF - - Experimental [XEROX] 0512 0200 512 1000 XEROX PUP (see 0A00) [8,XEROX] 0513 0201 - - PUP Addr Trans (see 0A01)[XEROX] 0400 Nixdorf [XEROX] 1536 0600 1536 3000 XEROX NS IDP [133,XEROX] 0660 DLOG [XEROX] 0661 DLOG [XEROX] 2048 0800 513 1001 Internet IP (IPv4) [IANA] 2049 0801 - - X.75 Internet [XEROX] 2050 0802 - - NBS Internet [XEROX] 2051 0803 - - ECMA Internet [XEROX] 2052 0804 - - Chaosnet [XEROX] 2053 0805 - - X.25 Level 3 [XEROX] 2054 0806 - - ARP [IANA] 2055 0807 - - XNS Compatability [XEROX] 2056 0808 - - Frame Relay ARP [RFC1701] 2076 081C - - Symbolics Private [DCP1] 2184 0888-088A - - Xyplex [XEROX] 2304 0900 - - Ungermann-Bass net debugr[XEROX] 2560 0A00 - - Xerox IEEE802.3 PUP [XEROX] 2561 0A01 - - PUP Addr Trans [XEROX] 2989 0BAD - - Banyan VINES [XEROX] ... Ethernet Exp. Ethernet Description References ------------- ------------- ----------- ---------- decimal Hex decimal octal 0000 0000-05DC - - IEEE802.3 Length Field [XEROX] 0257 0101-01FF - - Experimental [XEROX] 0512 0200 512 1000 XEROX PUP (see 0A00) [8,XEROX] 0513 0201 - - PUP Addr Trans (see 0A01)[XEROX] 0400 Nixdorf [XEROX] 1536 0600 1536 3000 XEROX NS IDP [133,XEROX] 0660 DLOG [XEROX] 0661 DLOG [XEROX] 2048 0800 513 1001 Internet IP (IPv4) [IANA] 2049 0801 - - X.75 Internet [XEROX] 2050 0802 - - NBS Internet [XEROX] 2051 0803 - - ECMA Internet [XEROX] 2052 0804 - - Chaosnet [XEROX] 2053 0805 - - X.25 Level 3 [XEROX] 2054 0806 - - ARP [IANA] 2055 0807 - - XNS Compatability [XEROX] 2056 0808 - - Frame Relay ARP [RFC1701] 2076 081C - - Symbolics Private [DCP1] 2184 0888-088A - - Xyplex [XEROX] 2304 0900 - - Ungermann-Bass net debugr[XEROX] 2560 0A00 - - Xerox IEEE802.3 PUP [XEROX] 2561 0A01 - - PUP Addr Trans [XEROX] 2989 0BAD - - Banyan VINES [XEROX] ... 0800 Internet IP (IPv4) 0806 ARP ARP (Address Resolution Protocol) schafft die Verbindung zwischen Ethernet-Adressen und IP-Adressen ARP wird vom Betriebssystem automatisch gemacht

IP-Pakete max. 1500 Bytes Header ftp://ftp.isi.edu/in-notes/rfc791.txt 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | | Identification |Flags| Fragment Offset | | Time to Live | Protocol | Header Checksum | | Source Address | | Destination Address | | Options | Padding | 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | | Identification |Flags| Fragment Offset | | Time to Live | Protocol | Header Checksum | | Source Address | | Destination Address | | Options | Padding | 20 Bytes

IP-Protokoll-Typen http://www.isi.edu/in-notes/iana/assignments/protocol-numbers Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [Ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [IANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [SGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [BN7] 15 XNET Cross Net Debugger [IEN158,JFH2] 16 CHAOS Chaos [NC3] 17 UDP User Datagram [RFC768,JBP] 18 MUX Multiplexing [IEN90,JBP] 19 DCN-MEAS DCN Measurement Subsystems [DLM1] ... Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [Ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [IANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [SGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [BN7] 15 XNET Cross Net Debugger [IEN158,JFH2] 16 CHAOS Chaos [NC3] 17 UDP User Datagram [RFC768,JBP] 18 MUX Multiplexing [IEN90,JBP] 19 DCN-MEAS DCN Measurement Subsystems [DLM1] ... 1 ICMP Internet Control Message [RFC792] 6 TCP Transmission Control [RFC793] 17 UDP User Datagram [RFC768,JBP]

ICMP, TCP und UDP ICMP wird für die Übermittlung von Fehlermeldungen benötigt. Folgende Fehlersituationen führen u.a. zu ICMP-Meldungen: Der Empfänger des Pakets kann nicht erreicht werden (destination unreachable). Der Lebensdauer-Zähler des IP-Paketes ist abgelaufen (time exceeded) Ein Paket war zu groß für einen Übertragungskanal auf dem Weg zum Empfänger und müsste in mehrere Stücke aufgeteilt werden (fragmentation needed) UDP wird für Broadcast-Anwendungen oder kurze Frage-Antwort- Sequenzen benutzt. Die Übertragung der Pakete ist nicht gesichert. Verlorene Pakete muss die Anwendung selbst rekonstruieren. TCP ermöglicht die gesicherte Übertragung von Byte-Strömen. Verlorene Pakete werden automatisch nochmal geschickt. UDP und TCP beinhalten Port-Nummern (16-Bit). Damit lassen sich verschiedene unabhängige Kommunikationskanäle auf einem Rechner realisieren (nur die IP-Nummer reicht dafür nicht).

TCP-Verbindung ftp://ftp.isi.edu/in-notes/rfc793.txt Rechner A Rechner B CLOSED LISTEN SYN-SENT SYN SYN-RECEIVED SYN, ACK ESTABLISHED ACK ESTABLISHED ACK, Daten ACK

TCP-Verbindungsabbau ftp://ftp.isi.edu/in-notes/rfc793.txt Rechner A Rechner B ESTABLISHED ESTABLISHED FIN-WAIT-1 FIN, ACK CLOSE-WAIT ACK FIN-WAIT-2 LAST-ACK FIN, ACK TIME-WAIT ACK CLOSED TIME-WAIT

DIY-Firewall mit iptables http://netfilter.samba.org iptables ist in der neuen Linux-Version 2.4 enthalten modularer Aufbau, dadurch erweiterbar stateful inspection durch ip_conntrack-Modul einfache Konfiguration von NAT (Network Address Translation) in diesem Beispiel gibt es keine DMZ und deswegen „nur“ ein Paket-Filter Beispiel-Aufbau: Firewall Router mit zwei Ethernet- Interfaces eth1 eth0 192.168.1.2 192.168.1.1 131.173.12.3

iptables-Filter-Struktur FORWARD eth0 eth1 routing decision eth0 eth1 + OUTPUT lokale Prozesse INPUT Chain: Liste von Regeln (ACCEPT, DROP usw.)

Chains FWD_INCOMING FORWARD für mich?: ACCEPT Paket von eth0?: FWD_INCOMING Bedingung B: DROP Paket von eth1?: FWD_OUTGOING default: DROP

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.