Angriffsmethoden Firewalls VPN Sicherheit in Netzen Angriffsmethoden Firewalls VPN Erstellt von: Holger Viehoefer © 1999
Gliederung des Vortrages 1. Bedrohungen aus dem Netz 2. Angriffsmethoden 3. Warum Firewalls ? 4. Welche Firewall-Elemente gibt es ? 5. Moderne Firewallarchitekturen 6. Virtual Private Networks & Firewalls 7. Zukunft der Sicherheitstechnologie
Bedrohungen aus dem Netz
Bedrohungen aus dem Netz Merkmale des Internets Einfacher, kostengünstiger Zugang Einheitlicher Standard ( TCP / IP ) Weltweites Netz, shared infrastructure Steigende Akzeptanz (Über 145 Mio Nutzer 8/98) Günstig für internationale Geschäftsbeziehung Absatzmarkt ( ECommerce )
Bedrohungen aus dem Netz Gefahren aus dem Internet High-Tech-Spione stehlen fremdes Know-how, persönliche Daten oder Strategiepläne und verkaufen sie lukrativ an andere oder verursachen Schaden. Cracker brechen in das lokale Netz von Firmen ein und fälschen Daten oder schleusen falsche Informationen ein. Cracker können die Rechnersysteme einer Organisation lahmlegen und so wirtschaftlichen Schaden in Millionenhöhe verursachen.
Increasingly Sophisticated Tools Reduce Need for Hacking Expertise Bedrohungen aus dem Netz Increasingly Sophisticated Tools Reduce Need for Hacking Expertise packet forging / spoofing sniffer / sweepers Hacking Tools exploiting known vulnerabilities back doors Technical Complexity Relative GUI stealth diagnostics self-replicating code hijacking sessions disabling audits Average Intruder password cracking password guessing 1980 1985 1990 1995 Congress, 1996
1 4 2 3 Bedrohungen aus dem Netz Vorgehensweise beim Angriff Informationen sammeln 4 2 Rechte aneignen Schwachstellen identifizieren Angriff durchführen 3
Angriffsmethoden
Ein Angreifer versucht Zugriff zu bekommen, um: Angriffsmethoden Idee eines Angriffes Ein Angreifer versucht Zugriff zu bekommen, um: an bestimmte Informationen zu kommen, die nicht für Ihn bestimmt sind, Aktion auszulösen, die er nicht auslösen darf, oder Ressourcen zu nutzen, die er nicht nutzen darf.
Dies tut ein Angreifer: um mit den Informationen Geld zu verdienen, Angriffsmethoden Idee eines Angriffes Dies tut ein Angreifer: um mit den Informationen Geld zu verdienen, um dem Opfer zu schaden, aus reiner Spielleidenschaft
Benutzerinformationen Topologie aktive Dienste Schwachstellenanalyse Angriffsmethoden Analyse des Netzes durch Scanner Benutzerinformationen Topologie aktive Dienste Schwachstellenanalyse
Eindringen in das System Fälschen der Identität Datenklau Angriffsmethoden Password-Snooping und IP-Spoofing Passwortklau, danach Eindringen in das System Fälschen der Identität Datenklau
Angriffsmethoden Nutzung falscher Informationen Möglichkeit zum Ausnutzen der Schwachstellen, die in der Analyse gefunden worden sind. Zugriff auf Filesysteme ( NFS ) und andere Systemdienste ( POP3 ) DOS-Attacken ( Denial Of Service ) korrupte Java-Applets, Javascripts, Active X Viren durch downloads ( auch MS-Word Makroviren ) Verkehrflußanalyse
Warum Firewalls ?
Warum Firewalls ? Analogie zur Firewall Brandschutzmauer Man kann ein elektronisches Firewall-System wie eine Brandschutzmauer betrachten, die dafür zuständig ist, einen bestimmten Bereich abzuschotten, damit Schäden, die auf der einen Seite der Mauer auftreten, nicht auf die andere Übergreifen. Pförtner Ein Pförtner hat wie eine Firewall die Aufgabe zu bestimmen, wer rein und raus darf. Andere Personen müssen sich bei Ihm identifizieren.
Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Zugangskontrolle auf Netzwerkebene Es wird überprüft, welche Rechnersysteme über den Firewall miteinander kommunizieren dürfen. Zugangskontrolle auf Benutzerebene Das Firewall-System überprüft, welche Benutzer eine Kommunikation zur Firewall durchführen dürfen. Dazu wird die Echtheit (Authentizität) des Benutzer festgestellt. Rechteverwaltung Hier wird festgelegt, mit welchem Protokollen und Diensten und zu welchen Zeiten über die Firewall Kommunikation stattfinden darf.
Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Kontrolle auf der Anwendungesebene Überprüfung auf korrupte Dateiinhalte oder Virensignaturen Entkopplung von Diensten Implementierungsfehler, Schwachstellen und Konzeptionsfehler der Dienste sollen keine Angriffsmöglichkeiten bieten. Beweissicherung und Protokollauswertung Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert. ( Beweissicherung, Sicherheitsverletzungen )
Warum Firewalls ? Allgemeine Ziele von Firewall-Systemen Alarmierung Besonders sicherheitsrelevante Ereignisse gehen an das Security-Management. Verbergen der internen Netzstruktur Die interne Netzstruktur soll verborgen bleiben, es soll nicht sichtbar sein, ob 10 , 100, 1.000 oder 10.000 Rechner im geschützen Netz vorhanden sind. Vertraulichkeit von FW-Nachrichten Verschlüsselung der Nachrichten an das SM und den Administrator
Welche Firewall-Elemente gibt es ?
Welche Firewall-Elemente gibt es ? Klassifizierung von Firewall-Elementen
Welche Firewall-Elemente gibt es ? Architektur von Firewall-Elementen
Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Packet Filtern Ein Packet-Filter prüft: Es wird überprüft, von welcher Seite das Packet empfangen wird. Auf der Netzzugangsebene werden die Quell- und Ziel-Adresse und der verwendete Protokolltyp kontrolliert. Auf der Transportebene werden die Portnummern überprüft. Zeitliche Regelungen können implementiert werden.
Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Packet Filtern
Welche Firewall-Elemente gibt es ? Beispiel eines Verbindungsaufbaus
Welche Firewall-Elemente gibt es ? Beispiel eines Verbindungsaufbaus
Welche Firewall-Elemente gibt es ? Spezielle Packet Filter
Welche Firewall-Elemente gibt es ? Regeln für Packet Filter Grundsätzlich : Es muß genau festgelegt werden, was erlaubt sein soll. Alles was nicht explizit erlaubt wird, ist automatisch verboten. Das Firewall-Element erlaubt nur das, was explizit in den Access-Listen als >>erlaubt<< gekennzeichnet ist.
Welche Firewall-Elemente gibt es ? Vorteile von Packet Filtern Transparent & unsichtbar für die Benutzer ( Ausnahme Authentikation ist notwendig ) einfach und erweiterungsfähig für andere Protokolle flexibel für neue Dienste hohe Performance durch optimale Mechanismen ( Eigenes Betriebssystem, abgestimmte Hardware ) geringe Komplexität, dadurch leicht realisierbar geringe Kosten ( im Vergleich Application-Gateway )
Welche Firewall-Elemente gibt es ? Nachteile von Packet Filtern Daten oberhalb der Transportebene werden nicht analysiert. Keine direkte Sicherheit bei Anwendungen Packet-Filter können die Struktur des Netzes nicht verbergen. ( aus Punkt 1 ) Keine Protokolldaten oberhalb der Transportschicht
Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Application-Gateways
Welche Firewall-Elemente gibt es ? Allgemeine Arbeitsweise von Application-Gateways
Welche Firewall-Elemente gibt es ? Beispiel eines Proxy-Dienstes : TELNET
Welche Firewall-Elemente gibt es ? Vorteile von Application-Gateways Sicheres Designkonzept, da kleine, gut überprüfbare Module (Proxies) Alle Pakete müssen über das Application-Gateway übertragen werden, somit höhere Sicherheit. Echte Entkopplung der Dienste Verbindungsdaten, Applikationsdaten & Anwenderdaten können protokolliert werden Verbergen der Internen Netzstruktur Sicherheitsfunktionen für Anwendungen ( Kommando-, Datei-, Datenfilter )
Welche Firewall-Elemente gibt es ? Nachteile von Application-Gateways geringe Flexibilität ( Jeder Dienst ein Proxy ) hohe Kosten kompliziertere Administration und Konfiguration
Residual Risk Welche Firewall-Elemente gibt es ? Kosten ? X Threat, Vulnerability, Value is directly proportional to is inversely proportional to Control, Countermeasure Residual Risk Cost $0 100% 0% Cost of Controls Exploitation X Spend about this much. Today. $Lots
Welche Firewall-Elemente gibt es ? Security verstehen: Administration and Testing Network Re-engineering Process Re-engineering Fielding a trustworthy capability requires the implementation of a complete program. Education and Awareness Security Management Security Policy
Welche Firewall-Elemente gibt es ? Auf dem laufenden bleiben: Unprotected Networks time IT advancement defensive technologies vulnerability gap Security Policy Development Preinstallation Site Survey Site Security Survey Enterprise Assurance Risk Assessment Threat & Vulnerability
NETWORK REENGINEERING Welche Firewall-Elemente gibt es ? Investieren, Updaten: time IT advancement defensive technologies process improvement M A N A G E M E N T B U Y - I N SECURITY POLICY NETWORK REENGINEERING PROCESS REENGINEERING L A Y E R E D S E C U R I T Y I N D E PT H EDUCATION & AWARENESS ADMIN. & TEST NETWORK MGMT. P R O C E S S D R I V E N I N V O L V E A L L Threat & Vulnerability Security Policy Development Site Security Survey Enterprise Assurance Risk Assessment
Moderne Firewallarchitekturen
Moderne Firewallarchitekturen Ausschließlicher Einsatz eines Packet-Filters
Moderne Firewallarchitekturen Ausschließlicher Einsatz eines Application-Gateways
Moderne Firewallarchitekturen Packet Filter und dual-homed Application-Gateway
High-level Security Firewall-System Moderne Firewallarchitekturen High-level Security Firewall-System Zwei Packet-Filter & dual-homed Application-Gateway De-Militarised Zone Höchstes Maß an Sicherheit !
Moderne Firewallarchitekturen Einsatz für Internet-Server
Moderne Firewallarchitekturen Einsatz für Mail-Server Zusätzliche Virenscanner ( optional )
Moderne Firewallarchitekturen Empfehlungen:
VPN & Firewalls
VPN & Firewalls Grundsätzliches : Vorteile: VPNs erhöhen die Sicherheit durch Verschlüsselung auf verschiedenen Ebenen. Dadurch werden einige Angriffsmöglichkeiten abgeschwächt. ( Man-In-The-Middle -Attack ) Nachteile: Es muß spezielle Hard- oder ( und ) Software eingesetzt werden. Geschwindigkeitsverluste bei der Datenübertragung
VPN & Firewalls Aufbau mit Hardware :
VPN & Firewalls Möglichkeiten :
VPN & Firewalls Besser mit Firewall !
Zukunftstechnologien
Zukunftstechnologien Interne Sicherheit ? JA !
Zukunftstechnologien Aussichten: Verbesserung der Sicherheitsmechanismen in IPv6 Zusammenwachsen von Packet-Filter & Application-Gateways, die auch redundante, leistugnsstärkere Systeme bilden ( Clustering ). Zusammenwachsen von Netzwerkmanagement mit Sicherheitsmanagement. Geplant: Sicherheit in Netzen als Studiengang ( Klagenfurt,Bochum, Bonn, München und Darmstadt )
Quellenangabe : Firewall-Systeme / DATACOM / Norbert Pohlmann Einrichten von Firewalls / O´Reilly / Chapman, Zwicky Intranet Security / SUN / Linda Mc Carthy Firewalls / dPunkt / Strobel SAFER NET / dPunkt / Schmeh Sicherheitskonzepte für das Internet / dPunkt / Raepple IPnG / DATACOM / Stainov Gateway, Information-Week, Internet
The End