Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Beispiel-Netzwerk eines vernetzten IT-Systems:

Ähnliche Präsentationen


Präsentation zum Thema: "Beispiel-Netzwerk eines vernetzten IT-Systems:"—  Präsentation transkript:

1 Beispiel-Netzwerk eines vernetzten IT-Systems:
Web-Server 1 Web-Server 2 Internet File-Server Router LAN-Switch LAN-Switch PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Drucker Drucker Folie! Heutige Form eines Netzwerkes! Einsatz von Kopplungskomponenten! Thema des Unterrichts: Netzwerkstrukturen (Topografie/-logie) Verkabelung/Vernetzung Kopplungskomponenten TCP/IP Adressierung Subnetze Auftrag: Eine Firma die über einen Internet-Shop Produkte verkauft, möchte ihr internes Netz vor Bedrohungen aus dem Internet schützen. Es sollen keine Programme mit schädigender Wirkung aus dem Internet eingeschleust werden können und es darf keine unbefugten Zugriffe über das Internet auf das lokale Netzwerk geben.

2 Bedrohungen aus dem Internet:
Aus der Anbindung eines Rechners oder lokalen Netzes an das öffentliche Internet ergeben sich vielfältige Bedrohungen: Siehe oder Videos! Address Spoofing: Unter einer gefälschten Indendität wird eine Kommunikationsverbindung aufgebaut. Hierbei erzeugt der Angreifer IP-Pakete mit gefälschter IP-Absenderadresse. Denial-of-Service-Angriff: Ziel ist es, einen bestimmten Server „lahmzulegen“ und ihn so daran zu hindern, Antworten auf Anfragen zu erzeugen. Dies geschieht meist in der Form, dass die Ressourcen des Servers vollbelegt werden und so für weitere Anfragen keine Ressourcenmehr zur Verfügung stehen. Abhören fremder Zugangsdaten während des Netzverkehrs. Eine Schutzmaßnahme gegen diese Bedrohungen ist die Verwendung von Firewall-Systemen: Firewalls

3 Beispiel-Netzwerk eines vernetzten IT-Systems mit einer Firewall:
Web-Server 1 Web-Server 2 Internet NAT/PAT-Router File-Server LAN-Switch LAN-Switch Platzierung der Firewall! PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Eine Firewall ist ein System, das zwei Netzwerke koppelt und sicherstellt, dass jeglicher Verkehr zwischen den beiden Netzen ausschließlich durch die Firewall geleitet wird. Dabei wird die Weiterleitung von Paketen verhindert, die eine mögliche Bedrohung des internen Netzes bedeuten können. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Drucker Drucker

4 Aufgaben einer Firewall:
Schutz vor unbefugten Netzzugriffen Zugangskontrolle: Steuerung, welche Nutzer in welcher Form auf welche Netzressourcen zugreifen dürfen. Protokollierung der Netzwerkaktivitäten: Aufzeichnung des Netzwerkverkehrs, um hieraus Rückschlüsse auf erfolgte Angriffe ziehen zu können. Alarmierung bei sicherheitsrelevanten Ereignissen: Werden sicherheitsrelevante Aktionenvon hierzu nicht befugten Nutzern ausgeführt, so wird durch die Firewall ein Alarm ausgelöst. Verbergen der internen Netzstruktur: Angreifern werden mögliche Angriffspunkte des internen Netzes dadurch vorenthalten, dass die Firewall die interne Netzstruktur verbirgt. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Sicherstellung der Vertraulichkeit der Daten: Sicherstellen, das der interne Verkehr nicht abgehört werden kann.

5 Paketfilter-Firewall Layer 3 (und 4)
Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Paketfilter-Firewall Layer 3 (und 4) Proxy-Firewall Layer 4 Applikationsfilter-Firewall Layer 7 Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden.

6 Paketfilter-Firewall Layer 3 (und 4)
Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Paketfilter-Firewall Layer 3 (und 4) Paketfilter sind IP-Router mit der zusätzlichen Fähigkeit, ankommende Datenpakte entsprechend eines Regelwerks weiterzuleiten oder zu sperren. Die Filterung der Datenpakte nach Regeln wird vom Administrator eingerichtet und konfiguriert. Eine Regel kann das Passieren oder das Zurückweisen der Pakete durch die Firewall bewirken. Beispiele: Sperre alle Datenpakete mit der Quell-IP-Adresse: Leite alle Daten des PC an den PC weiter, verwerfe jedoch alle Pakete, die in umgekehrter Richtung die Firewall passieren möchten. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Sperre alle Datenpakete, die den Dienst FTP verwenden. Vorteile: - Hohe Geschwindigkeit - Kostengünstig (vielfach implementiert) Nachteile: - Kein umfassender Schutz - Nur einfache Protokollierungsmöglichkeit

7 Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Proxy-Firewall Layer 4 Unter einem Proxy versteht man eine Software, die bestimmte dienste stellvertretend für eine Rechner ausführt. Ein großes Problem besteht darin, dass einzelne PC des internen Netzes oftmals nicht ausreichend gegen Angriffe aus z.B. dem Internet geschützt sind. So können unbedarfte Nutzer Programme für den Aufbau von Internetverbindungen verwenden, die einen unbefugten Zugriff über das Internet auf diese PC zulassen. Der Proxy befindet sich zwischen den beiden Netzwerken und vermittelt z.B. zwischen einem Client und einem Server. Soll ein Zugriff auf das jeweilige andere Netz erfolgen, so kann das nicht direkt durch den Client oder Server erfolgen. Dies muss über den Proxy erfolgen. Dieser bietet hierfür einen entsprechenden Dienst (z.B. Web , Print, ....) an, den der Client und der Server verwenden müssen. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. So wird sichergestellt, das die eigentliche Netzverbindung nur über die sichere Software des Proxy-Server erfolgen kann.

8 Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Proxy-Firewall Layer 4 Neben der Funktion als Firewall dient ein Proxy-Server häufig auch der Zwischenspeicherung von Webseiten. Hierbei speichert der Proxy die oft angeforderten Webseiten zwischen.Dadurch ist es möglich Anfragen schneller zu beantworten und die Netzlast zu reduzieren. Bevor der Proxy die Daten aus dem internen Netz an das externe Netz weiterleitet, ersetzt er die IP-Absendeadressen jeweils durch seine eigene IP-Adresse (NAT). Werden nicht nur die IP-Adressen sondern auch die Portnummern ersetzt wird dies als Masquerading, PAT oder NAPT bezeichnet. Die Rechner des externen Netzes kommunizieren dann nur direkt mit dem Proxy und erlangen keine Kenntnis der internen Netzstruktur. Vorteile: - Für viele Dienste einsetzbar: Web, Mail, Print,... - Direkte Verbindungen zwischen Client und Server werden verhindert - Die interner Netzstruktur wird verborgen Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Nachteile: - Kein umfassender Schutz - Konfiguration der Clients erforderlich, sich für bestimmte Dienste an den Proxy zu wenden

9 Applikationsfilter-Firewall Layer 7
Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: Applikationsfilter-Firewall Layer 7 Applikationsfilter arbeiten auf der Anwendungsschicht des ISO/OSI-Referenzmodells und stellen im Prinzip eine Proxy-Firewall dar. Sie besitzen jedoch die Fähigkeit die einzelnen Datenpakete zu entpacken und bzgl. des Inhalts zu untersuchen. Es können mehrere Dienste gleichzeitig unterstützt werden wie z.B. HTTP, FTP, SMTP, Telnet,.... Ein Applikationsfilter für den FTP-Dienst kann so z.B. erkennen, welche FTP-Befehle übertragen werden und behandelt diese dann gemäß der festgelegten Sicherheitsstrategie unterschiedlich. So können z.B. Schreibzugriffe aus dem externen Netz auf den FTP-Server untersagt und nur Lesezugriffe erlaubt werden. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Vorteile: - Durchführen von Kontrollen in Abhängigkeit der versendeten Nachricht - Hohe Sicherheit Nachteile: - Langsamer als Paketfilter - Langsamer als einfache auf der Transportschicht arbeitende Proxy-Firewalls

10 Firewall-Architekturen
Um einen höheren Sicherheitsgrad zu erzielen werden oft kombinierte Firewalls mit Paketfiltern und Applikationsfiltern verwendet. Einige typische Kombinationsmöglichkeiten sind: Dual-Homed-Firewall: PC mit zwei Netzwerkschnittstellen und einer implementierten Applikationsfilter-Firewall. Hohe Sicherheit, da ein Datenpaket die Firewall nicht durchqueren kann, wenn kein Proxy für den Dienst zur Verfügung steht. Screened-Host-Firewall: Diese Kombination enthält eine Applikationsfilter-Firewall, die durch eine Paketfilter-Firewall geschützt wird. Die Applikationsfilter-Firewall hat nur einen Netzwerkanschluss und ist nur mit dem internen LAN verbunden. Die Paketfilter-Firewall (Screening Router) hat zwei Schnittstellen und trennt das interne LAN vom Internet. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Screened-Subnet-Firewall: Hier wird um eine höhere Sicherheit zu erreichen ein zusätzliches Netzsegment als Isolierung zwischen das interne und das externe Netz eingefügt. Diese Firewall wird auch als „Demilitarisierte Zone (DMZ)“ bezeichnet.

11 Demilitarisierte Zone (Pufferzone [zwischen Nord- und Südkorea])
DMZ = Demilitarisierte Zone Um einen höheren Sicherheitsgrad zu erzielen, wird bei der DMZ ein zusätzliches Netzsegment als Isolierung zwischen dem internen Netz und dem externen Netz eingefügt (Screened-Subnet-Firewall). Zur Realisierung der DMZ ist dem Applikationsfilter je ein Screening Router (Paketfilter) vor- und nachgeschaltet. Neben dem Applikationsfilter können innerhalb der DMZ noch Server enthalten sein, die „Kontakt“ mit dem Internet haben, wie z.B. ein Web-, Mail- oder FTP-Server. Durch die Einbettung der Server in die isolierte Zone (DMZ) wird erreicht, dass Angreifer, die es geschafft haben, einen dieser Server zu knacken und unter ihre Kontrolle zubringen, trotzdem keinen Zugriff auf das interne Netz haben, da sie zunächst einen weiteren Paketfilter überwinden müssen. Eine Firewall bietet keinen Schutz vor Angreifern, die sich innerhalb des Netzes befinden. Zur Nutzung vertrauenswürdiger Dienste kann der Applikationsfilter gezielt umgangen werden, so dass Datenpakete direkt an die Server in der DMZ zugestellt werden können (Sicherheitsrisiko!). Auf Grund der DMZ ist es aber nicht möglich, dass Datenpakete direkt zwischen dem internen und dem externen Netz ausgetauscht werden.

12 Beispiel-Netzwerk eines vernetzten IT-Systems mit DMZ:
Web-Server 1 Web-Server 2 z.B. Checkpoint- Firewall oder ein PC mit einer Firewall-Software und zwei Netzwerkkarten! Internet NAT/PAT-Router File-Server DMZ-Switch LAN-Switch Unterschiedliche Firewalls (Paketfilter) erhöhen die Sicherheit! Der Paketfilter leitet den Datenverkehr an den Applikationsfilter weiter! Applikationsfilter PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Drucker Drucker Ressourcentrennung im Firmen-Netz durch Schaffung unabhängiger Zonen auf Netzebene! Hinweis: Da das Firmennetz vom Internet aus nicht erreichbar ist muss für Außendienstmitarbeiter ein Zugang mittels eines VPN eingerichtet werden.

13 Beispiel für eine DMZ mit nur einem PC und z.B. der Software IPCop:
Web-Server 1 Web-Server 2 Internet File-Server DSL Paketfilter DMZ Paketfilter LAN-Switch Eine echte DMZ einzurichten ist aufwändig und teuer! Es ist möglich die Paketfilter und die DMZ (sowie das VPN-Gateway) auch nur auf einem Rechner einzurichten (-> Achtung: geringerer Schutz!) PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Drucker Drucker Zur Umsetzung dieser kostengünstigen Variante eignet sich z.B. die auf einer Linux-Umgebung aufgesetzten Open-Source-Software IPCop. Diese wurde speziell für den Einsatz als Router und Firewall konzipiert

14 Beispiel für eine DMZ mit nur einem PV und z.B. der Software IPCop:
DMZ mit einem IPCop-PC: Mindestvoraussetzung/Gegebenheiten für den IPCop-PC: - Pentium-1-Prozessor mit 90 MHz - 32 MByte Arbeitsspeicher MByte Festplatte - ca. 50 Clients Weiterhin erforderlich für den PC: -> 3 Netzwerkkarten: - 1. Netzwerkkarte: Internet - 2. Netzwerkkarte: Demilitarisierte Zone - 3. Netzwerkkarte: LAN Regeln zur Umsetzung der Firewall mit IPCop: - Definition von Regeln für die Paketfilter (und ggf. Von Schlupflöchern) - ggf. Einrichtung des VPN-Zugangs für z.B. Außendienstmitarbeiter - Realisierung einer möglichst automatischen Erkennung von Angriffen

15 Beispiele für eine „schlechte“ DMZ mit z.B. einem DSL-Router:
Web-Server 1 Web-Server 2 Internet NAT/PAT-Router File-Server DSL LAN-Switch LAN-Switch Eine echte DMZ einzurichten ist aufwändig! DMZ-PC PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Soho-Router bieten deshalb eine Sparversion an, indem ein PC eingerichtet wird, an den aller Internet-Traffic ungefiltert weitergeleitet wird. Drucker Drucker Gelingt es einem Hacker diesen PC zu übernehmen steht ihm das gesamte interne Netz offen!


Herunterladen ppt "Beispiel-Netzwerk eines vernetzten IT-Systems:"

Ähnliche Präsentationen


Google-Anzeigen