Firewalls Holger Stengel Vortrag am 1999-12-20. Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.

Präsentation zum Thema: "Firewalls Holger Stengel Vortrag am 1999-12-20. Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen."—  Präsentation transkript:

1 Firewalls Holger Stengel Vortrag am 1999-12-20

2 Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen

3 Definition System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter- schiedlichen Sicherheitsansprüchen Analogien: Brandschutzmauer, Pförtner Vollständige Kontrolle durch Konzept des Common Point of Trust Ziel: Angriffe sollen sich nicht lohnen

4 Grundlage: TCP/IP-Modell Anwendungsebene (HTTP, SMTP, FTP) –Anw. & Prozesse die auf das Netz zugreifen Transportebene (TCP, UDP) –Stellt end-to-end Datendienste zur Verfügung Netzwerkebene (IP, ICMP, RIP, OSPF) –Definiert Aufbau von Datagrammen, Routing Netzzugangsebene (Ethernet, ATM) –Routinen für Zugriff auf physikalische Netze

5 Angriffe Ziele –Ausnutzung fremder Ressourcen –Zugriff auf fremde Daten Motive –Vandalismus –Spieltrieb / Langeweile –Finanzielle Interessen

6 Möglichkeiten eines Angreifers –Analyse des Netzes (ping, finger, portscan) –Password-Snooping / IP-Maskerade –Ausnutzung von Softwarefehlern –Hopping (Telnet) –IP-Adressen-Spoofing –ICMP-Angriffe (z.B. redirect, source quench) –Strict Source Routing

7 Elemente Aktive Komponenten (Filter) –Packet Filter –Application Gateway Security Management Designanforderungen –Minimale Software auf aktiven Komponenten –Sichere Einbindung ins Kommunikationssystem –Getrenntes Security Management

8 Packet Filter Analyse und Kontrolle der unteren Schichten Interpretiert & vergleicht Inhalt der Pakete mit dem Regelwerk –Richtung des Verbindungsaufbaus –Quell- / Zieladressen, Protokolle, Ports –Optionen, Kommandos –Zeitraum Transparent, da adressorientiert

9 Application Gateway Einziger erreichbarer Rechner (Bastion) Nach Identifikation & Authentikation transparent Dual-Homed Gateway (2 Netzschnittstellen) Paketübermittlung durch Proxy ( indirekt) Für jeden Dienst ein Proxy (Stellvertreter) User kommuniziert scheinbar mit Zielsystem Sehr tiefe Analyse, da Proxies spezialisiert

10 Security Management Verkörpert Sicherheitspolitik der Organisation in Form eines Regelwerkes Separat realisiert (Rechner / Wechselplatte) Positive Filterregeln (Fail Safety) Regeln nur durch berechtigte Personen veränderbar (evtl. 4 Augen Prinzip) Garantiert Widerspruchsfreiheit der Regeln

11 Konzepte Aktive Elemente auch einzeln als eigen- ständige Firewall einsetzbar Durch Kombination von verschiedenen Elementen und Herstellern höhere Sicher- heitsleistung (Diversity of Defense) Begriffsklärung: Screened Subnet –Realisiert durch 2 serielle Packet Filter –Entkoppeltes, isoliertes Teilnetz (DMZ)

12 High-level Security Firewall Dual-homed Application Gateway in Screened Subnet Durch enge Verknüpfung der Elemente kann Firewall nicht umgangen werden Redundantes und sehr mächtiges System Kosten: –Produkt: ca. 90.000-600.000 DM –Lfd. Kosten: 150.000 DM p.a. (1000 Nutzer)

13 Grenzen Unlogische / falsch umgesetzte Sicherheitspolitik Anwendungsdatenorientierte Angriffe (z.B. Java) Geringer Einfluß auf interne Angriffe Abweichungen vom Konzept des Common Point of Trust (Backdoors) Trittbrettfahrer bei unverschlüsseltem Zugriff Um eine hohe Gesamtsicherheit zu erreichen, sind neben einem Firewallsystem auch personelle und organisatorische Maßnahmen notwendig.

14 Quellenangaben Bücher: –Norbert Pohlmann, Firewall-Systeme, Bonn, MITP- Verlag, 1998 –Chapman / Zwicky, Building Internet Firewalls, USA, O´Reilly & Associates, 1995 WWW: –Ranum / Curtin, Internet Firewall FAQ, 1998 http://www.clark.net/pub/mjr/pubs/fwfaq/index.html –Grennan, Firewall & Proxy Server HOWTO, 1999 http://okcforum.org/~markg/Secure_Linux/Firewall-HOWTO.html