1 / 27

Firewall und Tunneling

Firewall und Tunneling. Inhalt. Grundlagen Firewall-Systeme Netzwerk-Firewall Host-Firewall (Personal Firewall) Komponenten einer Firewall Paketfilter (Content-Filter) Proxy DMZ. Inhalt. Tunnelklassen PPP VPN HTTP DNS, SMTP TCP/IP Gegenmaßnahmen Empfehlungen.

alvin-wyatt
Download Presentation

Firewall und Tunneling

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Firewall und Tunneling (c) Christian Watzke

  2. Inhalt • Grundlagen • Firewall-Systeme • Netzwerk-Firewall • Host-Firewall (Personal Firewall) • Komponenten einer Firewall • Paketfilter (Content-Filter) • Proxy • DMZ (c) Christian Watzke

  3. Inhalt • Tunnelklassen • PPP • VPN • HTTP • DNS, SMTP • TCP/IP • Gegenmaßnahmen • Empfehlungen (c) Christian Watzke

  4. Grundlagen • Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen • kontrollieren den Datenverkehr zwischen den Teilbereichen • verhindern ungewünschten Verkehr • Häufiger Einsatz zwischen LANs und WANs Unterbinden von Datenverkehr von extern zum geschützten Bereich und umgekehrt (c) Christian Watzke

  5. Grundlagen • Hardware • für Senden und Empfange der Datenpakete zuständig • kein sicherndes Element • häufige Netzelemente: Router, Gateways • Software • regelt den Datenverkehr (wer darf, wer nicht?) • läuft oft auf spezieller Hardware (c) Christian Watzke

  6. Netzwerk-Firewall • Gerät mit mehreren Netzwerkschnittstellen • darauf laufende Software dient hauptsächlich als Firewall • In der Regel wird zwischen drei Netzwerkzonen unterschieden • das externe Netz (WAN), nicht vertrauenswürdig => Untrusted • demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server • interne Netz (LAN), vertrauenswürdig => Trustet (c) Christian Watzke

  7. Host-Firewall • Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird ( PC mit Windows oder Linux ) • „Personal Firewalls“ werden als Software-Firewall bezeichnet • Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells (c) Christian Watzke

  8. Personal Firewall • lokale Installation auf dem zu schützenden Rechner • Regelt nur Verkehr vom und zum Rechner • Keine Überwachung zwischen verschiedenen Netzen • Einfache Konfiguration • Application Control • Stealth-Modus • Eher geringe Schutzwirkung Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2) (c) Christian Watzke

  9. Paketfilter • Vergleich von Quell –und/oder Zieladresse der Pakete • nimmt Filterungen das erstellten Regeln vor • Ebene der Ports • FTP – Port 21 sperren • Ebene der IP-Adressen • Paket von 87.92.100.100 nicht druchlassen Sichere Kommunikation über VPN – Virtual Private Network (c) Christian Watzke

  10. Paketfilter • NAT – Network Address Translation • PAT – Port Address Translation • Umsetzung von privaten IP – Adressen auf eine öffentliche • z.B. DSL – Anschluss mit dynamischer IP • Netzwerk nach Außen nicht sichtbar Produkte: iptables (Linux 2.4 + 2.6) (c) Christian Watzke

  11. Paketfilter BASIC NAT (c) Christian Watzke

  12. Paketfilter HIDING NAT bzw. Masquerading (c) Christian Watzke

  13. Paketfilter • Kritik • Keine saubere Einhaltung der Netzwerkschichten • Netzwerkprotokolle der Schicht 4 funktionieren oft nur wenn sie explizit vom Paketfilter unterstützt werden • Erschwert die Entwicklung neuer Protokolle • besonders betroffen (FTP, VoIP) • deshalb auch zügige Einführung von IPv6, da NAT aufgrund des ausreichend großen Adressraums unnötig wird (c) Christian Watzke

  14. Content-Filter – Stateful Inspection • Filter höherer Ebenen (nicht Meta Daten) • Aufgaben • Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten • Filtern/Kennzeichnen von Spam-Mails • Informationen herausfiltern (vertrauliche Bilanzen) • betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite) • Pakete werden zusammengesetzt • Überprüfung • Pakete werden wieder in ursprünglichen Datenstrom zerlegt (c) Christian Watzke

  15. Proxy • ist mehrfach in Firewall-Systemen einsetzbar • für Clients und Server weitgehend unbemerkbar • nimmt Protokollvalidierung und Anpassung vor • Sperrung bestimmter Protokolltransaktionen • Zugriffssteuerung • Protokollierung der Zugriffe • Unterstützt • FTP, DNS, HTTP, SMTP, POP3 (c) Christian Watzke

  16. DMZ • Demilitarized Zone • Zone zwischen geschützten Netz und Internet • Wird von zwei Firewallsystemen abgeschirmt • Internetdienste wie z.B. E-Mail oder WWW werden durch die erste Firewall durchgelassen • Die zweite Firewall besitzt engere Vorschriften (c) Christian Watzke

  17. DMZ (c) Christian Watzke

  18. Tunnelklassen • einfachste Verbindung PPP „Point to Point Protocol“ (c) Christian Watzke

  19. Tunnelklassen • VPN – Virtual Private Network • Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567 • diese Verbindungen laufen durch den VPN-Tunnel • anderer Datenverkehr geht über gewohnte Verbindungen • einfache Skripte, IProute2, IPtables (c) Christian Watzke

  20. Tunnelklassen • HTTP – Tunnel GET http://hier.darf/was/rein.html HTTP/1.1 Host: auch.der.Rechnername.eignet.sich X-Data: Im Datenfeld ist es sehr einfach (c) Christian Watzke

  21. Tunnelklassen • DNS und SMTP • nicht effektiv, da nur kleine Datenmengen übertragen werden können • kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist • auffällig wenn DNS – Traffic extrem zunimmt • weniger auffällig ist SMTP (Bilder, Dokumente) • SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet (c) Christian Watzke

  22. Tunnelklassen • Untere Schichten (TCP/IP) Sequenznummernfeld wird als Datenfeld verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte. (c) Christian Watzke

  23. Tunnelklassen • Untere Schichten (TCP/IP) Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen. (c) Christian Watzke

  24. Gegenmaßnahmen • Tunnel sind nur schwer aufzuspüren • Verschlüsselung durch SSL • Die Charakteristik des Verkehrs analysieren (c) Christian Watzke

  25. Gegenmaßnahmen • Client sendet mehr Daten • Dauer der Verbindung • Verbindung zu ein und demselben Host • Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen (c) Christian Watzke

  26. Empfehlungen • nicht benötigte Ports sperren • Firewall mit Statefull-Filter verwenden • lange Timeouts vermeiden • <CONNECT> Befehl deaktivieren (HTTP) • HTTP/HTTPS – Proxy mit Authentifizierung und Logging • Standardkonformität der Protokolle überwachen • Virenschutz • Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen (c) Christian Watzke

  27. Quellen • http://de.wikipedia.org • http://www.heise.de • http://www.linux-magazin.de (c) Christian Watzke

More Related