340 likes | 706 Views
Firewalls. Saskia Schild, Manuel Grbac & Nerma Taletovic. Inhaltsverzeichnis. Was ist eine Firewall? Aufgaben einer Firewall Was eine Firewall nicht kann Fernzugriff Sichtbarkeit für Anwender Regelwerk Firewall-Arten Personal Firewall Externe Firewall Filtertechnologien
E N D
Firewalls Saskia Schild, Manuel Grbac & Nerma Taletovic
Inhaltsverzeichnis • Was ist eine Firewall? • Aufgaben einer Firewall • Was eine Firewall nicht kann • Fernzugriff • Sichtbarkeit für Anwender • Regelwerk • Firewall-Arten • Personal Firewall • Externe Firewall • Filtertechnologien • Netfilter/IPtables • Sicherheit und Kostenfrage
Was ist eine Firewall? • engl. Brandschutzmauer • dient dazu, nur bestimmte Anwendungen Zugriff zu gewähren • Trennt sozusagen den privaten vom öffentlichen Bereich
Aufgaben einer Firewall Paketfilter und -analyse Protokoll- und Inhaltsblockierung Benutzer-, Verbindungs- und Sitzungsauthentifizierung und Verschlüsselung ...
Was eine Firewall nicht kann Fremde Verbindungen schützen: Eine Firewall schützt nur Verbindungen, die über sie laufen Angriffe erkennen:Eine Firewall soll grundsätzlich die Regeln für die Netzwerkkommunikation umsetzen und so den Datenverkehr von innen nach außen unterstützen.
Fernzugriff Zugriff auf den Netzwerkdienst (Unsichere Netzwerkdienste, ...) Rückschluss vom Netzwerkdienst auf den Client Netzwerkimplementierung des Betriebssystems (fehlerhafte Treiber, falsche Implementierung, ...)
Sichtbarkeit für Anwender Es gibt 4 Erscheinungsformen einer externen Firewall: SichtbarFirewall stellt sich sichtbar zwischen das Quell- und Zielsystem einer Seite gegenüber transparenteinseitig direkte Verbindung beiden Seiten gegenüber transparentbeidseitig durchgehende Verbindung UnsichtbarUnterschied zu beidseitiger Transparenz: Systeme können sich gegenseitig nicht erkennen
Regelwerk Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt. Eine Regel setzt sich aus folgenden Komponenten zusammen: Absender IP-Adresse Ziel IP-Adresse Netzwerkprotokoll Port Nummer Aktion: DROP: ein Paket wird verworfen REJECT/DENY: es wird aktiv abgelehnt ACCEPT/ALLOW/PASS: es wird angenommen Loggen
Firewall-ArtenPersonal Firewalls Ist eine Software, die auf dem Rechner des Endnutzers installiert ist Sie ist keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert, sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz Sie wird auf Einzelcomputern eingesetzt Überwacht auch welche Programme versuchen ausgehende Netzwerk- oder Internet-Kommunikationen zu starten
Firewall-ArtenPersonal Firewalls Funktionsweise Der Paketfilter filtert und blockiert Datenpakete nach den Regeln des Regelwerk Über die Adressierungsinformation die ein Datenpaket enthält wird es zum Ziel weitergeleitet Der Anwendungsfilter kann einzelne Programme von der Netzkommunikation ausschließen Mit Hilfe des grafischen Frontends kann der Benutzer die Filter selbst konfigurieren
Firewall-ArtenPersonal Firewalls Ein Lernmodus einer Firewall ermöglicht es, das durch die Interaktion mit dem Benutzer die Filterkriterien festgelegt werden. Web Shields oder Web Application Firewalls filtern ActiveX und JavaScript Inhalte Firewalls können auch über ein Einbrucherkennungs- und -Abwehrsystem verfügen (auch Intrusion Detection System - IDS genannt) Sandboxing kann ein Programm daran hindern, auf Systemressourcen zuzugreifen – dadurch können Schäden am System verhindert werden. Dynamische Paketfilterung
Vorteile einer Personal Firewall Kennen lernen des paketorientierten Datenverkehrs im Internet Softwarelösungen sind günstiger als Hardwarelösungen Der Schutz einer Softwarelösung ist oft aktueller als der einer Hardwarevariante schneller und komfortabler Schutz ausgehender Verkehr wird auch kontrolliert
Nachteile einer Personal Firewall Installation einer weiteren komplizierten Software Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen verbrauchen Systemressourcen Manipulationsgefahr Lernphase nötig Höhere Komplexität → mehr Angriffsfläche Je komplexer eine Firewall ist, desto größer ist die Wahrscheinlichkeit, dass Softwarefehler auftreten
Grenzen einer Personal Firewall Antivirensoftware und Viren-und Spywarescanner sind unerlässlich Regelmäßige Datensicherung Akutalisierung der Software Sichere Konfiguration von Webbrowser,.. Vorsichtiger Umgang mit dem Internet
Firewall-Arten Externe Firewalls Allgemein kontrolliert die Verbindung zweier Netze Läuft auf einem eigenständigen System Durch die physische Trennung der Firewall und der zu schützenden PCs ist eine Manipulation nicht einfach durchzuführen
Typen einer Externen Firewall Man unterscheidet folgende Arten: Bridging-Firewall Routing-Firewall Proxy-Firewall
Topologie Dual-homed Firewall Hub Firewall Workstation Internet
Topologie Two-legged Network Hub oder Switch Hub oder Switch Firewall Public Webserver Public Mailserver Workstation Internet DMZ Zone
Topologie Three-legged Network Hub oder Switch Hub oder Switch Workstation Firewall Public Webserver Public Mailserver Internet DMZ Zone
Vorteile einer Externen Firewall Konfiguration nur einmal notwendig Trennung von internem und öffentlichem Netz Optimiert für Arbeitsabläufe und entlastet PC Schützt auch andere Geräte im internen Netz Betriebssystemunabhängiger Schutz Möglichkeit des Kaufs eines Zusatzpaketes Black- und Whitelist
Nachteile einer Externen Firewall Wehrt nur Angriffe von außen ab kostenspielig Kein „Rundum-Schutz“
Grenzen einer Externen Firewall Workflow evtl. gestört durch oftmaliges „nachfragen“ beim Benutzer Verwendung von Proxies eine gute Alternative, aber kein garantierter Schutz
Filtertechnologien Paketfilter Stateful Inspection Proxyfilter Contentfilter
Netfilter Netfilter: stellt Werkzeuge für Linux-Firewall zur Verfügung Gruppen von Firewall-Regeln = Tabellen Tabelle enthält verschiedene Ketten/Chains Beispiel: filter table mit ihren drei Standardchains: INPUT Linux-Netfilter Firewall OUTPUT FORWARD
IPTables Chains sind Listen von Regeln IPTables dient dem Anlegen und Löschen von Regeln/Chains Regel = mehrere Bedingungen und eine Aktion/Target Syntax einer Regel: iptables name_of_table name_of_chain -p protokoll -s source -p destination -j jump_target Beispiele: Alle Pakete die der von IP-Adresse 127.0.0.1 kommen, verwerfen: iptables -A INPUT -s 127.0.0.1 -j DROP Alle TCP Pakete von der IP-Adresse 1.2.3.4 an benutzerdefinierte Chain test leiten: iptables -A INPUT -p TCP -s 1.2.3.4 -j test
Sicherheit und Kostenfrage Kostenspielig (zw. 50€ und 150.000€) Monatliche Wartungskosten Oftmals nur von großen Betrieben genutzt Personal Firewall + Antivirenprogramm statt externe Firewall
Quellen Building Internet Firewalls, Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman, Second Edition, June 2000 http://www.nm.ifi.lmu.de/~sicherheitsbuch/Paketfilter.pdf wikipedia.org http://subs.emis.de/LNI/Proceedings/Proceedings17/GI-Proceedings.17-9.pdf firewall.cx/networking-topics/firewalls/209-firewall-topologies.html linuxreport.org/content/view/26/23/ centos.org/docs/4/4.5/System_Administration_Guide/iptables-command-syntax.html help.ubuntu.com/community/IptablesHowTo