140 likes | 227 Views
Firewalls. Holger Stengel Vortrag am 1999-12-20. Gliederung. Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen. Definition. System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter-schiedlichen Sicherheitsansprüchen
E N D
Firewalls Holger Stengel Vortrag am 1999-12-20
Gliederung • Definition: Firewall • Grundlage: TCP/IP-Modell • Angriffe • Elemente und Konzepte • Grenzen
Definition • System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter-schiedlichen Sicherheitsansprüchen • Analogien: Brandschutzmauer, Pförtner • Vollständige Kontrolle durch Konzept des Common Point of Trust • Ziel: Angriffe sollen sich nicht lohnen
Grundlage: TCP/IP-Modell • Anwendungsebene (HTTP, SMTP, FTP) • Anw. & Prozesse die auf das Netz zugreifen • Transportebene (TCP, UDP) • Stellt end-to-end Datendienste zur Verfügung • Netzwerkebene (IP, ICMP, RIP, OSPF) • Definiert Aufbau von Datagrammen, Routing • Netzzugangsebene (Ethernet, ATM) • Routinen für Zugriff auf physikalische Netze
Angriffe • Ziele • Ausnutzung fremder Ressourcen • Zugriff auf fremde Daten • Motive • Vandalismus • Spieltrieb / Langeweile • Finanzielle Interessen
Möglichkeiten eines Angreifers • Analyse des Netzes (ping, finger, portscan) • Password-Snooping / IP-Maskerade • Ausnutzung von Softwarefehlern • Hopping (Telnet) • IP-Adressen-Spoofing • ICMP-Angriffe (z.B. redirect, source quench) • Strict Source Routing
Elemente • Aktive Komponenten (Filter) • Packet Filter • Application Gateway • Security Management • Designanforderungen • Minimale Software auf aktiven Komponenten • Sichere Einbindung ins Kommunikationssystem • Getrenntes Security Management
Packet Filter • Analyse und Kontrolle der unteren Schichten • Interpretiert & vergleicht Inhalt der Pakete mit dem Regelwerk • Richtung des Verbindungsaufbaus • Quell- / Zieladressen, Protokolle, Ports • Optionen, Kommandos • Zeitraum • Transparent, da adressorientiert
Application Gateway • Einziger erreichbarer Rechner (Bastion) • Nach Identifikation & Authentikation transparent • Dual-Homed Gateway (2 Netzschnittstellen) • Paketübermittlung durch Proxy (indirekt) • Für jeden Dienst ein Proxy (Stellvertreter) • User kommuniziert scheinbar mit Zielsystem • Sehr tiefe Analyse, da Proxies spezialisiert
Security Management • Verkörpert Sicherheitspolitik der Organisation in Form eines Regelwerkes • Separat realisiert (Rechner / Wechselplatte) • Positive Filterregeln (Fail Safety) • Regeln nur durch berechtigte Personen veränderbar (evtl. 4 Augen Prinzip) • Garantiert Widerspruchsfreiheit der Regeln
Konzepte • Aktive Elemente auch einzeln als eigen-ständige Firewall einsetzbar • Durch Kombination von verschiedenen Elementen und Herstellern höhere Sicher-heitsleistung (Diversity of Defense) • Begriffsklärung: Screened Subnet • Realisiert durch 2 serielle Packet Filter • Entkoppeltes, isoliertes Teilnetz (DMZ)
High-level Security Firewall • Dual-homed Application Gateway in Screened Subnet • Durch enge Verknüpfung der Elemente kann Firewall nicht umgangen werden • Redundantes und sehr mächtiges System • Kosten: • Produkt: ca. 90.000-600.000 DM • Lfd. Kosten: 150.000 DM p.a. (1000 Nutzer)
Grenzen • Unlogische / falsch umgesetzte Sicherheitspolitik • Anwendungsdatenorientierte Angriffe (z.B. Java) • Geringer Einfluß auf interne Angriffe • Abweichungen vom Konzept des Common Point of Trust (Backdoors) • Trittbrettfahrer bei unverschlüsseltem Zugriff • Um eine hohe Gesamtsicherheit zu erreichen, sind neben einem Firewallsystem auch personelle und organisatorische Maßnahmen notwendig.
Quellenangaben • Bücher: • Norbert Pohlmann, Firewall-Systeme, Bonn, MITP-Verlag, 1998 • Chapman / Zwicky, Building Internet Firewalls, USA, O´Reilly & Associates, 1995 • WWW: • Ranum / Curtin, Internet Firewall FAQ, 1998 http://www.clark.net/pub/mjr/pubs/fwfaq/index.html • Grennan, Firewall & Proxy Server HOWTO, 1999 http://okcforum.org/~markg/Secure_Linux/Firewall-HOWTO.html