360 likes | 586 Views
Firewallkonzept der GWDG (IK GWDG 10/06). Andreas Ißleiber. Firewallkonzept der GWDG (Notwendigkeiten). Dienstleistungsangebot der GWDG für Institute Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen von Außen Absicherung der Institutsnetze untereinander
E N D
Firewallkonzept der GWDG(IK GWDG 10/06) Andreas Ißleiber
Firewallkonzept der GWDG (Notwendigkeiten) • Dienstleistungsangebot der GWDG für Institute • Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen von Außen • Absicherung der Institutsnetze untereinander • Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet (primär eine Aufgabe des IPS) • Ablösung der bestehenden ACLs der zentralen Router • Vereinfachung/Verbesserung der ACLs (statefull inspection FW) • Ausfallsicherheit: Aufbau von redundanten Systemen • Vereinfachtes Management der Sicherheitsregeln
Firewallkonzept der GWDG (Auswahlkriterien) • Einheitliches Management • Mehrmandantenfähigkeit • Fähigkeit zur Redundanz, Loadbalacing • Hoher Durchsatz • Einfache Regelstruktur (leicht erlernbar) • Transparenter Mode (Stealth Mode) • Einfache Integration in bestehende Netzwerkstruktur • Logging (syslog) • Kombination mit Viruserkennung • Erweiterbarkeit • Preis Fett = Muß-Kriterien Normal = Kann-Kriterien
Firewallkonzept der GWDG (Firewallanbieter) • CISCO FWSM (Firewall Service Modul) gute Integration • CISCO PIX zu wenig Interfaces(VLANs) • Checkpoint Firewall-I sehr hoher Preis • Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis • Fortigate (Fortinet) Probleme im Testbetrieb (GWDG) • Sonicwall zu geringe Performance
Firewallkonzept der GWDG (Auswahl) Ergebnis 2004: Entscheidung für CISCO FWSM (FireWall Service Modul) Begründung: • Gute Integration in bestehenden Struktur durch VLANs • Mehrmandantenfähigkeit • Redundanz • Transparenz (Stealth Mode) • Management Was ist mit der Grundregel, möglichst zwei unterschiedliche Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO FWSM) Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da unterschiedliches Management, mangelnde Integration in Netzumgebung, zu hoher Preis es nicht rechtfertigen ? !
Firewallkonzept der GWDG (Ein zweistufiger Ansatz) • Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen • Absicherung der Institutsnetze untereinander • Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet Ziel Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus … 1.) Zentrale Firewall (First Level Firewall, CISCO Firewall Service Modul) • Diese Firewall befindet sich am Übergabepunkt zwischen X-WIN und GÖNET • Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an zentraler Stelle für alle Institute durch Basisregeln aufgebaut werden • Die Basisregeln haben für das gesamte GÖNET Gültigkeit Realisierung
Firewallkonzept der GWDG (Ein zweistufiger Ansatz) 2.) Dezentrale Firewalls (Second Level Firewall, CISCO Firewall Service Modul) • Die dezentralen Firewalls befinden sich an den entscheidenden vier Knotenpunkten des GÖNET • Diese sind als Zusatzmodule direkt in die GÖNET-Router integriert • Die Module werden an strategisch wichtigen Orten eingesetzt • Vorhandene Infrastruktur der Router (redundante Anbindung, redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar • Institutseigene Firewall ist nicht mehr erforderlich Realisierung
3 4 5 1 6 7 4 6 5 3 2 2 1 7 Firewallkonzept der GWDG (Integration im GÖNET) Legende … Internet Zentrale, schnelle Firewall für den grundlegenden Schutz des gesamten GÖNET (first Level Firewall) Dezentrale Firewalls sind in die Backbone-Router integriert (second Level Firewall) zentrales Firewall-Management bei der GWDG Internet-Router GÖNET-Backbone-Router Durch zusätzliche, dezentrale Firewall geschütztesInstitut. Hohe Sicherheitsstufe bestehend aus Kombination von First level & Second Level Firewall GÖNET Institut ist durch die zentrale Firewall mit einem Basisregelsatz geschützt ist. Zentrale Administration der Firewalls, integriert in ein bestehendes Netzwerkmanagement Institut Institut Bereich mit mittlerem Schutz (first Level) Bereich mit hohem Schutz (second Level)
Firewallkonzept der GWDG (Virtuelle Firewall & Administration) Realisierung durch CISCO FWSM (FireWallServiceModul), integriert in allen GÖNET CISCO Routern (6509) Internet Zentrale Firewall mit Basisregeln Jede institutsspezifische Firewall ist durch eine „virtuelle“ Firewall auf dem FWSM abgebildet FWSMFireWall Service Modulemit virtuellen Firewalls (FW) Virtuelle FW´s erlauben eine getrennte, autonome Administration der Firewallregeln für das jeweilige Institut GÖNET RouterCISCO 6509 Die GWDG kann zusätzlich alle virtuellen Instituts-Firewalls zentral administrieren Die GWDG stellt vordefinierte Regelsätze für die virtuellen FWs zur Verfügung: FirewallAdministrationdes Instituts A FirewallAdministrationdes Instituts B • Komplettschutz • Alles von Innen nach Außen ist erlaubt • Alles von Außen nach Innen ist verboten • Zugriff auf interne Server • Alles von Innen nach Außen ist erlaubt • Zugriffe auf interne Dienste von Außen sind erlaubt • Alles Andere ist verboten • … Weitere Regelsätze … Institut A Institut B Virtuelle Firewall mit Regelsatz B Virtuelle Firewall mit Regelsatz A Zzgl.Basisregeln
1 2 A B A B B A 1 2 Firewallkonzept der GWDG (Failover & Redundanz) Legende … Internet Kommunikationsweg zwischen Institut und im störungsfreien Betrieb Kommunikationsweg bei einer logischen oder physischen Unterbrechung der Strecke zwischen Institut und Die Verbindung läuft hierbei über die redundanten Backbone-Router des GÖNET, wobei der Schutz der Institutedurch die Firewall(s) bestehen bleibt Firewall-Redundanz im GÖNET geplant ab Anfang 2007 Institut Institut
Firewallkonzept der GWDG (Ausbaustand, 10/06) Internet GuestNet GWDG/Internet(XWIN) Mitarbeiternetz GWDG Module:2 Physiologie Module: 2 Servernetz Biochemie MPI f. Dynamik Veg.Physiologie MPIBPC Module:2 GÖNET PhysikModule: 2 NMR-II III-Physik Alle Abteilungen der MPIBPC Astrophysik FMZ (in Zukunft) Metallphysik Theologicum Module:2 Theor.Physik Röntgenphysik * Ein Reservemodul stets bei der GWDG SUB ZVW Stand: 10/06, A.Ißleiber
Firewallkonzept der GWDG(CISCO FWSM, Features) FWSM, Features • Als Modul in bestehende CISCO Router integrierbar • Nahezu gleiche Konfiguration wie PIX-Firewalls • Variable, große Anzahl an Interfaces (VLANs) • Hoher Durchsatz <= 6 GBps • Management IOS- sowie webbasiert und durch PDM/ASDM • Betrieb im transparenten, oder Routed-Mode (NAT/PAT) • Multiple security contexts (Mehrmandantenfähig) • Special Features: • ARP Inspection • DNS Guard • Flood Guard • Frag Guard • ICMP Filtering • Mail Guard • TCP Intercept • Unicast Reverse • Path Forwarding
Firewallkonzept der GWDG(FWSM, Funktionsprinzip) ! • Das Firewallmodul besitzt keine eigenen Interfaces • Kommunikation erfolgt ausschließlich über VLANs Internet Router (CISCO 65xx) VLAN1: Kommunikation zwischen FWSM und Router Switching-engine VLAN10,20,30: Interne Netze durch VLANs getrennt VLAN10,20,30: VLANs können, … müssen aber nicht an physikalische Interfaces gebunden sein VLAN1 … FWSM VLANxx VLAN30 VLAN10 Intern2 VLAN20 Intern DMZ
Firewallkonzept der GWDG(FWSM, Funktionsprinzip) • Position des FWSM und der MSFC (Multilayer Switch Feature Card) Routing zwischen VLANs 301,302,303 ohne Nutzung des FWSM Firewallregeln zwischen VLANs 201,202,203 bestimmen den Verkehr
Firewallkonzept der GWDG(FWSM, Modes) • Zwei grundlegend unterschiedliche Modi für das FWSM möglich 1.) Routed Mode • NAT/PAT ist aktiviert • FWSM übernimmt das Routing • Firewallregeln zwischen VLANs • FWSM-Interfaces bekommen IP-Adresse • VLAN1=SVI (Switched VLAN Interfaces) • i.d.R. NAT nach Außen Internet 192.168.30.254 Default route des FWSM 192.168.30.254 VLAN1 192.168.30.253 FWSM 192.168.20.254 (VLAN 3) 192.168.10.254 (VLAN 2) IP: 192.168.20.1 Mask: 255.255.255.0 Default GW: 192.168.20.254 192.168.10.0/24 IP: 192.168.10.1 Mask: 255.255.255.0 Default GW: 192.168.10.254 192.168.20.0/24
Firewallkonzept der GWDG(FWSM, Modes) 2.) Transparent Mode • Stealth mode • Gleiches Netz hinter und! vor der Firewall • Vorteil: wenig Änderungen anbestehender Struktur • IP-Adressen werden nichtverändert (kein NAT) • Eine IP für das Managementder Firewall • Nur ein inside & ein outsideInterface pro Gruppe Internet outside 192.168.10.254 (VLAN 2) 192.168.20.254 (VLAN 3) VLAN1 FWSM 192.168.20.253 (Management IP) inside VLAN 3 VLAN 2 IP: 192.168.20.1 Mask: 255.255.255.0 Default GW: 192.168.20.254 192.168.10.0/24 IP: 192.168.10.1 Mask: 255.255.255.0 Default GW: 192.168.10.254 192.168.20.0/24
Firewallkonzept der GWDG(FWSM, Context) Virtuelle Firewalls • Context erlaubt die Unterteilung in virtuelle Firewalls • Jeder Context kann eigenständig administriert werden • Voneinander getrennte, eigene Konfigurationsdatei pro Context • Getrennte Administration • Jeder Context bekommteigene(s) VLAN(s) • Zuweisung von Ressourcen proContext möglich • per default, zweiContexts verfügbar • Lizenzen in 20érSchritten möglich
Firewallkonzept der GWDG(FWSM, NAT) Unterschiedliche NAT/PAT Verfahren: • Dynamic NAT • PAT • Static NAT • Static PAT • Bypassing NAT, Exemption
Firewallkonzept der GWDG(FWSM, Dynamic NAT) Dynamisches NAT • IP Pool mit ext. Adressen • n m • Anzahl interner IPs≠externer IPs 134.76.20.55 Internet 134.76.10.1 134.76.10.2 dyn. NAT NAT Pool: 134.76.10.1-20 192.168.20.1 192.168.20.254 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2
Firewallkonzept der GWDG(FWSM, PAT) PAT • n 1 • Lokaler IP-Pool (n)nach Außen mit z.B.einer externen IP-Adressesichtbar 134.76.20.55 Internet 134.76.10.1 Single IP 134.76.10.1 134.76.10.1 PAT 192.168.20.1 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2
Firewallkonzept der GWDG(FWSM, Static NAT) Statisches NAT • n n, 11 • Jede lokale Adresse mit exakt einer globalen Adresse sichtbar 134.76.20.55 Internet 134.76.30.56 134.76.30.78 Static NAT NAT Tabelle: 1:1-Nat 192.168.20.1 134.76.30.56 192.168.20.2 134.76.30.78 … oder auchn:n-NAT192.168.20.0/24 134.76.30.0/24 192.168.20.1 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2
Firewallkonzept der GWDG(FWSM, Port Redirect) Port Redirection • Bsp: Umleitungzu einem Web-Proxy 134.76.20.55 Internet redirect Verbindung zu 192.168.20.2 redirect zu 192.168.20.2 WWW zu 134.76.20.55 192.168.20.0/24 192.168.20.1 192.168.20.2 WWW Proxy Server
Firewallkonzept der GWDG(FWSM, bypassing NAT) Kein NAT, NAT-Excemption • Quell- & Zieladressebleiben unverändert • Quell- & Zielportbleiben unverändert • Bsp.: PC baut direkte Verbindung zu PC aufACLs bleiben aktiv 134.76.20.55 Internet 1 2 192.168.30.50 255.255.0.0 NAT DMZ192.168.30.0/24 2 Inside192.168.20.0/24 192.168.20.1 255.255.0.0 1
Firewallkonzept der GWDG(FWSM, Management) Management der Firewall durch: • IOS • commandline • ssh • telnet (wg. Seicherheit nicht sinnvoll) • console (seriell) • Über den Catalyst (Switch/Router) • Web-basiert • PDM (Pix Device Manager) bzw. ASDM (neu) • mittlerweile gute Alternative zur Commandline • Cisco Security Manager (in Zukunft parallel zum ASDM) • Zentrale Cisco Security Managementlösung • Definition von Regelsätzen und Verteilung auf die Firewalls
Firewallkonzept der GWDG(Management, Zugang) Zugang zu den Firewallsystemen: • Über das ASDM • Authentifizierung wird über zentrale RADIUS-Server erreicht, sodass die Aministratoren das eigene Password benutzen können. • Gruppierung/Zugriffsrechte erfolg über RADIUS-Server (Wer, darf von Wo, Was an der Firewall administrieren) • Unterschiedliche Zugriffvarianten • FullAccess (für wenige Administratoren: Mather, Gelbe, Beck, Ißleiber) • Firewallgruppen (z.B. GWDG-Helpdesk) • ReadOnly (GWDG – Intern, fast Alle)
Firewallkonzept der GWDG(ACL vs. Firewall) ACL vs. Firewall(ACL): ACL: • ACL werden auf dem Router definiert. • Basieren auf einfachen Regeln (Quell-IP ►Port ► Ziel-IP) • Beide Richtungen müssen beachtet werden (IN/OUT) • Bsp:permit tcp 134.76.10.0 0.0.0.255 any eq 80
Firewallkonzept der GWDG(ACL vs. Firewall) Router-ACL
Firewallkonzept der GWDG(ACL vs. Firewall) Firewall (ACL)
Firewallkonzept der GWDG(ACL vs. Firewall) Verbindungsbeispiel TCP: Source Port=1025, Dest-Port=80 Webserver: 134.76.10.47 Client: 134.76.20.1 Source Port=80, Des.Port=1025 Nr. Source Port Destination 1.) 134.76.20.1 80 134.76.10.472.) 134.76.10.47 (>1024) 134.76.20.1 • Bei einer Router ACL muß eine Regel für 1.)und! für 2.) (Rückverbindung) definiert werden (ggf. nur Vereinfachung durch z.B. Syn-Flag-Filterung) • Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel (stateful)
Firewallkonzept der GWDG(ACL vs. Firewall) Verbindungsbeispiel UDP: Source Port=1030, Dest-Port=53 Client: 134.76.20.1 DNS-Server: 134.76.10.46 Source Port=53, Des.Port=1030 Nr. Source Port Destination 1.) 134.76.20.1 53 134.76.10.462.) 134.76.10.46 (>1024) 134.76.20.1 • Bei einer Router ACL muß eine Regel für 1.)und! für 2.) (Rückverbindung) definiert werden. Bei UDP ist diese nicht (sinnvoll) möglich (UDP ist nicht verbindungsorientiert). • Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel auch bei UDP (stateful)
Firewallkonzept der GWDG(ACL vs. Firewall) Beispiel: Zugriff der Verwaltungssysteme auf die Terminalserver in Router ACL(s): ... permit tcp host 10.76.36.208 any eq 3389 permit tcp host 10.76.36.208 any eq 443 permit tcp host 10.76.64.25 any eq 3389 permit tcp host 10.76.64.25 any eq 443 permit tcp host 10.76.64.58 any eq 3389 permit tcp host 10.76.64.58 any eq 443 permit tcp host 10.76.64.68 any eq 3389 permit tcp host 10.76.64.68 any eq 443 permit tcp host 10.76.118.62 any eq 3389 permit tcp host 10.76.118.62 any eq 443 permit tcp host 10.76.118.63 any eq 3389 permit tcp host 10.76.118.63 any eq 443 permit tcp host 10.76.118.64 any eq 3389 permit tcp host 10.76.118.64 any eq 443 ... 962 weitere ACL(s) !! Rückverbindungen müssen auch berücksichtigt werden !!
Firewallkonzept der GWDG(ACL vs. Firewall) in Firewall (ACL) • Definition der Server IP-Gruppe (Source) • Definition IP-Gruppe (Destination) • Definition der Ports als Gruppe
Firewallkonzept der GWDG(Erfahrungen) Erfahrungen: • CISCO hat eine etwas andere Sichtweise hinsichtlich Firewall im Vgl. zu anderen Herstellern • Einarbeitungszeit erforderlich • Bei Vorhandensein von CISCO Routern, fast keine sinnvolle Alternative zum FWSM • Sehr gutes Commandline Interface sowie Management • CISCO ist auch nicht Fehlerfrei: SMTP-Bug, ASDM-Bugs • Firewall durchaus auch in Kombination mit Router ACL sinnvoll nutzbar (Voraussetzung: CISCO Security Manager) Fazit: • Das FWSM ist im GÖNET (GWDG) die richtige Wahl
Firewallkonzept der GWDG(Weitere Planung) Weitere Planungen: • 1/2007 : werden wir redundante FWSM im GÖNET über verschiedene Standorte aufbauen • Ende 2006 : Zusammen mit dem GWDG-HelpDesk (AG-H) die einfache Administration von Sperrlisten ermöglichen • Ende 2006 : Installation des CISCO Security Managers (virtual Host), um zentral die FWSM zu administrieren. Überdies ist eine zusätzliches Management der Router ACLs hiermit möglich • Ende 2006/Anfang 2007-∞: Weiterer Ausbau der Institutsfirewalls:- ZHG, WI2, UNI-Techniknetz, MPIBPC (Abteilungen), Campus, ... • 2007 – 2008 :Erweiterung des Managements hinsichtlich Authorisierung der Administratoren (ggf. über TACACS) • in 2007 : Logfileauswertung der Firewall zur Erkennung interner Attacken (Virenausbreitung etc.)
Firewallkonzept der GWDG(Ansprechpartner) Ansprechpartner bei der GWDG: Kollegen: B,Gelbe, H.Beck, K.Mather, A.Ißleiber ... sind hinsichtlich Firewall im GÖNET(&GWDG) die Ansprechpartner
? Vielen Dank! S C S I O C S Y T E M S S C I S C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: … http://www.gwdg.de/~aisslei… zu finden