Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de
von
Firewallkonzept der GWDGFirewallkonzept der GWDG(IK GWDG 10/06)(IK GWDG 10/06)
Andreas Ißleiber
2
Firewallkonzept der GWDG Firewallkonzept der GWDG (Notwendigkeiten)(Notwendigkeiten)
Dienstleistungsangebot der GWDG für Institute Schutz des gesamten GÖNET sowie aller Institutsnetze
vor Angriffen von Außen Absicherung der Institutsnetze untereinander Prävention bei Viren,Trojaner sowie Hacker-Angriffen
aus dem Intra- und Internet (primär eine Aufgabe des IPS)
Ablösung der bestehenden ACLs der zentralen Router Vereinfachung/Verbesserung der ACLs (statefull
inspection FW) Ausfallsicherheit: Aufbau von redundanten Systemen Vereinfachtes Management der Sicherheitsregeln
3
Firewallkonzept der GWDG Firewallkonzept der GWDG (Auswahlkriterien)(Auswahlkriterien)
1) Einheitliches Management
2) Mehrmandantenfähigkeit
3) Fähigkeit zur Redundanz, Loadbalacing
4) Hoher Durchsatz
5) Einfache Regelstruktur (leicht erlernbar)
6) Transparenter Mode (Stealth Mode)
7) Einfache Integration in bestehende Netzwerkstruktur
8) Logging (syslog)
9) Kombination mit Viruserkennung
10) Erweiterbarkeit
11) Preis
Fett = Muß-KriterienNormal = Kann-Kriterien
4
Firewallkonzept der GWDG Firewallkonzept der GWDG (Firewallanbieter)(Firewallanbieter)
CISCO FWSM (Firewall Service Modul) gute Integration
CISCO PIX zu wenig Interfaces(VLANs)
Checkpoint Firewall-I sehr hoher Preis
Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis
Fortigate (Fortinet) Probleme im Testbetrieb (GWDG)
Sonicwall zu geringe Performance
5
Firewallkonzept der GWDG Firewallkonzept der GWDG (Auswahl)(Auswahl)
Ergebnis 2004:
Entscheidung für CISCO FWSM (FireWall Service Modul)
Begründung:
1) Gute Integration in bestehenden Struktur durch VLANs 2) Mehrmandantenfähigkeit3) Redundanz4) Transparenz (Stealth Mode)5) Management
Was ist mit der Grundregel, möglichst zwei unterschiedliche Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO FWSM)
Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da unterschiedliches Management, mangelnde Integration in Netzumgebung, zu hoher Preis es nicht rechtfertigen
?!
6
Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz)
Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen
Absicherung der Institutsnetze untereinanderPrävention bei Viren,Trojaner sowie Hacker-Angriffen aus
dem Intra- und Internet
Zie
l
Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus …
1.) Zentrale Firewall (First Level Firewall, CISCO Firewall Service Modul)
Rea
lisie
run
g
Diese Firewall befindet sich am Übergabepunkt zwischen X-WIN und GÖNET
Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an zentraler Stelle für alle Institute durch Basisregeln aufgebaut werden
Die Basisregeln haben für das gesamte GÖNET Gültigkeit
7
Firewallkonzept der GWDG Firewallkonzept der GWDG (Ein zweistufiger Ansatz)
Die dezentralen Firewalls befinden sich an den entscheidenden vier Knotenpunkten des GÖNET
Diese sind als Zusatzmodule direkt in die GÖNET-Router integriert
Die Module werden an strategisch wichtigen Orten eingesetzt
Vorhandene Infrastruktur der Router (redundante Anbindung, redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar
Institutseigene Firewall ist nicht mehr erforderlich
2.) Dezentrale Firewalls (Second Level Firewall, CISCO Firewall Service Modul)
Rea
lisie
run
g
8
5
1Zentrale, schnelle Firewall für den grundlegenden Schutz des gesamten GÖNET (first Level Firewall)
GÖNET-Backbone-Router4
Durch zusätzliche, dezentrale Firewall geschütztesInstitut. Hohe Sicherheitsstufe bestehend aus Kombination von First level & Second Level Firewall
5
Institut ist durch die zentrale Firewall mit einem Basisregelsatz geschützt ist.
Dezentrale Firewalls sind in die Backbone-Router integriert (second Level Firewall)
2
Internet
4
GÖNET
zentrales Firewall-Managementbei der GWDG
Institut
Institut
1
Bereich mit hohem Schutz(second Level)
Bereich mit hohem Schutz(second Level)
Bereich mit mittlerem Schutz
(first Level)
Bereich mit mittlerem Schutz
(first Level)
2
7
Zentrale Administration der Firewalls, integriert in ein bestehendes Netzwerkmanagement
3
Internet-Router3
6
7
6
Legende …
Firewallkonzept der GWDG Firewallkonzept der GWDG (Integration im GÖNET)
9
Firewallkonzept der GWDG Firewallkonzept der GWDG ((Virtuelle Firewall & Administration)
GÖNET RouterCISCO 6509
FWSMFireWall Service Modulemit virtuellen Firewalls (FW)
Institut BInstitut A
Virtuelle Firewall mit Regelsatz B
Virtuelle Firewall mit Regelsatz B
Virtuelle Firewall mit Regelsatz A
Virtuelle Firewall mit Regelsatz A Zzgl.
BasisregelnZzgl.
Basisregeln
Zentrale Firewall mit Basisregeln
Zentrale Firewall mit Basisregeln
FirewallAdministrationdes Instituts B
FirewallAdministrationdes Instituts A
Jede institutsspezifische Firewall ist durch eine „virtuelle“ Firewall auf dem FWSM abgebildet
Virtuelle FW´s erlauben eine getrennte, autonome Administration der Firewallregeln für das jeweilige Institut
Komplettschutz• Alles von Innen nach Außen ist erlaubt• Alles von Außen nach Innen ist verboten
Zugriff auf interne Server• Alles von Innen nach Außen ist erlaubt• Zugriffe auf interne Dienste von Außen
sind erlaubt• Alles Andere ist verboten… Weitere Regelsätze …
Die GWDG kann zusätzlich alle virtuellen Instituts-Firewalls zentral administrieren
Realisierung durch CISCO FWSM (FireWallServiceModul), integriert in allen GÖNET CISCO Routern (6509)
Die GWDG stellt vordefinierte Regelsätze für die virtuellen FWs zur Verfügung:
Internet
10
Firewallkonzept der GWDG Firewallkonzept der GWDG ((Failover & Redundanz)
1
Kommunikationsweg bei einer logischen oder physischen Unterbrechung der Strecke zwischen Institut und Die Verbindung läuft hierbei über die redundanten Backbone-Router des GÖNET, wobei der Schutz der Institutedurch die Firewall(s) bestehen bleibt
Firewall-Redundanz im GÖNET geplant ab Anfang 2007
Kommunikationsweg zwischen Institut und im störungsfreien Betrieb
2
Internet
Institut
Legende …
1
2
A
B
A B
A B
Institut
11
Firewallkonzept der GWDG Firewallkonzept der GWDG ((Ausbaustand, 10/06)
Internet
GWDGModule:2
PhysiologieModule: 2
TheologicumModule:2
GWDG/Internet(XWIN)
PhysikModule: 2
FMZ(in Zukunft)
MPIBPCModule:2 GÖNET
Theor.Physik Röntgenphysik
Metallphysik
Astrophysik
III-Physik
Biochemie
Veg.Physiologie
Servernetz
MPI f. Dynamik
SUB ZVW
Alle Abteilungender MPIBPC
* Ein Reservemodul stets bei der GWDG
NMR-II
Mitarbeiternetz
GuestNet
Stand: 10/06, A.Ißleiber
12
Firewallkonzept der GWDGFirewallkonzept der GWDG (CISCO FWSM, Features)
FWSM, Features
Als Modul in bestehende CISCO Router integrierbar Nahezu gleiche Konfiguration wie PIX-Firewalls Variable, große Anzahl an Interfaces (VLANs) Hoher Durchsatz <= 6 GBps Management IOS- sowie webbasiert und durch PDM/ASDM Betrieb im transparenten, oder Routed-Mode (NAT/PAT) Multiple security contexts (Mehrmandantenfähig) Special Features: • ARP Inspection
• DNS Guard• Flood Guard• Frag Guard• ICMP Filtering• Mail Guard• TCP Intercept• Unicast Reverse• Path Forwarding
13
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Funktionsprinzip)
FWSM
Internet
InternDMZ
Intern2VLAN20
VLAN30
VLAN10
Router (CISCO 65xx)
VLAN1
Switching-engine
VLAN1: Kommunikation zwischen FWSM und Router
VLAN10,20,30: Interne Netze durch VLANs getrennt
…
VLAN10,20,30: VLANs können, … müssen aber nicht an physikalische Interfaces gebunden sein
VLANxx
• Das Firewallmodul besitzt keine eigenen Interfaces• Kommunikation erfolgt ausschließlich über VLANs!
14
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Funktionsprinzip)
Position des FWSM und der MSFC (Multilayer Switch Feature Card)
Routing zwischen VLANs 301,302,303 ohne
Nutzung des FWSM
Firewallregeln zwischen VLANs 201,202,203
bestimmen den Verkehr
15
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Modes)
Zwei grundlegend unterschiedliche Modi für das FWSM möglich
1.) Routed Mode NAT/PAT ist aktiviert FWSM übernimmt das Routing Firewallregeln zwischen VLANs FWSM-Interfaces
bekommen IP-Adresse VLAN1=SVI
(Switched VLAN Interfaces) i.d.R. NAT nach Außen
FWSM
Internet
VLAN1
IP: 192.168.10.1Mask: 255.255.255.0Default GW: 192.168.10.254
IP: 192.168.20.1Mask: 255.255.255.0Default GW: 192.168.20.254
192.168.10.0/24 192.168.20.0/24
192.168.30.253
192.168.30.254
192.168.20.254(VLAN 3)192.168.10.254
(VLAN 2)
Default route des FWSM
192.168.30.254
16
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Modes)
2.) Transparent Mode Stealth mode Gleiches Netz hinter und! vor
der Firewall Vorteil: wenig Änderungen an
bestehender Struktur IP-Adressen werden nicht
verändert (kein NAT) Eine IP für das Management
der Firewall Nur ein inside & ein outside
Interface pro Gruppe
FWSM
Internet
VLAN1
IP: 192.168.10.1Mask: 255.255.255.0Default GW: 192.168.10.254
IP: 192.168.20.1Mask: 255.255.255.0Default GW: 192.168.20.254
192.168.10.0/24 192.168.20.0/24
192.168.20.254(VLAN 3)
192.168.10.254(VLAN 2)
VLAN 2
VLA
N 3
192.168.20.253(Management IP)
inside
outside
17
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Context)
Virtuelle Firewalls Context erlaubt die Unterteilung in virtuelle Firewalls Jeder Context kann eigenständig administriert werden Voneinander
getrennte, eigene Konfigurationsdatei pro Context
Getrennte Administration
Jeder Context bekommteigene(s) VLAN(s)
Zuweisung von Ressourcen proContext möglich
per default, zweiContexts verfügbar
Lizenzen in 20érSchritten möglich
18
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, NAT)
Unterschiedliche NAT/PAT Verfahren:
• Dynamic NAT• PAT• Static NAT• Static PAT• Bypassing NAT, Exemption
19
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Dynamic NATDynamic NAT)
Dynamisches NAT
IP Pool mit ext. Adressen n m Anzahl interner IPs
≠externer IPs
Internet
192.168.20.1
192.168.20.0/24
192.168.20.254
NAT Pool: 134.76.10.1-20
192.168.20.2
dyn. NAT
134.76.20.55
192.168.20.1
134.76.10.1 134.76.10.2
192.168.20.2
20
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, PATPAT)
PAT n 1 Lokaler IP-Pool (n)
nach Außen mit z.B.einer externen IP-Adressesichtbar
Internet
192.168.20.1
192.168.20.0/24
Single IP 134.76.10.1
192.168.20.2
PAT
134.76.20.55
192.168.20.1
134.76.10.1 134.76.10.1
192.168.20.2
21
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Static NATStatic NAT)
Statisches NAT
n n, 11 Jede lokale Adresse mit
exakt einer globalen Adresse sichtbar
Internet
192.168.20.1
192.168.20.0/24
NAT Tabelle:1:1-Nat
192.168.20.1 134.76.30.56192.168.20.2 134.76.30.78
…oder auch
n:n-NAT192.168.20.0/24 134.76.30.0/24
192.168.20.2
Static NAT
134.76.20.55
192.168.20.1
134.76.30.56 134.76.30.78
192.168.20.2
22
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Port Redirect)
Port Redirection Bsp: Umleitung
zu einem Web-Proxy
Internet
192.168.20.1
192.168.20.0/24
192.168.20.2WWW Proxy Server
redirect
134.76.20.55
WWW zu 134.76.20.55
redirect zu 192.168.20.2
Verbindung zu 192.168.20.2
23
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, bypassing NATbypassing NAT)
Kein NAT, NAT-Excemption
Quell- & Zieladressebleiben unverändert
Quell- & Zielportbleiben unverändert
Bsp.: PC baut direkte Verbindung zu PC aufACLs bleiben aktiv
Internet
192.168.20.1255.255.0.0
Inside192.168.20.0/24
192.168.30.50255.255.0.0
134.76.20.55
DMZ192.168.30.0/24
1
1
2
2NAT
24
Firewallkonzept der GWDGFirewallkonzept der GWDG (FWSM, Management)
Management der Firewall durch:
IOS• commandline• ssh• telnet (wg. Seicherheit nicht sinnvoll)• console (seriell)• Über den Catalyst (Switch/Router)
Web-basiert• PDM (Pix Device Manager) bzw. ASDM (neu)• mittlerweile gute Alternative zur Commandline
Cisco Security Manager (in Zukunft parallel zum ASDM)• Zentrale Cisco Security Managementlösung• Definition von Regelsätzen und Verteilung auf die Firewalls
25
Firewallkonzept der GWDGFirewallkonzept der GWDG (Management, Zugang)
Zugang zu den Firewallsystemen:
Über das ASDM• Authentifizierung wird über zentrale RADIUS-Server erreicht, sodass
die Aministratoren das eigene Password benutzen können.• Gruppierung/Zugriffsrechte erfolg über RADIUS-Server (Wer, darf von
Wo, Was an der Firewall administrieren)
Unterschiedliche Zugriffvarianten• FullAccess (für wenige Administratoren: Mather, Gelbe, Beck,
Ißleiber)• Firewallgruppen (z.B. GWDG-Helpdesk)• ReadOnly (GWDG – Intern, fast Alle)
26
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
ACL vs. Firewall(ACL):
ACL:- ACL werden auf dem Router definiert.- Basieren auf einfachen Regeln (Quell-IP ►Port ► Ziel-IP)- Beide Richtungen müssen beachtet werden (IN/OUT)- Bsp:
permit tcp 134.76.10.0 0.0.0.255 any eq 80
27
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
Router-ACL
Pro Contra
Ohne Zusatzkosten nutzbar auf vorhandenen GÖNET-Routern
Nicht „stateful“, daher komplexe Struktur
Schnell in der Ausführung Kein Management, undurchschaubare Konfiguration
Bei „UDP-Traffic“ praktisch nicht einsatzfähig (wg. „Öffnen“ der Rückports)
Keine Korrelation zwischen IN- und OUT-Traffic (non stateful) Bsp.: FTP
Keine (nicht binären) Gruppierungen möglich
Inspection höherer OSI-Schichten nicht möglich (z.B. HTTP,FTP-Traffic-Inspection)
Kein NAT,PAT
Kein IP-Spoofing-Protection
28
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
Firewall (ACL)Pro Contra
Statefull: Rückverbindungen werden erkannt und erlaubt
Hoher Preis
Regeln mit UDP-Traffic Zusätzliche Hardware erforderlich (Firewallmodul)
Einfache Gruppierungen: IP-Gruppen, Port-Gruppen
Überschaubares Management, Mandantenfähig, Rechtemanagement
Inspection der höheren Layer möglich (bis zu L7)
NAT,PAT, Policy-NAT,Excemtion-NAT etc.
Inspection-MAP erlaubt die Anpassung von Inhalten in der Paketen (Bsp: DNS bei NAT).
Randomize TCP-sequence numbers
Syntax-Check in den Firewallregeln
29
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
Verbindungsbeispiel TCP:
Webserver: 134.76.10.47Client: 134.76.20.1
Nr. Source Port Destination1.) 134.76.20.1 80 134.76.10.472.) 134.76.10.47 (>1024) 134.76.20.1
• Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden (ggf. nur Vereinfachung durch z.B. Syn-Flag-Filterung)
• Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel (stateful)
Source Port=1025, Dest-Port=80
Source Port=80, Des.Port=1025
30
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
Verbindungsbeispiel UDP:
DNS-Server: 134.76.10.46Client: 134.76.20.1
Nr. Source Port Destination1.) 134.76.20.1 53 134.76.10.462.) 134.76.10.46 (>1024) 134.76.20.1
• Bei einer Router ACL muß eine Regel für 1.) und! für 2.) (Rückverbindung) definiert werden. Bei UDP ist diese nicht (sinnvoll) möglich (UDP ist nicht verbindungsorientiert).
• Eine Firewall (weiß) die Rückverbindung automatisch zuzuordnen und erlaubt den „Traffic“ ohne zusätzliche Regel auch bei UDP (stateful)
Source Port=1030, Dest-Port=53
Source Port=53, Des.Port=1030
31
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
... permit tcp host 10.76.36.208 any eq 3389 permit tcp host 10.76.36.208 any eq 443 permit tcp host 10.76.64.25 any eq 3389 permit tcp host 10.76.64.25 any eq 443 permit tcp host 10.76.64.58 any eq 3389 permit tcp host 10.76.64.58 any eq 443 permit tcp host 10.76.64.68 any eq 3389 permit tcp host 10.76.64.68 any eq 443 permit tcp host 10.76.118.62 any eq 3389 permit tcp host 10.76.118.62 any eq 443 permit tcp host 10.76.118.63 any eq 3389 permit tcp host 10.76.118.63 any eq 443 permit tcp host 10.76.118.64 any eq 3389 permit tcp host 10.76.118.64 any eq 443...
962 weitere ACL(s) !!Rückverbindungen müssen auch berücksichtigt werden !!
Beispiel: Zugriff der Verwaltungssysteme auf die Terminalserver
in Router ACL(s):
32
Firewallkonzept der GWDGFirewallkonzept der GWDG (ACL vs. Firewall)
in Firewall (ACL)
- Definition der Server IP-Gruppe (Source)
- Definition IP-Gruppe (Destination)
- Definition der Ports als Gruppe
33
Firewallkonzept der GWDGFirewallkonzept der GWDG (Erfahrungen)
Erfahrungen:
CISCO hat eine etwas andere Sichtweise hinsichtlich Firewall im Vgl. zu anderen Herstellern
Einarbeitungszeit erforderlich Bei Vorhandensein von CISCO Routern, fast keine sinnvolle Alternative
zum FWSM Sehr gutes Commandline Interface sowie Management CISCO ist auch nicht Fehlerfrei: SMTP-Bug, ASDM-Bugs Firewall durchaus auch in Kombination mit Router ACL sinnvoll nutzbar
(Voraussetzung: CISCO Security Manager)
Fazit:
Das FWSM ist im GÖNET (GWDG) die richtige Wahl
34
Firewallkonzept der GWDGFirewallkonzept der GWDG (Weitere Planung)Weitere Planungen:
1) 1/2007 : werden wir redundante FWSM im GÖNET über verschiedene Standorte aufbauen
2) Ende 2006 : Zusammen mit dem GWDG-HelpDesk (AG-H) die einfache Administration von Sperrlisten ermöglichen
3) Ende 2006 : Installation des CISCO Security Managers (virtual Host), um zentral die FWSM zu administrieren. Überdies ist eine zusätzliches Management der Router ACLs hiermit möglich
4) Ende 2006/Anfang 2007-∞: Weiterer Ausbau der Institutsfirewalls:- ZHG, WI2, UNI-Techniknetz, MPIBPC (Abteilungen), Campus, ...
5) 2007 – 2008 :Erweiterung des Managements hinsichtlich Authorisierung der Administratoren (ggf. über TACACS)
6) in 2007 : Logfileauswertung der Firewall zur Erkennung interner Attacken (Virenausbreitung etc.)
35
Firewallkonzept der GWDGFirewallkonzept der GWDG (Ansprechpartner)
Ansprechpartner bei der GWDG:
Kollegen: B,Gelbe, H.Beck, K.Mather, A.Ißleiber
... sind hinsichtlich Firewall im GÖNET(&GWDG) die Ansprechpartner
36
CISCOSYSTEMSCISCOYSTEMSS
CISCOSYSTEMSUPPERPOWERLOWERPOWERNORMAL… Fragen… Fragen
Vielen Dank!Vielen Dank!
und Diskussionen!und Diskussionen!
Vortrag ist unter: …http://www.gwdg.de/~aisslei… zu finden
??