+ All Categories
Home > Documents > Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Date post: 05-Apr-2015
Category:
Upload: adalbert-zauner
View: 115 times
Download: 0 times
Share this document with a friend
43
Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann
Transcript
Page 1: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Möglichkeiten und Grenzen von Firewall-Systemen

Dr. Norbert Pohlmann

Page 2: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

2 D

r. N

orbe

rt P

ohlm

ann,

200

2

Inhalt

Einstimmung in die Thematik

Bedrohungen

Firewall-Elemente

Möglichkeiten und Grenzen von Firewall-Systemen

Umfassende Firewall-Systeme

Weiterentwicklung von Firewall-Systemen

Page 3: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

3 D

r. N

orbe

rt P

ohlm

ann,

200

2

Chance und Risiko - Zwei Seiten einer Medaille

InternetNetwork

to be protected

Fast communication(e-mail, ...)

Powerful services(web, newsgroups, ASPs, ...)

Hacker/cracker

Assets

Risk of threats

Chance

Organization/user

Page 4: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

4 D

r. N

orbe

rt P

ohlm

ann,

200

2

Idee eines Firewall-Systems

Chancen nutzen

Risiken minimieren

I2 > I1

Profit /market share

Residual Risk Risks

Opportunities

Risk 1Risk 2

Investment 1Investment 2

I2 > I1

Internetzu schützendes

Netzwerk

Kommunikation(e-mail, ...)

Dienste(Web, Newsgroups, ASPs, ...)

Hacker/Cracker

Daten /Werte

Risiko

Chancen

Firewallsystem Organisation/Anwender

Page 5: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

5 D

r. N

orbe

rt P

ohlm

ann,

200

2

Zugangskontrolle auf der Netzebene

Zugangskontrolle auf Benutzerebene

Rechteverwaltung

Kontrolle auf der Applikationsebene

Entkopplung von unsicheren Diensten

Beweissicherung und Protokollauswertung

Alarmierung

Verbergen der internen Netzstruktur

Vertraulichkeit der Nachrichten

Sicherheitsziele eines Firewall-Systems

Internetzu schützendes

Netzwerk

Kommunikation(e-mail, ...)

Dienste(Web, Newsgroups, ASPs, ...)

Hacker/Cracker

Daten /Werte

Risiko

Chancen

Firewallsystem Organisation/Anwender

Page 6: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Bedrohungen - Firewall-Systeme

Page 7: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

7 D

r. N

orbe

rt P

ohlm

ann,

200

2

Vereinfachtes logisches Kommunikationsmodell

Assets

entity

Transmitter (TL)

protocol element xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

Page 8: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

8 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bedrohungen (1/4)-> Angriffe durch Dritte

Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s)

Einfügen oder Löschen bestimmter Daten in den Protokollelementen

Modifikation der Daten in den Protokollelementen

Boykott des Receivers

Trittbrettfahrer

Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)

Assets

entity

Transmitter (T) Receiver (R)

entity

Attacks

xixi*

Protocol statemachine

action u

action t+1

action t

action 3

action 1

action 2

action ak

sj

Statemachine

xi

Page 9: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

9 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern

Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff)

Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...)

Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung

Assets

Receiver (R)

entity

xi

Protocol statemachine

action u

action t+1

action t

action 3

action 1

action 2

action ak

sj

Statemachine

xi

Attacker

Page 10: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

10 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bedrohung (3/4) -> Vorbereitung eines Angriffs

Assets

entity

Transmitter (TL)

Protocol element xi

Receiver (RM)

entity

Protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

Statemachine

Scan analysis

Receiver (RZ)

entity

Internal attacks

Social engineering

Weitere Angriffsarten Social Engineering

Analyse mit Hilfe von Scannerprogrammen

Interne Angriffe

Page 11: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

11 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bedrohungen (4/4) -> Angriffe auf das Firewall-System

Assets

entity

Transmitter (TL)

xi

Receiver (RM)

entity

Protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

Statemachine

Angriffsart Manipulation des Firewall-Systems

Einbau einer Trap-Door

Nutzung einer falschen Konfiguration des Firewall-Systems

Nutzung von Implementierungsfehlern des Firewall-Systems

Page 12: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Firewall-Elemente

Page 13: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

13 D

r. N

orbe

rt P

ohlm

ann,

200

2

Definition eines Firewall-Elements

Integration andEnforcement Module

Protocolelement

Results ofanalysis

Ruleset Security-relevantevent (ei)

ri

Resultsofdecision

AnalysisModule

DecisionModule

xi

Protocolelement xi

Network tobe protected

Insecurenetwork

Page 14: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Firewall-Elemente Packet Filter Application Gateway

Page 15: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

15 D

r. N

orbe

rt P

ohlm

ann,

200

2

Allgemeine Arbeitsweise eines Packet Filters

Analyse

Analysemodul

HeaderNetzwerk

HeaderTransport

Netzzugangsebene Netzzugangsebene

Einbindungsmodul

unsicheresNetz

zu schützendesNetz

DatenHeaderNetzzugang

Page 16: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

16 D

r. N

orbe

rt P

ohlm

ann,

200

2

Flags

Fragmentierung unterbinden

Layer 4 Protokolle definieren(TCP, UDP, ICMP, ...)

IP Quell-Adresse definieren

IP Ziel-Adresse definieren

Packet Filter Attribute

VersionHeader-länge

ServiceType

Identifikation

ProtokollTime To Live

Quell-IP-Adresse

IP-Optionen (falls vorhanden) Füllzeichen

IP Daten(UDP-/TCP-Frame)

Header-Prüfsumme

Gesamtlänge(in Bytes)

IP-Frame

Fragment-Offset

Ziel-IP-Adresse Source-Routing

Analysemöglichkeit eines IP-Frames

Page 17: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

17 D

r. N

orbe

rt P

ohlm

ann,

200

2

Ziel-Port definieren

Quell-Port definieren

Richtung des Verbindungsaufbaus

Packet Filter

Header-länge

Reser-viert

CodeBits

Quell-Port

Sequenznummer

Prüfsumme Urgent Zeiger

Fenstergröße

Ziel-Port

Optionen (falls vorhanden) Füllzeichen

TCP Daten

Quittungsnummer

TCP-Frame

Analysemöglichkeit eines TCP-Frames

Page 18: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

18 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bewertung: Packet Filter

Analyse

Analysemodul

HeaderNetzwerk

HeaderTransport

Netzzugangsebene Netzzugangsebene

Einbindungsmodul

unsicheresNetz

zu schützendesNetz

DatenHeaderNetzzugang

Möglichkeiten transparent, unsichtbar

einfach erweiterungsfähig für neue Protokolle und Dienste

für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...)

hohe Performance

Grenzen

keine Analyse oberhalb der Transportebene

keine Separierung der Netzwerke

die Struktur des Netzes wird nicht verborgen

es werden nur die Ports überprüft, nicht die Anwendungen

Page 19: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

19 D

r. N

orbe

rt P

ohlm

ann,

200

2

Analysemodule für Proxies auf demApplication Gateway

Analysemodul für Proxy n

Netzzugang

Einbindungsmodul

unsicheresNetz

zu schützendesNetz

Netzzugang

Netzwerk (IP-X)

Transport

Netzwerk (IP-Y)

Transport

Analysemodul für Proxy X

Zustands-Automat

Anwendungsdaten

Analyse

Page 20: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

20 D

r. N

orbe

rt P

ohlm

ann,

200

2

SMTP Proxy-> Analogie zum Sammelbriefkasten

IncomingMail

SMTP-Proxy

SENDMAIL

OutgoingMail

SMTP-Daemon

Port 25

Page 21: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

21 D

r. N

orbe

rt P

ohlm

ann,

200

2

FTP Proxy

Logbuch

Application Gateway

FTP Proxy

commands

Daten

Benutzer Profil

(passiver Support)

WS

Server

Datei-Filter

Kommando-Filter

Port 21Port 21

Authentikation

Port 20 Port 20

Page 22: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

22 D

r. N

orbe

rt P

ohlm

ann,

200

2

HTTP Proxy

Authentikation

Benutzer Profil

Logbuch

Application Gateway

HTTP Proxy

Reauthentikation (Timeout)

Server

WS

Daten-Filter

Kommando-Filter

Port 80

Port 80

Page 23: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

23 D

r. N

orbe

rt P

ohlm

ann,

200

2

Bewertung: Application Gateway

Möglichkeiten

Service-orientierte Kontrolle aller Pakete durch den Proxy

spezielle Sicherheitsfunktionen für jeden Proxy

modulares, klares und überprüfbares Konzept

Verbergen der internen Netzstruktur

Grenzen

geringe Flexibilität

die Kosten sind in der Regel höher

nicht transparent

Analysemodul für Proxy n

Netzzugang

Einbindungsmodul

unsicheresNetz

zu schützendesNetz

Netzzugang

Netzwerk (IP-X)

Transport

Netzwerk (IP-Y)

Transport

Analysemodul für Proxy X

Zustands-Automat

Anwendungsdaten

Analyse

Page 24: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Möglichkeiten und Grenzen von

Firewall-Systemen

Page 25: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

25 D

r. N

orbe

rt P

ohlm

ann,

200

2

Das Kommunikationsmodell mit integriertem Firewall-System

Assets

protocol statemachine

entity

Transmitter (T) Receiver (R)

entity

action u

action t+1

action t

action 3

action 1

action 2

action ak

sj

integration andenforcement module

protocolelement

result ofanalysis

set of rules security relevantevent (ei)

ri

resultofdecision

analysismodul

decisionmodul

xi

protocolelement

statemachine

Firewall Systems

SecurityManagement

xixi

ak = action-select( protocol-state-machine(xi, sj), authenticity(xi, tl), result-of-decision( analysis(xi), security-management(rules) ), functionality-of-the-firewall-system() )

Anwender: Konfiguration

Hersteller: ImplementierungHersteller: Tiefe der Analyse

Vertrauenswürdigkeit

Authentikation

Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste

Anwender: Sicherheitspolitik

Page 26: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

26 D

r. N

orbe

rt P

ohlm

ann,

200

2

Protokolle, die nicht erlaubt sind

Konzeptionelle Möglichkeiten (1/2)-> Reduzierung des Schadensrisikos

Einschränkung der erlaubten Protokolle

Einschränkung der erlaubten Rechnersysteme

Kommunikations-Profile

spezielle Anwendungen, wie z.B. SMTP

zeitliche Einschrängung

Page 27: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

27 D

r. N

orbe

rt P

ohlm

ann,

200

2

Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept

Kosten

Umsetzung der Sicherheitspolitik

Sicherheitsinfrastruktur

Sicherheit durch Abschottung

Überprüfbarkeit

Internetzu schützendes

Netzwerk

Kommunikation(e-mail, ...)

Dienste(Web, Newsgroups, ASPs, ...)

Hacker/Cracker

Daten /Werte

Risiko

Chancen

Firewallsystem Organisation/Anwender

Page 28: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

28 D

r. N

orbe

rt P

ohlm

ann,

200

2

Konzeptionelle Grenzen eineszentralen Firewall-Systems (1/2)

Hintertüren (Back Door)

Mobile workstation

Mobilephone

GSM

Organisation 2

Organisation n

analogue network

ISDN

Teleworkstation

central office

Router

centralFirewall-system

Back Door

Organisation 1

Router

Server

Router

Server

Router

Server

IntranetInternet

Attack on assets

Attack on assets

Internalattacks

Malwareattacks

Router

Interne Angriffe

Angriffe auf Datenebene

Page 29: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

29 D

r. N

orbe

rt P

ohlm

ann,

200

2

Konzeptionelle Grenzen eineszentralen Firewall-Systems (2/2)

Security versus connectivity <-> Risiko versus Chance

Sicherheit

0

0

100%

Anzahl der erlaubten (Teilnehmer, Kommunikations-

protokolle, Kommunikationsdienste, ...) Aktionen

Page 30: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Umfassende Firewall-Systeme

Page 31: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

31 D

r. N

orbe

rt P

ohlm

ann,

200

2

Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems

Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren

Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird

Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren

Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann

Page 32: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

32 D

r. N

orbe

rt P

ohlm

ann,

200

2

Zentrales Firewall-System

Ziel:

analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik

protokolliert sicherheitsrelevante Ereignisse

alarmiert bei erheblichen Verstößen

entity

Transmitter (TL)

xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

Page 33: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

33 D

r. N

orbe

rt P

ohlm

ann,

200

2

Verschlüsselung - VPNs oder SSL-> Analogie zum Sicherheitstransporter

Ziel:

Vertraulichkeit der Protokollelemente

Verhinderung von Trittbrettfahrern

Verhinderung einer gezielten Manipulation von Protokollelementen

Assets

entity

Transmitter (TL)

xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

VPN

Page 34: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

34 D

r. N

orbe

rt P

ohlm

ann,

200

2

Zentraler Virenscanner-> Analogie zur zentralen Poststelle

Ziel: Erkennen von Viren an zentraler Stelle

Verhindern, dass Viren in die Organisation übertragen werden

Protokollieren der gefundenen Viren und Alarmierung

Assets

entity

Transmitter (TL)

xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

Page 35: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

35 D

r. N

orbe

rt P

ohlm

ann,

200

2

Intrusion Detection-> Analogie zur Videoüberwachung

Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung

Sicherheitsmechanismen

Mißbrauchserkennung (Fehler-Signaturen)

Erkennung von Anomalien

Protokollierung und Berichtserstattung

Assets

Intrusion Detection

entity

Transmitter (TL)

xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

Page 36: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

36 D

r. N

orbe

rt P

ohlm

ann,

200

2

Personal Firewall

Ziel: Schaden verhindern

Sicherheitsmechanismen:

Firewall-Funktionalitäten

Advanced Sandboxing

entity

Transmitter (TL)

xi

Receiver (RM)

entity

protocol statemachine

action v

action u+1

action u

action 3

action 1

action 2

xi

action ak

sj

statemachine

Firewall

AdvancedSandboxing

Assets

Page 37: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Die Wirkung von umfassenden von Firewall-Systemen

Page 38: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

38 D

r. N

orbe

rt P

ohlm

ann,

200

2

Definition der verwendeten Symbole

Symbol Kurzbeschreibung Definition

● sehr große Wirkung

Der entsprechende Sicherheitsmechanismus wirkt so stark gegen den definierten Angriff, dass praktisch kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch“

◕ große Wirkung

Der entsprechende Sicherheitsmechanismus wirkt stark gegen den definierten Angriff, dass normalerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch/mittel“

◑ Wirkung

Der entsprechende Sicherheitsmechanismus wirkt gegen den definierten Angriff, dass typischerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „mittel“

◔ gering Wirkung

Der entsprechende Sicherheitsmechanismus wirkt gering gegen den definierten Angriff, dass unbeabsichtigt kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „niedrig“

○ keine Wirkung

Der entsprechende Sicherheitsmechanismus hat gegen den definierten Angriff keine Wirkung, so dass ein Schaden auftreten kann.

♦ Grundlage für die WirkungDer entsprechende Sicherheitsmechanismus ist eine Grundlage damit das Firewall-System überhaupt gegen Angriffe wirken kann.

Page 39: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

39 D

r. N

orbe

rt P

ohlm

ann,

200

2

Umfassendes Firewallsystem 1/3

● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung

An

gri

ffs

art

Sicherheitsaspekte eines umfassenden Firewallsystems

Hig

h-l

eve

l Se

curi

ty F

ire

wa

ll-S

yste

m

Ve

rsch

lüss

elu

ng

An

ti-M

alw

are

-Sys

tem

Intr

usi

on

De

tect

ion

Sys

tem

e

Pe

rso

na

l Fir

ew

all

nic

htte

chn

isch

e S

ich

erh

eits

ma

ßn

ah

me

n

Ve

rtra

ue

nsw

ürd

igke

it

Au

dits

Sic

he

rhe

itsp

olit

ik

sich

ere

r B

etr

ieb

Wiederholen o. Verzögern von Protokollelementen ◕ ◕ ○ ○ ◔ ○ ♦ ♦ ♦ ♦Einfügen o. Löschen von Daten in den Protokollelementen ◕ ● ○ ○ ◔ ○ ♦ ♦ ♦ ♦Modif ikation der Daten in den Protokollelementen ◕ ● ○ ○ ○ ○ ♦ ♦ ♦ ♦Boykott des Receivers ◕ ○ ○ ◑ ◔ ◕ ♦ ♦ ♦ ♦Trittbrettfahrer ◑ ● ○ ○ ◔ ○ ♦ ♦ ♦ ♦Empfangen von Malw are (Viren, Würmer, Trojanische Pferde,...)◕ ○ ◕ ○ ● ◕ ♦ ♦ ♦ ♦

Angriffe

durch

einen

Dritten

Page 40: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

40 D

r. N

orbe

rt P

ohlm

ann,

200

2

Umfassendes Firewallsystem 2/3

An

gri

ffs

art

Sicherheitsaspekte eines umfassenden Firewallsystems

Hig

h-l

eve

l Se

curi

ty F

ire

wa

ll-S

yste

m

Ve

rsch

lüss

elu

ng

An

ti-M

alw

are

-Sys

tem

Intr

usi

on

De

tect

ion

Sys

tem

e

Pe

rso

na

l Fir

ew

all

nic

htte

chn

isch

e S

ich

erh

eits

ma

ßn

ah

me

n

Ve

rtra

ue

nsw

ürd

igke

it

Au

dits

Sic

he

rhe

itsp

olit

ik

sich

ere

r B

etr

ieb

Aufbau u. Nutzung von Kommunikationsverbindungen ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Nutzung von Kommunikationsprotollen und –diensten ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Vortäuschen einer falschen Identität (Maskerade-Angrif f ) ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Java, ActiveX, ... Angrif fe ◕ ○ ○ ◑ ● ◕ ♦ ♦ ♦ ♦falsche Konf iguration/Implementierungsfehler ● ○ ○ ○ ◔ ○ ♦ ♦ ♦ ♦Leugnen der Kommunikationsbeziehung ◑ ○ ○ ○ ○ ◕ ♦ ♦ ♦ ♦

Angriffe

durch den

Trans-

mitter

● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung

Page 41: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

41 D

r. N

orbe

rt P

ohlm

ann,

200

2

Umfassendes Firewallsystem 3/3

● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung

Bei diesem Angriff haben die nichttechnischen Sicherheits-mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.

An

gri

ffs

art

Sicherheitsaspekte eines umfassenden Firewallsystems

Hig

h-l

eve

l Se

curi

ty F

ire

wa

ll-S

yste

m

Ve

rsch

lüss

elu

ng

An

ti-M

alw

are

-Sys

tem

Intr

usi

on

De

tect

ion

Sys

tem

e

Pe

rso

na

l Fir

ew

all

nic

htte

chn

isch

e S

ich

erh

eits

ma

ßn

ah

me

n

Ve

rtra

ue

nsw

ürd

igke

it

Au

dits

Sic

he

rhe

itsp

olit

ik

sich

ere

r B

etr

ieb

Social Engieering ○ ○ ○ ○ ○ ● ○ ♦ ♦ ♦Analyse mit Hilfe von Scannerprogrammen ● ○ ○ ◑ ○ ○ ♦ ♦ ♦ ♦Manipulation des Firew all-Systems ● ○ ○ ◑ ○ ◕ ♦ ● ♦ ♦Einbau einer Trap-Door ○ ○ ○ ◔ ○ ○ ● ○ ○ ○Nutzung einer falschen Konf iguration des Firew all-Systems ● ○ ○ ◑ ○ ◕ ○ ● ♦ ♦Nutzung von Implementierungsfehlers des Firew all-Systems ● ○ ○ ◑ ○ ◕ ♦ ● ♦ ♦interne Angrif fe ○ ○ ○ ◕ ● ◕ ○ ◔ ♦ ♦

Vorbe-

reitung für

Angriffe

Page 42: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

42 D

r. N

orbe

rt P

ohlm

ann,

200

2

Weiterentwicklung von umfassenden Firewall-Systemen

Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen

Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf

Zunehmende Innovationen

Universelle Authentisierung

Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen

Intrusion Detection Systems

Page 43: Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann.

Möglichkeiten und Grenzen von Firewall-Systemen

[email protected]

Vielen Dank für Ihre Aufmerksamkeit

Fragen ?


Recommended