Einführungzum Thema
Firewalls
1. Einführung
2. Firewall-Typen
3. Praktischer Einsatz
4. Linux-Firewall
5. Grenzen
6. Trends
7. Fazit
1.Einführung
Die Nutzung des Internets bringt viele neue Chancen - birgt aberauch Risiken für eine Organisation
-Unerlaubte Informationsgewinnung
-Zerstörung bzw. Modifikation von Daten
-Kontrollübernahme des EDV-Systems durch externen Angreifer
1. Einführung
1. Einführung
Was ist eine Firewall?
- Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B.dem Internet
- Oft eigenständige Hardwaregeräte
- Zugriffssteuerungsmechanismus; Unbefugten wird der Zugriff auf dasinterne Netzwerk verweigert
- Schaffung von sicheren Subnetzen (z.B. für die Entwicklungsabteilung)
- Alle Verbindungsanfragen müssen hier durch
2. Firewall-Typen
2.1 Paket-Filter FirewallsPaket-Filter Firewalls sind normalerweise Router, die über Funktionenzur Paketfilterung verfügen.
Bevor die Pakete weitergeleitet werden, werden sie mit den definiertenRegeln verglichen.
Bei einem Verstoss gegen eine Regel wird das Paket nichtweitergeleitet.
2. Firewall-Typen
Überprüft werden:
-IP-Adressen
-Portnummern
-Protokollnummern
Die Filterregeln können generell als Gebots- oder Verbotsregeln ausgelegtwerden:
- Bei einer Auslegung als Gebotsregel ist alles verboten, was nicht expliziterlaubt ist
-Bei einer Auslegung als Verbotsregel ist alles erlaubt, was nicht explizitverboten ist
2. Firewall-Typen
Vorteile von Paketfiltern :-Kostengünstig
-Gute Performance
-Leicht erweiterbar
Nachteile von Paketfiltern:-Filterregeln können sehr umfangreich werden
-Fehlende Kontrolle des Inhaltes der Datagramme
-Unzureichende Integrität, Fälschbarkeit von IP-Adressen
2. Firewall-Typen
2.2 Proxy oder Application Gateway
Physische Trennung durch zwei Netzwerkanschlüsse
Der Client kontaktiert den Proxy und dieser kontaktiert dann (nach derAnalyse) den eigentlichen Server
Es kommt zu keinem direkten Aufbau einer Verbindungsbeziehung.
Für jeden Dienst (z.B. FTP) ist ein spezifischer Proxy notwendig.
2.Firewall-Typen
Vorteile von Proxys:-Hohes Mass an Sicherheit
-Authentisierung des Benutzers möglich
-Vollständige Entkopplung zwischen den Netzwerken
Nachteile von Proxys:-Hoher Rechenaufwand (schlechte Performance)
-Verfügbarkeit von spez. Proxys bei neuen Protokollen
-Wenig skalierbar
2. Firewall-Typen
2.3 Andere Firewall Systeme
2.3.1 Stateful Packet Filter:
SPF basieren auf dem Prinzip der Paketfilterung
Zusätzlich haben sie interne Zustandstabellen, mit denen sie die Sitzungenüberwachen (siehe Linux-Firewall)
Beispielsweise können alle Ports > 1024 geschlossen (und nur bei Bedarfgeöffnet) werden
2. Firewall-Typen
2.3.2 Stateful Inspection Firewalls
Filterung der eingehenden Pakete wie bei einer Paket Filter Firewall
Extrahierung zutandsbezogener Informationen und Speicherung ininternen Tabellen
Bewertung nachfolgender Verbindungsversuche
=> Erweiterung des SPF-Ansatzes um die Nutzdatenanalyse, Client-Server-Modell wird nicht durchbrochen
2. Firewall-Typen
3. Firewalls im praktischen Einsatz
Ausschliesslicher Einsatz von Application Gateways
Externes Netz
Firewall
Internes Netz
3. Praktischer Einsatz
Fähigkeiten:
-Verbergen der internen Netzwerkarchitektur
- Benutzerauthentifizierung
- Kontrolle der IP-Adresse
- Zugriff nur über erlaubte Ports und Protokolle
- Alarmierung
- Verbesserte Protokollierung (Benutzeridentifikation)
- Kontrolle auf der Anwendungsebene (z.B. Anwendungsfilter für bestimmmte Kommandos)
Insgesamt schon eine recht hohe Schutzwirkung
3. Praktischer Einsatz
De-Militarized Zone (DMZ)
Externes Netz
Internes Netz
Paket Filter
Paket Filter
Application Gateway
3. Praktischer Einsatz
3. Praktischer Einsatz
Paketfilter-Regeln sind einfach und überschaubar (aus der Sicht desPaketfilters kommuniziert der Application Gateway nur mit dem gekoppeltenNetz)
Einsatz von unterschiedlichen Analysekonzepten, unterschiedlichenBetriebssystemen und verschiedenen Herstellern (um die Anzahl derSicherheitslücken zu verringern)
Ein Firewall-System für höchste Sicherheitsanforderungen, aber Aufwandund Kosten ebenfalls sehr hoch (ca. 3-4 Mal höher)
4. Linux Firewall (ab Kernel 2.4)
Es gibt drei Tabelle:
- Filter: (hauptsächlich) Filtern von eingehenden Datenpaketen
- Nat: Adressübersetzung
- Masquerade:Verändern von Paket-Parametern (z.B. TTL)
Jede Tabelle besteht aus mehreren Regelketten (chains), die die einzelnen
Regeln definieren.
4. Linux-Firewall
Es gibt weiterhin 5 Chains:
- Input: für den lokalen Prozess bestimmte Pakete
- Output: vom lokalen Prozess stammende Pakete
- Forward: zu routende Pakete laufen hier durch
- Prerouting: unmittelbar vor der Routingentscheidung laufen die Pakete hier
durch
- Postrouting: nach dem Routing laufen alle Pakete hier durch
Es können auch benutzerdefinierte Chains erstellt werden.
Nicht jede Kombination von Tabelle - Chain ist sinnvoll/erlaubt
4. Linux-Firewall
Paketauswertung
Prerouting
Postrouting
Output
Forward
Input
Routing
LokaleProzesse
4. Linux-Firewall
Weiterer Fortschritt gegenüber Vorgängerversion:
Überwachung der Verbindungen mit internen Zustandstabellen
Zuordnung von "new", "established", "related" oder "invalid" zu denentsprechenden Verbindungen
=> Schliessung aller Ports >1024
Es werden nur Pakete hereingelassen, die zu einer von innen aufgebautenVerbindung gehören
4. Linux-Firewall
5. Grenzen von Firewalls
-Angriffe aus dem internen Netz
-Social Engineering
-Viren
5. Grenzen
6.Trends
Post-Firewall-Ära:Jedes Computersystem schützt sich selbst mit leistungsfähigenAuthentifikations- und Verschlüsselungsmechanismen
Datenaustausch über sichere Kommunikationskanäle mit identifiziertenKommunikationspartnern (bisher begrenzt von der Leistungsfähigkeit derComputer)
6. Trends
7. Fazit
Firewalls sind ein MUSS zur Erhöhung derNetzwerksicherheit.
Dennoch absolute Sicherheit nicht möglich.
Es geht darum, möglichst wenig Angriffspunkte zu bieten.
Abwägung - welche Dienste werden benötigt ? (um vondem Nutzen der Vernetzung zu profitieren, beigleichzeitiger höchstmöglicher Sicherheit)
7.Fazit