Firewalls. Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg

Transkript

1 Proseminar Electronic Banking und Digitale Unterschriften Firewalls Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg

2 Übersicht Einleitung Grundlagen Firewall Bestandteile Paketfilter Bastion Host Firewall Architekturen Dual Homed Host Screened Host Screened Subnet Personal Firewalls

3 Einleitung Was ist eine Firewall? Wozu werden Firewalls gebraucht?

4 Einleitung Was ist eine Firewall? Ein System, das den Datenverkehr zwischen einem zu schützenden Netz (z.b. LAN) und einem unsicheren Netz (z.b. Internet) gemäß festgelegter Sicherheitsregeln überwacht, kontrolliert und protokolliert.

5 Einleitung Wozu werden Firewalls gebraucht? Schutz vor Ausspionieren sicherheitsrelevanter, firmeninterner Daten (Industriespionage) Schutz vor Abhören von Fremdnetzen bzw. Fremdpersonen mit dem Zweck an persönliche Daten und Passwörter zu gelangen

6 Grundlagen OSI/ISO Schichtmodell OSI/ISO vs TCP/IP Schichtmodell Protokollverteilung TCP Segment 3-Wege-Handshake UDP Segment TCP/ UDP Portnummern IP Segment IP Adressen Kapselung von Daten

7 Grundlagen OSI/ISO - Schichtmodell Das, was der Anwender sieht,explorer, Dateimanager usw. Fast jeder Rechner hat sein eigenes Datei format.die Darstellung schicht wandelt diese Daten in ein einheitliches Format um. Steuert die An- u. Abmeldung von Benutzern eines Systems Organisation der Auslieferung / Sicherung des Datentransportes mit TCP/UDP Hier werden IP - Adressen festgelegt (Weg findung der Datenpakete (Routing)) Die Daten, die zwischen 2 Stationen ausgetauscht werden, werden mit einem fehlerkorrigierenden Protokoll übertragen. Hier sind beispielsweise festgelegt: Kabeldicken, Kabellängen, Spannung oder auch die Distrubition der Bit - Übertragung sowie die "MAC" Adresse (12-stellig) OSI Open System Interconnect ISO International Standard Organisation

8 Grundlagen OSI/ISO vs TCP/IP - Schichtmodell

9 Grundlagen Protokollverteilung Telnet Network Termination Protocol FTP File Transfer Protocol SMTP Simple Mail Transfer Protocol HTTP Hyper Text Transfer Protocol TCP Transmission Control Protocol UDP User Datagramm Protocol IP Internet Protocol ICMP Internet Control Message Protocol ARP Address Resolution Protocol PPP Point-to-Point Protocol

10 Grundlagen TCP - Segment Transmission Control Protokoll Ist für den ordnungsgemäßen Austasch der Daten zwischen Sender und Empfänger zuständig Ist ein zuverlässiges verbindungsorientiertes Byte-Stream-Protokoll Arbeitet mit 3-Wege-Handshake Durch die Quell- / Zielportnummer werden die Daten an die richtige Anwendung in der Anwendungsschicht weitergeleitet

11 Grundlagen 3-Wege-Handshake

12 Grundlagen UDP - Segment User Datagramm Protokoll Ist ein unzuverlässiges verbindungloses Datagramm-Protokoll Quell- und Zielportnummer sind wieder für die richtige Übergabe an die richtige Anwendung zuständig Ist für kleine Datenmengen und für Frage-Antwort-Nachrichen geeignet Ist bei kleinen Datenmengen zeitmäßig und verwaltungstechnisch effizienter als TCP weil kein Verbindungsaufbau etabliert werden muß

13 Grundlagen TCP/ UDP - Portnummern 7 TCP/UDP ECHO 20 TCP FTP-DATA - File Tranfer Protocol (Datenverbindung) 21 TCP FTP - File Transfer Protocol (Kontrollverbindung) 23 TCP TELNET - Rechnerfernsteuerung (Unix-Welt) 25 TCP SMTP - Simple Mail Transfer Protocol ( versenden) 53 TCP/UDP DNS - Domain Name System 79 TCP finger - Abfrage von Informationen 80 TCP HTTP - Hyper Text Transfer Protocol (World Wide Web) 110 TCP POP3 - Post Office Protocol 3 ( abholen) 137 TCP/UDP NETBIOS Name Service 138 UDP NETBIOS Datagram Service 139 TCP NETBIOS Session Service 389 TCP LDAP - Lightweight Directory Acess Protokoll 443 TCP HTTPS - HTTP über gesicherte Verbindung (SSL) 500 UDP ISAKMP - IKE Internet Key Exchange

14 Grundlagen IP - Segment Internet Protokoll unzuverlässiges verbindungsloses Protokoll Definition des Datagramms, der kleinsten Übertragungseinheit im Internet Festlegung des Adressierungsschemas im Internet Datentransport zwichen Netz- und Transportschicht Routing von Datagrammen zu fernen Rechnern Fragmentierung und Defragmentierung von Datagrammen

15 Grundlagen IP - Adressen Klasse Bits im 1.Byte Netzadreßbereich Netzanteil Rechneranteil Anzal der Anzahl der Rechner Netze pro Netz A 0xxxxxxx Byte 3 Byte B 10xxxxxx Byte 2 Byte C 110xxxxx Byte 1 Byte D&E 111xxxxx speziell / für Multicasting reserviert Jeder Rechner bekommt eindeutige IP-Adresse von seinem Netzbetreiber zugewiesen Bei Netzen können ganze Adressräume zugewiesen werden Der Administrator kann dann die einzelnen Adressen des Adressraums auf die einzelnen Rechner des Netz verteilen

16 Grundlagen Kapselung der Daten

17 Firewall - Bestandteile Paketfilter Was ist ein Paketfilter? Selektionskriterien Beispiel: SMTP - Versand Vor- und Nachteile Bastion Host Was ist ein Bastion Host? Proxy Dienste

18 Paketfilter Was ist ein Paketfilter? Steuert selektiv den Datenfluß von und zu einem Netz Läßt Pakete zwischen zwei Netzen (meißt Internet und einem internen Netzwerk) passieren oder blockiert sie Ein vorher aufgestelltes Regelwerk, die sogenannte Access Control List (ACL) selektiert die Pakete Wird mit Hilfe von Routern oder auch Hosts realisiert

19 Paketfilter Selektionskriterien IP Quell- / Zieladresse Protokoll (ob es TCP- / UDP- oder ICMP-Paket ist) TCP- oder UDP- Quell- / Zielport Kontrollbits im TCP - Segment ICMP Nachrichtentyp In- / Out- Schnittstelle eines Pakets Es gibt 2 verschiedene Herangehensweisen (Politik) Es ist alles erlaubt, was nicht ausdrücklich verboten ist Es ist alles verboten, was nicht ausdrüchlich erlaubt ist

20 Paketfilter

21 Paketfilter

22 Paketfilter

23 Paketfilter

24 Paketfilter

25 Paketfilter

26 Paketfilter Vor- und Nachteile Vorteile: Durch einen Paketfilter kann man sehr einfach selektiv bestimmte Dienste, Rechner oder ganze Teilnetze freischalten. Die Kosten für eine solche Lösung sind sehr gering, da fast alle Router derartige Filterfunktionen schon eingebaut haben. Der technische Aufwand, der für diese Lösung betrieben werden muss ist ebenfalls im unteren Bereich anzusiedeln. Für den Benutzer stellt sich ein Paketfilter meist völlig transparent dar. Nachteile: Die Filterregeln können bei größeren Netzen sehr schnell unübersichtlich werden, was der Sicherheit wiederum abträglich ist. Eine Überprüfung der Regeln ist meist sehr aufwendig. Es stellt sich dem potentiellen Angreifer nur eine Sicherheitsbarriere (Paketfilter) in den Weg, danach ist das ganze lokale Netz ungeschützt. Es kann keine Kontrolle der Nutzdaten erfolgen.

27 Bastion Host Was ist ein Bastion Host? Erster oder einziger Rechner der aus dem Internet erreichbar ist Höchste Hostsicherheit ist erforderlich Softwareausstattung sollte so einfach wie möglich gehalten werden (Minimalsystem/Least Privilege) Erbringt und leitet Internetdienste weiter Benutzeraccounts sollten nicht eingerichtet werden Darf nicht die Funktionalität eines Routers erfüllen Übernimmt oftmals die Protokollfunktionen (Logging/Auditing)

28 Bastion Host Proxy / Gateway Dienste Es könnten Proxy-Dienste auf dem Bastion Host eingerichtet werden: , Http, Ftp oder ahnliche Dienste Circuit-Level-Gateways: überwacht 3-Wege-Handshake des TCP Aplikation-Level-Gateway: spezielle Anwendungen können Dateninhalte und Authentisierung von Benutzern überwachen

29 Firewall Architekturen Dual - Homed Host Was ist Dual - Homed Host? Vor- und Nachteile Screened Host Was ist Screened Host? Vor- und Nachteile Screened Subnet Was ist Screened Subnet? Vor- und Nachteile

30 Dual - Homed Host Was ist Dual - Homed Host? Vereinigt Gateway und Paketfilter Es darf allerdings kein Routing stattfinden Arbeitet auf Anwendungsebene

31 Dual - Homed Host Vor- und Nachteile Vorteile: Es kann hierbei eine vollständige Kontrolle der Verbindungen erfolgen, da auf Anwendungsebene gearbeitet wird. Der Konfigurationsaufwand hält sich in Grenzen, da nur ein Rechner die Firewall bildet. Die Kontrolle der Verbindungen kann hierbei inhaltsbezogen durchgeführt werden. Es kann die Identität der dahinterliegenden Rechner verborgen werden. Nachteile: Es entsteht ein Mehraufwand, da für jeden Internetdienst, evtl. ein eigener Proxy-Server installiert werden muss. Die Firewall verhält sich dem Benutzer gegenüber nicht mehr transparent. Die Clientprogramme müssen dafür ausgelegt sein. Nur der Dual-Homed Host trennt das lokale Netz vom Internet, so ist beispielsweise ein Abhören der internen Kommunikation möglich, falls der Host durch einen Angreifer eingenommen wurde. Es müssen evtl. Leistungseinbußen durch den potentiellen Engpass Dual- Homed Host in Kauf genommen werden.

32 Screened Host Was ist Screened Host? Besteht aus Paketfilter und im internen Netz liegenden Bastion Host Der Paketfilter leitet nur Pakete an den Bastion Host weiter und läßt auch nur Pakete aus dem internen Netz vom Bastion Host passieren Keine direkte Kommunikation zwischen lokalem Client und Internet möglich

33 Screened Host Vor- und Nachteile Vorteile: Bastion-Host und Paketfilter sind verschiedene Maschinen. Es entsteht hier ein geringer zusätzlicher Routingaufwand, um die Daten zusätzlich durch den Bastion-Host zu schicken. Der Bastion-Host selbst wird gegenüber dem Internet vom Paketfilter geschützt. Es können auch mehrere Bastion-Hosts eingesetzt werden, falls die Last zu groß werden sollte. Der Router verteilt die Pakete dann dienstabhängig. Ein Router ist wesentlich leichter zu verteidigen, da er nur eine überschaubare Funktionalität besitzt. Nachteile: Der Bastion-Host ist immer noch absolut entscheidend für die Sicherheit des lokalen Netzes. Das Anbieten von Diensten an das Internet stellt eine potentielle Gefahr dar, da der Server sich im lokalen Netz befinden würde. Auch vom lokalen Netz aus sind Angriffe auf die Firewall denkbar, da versucht werden könnte, den Bastion-Host zu umgehen.

34 Screened Subnet Was ist Screened Subnet? Es kommen zwei Paketfilter zum Einsatz (intern/extern), der Bastion Host befindet sich zwischen den beiden Paketfiltern Der externe Router läßt nur Pakete vom Bastion Host nach außen und der interne nach innen und umkehrt lassen die Router nur Pakete vom Bastion Host passieren

35 Screened Subnet Vor- und Nachteile Vorteile: Durch die beiden Router wird eine sehr hohe Sicherheit erreicht. Es gibt hier Logging-Möglichkeiten für nahezu jeden Angriff. Die Rechner des lokalen Netzes können nur mit dem Bastion-Host kommunizieren Die potentiellen Angriffsmöglichkeiten werden auf den Bastion-Host eingeschränkt. Es kann kein Abhören des lokalen Datenverkehrs stattfinden, da dies der interne Router verhindert. Es werden eine Reihe von Abwehrmaßnahmen möglich. Nachteile: Es wird ein hoher materieller Aufwand benötigt, da zwei Router und eine DMZ benötigt werden. Auch der wartungstechnische Aufwand steigt. DMZ Demilitarized Zone: ist der Netzstrang zwischen den beiden Routern

36 Personal Firewalls Ist eine softwaremäßige Lösung der Firewalls, die bei Einzelrechnern, wie z.b.: private Anwender oder bei nichtzentralen Internetzugang bei Firmen Meißt bedienerfreundliche Benutzeroberfläche und typische Standardeinstellungen, da die Anwender nicht unbedingt etwas von Protokollen usw. verstehen müssen Man kann den Datenverkehr ähnlich wie beim Paketfilter selektiv beeinflussen Bekannte Produkte sind z.b.: McAffee Desktop Firewall Norton / Symantec Personal Firewall Tiny Personal Firewall ZoneAlarm

37 Literatur Bücher: Building Internet Firewalls; D. Brent Chapman & Elizabeth D. Zwicky; O Reilly 1995 Firewalls und Sicherheit im Internet; William R. Cheswick, Steven M. Bellovin; Addison-Wesley 1996 Sicherheitskonzepte für des Internet; Martin Raepple; dpunkt.verlag 2001 Script Rechnernetze Prof. Hübner Internet: