Hauptseminar Neue Sicherheitstechnologien. Firewalltechnologie

Größe: px
Ab Seite anzeigen:

Download "Hauptseminar Neue Sicherheitstechnologien. Firewalltechnologie"

Transkript

1 Universität Stuttgart Institut für Parallele und Verteilte Höchstleistungsrechnung (IPVR) Abteilung Verteilte Systeme Hauptseminar Neue Sicherheitstechnologien Firewalltechnologie Boris Wesslowski 6. Februar 2002 Übersicht: In diesem Dokument werden Firewalls, ihre Platzierung in Netzen und die Funktionsweise der verschiedenen Typen vorgestellt. Besonders hervorgehoben wird die Konfiguration von Paketfiltern und dabei entstehende Probleme, z.b. welche Aufgaben nicht mit Firewalls gelöst werden können. Auch Schwachstellen, die von Firewalls bekannt geworden sind, werden beschrieben. Schließlich wird ein Ausblick auf die zu erwartende Entwicklung dieser Technologie gewagt.

2 Inhaltsverzeichnis Inhaltsverzeichnis... 2 Motivation... 3 Aufbau... 3 Typen... 4 Applikations-Gateways... 4 Vorteile... 4 Nachteile... 4 Paketfilter... 4 Zustandslose Paketfilter... 4 Zustandsbehaftete Paketfilter... 5 Vergleich... 5 Erweiterungen... 6 Stateful Inspection... 7 Probleme... 7 Konfiguration... 7 Sicherheitskonzepte... 7 Filterlisten... 8 Beispiele... 8 Linux 2.2 (ipchains)... 8 Linux 2.4 (netfilter)... 8 Check Point FireWall Probleme... 9 Paket-Forensik Beispiele Linux 2.2 (ipchains) Linux 2.4 (netfilter) Cisco IOS Firewall Feature Set Vergleich fwlogwatch Schwachstellen Angriffe auf Firewalls Allgemein Beispiele Check Point FireWall-1 RDP Bypass Vulnerability Ausblick Quellen Abbildungsverzeichnis

3 Motivation Das Internet boomt. Die Nutzerzahlen wachsen schnell und die Zugangstechnologien werden ständig ausgebaut. Je mehr Menschen das Internet nutzen, desto höher ist die Wahrscheinlichkeit, dass man im Netz auf diejenigen trifft, die einem ohne besonderen Grund Schaden zufügen wollen. Inzwischen wird jeder, der darauf achtet, selbst wenn er nur seine eigene (vielleicht sogar dynamische) IP-Adresse überwacht, spätestens seit der Verbreitung der Massenviren und Würmer, ohne lange darauf warten zu müssen Angriffe aus dem Internet feststellen können. So werden am Übergang zwischen dem Internet und den Netzen der Universität Stuttgart täglich im Mittel Ereignisse protokolliert. Mit jedermann frei zugänglichen Programmen ist es heutzutage möglich, große Netzbereiche nach Rechnern zu durchsuchen ( scannen ) und die (oft unabsichtlich) angebotenen Dienste zu finden, gleich mit einer für den Angreifer erfolgsversprechenden Schwachstellenanalyse. Obwohl die Komplexität der Angriffe steigt und die Anzahl der fähigen Angreifer ( Cracker ) laut Statistik sinkt, ist es üblich, Beispielprogramme ( Exploits ) für neu erkannte Schwachstellen zu verbreiten, die auch die wachsende Anzahl von Laien unter den Crackern, die sogenannten Skript Kiddies, ohne ihre Funktionsweise zu verstehen benutzen können. Da Endanwender und viele Systemadministratoren der schnelllebigen Computersicherheitsszene nicht folgen können oder wollen, müssen sie sich auf andere Art und Weise schützen bzw. von einer zentralen Stelle in Ihrer Organisation vor den Angriffen aus dem Internet schützen lassen. Dazu dienen Firewalls. Aufbau Es sind mehrere Netztopologien denkbar, in denen der Einsatz von Firewalls sinnvoll ist. Im einfachsten Aufbau ist ein Rechner seine eigene Firewall und filtert ankommende Pakete selbst (sogenannte Personal Firewall ). Sind eine Reihe von Rechnern direkt geroutet im Netz erreichbar, kann die Firewall als Gateway auftreten, das den möglichen Verkehr zu den Rechnern einschränkt. Die meisten TCP/IP-basierten Intranets benutzen private (im Internet nicht geroutete) Adressen und werden über ein Gateway mit Adressumsetzung ins Internet geleitet (Network Address Translation, NAT, eine Untergruppe davon ist unter Linux auch als Masquerading bekannt) oder verbinden sich zu einem Proxy der Zugang zum Internet hat. In großen Netzen, in denen man sowohl ein geschütztes Intranet haben als auch Dienste im Internet anbieten will, führt man eine sogenannte demilitarisierte Zone (DMZ, manchmal auch entmilitarisierte Zone genannt) ein. Zwischen Internet und der DMZ steht eine routende Firewall, die die Server schützt. Das Intranet wird mit einer NAT-Firewall an die DMZ angeschlossen und verbirgt das Intranet 3

4 hinter einer öffentlichen Adresse. An vielen einfachen Geräten ist eine dritte Netzwerkschnittstelle vorhanden, die die DMZ bereitstellt. Sicherer ist aber, die beiden Netzübergänge zu trennen, wenn möglich mit zwei verschiedenen Firewallprodukten, da die Wahrscheinlichkeit gering ist, dass in beiden gleichzeitig eine neue Schwachstelle entdeckt wird. Das heißt, eine Firewall ist gleichzeitig entweder ein Router/Gateway oder ein Server, durch den die Verbindung vermittelt wird. Typen Firewalls können in zwei Grundtypen eingeteilt werden, Paketfilter und Applikations-Gateways. Mit der Zeit werden immer mehr Eigenschaften der Applikations-Gateways in Paketfilter eingebaut, so dass hybride Firewalls entstehen. Applikations-Gateways sind Proxies, d.h. es sind Programme, die auf Applikationsebene auf einen bestimmten Dienst spezialisiert sind und zwischen Server und Client vermitteln. Jede Verbindung von einem Client zu einem Dienst im Internet wird an den Server gerichtet, dieser richtet die Anfrage nach einer Überprüfung an das Ziel weiter. Vorteile Sie kennen alle Interaktionsmöglichkeiten zwischen den beiden Kommunikationspartnern. So können sie Angriffe auf den eigentlichen Server abwehren, indem sie speziell konstruierte, ungültige Anfragen nicht an diesen weiterleiten. Zusätzlich bieten sie meist weitere Möglichkeiten der Applikationsschicht, z.b. zur Benutzerauthentifizierung. Nachteile Ein Proxy ist für den Endbenutzer nicht transparent, Software im geschützten Netz muss darauf abgestimmt werden. Da es sehr viele und teilweise sehr komplexe Protokolle für die Applikationsschicht gibt, ist es kaum möglich, für jedes ein Modul für das Applikations-Gateway zu bekommen, bestimmte Dienste lassen sich gar nicht bzw. nicht sinnvoll über Proxies leiten. Außerdem braucht man Leistungsfähige Proxy-Server um große Netze bzw. hohe Bandbreiten zu versorgen. Paketfilter schauen sich jedes Paket einzeln an, vergleichen bestimmte Felder im Kopf ( Header ) des Pakets mit einer Regelliste und entscheiden damit das Schicksal der Daten. Sie sind transparent für den Endanwender, sehr schnell und teilweise sogar in Hardware implementierbar. Zustandslose Paketfilter Die einfachen Paketfilter, die viele simple Geräte wie z.b. Funk-LAN- Zugangspunkte neben Ihrer Hauptfunktion anbieten, werden als zustandslos ( stateless ) bezeichnet, weil für jedes Paket die Regelliste 4

5 von neuem gilt und auf die selbe Art und Weise durchlaufen wird. Manchmal sieht man sie auch unter dem Namen Screening Router. Zustandsbehaftete Paketfilter Ein zustandsbehafteter ( stateful ) Paketfilter kann im Gegensatz zum zustandslosen verbindungsorientiert arbeiten, dafür braucht er aber Kenntnisse des Protokolls. Bei TCP heißt das, dass er den Verbindungsaufbau und Verbindungsabbau kennen muss und während der Verbindung anhand der Sequenznummern erkennen kann, ob die Pakete zu dieser Verbindung gehören. Die Firewall durchläuft dafür für jede Verbindung dasselbe Verbindungszustandsdiagramm wie der Rechner der die Verbindung verarbeitet. Vergleich In den Figuren 1, 2 und 3 zeigen die roten Felder die mit zustandslosen Paketfiltern mindestens filterbaren Elemente (andere Felder wurden vor der Filterung schon vom IP- bzw. TCP-Stack verifiziert, z.b. die Checksummen und die TTL). Einige Paketfilter erlauben weitere Felder abzufragen oder beliebige Bytepositionen in den Headern mit einer Maske zu verknüpfen und das Ergebnis zu vergleichen. Die Felder die von einem zustandsbehafteten Paketfilter zusätzlich analysiert werden sind gelb dargestellt. Version Header Length Identification Type of Service - D F M F Total Length Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding Fig. 1: IP (Version 4) Header 5

6 Source Port Destination Port Sequence Number Acknowledgement Number Data Offset Reserved U R G A C K P S H R S T S Y N F I N Window Size Checksum Urgent Pointer Options Padding Data Fig. 2: TCP Header Source Port Length Destination Port Checksum Data Fig. 3: UDP Header Bei Routern, die hohe Bandbreiten versorgen müssen, wird oft eine Optimierung vorgenommen, so dass bestehende ( established ) Verbindungen am Anfang der Regelliste erlaubt werden und schnell bearbeitet werden können und nur Pakete die Verbindungen aufbauen gefiltert werden. Dazu müssen bei zustandslosen Paketfiltern pauschal alle Pakete durchgelassen werden, bei denen das ACK-Bit gesetzt ist. Bei zustandsbehafteten Paketfiltern ist das nicht nötig, da für jeden Datenstrom der Zustand etablierte Verbindung genau geprüft werden kann. So ist es z.b. möglich, durch einen zustandslosen Paketfilter der so konfiguriert ist hindurch festzustellen, hinter welchen Adressen sich Rechner verbergen indem man mit Paketen mit ACK aber ohne SYN scannt. Ein zustandsbehafteter Paketfilter würde die Pakete verwerfen, da er erkennen kann, dass die Sequenznummer zu keiner gültigen Verbindung passt, selbst wenn die restlichen Verbindungsparameter (Protokoll, Adressen und Ports) die einer gültigen Verbindung sind. Erweiterungen Es gibt sehr viele Hersteller von Firewalls und viel Forschung und Entwicklung in diesem wachsenden Markt, so entstehen immer wieder neue Ideen, weitere Sicherheitsmaßnahmen zu implementieren. Als ein Beispiel sei die Firma Whale Communications genannt, die mit ihrer Air Gap Technologie Werbung dafür macht, dass ihre Firewall Netze physikalisch trennt, also ein Stück Luft dazwischen entsteht. Das Prinzip basiert darauf, in der Firewall alle Protokollinformationen zu entfernen und nur die Nachricht (per SCSI-Schnittstelle) in einen externen Puffer zu schreiben, der dann elektrisch von dem Gerät abgetrennt und an eine 6

7 interne Firewall angeschlossen wird. Diese liest den Puffer aus, verifiziert die Nachricht und leitet sie nach den Anleitungen in einer Regelliste im Intranet weiter. So werden IP-basierte Angriffe unmöglich und trotz ständiger Wechsel ist eine Übertragungsrate von 100 MBit/Sekunde möglich. Stateful Inspection Den Begriff Stateful Inspection hat die israelische Firma Check Point geprägt. Damit ist eine Technik gemeint, die über die Zustandsverfolgung hinaus bei ausgewählten Protokollen in die Applikationsschicht (Blau markiert in Figuren 2 und 3) hineinschauen kann. So können dynamische Protokolle wie das File Transfer Protocol (FTP) oder das Telekonferenzprotokoll H.323 genau gefiltert werden, ohne riesige Portbereiche offen lassen zu müssen, indem der Kontrollkanal überwacht wird und so vorausgesagt werden kann, welchen dynamisch zugewiesenen Port eine legitime Verbindung benutzen wird. Probleme Zustandsbehaftete Paketfilter haben das Problem, dass andere Protokolle als TCP keine Zustandsinformationen mitführen. So kann z.b. das User Datagram Protocol (UDP, siehe Figur 3) nur mit Zeitüberschreitungen ( Timeouts ) zustandsbehaftet gefiltert werden, was bei längeren Inaktivitätszeiten der Verbindung zu für den Endanwender schwer diagnostizierbaren Fehlern führen kann. Konfiguration Erschreckend viele IT-Verantwortliche verlassen sich auf bunte Bilder und unverständliches Fachchinesisch (bzw. Japanisch) bei der Wahl der Appliance die ihr Netz schützen soll und vernachlässigen, dass jede Firewall, so mächtig und teuer sie auch sein mag, nur so gut und gründlich wie Ihre Filterliste ist, und diese kontinuierlich an das Sicherheitskonzept der Firma angepasst werden muss. Sicherheitskonzepte Eine Firewall ist streng genommen ein Werkzeug, dass ein Sicherheitskonzept ( Policy ) erzwingt, in vielen Fällen z.b. nicht nur die Festlegung, welche Dienste nach Außen angeboten werden dürfen, sondern auch was von Innen möglich sein soll. Das Konzept wird in Regeln ausgedrückt und diese in Form einer Filterliste auf einer Firewall implementiert. 7

8 Filterlisten Filterlisten funktionieren so, dass die interessanten Daten aus dem Kopf des Pakets mit den Daten in einer Zeile der Filterliste (die nicht alle Felder zu enthalten braucht oder Wildcards benutzen kann) verglichen wird, die erste Regel die zutrifft wird genommen, die Aktion die sie beschreibt auf das Paket angewandt (z.b. weiterleiten oder verwerfen) und die Abarbeitung der Filterliste an dieser Stelle beendet. Meistens wird eine Filterliste pro Schnittstelle oder Richtung angelegt. Es gibt zwei mögliche Grundeinstellungen eines Paketfilters, sie werden an der letzten Regel der Regelliste bzw. durch die "Default-Regel" bestimmt, d.h. was mit einem Paket passiert, wenn keine andere Regel zutrifft. Die eine Möglichkeit ist, am Ende alles zu erlauben und nur Regeln für die Ereignisse (Protokolle, Rechner, Dienste), die man verbieten will, einzutragen. Dies entspricht der Aussage alles was nicht explizit verboten ist, ist erlaubt und wird Blacklist genannt. Das Gegenteil, die Policy "alles was nicht explizit erlaubt ist, ist verboten" (Whitelist) hat entsprechend als letzte Regel ein Verwerfen aller Pakete, die bis dorthin gekommen sind, und ist sicherheitstechnisch sinnvoller. Beispiele Die beiden Linux-Beispiele zeigen den Aufbau einer Whitelist, die Zugang von einem privaten Subnetz zum Webserver der Universität Stuttgart bietet und jeden Verbindungsaufbau protokolliert. Linux 2.2 (ipchains) ipchains bietet eine einfache, zustandslose Paketfilterfunktionalität. ipchains -F ipchains -P forward DENY ipchains -A forward -p tcp --destination-port 80! -y -j ACCEPT ipchains -A forward -p tcp -s /24 -d l j ACCEPT Zuerst werden eventuell vorhandene Regeln gelöscht ( Flush ) und die Default-Policy für eine Whitelist gesetzt. Dann werden TCP-Pakete zu Port 80, die nicht eine neue Verbindung aufbauen, zugelassen (siehe Erklärung und Probleme oben) und schließlich der http-verbindungsaufbau (ein y um das SYN zu markieren ist nicht nötig da nichts anderes mehr vorkommen kann) vom Quellnetz zum Zielserver mit Protokollierung ( -l ) hinzugefügt. Linux 2.4 (netfilter) netfilter mit der Benutzerschnittstelle iptables bietet eine zustandsbehaftete Paketfilterfunktionalität mit wesentlich mehr Filtermöglichkeiten als ipchains. iptables -t filter -F iptables -t filter -P FORWARD DROP 8

9 iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -s /24 -d dport 80 -m state --state NEW -j LOG iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -s /24 -d dport 80 -m state --state NEW -j ACCEPT Die Konfiguration entspricht der obigen, wobei hier das interne connection tracking verwendet wird, um bestehende Verbindungen zu erkennen. Man beachte, dass das Paket nach der LOG-Regel von der Filterliste weiterbearbeitet wird. Check Point FireWall-1 Die Konfiguration der FireWall-1 erfolgt über eine grafische Oberfläche. Das Sicherheitskonzept wird genauso in Regeln gefasst und kann mit Objekten repräsentiert werden (siehe Abb. 1). Viele Protokolle sind als Objekt vorkonfiguriert, eine Überprüfung der Daten der Applikationsschicht, obwohl manchmal vorhanden, ist nicht sichtbar. Bei der Aktivierung der Filterliste wird diese in die C-ähnliche Sprache INSPECT übersetzt und auf der Firewall installiert. Dabei findet auch eine einfache Konsistenzüberprüfung der Regeln statt. Abb. 1: FireWall-1 Konfigurationseditor Probleme Das Hauptproblem von Firewalls ist eigentlich der Administrator. Von den Fällen abgesehen, in denen die Möglichkeiten der Technik begrenzt sind, sind es meist Konfigurationsfehler oder Fehlinterpretation von Protokollverhalten, die zu Schwachstellen führen. Andererseits gibt es Angriffe, gegen die Firewalls nicht geeignet sind, z.b. wird oft missverstanden, dass Paketfilter wenig gegen Viren ausrichten können. Viel zitiert aber wenig unternommen wird im Falle von internen Angriffen, die hinter der Firewall passieren und von dieser gar nicht 9

10 bemerkt oder verhindert werden können. Außerdem gilt immer, dass die Firewall nicht vor dem schützen kann, was nicht durch die Firewall geht; ein billiges Modem in Intranet, das sich bei einem öffentlichen Anbieter einwählt, kann ein ganzes Sicherheitskonzept (in beide Richtungen) aushebeln. Paket-Forensik Zur Anpassung einer Firewall an ein vorhandenes Netz ist am sichersten, eine Whitelist mit restriktiven Regeln zu benutzen und alle am Ende der Filterliste nicht erlaubten Pakete bevor sie verworfen werden zu protokollieren. Mit dem Protokoll ( Log ) kann der Paketfilter angepasst oder die entdeckten überflüssigen Dienste entfernt werden. Im laufenden Betrieb ist das Protokoll zur Auffindung von Angriffen nützlich, wobei es manchmal sinnvoll sein kann, auch bestimmte Pakete die weitergeleitet werden zu protokollieren. Beispiele Linux 2.2 (ipchains) Jan 30 18:22:33 loghost kernel: Packet log: input DENY eth0 PROTO= : :80 L=60 S=0x10 I=48346 F=0x4000 T=64 SYN (#1) Linux 2.4 (netfilter) Jan 30 18:23:47 loghost kernel: IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC= DST= LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=50638 DF PROTO=TCP SPT=32776 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 Cisco IOS Firewall Feature Set Jan 30 18:24:52 loghost : %SEC-6-IPACCESSLOGP: list i2u denied tcp (32773) -> (80), 1 packet Vergleich Die drei Beispiele zeigen Verbindungsaufbauten zu einem Webserver in einem privaten Netz. Gemeinsam ist den drei Beispielen der Zeitstempel, der Syslog-Server, das Protokoll und die Quell- und Zielrechner mit Ports. Bemerkenswert ist, dass netfilter die getroffene Entscheidung nicht mitloggt, dies muss über ein zu konfigurierenden Kommentar (der auch die den Namen der Filterliste erwähnen sollte) geschehen. Bei ipchains wird nur die Schnittstelle angezeigt, durch die das Paket kam, IOS zeigt sie (meist) gar nicht an, netfilter kann bei weitergeleiteten Paketen auch die ausgehende Schnittstelle anzeigen. IOS kann einen Eintrag zurückhalten und später einen loggen der für mehrere Pakete gilt. ipchains aber vor allem netfilter loggen weitere Informationen aus dem Header, interessant ist z.b. das SYN-Bit. fwlogwatch Leider gibt es kein standardisiertes Format für Logeinträge. Deshalb hat der Autor im Rahmen eines Projektes am Rechenzentrum der Universität 10

11 Stuttgart beim Computer Emergency Response Team (RUS-CERT) ein Open-Source Firewallloganalysewerkeug mit dem Namen fwlogwatch entwickelt, das Logeinträge von ipchains (Linux), netfilter/iptables (Linux), ipfilter (Solaris / BSD / Irix / HP-UX), IOS (Cisco) und PIX (Cisco) Firewalls parsen, analysieren und auf Wunsch auch auf Ereignisse darin reagieren kann. Schwachstellen Paketfilter kann man einfach umgehen (Zugang zu Systemen auf beiden Seiten vorausgesetzt), indem man beliebige Anwendungen als bestimmten Dienst tarnt, wenn z.b. eine Firewall den Dienst ssh (Port 22) sperrt aber http (Port 80) zugelassen wird, kann man auf der Gegenseite ein sshd auf Port 80 lauschen lassen und sich damit verbinden selbst wenn die Firewall zustandsbehaftet ist. Im ähnlicher Art und Weise können selbst Applikation-Gateways ausgetrickst werden, indem Eigenschaften oder gültige Erweiterungen der Protokolle missbraucht werden. Als Beispiel sei das Programm httptunnel genannt, das eine beliebige TCP-Verbindung aber auch das Point-to-Point Protokoll (PPP) durch ein http-proxy tunneln kann. Davon und von den oben genannten Problemen abgesehen gibt es auch Schwachstellen die die Firewallsoftware selber hat, so dass sie ihre Aufgabe nicht erfüllt oder selber zum kompromittierten System werden kann. Angriffe auf Firewalls Allgemein Von den oben beschriebenen Problemen abgesehen gibt es Schwachstellen die bei vielen Firewalls auftreten, meist wegen der Komplexität der Techniken, z.b. die der Fragmente: Da ein IP Paket fragmentiert werden kann und die minimale Fragmentgröße auf 8 Oktette festgelegt ist, kann es bei TCP passieren (siehe Figur 2), dass die Portnummern im ersten Fragment sind, die TCP-Flags aber im zweiten, d.h. eine Firewall müsste das Paket erst wieder zusammenbauen ( fragment reassembly ), bevor sie entscheiden kann, was damit passieren soll. Dieses Problem ist nichttrivial und oft nicht befriedigend gelöst. Es gibt aber auch andere Fälle, wo die natürliche Fragmentierung des Datenstroms Firewalls in die Irre führen kann, z.b. kann man mit genügend Geschick einen FTP-Server dazu bringen, eine Fehlermeldung auf eine speziell konstruierte Anfrage so aussehen zu lassen, als ob er eine neue dynamische Verbindung auf einem Port auf dem ein geschützter Dienst auf diesem Server läuft erwartet. Wird dieses Antwortpaket im Netz des Servers auf die Maximum Transfer Unit (MTU) getrimmt gerät der entsprechende Teil der Fehlermeldung an erste Stelle im zweiten Paket, was eine Firewall mit basischer Stateful Inspection falsch interpretiert und dem Angreifer Zugang zu dem geschützten Dienst gewährt. 11

12 Beispiele Cisco PIX Firewall SMTP Content Filtering Evasion Vulnerability Re- Introduction (2001/09/26) Eine alte Schwachstelle taucht wieder auf: Der PIX wird vorgegaukelt, die von der Policy verbotenen SMTP-Befehle wären im Inhalt einer Nachricht (während der Mailserver sie normal als Befehle interpretiert) und die ganze Protokollkontrolle in der Anwendungsschicht ist nutzlos. Raptor Firewall Zero Length UDP Packet Resource Consumption Vulnerability (2001/11/05) Ein einfacher Denial of Service -Angriff (DoS) ist möglich, die Firewall hängt sich in einer Schleife auf und muss neu gebootet werden. Cisco Context Based Access Control Protocol Check Bypassing Vulnerability (2001/11/28) Die von Cisco hoch gelobten CBAC-Regeln übersehen einfach das Protokollfeld, es kann während der Verbindung geändert werden. SmoothWall Configuration Files World Read Vulnerability (2002/01/15) Bei einer Linux-basierten Firewall kann die Konfiguration ausgelesen werden. Check Point FireWall-1 RDP Bypass Vulnerability Check Point FireWall-1 und VPN-1 ist eine der bekanntesten, teuersten und besten Firewalls weltweit, ein zustandsbehafteter Paketfilter mit Stateful Inspection. Im Juni 2001 war der Autor an der Aufdeckung einer Schwachstelle in FireWall-1 beteiligt. Bei der Standardinstallation der Firewall werden eine ganze Reihe sogenannter impliziter Regeln angelegt, die nicht veränderbar sind und nur als ganzes aktiviert oder außer Kraft gesetzt werden können. Die meisten dienen dazu, den grafischen Administrationswerkzeugen von Check Point von einem Kontrollrechner im Intranet Zugang zur Firewall zu verschaffen. Eins dieser Protokolle ist RDP, aber nicht das Reliable Data Protocol wie es in RFC 908 beschrieben ist, sondern eine UDP-basierte eigene Version von Check Point. Nach Untersuchung des hinter den impliziten Regeln stehenden INSPECT-Codes wurde klar, dass man mit einem selbergebauten RDP-Paket, das eines von vier bestimmten gültigen RDP-Kommando enthält, durch jede beliebig konfigurierte FireWall-1 hindurch in beide Richtungen unbemerkt ein Paket mit Zielport 259 absetzen kann. Da der Rest des Pakets mit beliebigen Daten gefüllt werden kann ist es durch diese Schwachstelle möglich, einen 12

13 Tunnel durch die Firewall zu bauen und beliebige Daten auszutauschen. Eine denkbare Art, damit in eine Organisation zu kommen wäre ein trojanisches Pferd einzuschleusen, dass sich beim Angreifer rückmeldet, sobald es sich eingenistet hat. Genauso könnte man einen Virus einschleusen und die damit infizierten Rechner von außen wiederfinden, all dies als ob die Firewall nicht existieren würde. Die Schwachstelle wurde von Check Point sehr ernst genommen und nach einigen Wochen, als sie eine Lösung dafür gefunden hatten, von der Inside Security GmbH auf der BUGTRAQ-Mailingliste veröffentlicht. Ausblick Bei der Entwicklung von neuen Protokollen wird inzwischen zwar schon wesentlich mehr an die Sicherheit gedacht als früher, aber erst so langsam auch an Firewallverträglichkeit. Erschwerend (sowohl für einen Angreifer aber auch für die Firewall) kommt hinzu, dass immer mehr Verschlüsselung eingesetzt wird. Applikations-Gateways und Stateful Inspection sind z.b. praktisch machtlos gegen https, obwohl sie alles über http wissen. Ein Paketfilter kann kaum eine Policy bei IPSec-Paketen im Tunnel-Mode anwenden, da er nicht mehr als die IP-Adressen der Gateways sieht. Dagegen hilft nur eine Unterbrechung der Ende-zu-Ende-Verschlüsselung, was deren Sinn wieder relativiert und viel Aufwand bereitet. Probleme, die Paketfilter zusätzlich haben, sind z.b. die Filterung von Multicast-Verkehr, der sicherheitstechnisch bisher sehr wenig analysiert wurde. Die jetzigen Möglichkeiten, Multicast nur als ganzes zu erlauben oder zu verbieten oder einzelne Multicast-Adressen zu sperren reichen nicht, Firewalls werden zustandsbehaftete Überwachung der Multicast- Protokolle und Kontrolle der Inhalte machen müssen. Außerdem lässt die IPv6-Unterstützung der meisten aktuellen Firewalls zu wünschen übrig. Mit deren Einführung werden einige bekannte und viele neue Schwachstellen in Firewalls auftauchen. Allgemein ist zu erwarten, dass Firewalls vermehrt zu VPN-Gateways (Virtual Private Network) werden und dass der Trend zu den hybriden, immer komplexeren Firewalls weiter wachsen wird, obwohl selbst Paketfilter heute schon Schwierigkeiten mit der Filterung von hohen Bandbreiten haben, was zu einer Dezentralisierung der Filterung führen wird. 13

14 Quellen Check Point Software Technologies, Cisco Systems, fwlogwatch, httptunnel, Inside Security GmbH, netfilter, RFC 768, User Datagram Protocol RFC 791, Internet Protocol RFC 793, Transmission Control Protocol RFC 1858, Security Considerations for IP Fragment Filtering RUS-CERT, SecurityFocus, Whale Communications, Abbildungsverzeichnis DMZ: Appliance: FireWall-1: 14

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009 Firewalling mit iptables Die Netfilter-Architektur Seminar Betriebssytemadministration SS 2009 Gliederung 2 Firewall Aufgaben/Ziele Firewalltypen Sicherheitspolitik Sicherheitskonzept Netzwerktopologie

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Klaus Gerhardt Linux Seiten

Klaus Gerhardt Linux Seiten Klaus Gerhardt Linux Seiten iptables und Stealth Scans Klaus Gerhardt, 08.2005, Version 0.11 (Copyright, Nutzungsbedingungen, Haftungsausschluss, s.u.) In diesem Dokument verwendete eingetragene Warenzeichen,

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr.

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr. Aufgaben einer Firewall Eine Firewall überwacht den sie durchquerenden Datenverkehr. Firewalls Dabei entscheidet die Firewall anhand vorher festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Firewall. My Company - My Castly. Kontinuierlicher Prozess

Firewall. My Company - My Castly. Kontinuierlicher Prozess Firewall My Company - My Castly 04.11.2003 1 Kontinuierlicher Prozess Im Idealfall sollte (!) IT-Sicherheit ein kontinuierlicher Prozess aus folgenden Stufen sein Protection Phase Detection Phase Response

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Ein Paketfilter. netfilter/iptables. Bernd Kohler. 19. September 2011. UMIC Research Centre RWTH Aachen

Ein Paketfilter. netfilter/iptables. Bernd Kohler. 19. September 2011. UMIC Research Centre RWTH Aachen Ein Paketfilter netfilter/iptables Bernd Kohler UMIC Research Centre RWTH Aachen 19. September 2011 1 / 31 Inhaltsverzeichnis 1 Infos zu UMIC 2 Vergleich der Syntax diverser Paketfilter 3 Worüber rede

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Firewall Lösungen mit Linux Kurs 1004

Firewall Lösungen mit Linux Kurs 1004 Firewall Lösungen mit Linux Kurs 1004 c 2005-2012 OpenSource Training Ralf Spenneberg Am Bahnhof 3-5 48565 Steinfurt http://www.opensource-training.de http://www.os-t.de Copyright Die in diesem Kurs zur

Mehr

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von. ?? Bernhard Linda Mai 2013 von Inhaltsübersicht???? von von ?? Definition: sind Netzwerkkomponenten, die ein internes Netzwerk von einem externen Netzwerk (z.b. Internet) trennen. schützen sichere interne

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Firewall-Versuch mit dem CCNA Standard Lab Bundle -Versuch mit dem CCNA Standard Lab Bundle Cisco Networking Academy Day in Naumburg 10. und 11. Juni 2005 Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik 1 Inhalt

Mehr

Einführung in Firewall-Regeln 1

Einführung in Firewall-Regeln 1 Einführung in Firewall-Regeln 1 Bei einer Firewall ist die Reihenfolge der Regeln eines Regelwerks von wichtiger Bedeutung. Besonders dann, wenn das Regelwerk der Firewall aus sehr vielen Regeln besteht.

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Multiuser Client/Server Systeme

Multiuser Client/Server Systeme Multiuser /Server Systeme Christoph Nießner Seminar: 3D im Web Universität Paderborn Wintersemester 02/03 Übersicht Was sind /Server Systeme Wie sehen Architekturen aus Verteilung der Anwendung Protokolle

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Vorab: Überblick TCP. Grundeigenschaften Punkt-zu-Punkt-Verbindung Streaming-Schnittstelle

Vorab: Überblick TCP. Grundeigenschaften Punkt-zu-Punkt-Verbindung Streaming-Schnittstelle Vorab: Überblick TCP Grundeigenschaften Punkt-zu-Punkt-Verbindung Streaming-Schnittstelle Byteorientiert keine Fragment-/Segmentgrenzen Zuverlässige Datenübertragung Verbindungsorientierte Übertragung

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 20 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Auf den Elch gekommen: Logfile-Analyse mit ELK-Server

Auf den Elch gekommen: Logfile-Analyse mit ELK-Server Auf den Elch gekommen: Logfile-Analyse mit ELK-Server Vanessa Rex, 19.03.2016 1 / 28 Vanessa Rex, 19. März 2016 Auf den Elch gekommen: Logfile-Analyse mit ELK-Server Vanessa Rex, 19.03.2016 1 / 28 Vanessa

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Praxisarbeit Semester 1

Praxisarbeit Semester 1 TITEL Praxisarbeit Semester 1 vorgelegt am: Studienbereich: Studienrichtung: Seminargruppe: Von: Praktische Informatik Felix Bueltmann Matrikelnummer: Bildungsstätte: G020096PI BA- Gera Gutachter: Inhaltsverzeichnis

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Firewall mit Netfilter/iptables

Firewall mit Netfilter/iptables Firewall mit Netfilter/iptables Proseminar Linux SS 2002 Jürgen Lehle - 1 - Inhaltsverzeichnis EINLEITUNG 3 WAS IST EINE FIREWALL? 3 WARUM SOLLTE MAN EINEN PAKETFILTER VERWENDEN? 3 WIE WERDEN PAKETE UNTER

Mehr

Grafische Auswertung von Iptables Logfiles

Grafische Auswertung von Iptables Logfiles Grafische Auswertung von Iptables Logfiles Fachhochschule Zürich Thomas Grieder 10. September 2003 1 Übersicht Übersicht Ausgangslage Ziele Methodik Logfile Iptables TreeMap Entscheid Tabelle oder Datenbank

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Internet-Firewalls. Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska

Internet-Firewalls. Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska Internet-Firewalls Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska Sicherheit im Internet? Verbindung zum Netzwerk keine Sicherheit

Mehr

#!/bin/tcsh. Das Skript wird in der Umgebung der tcsh Shell aufgerufen und ausgeführt.

#!/bin/tcsh. Das Skript wird in der Umgebung der tcsh Shell aufgerufen und ausgeführt. #!/bin/tcsh Das Skript wird in der Umgebung der tcsh Shell aufgerufen und ausgeführt. Die zusätzlichen Kommentierungen wurden zur besseren Unterscheidung in blau dargestellt und nur in Ergänzung zu den

Mehr

Sicherheit bei Videokommunikation

Sicherheit bei Videokommunikation Sicherheit bei Videokommunikation ZKI-Herbsttagung 2002 Dresden, 01./02.10.2002 SI-1 Sicherheit bei Videokommunikation von Videokonferenzen für firewallgeschütze Netze oder zu Geräten mit inoffiziellen

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

IP-COP The bad packets stop here

IP-COP The bad packets stop here LUSC Workshopweekend 2008 IP-COP The bad packets stop here Firewall auf Linuxbasis Zusammenfassung Teil 1 Was ist IP-COP? Warum IP-COP? Hardwarevoraussetzungen Konzept von IP-COP Installation Schritt für

Mehr

IT-Security Teil 10: Echte Firewalls mit NAT

IT-Security Teil 10: Echte Firewalls mit NAT IT-Security Teil 10: Echte Firewalls mit NAT 31.03.15 1 Übersicht Tipps und Tricks Architekturen Routing Packet-Filter NAT 2 Vollständiges Öffnen der Firewall iptables --policy INPUT ACCEPT iptables --policy

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Warum eine Übersetzung von Adressen? Network Address Translation () Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier.

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier. Netzwerk-Programmierung Netzwerke Sven Hartmeier shartmei@techfak.uni-bielefeld.de Übersicht Netzwerk-Protokolle Protokollfamilie TCP/IP Transmission Control Protocol (TCP) erste Schritte mit sockets Netzwerk-Programmierung

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

Beispiel TCP-/IP-Datenübertragung

Beispiel TCP-/IP-Datenübertragung TCP/IP Beispiel TCP-/IP-Datenübertragung Einfach mal Sniffen (im Raum LAN/Filius) --> Installieren Sie das Programm WireShark http://www.wireshark.org/ Lauschen Sie Ihre Netzwerkkarte aus! (10 Sek) Vorsicht!

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen Computer-Sicherheit SS 2005 Kapitel 5: Sicherheitsmechanismen Sicherheitsmechanismen Sicherheits-Richtlinien Firewalls Beispiel iptables Intrusion Detection Systeme Beispiel snort Honeynets Sicherheit

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius IAPM 3 - Shorewall 1 Shorewall Shoreline Firewall Version 2.0.9 Internet APM 3 WS04/05 Christian Beyerle Robert Tullius IAPM 3 - Shorewall 2 Inhaltsverzeichnis 1 Vorwort 3 2 Installation 4 2.1 Systemvoraussetzungen.......................

Mehr

Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains

Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains IP-Tables Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains Auf den ersten Blick scheinen ipchains und IP-Tables fast ähnlich. Beide Methoden verwenden für die Paketfilterung Regelketten,

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

15 Iptables(Netfilter)

15 Iptables(Netfilter) 15 Iptables(Netfilter) In diesem Kapitel lernen Sie die Grundlagen des Paketfilters iptables kennen. aus welchen Bausteinen iptables besteht. welche Wege TCP/IP-Pakete durch einen als Firewall konzipierten

Mehr

IPv4 - Internetwork Protocol

IPv4 - Internetwork Protocol IPv4 - Internetwork Protocol Connectionless Pakete werden abgeschickt, eine Bestätigung erfolgt NICHT! Networklayer Erfüllt die Aufgaben der 3. ISO-Schicht Aufbau # Bits Abkürzung Inhalt 4 Vers Version

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn 2.3 Applikationen Telnet, FTP, Rlogin Carsten Köhn Protokolle: TCP/IP Application umfasst Dienste, die als Prozesse des Betriebssystems ausgeführt werden SMTP, FTP, HTTP, MIME Transport regelt die Kommunikation

Mehr

TCP. Transmission Control Protocol

TCP. Transmission Control Protocol TCP Transmission Control Protocol Wiederholung TCP-Ports Segmentierung TCP Header Verbindungsaufbau-/abbau, 3 - WayHandShake Timeout & Retransmission MTU maximum transfer Unit TCP Sicher Verbunden? Individuelle

Mehr

Linux Personal Firewall mit iptables und ip6tables

Linux Personal Firewall mit iptables und ip6tables FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0402 E. Grünter, W. Anrath, S. Werner

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Iptables & NAT. R. Mutschler, inf 273 13.05.2004

Iptables & NAT. R. Mutschler, inf 273 13.05.2004 Iptables & NAT R. Mutschler, inf 273 13.05.2004 1 Inhaltsverzeichnis 1 Firewall mit Iptables 3 1.1 Einleitung............................. 3 1.2 Kernel vorbereiten........................ 3 1.3 Paketfilterung

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

1KONFIGURATION EINER DMZ

1KONFIGURATION EINER DMZ 1KONFIGURATION EINER DMZ Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Kontrollfragen Firewalltypen

Kontrollfragen Firewalltypen Kontrollfragen Firewalltypen Paketlter Die vier Grundaktionen des Paketlters Ein Paketfilter repräsentiert das Urgestein der Firewallthematik. Er arbeitet mit so genannten Regelketten, welche sequentiell

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr