Firewalls. Mai Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Transkript

1 ?? Bernhard Linda Mai 2013 von

2 Inhaltsübersicht???? von von

3 ?? Definition: sind Netzwerkkomponenten, die ein internes Netzwerk von einem externen Netzwerk (z.b. Internet) trennen. schützen sichere interne Netzwerke vor möglichen Angriffen seitens der externen Netzwerke.? von

4 ?? Schutz von Daten, die nicht veröffentlicht werden sollen (personenbezogene Daten, Betriebsgeheimnisse, Zugangsmechanismen, etc.) Schutz der Technologieressourcen? von

5 Externe, aktive Angriffe einer Person Fälschung von Informationen Diebstahl und Missbrauch von Daten (Distributed) Denial of Service Cracking Flooding etc. Autonome Einheiten Viren Würmer Trojaner etc.?? von

6 ? Zugangskontrolle Zugangsprotokollierung? von

7 ? schützt nur Verbindungen, die über sie laufen. Angriffe von Innen Untreue Mitarbeiter Hacker im eigenen Netzwerk verschlüsselte und komprimierte Pakete? von

8 I? NAT (L3) Source NAT: Masquerading, Identität des Clients verbergen. Destination NAT: Redirection, Identität des Servers verbergen. Das geschirmte Netzwerk ist nur mit der NAT-IP-Adresse erreichbar.? von

9 II Paketfilter (L2 - L4)?? von

10 III Paketfilter (L2 - L4) Stateless Packet Inspection: L2: MAC-Adress-Filterung L3: Information aus IP-Header IP-Adresse von Sender und Empfänger Acknowledgement-Bit Protokolltyp L4: Felder aus UDP-/TCP-Header Port Ein Port wird für verschiedene Funktionen verwendet.?? von

11 IV Paketfilter (L2 - L4) Stateful Packet Inspection:?? TCP Tabelle mit Timestamps für SYN/ACK-Prüfung UDP Ports bleiben für ca Sekunden für Antwort offen. Oder generell abweisen? Anzahl offene Verbindungen/Überlast? Ports werden auch dynamisch ausgehandelt. von

12 V? Paketfilter (L2 - L4) Deep Packet Inspection: Intelligenter Filter auf L4-Paket-Basis Payload: Korrelation Length-Feld/Paketlänge Payload: Websites blockieren Vorratsdatenspeicherung, Zensur nur Fragmente (vgl. Proxy-Firewall)? von

13 VI Proxy (L4, L7) Store-and-forward-Prinzip: (=keine direkte Verbindung) Schutz des Clients oder Servers Regeln Authentifizierung (HTTP, VPN) Applikationsspezifische Bandbreitenkontrolle Inhaltliche Aufbereitung oder Filterung Statistik, Protokollierung Offene Proxies: Anonymisierung Translating Proxy?? von

14 VII Proxy (L4, L7) Sichtbarkeit: Impliziter Proxy Caching Transparenter Proxy automatisch, keine Anpassung an Netzwerk Intranet bleibt verborgen Konventioneller Proxy explizite Konfiguration (z.b. Browser) Reverse Proxy Proxy vor Webserver Lastenverteilung, Encryption, Caching?? von

15 VIII? Proxy (L4) Circuit Level Gateway Transport Layer, Inhalt wird nicht gefiltert URL-Filter, Port-Sperre, Blacklist funktional wie Stateful Packet Inspection dienstunabhängig? von

16 IX Proxy (L7) Application Level Gateway Application Layer, anwendungsspezifischer Filter Filterung zugeschnitten auf Applikation (z.b. keine PUT-Pakete bei read-only FTP-Server oder Entfernung von Applet-Tags in HTML-Files) Caching der Pakete (z.b. Updates) wenig bekannte, implementierte Applikationen Komprimierung / Verschlüsselung?? von

17 X Kombinationen Bastionsrechner?? von

18 XI? Bastionsrechner Single-Homed Host eine Netzwerkschnittstelle Vorteil: zeitkritische Pakete direkt weiterleiten Dual-Homed Host zwei Netzwerkschnittstellen Forwarding deaktiviert, Verkehr nur über Proxy Nachteil: Überlastung, Delay? von

19 XII? Screened-Host Firewall Paketfilter zwischen Inter- und Intranet Single-Homed Bastionsrechner im Intranet Nicht alle Pakete werden an Bastionsrechner gesendet.? von

20 XIII Screened-Host Firewall?? von

21 XIV Screened-Host Firewall?? von

22 XV? Screened-Subnet Firewall (DMZ) Paketfilter zwischen Internet und DMZ sowie zwischen DMZ und Intranet IP-Pakete können nicht direkt zwischen Inter- und Intranet wechseln. Bastionsrechner und Server in DMZ? von

23 XVI Screened-Subnet Firewall (DMZ)?? von

24 XVII Lokal vs. Netzwerk Proxy-Funktionalität etc. AdBlocker JavaScript-Filter URL-Blacklist, Kindersicherung... Wird Firewall kompromittiert, ist es automatisch auch der zu schützende Host. Trojaner/User können Firewall deaktivieren.?? von

25 XVIII Kosten Personal Firewall Windows Firewall (umsonst) Kaspersky ca. 40 Netzwerk Firewall Fertige HW-Lösung ab ca. 100 Selbstkonfiguration Software: IPCop, IPFire, Endian, OpenWRT Embedded Hardware: ALIX ca Keller-Computer ca. 0?? von

26 I Fehlkonfiguration unbekannte Verbindungen nach außen Unwissenheit Webservices Port 80 ist schwer bis gar nicht filterbar Tunneling?? von Verantwortung liegt beim Benutzer

27 II? Multimedia- /Peer-to-peer-Protokolle Ports werden dynamisch festgelegt UDP-Pakete Datendurchsatz / zeitkritisch sind letztlich nur ein Versuch, Sicherheitslücken von Betriebssystemen und Applikationen zu schließen.? von

28 von am Beispiel Netfilter? iptables Demonstration? von

29 Netfilter/Iptables Netfilter ist eine Sammlung von Linux-Kernel-Modulen, die für das Empfangen und Senden von Netzwerkpaketen verantwortlich sind. Netfilter stellt in erster Linie Paketfilter (iptables) und NAT (Network Address Translation) zur Verfügung. Die Regeln für die Paketfilter im Netfilter können mit dem Programm iptables festgelegt werden.?? von Vordefinierte Regeln können mit dem Befehl iptables-restore aus einer Datei geladen werden.

30 Chains Alle Netzwerkpakete durchlaufen eine oder mehrere Chains. Chains enthalten Regeln (rules). Es gibt fünf vordefinierte Chains: INPUT - Ziel des Pakets ist ein lokaler Prozess. OUTPUT - Das Paket stammt von einem lokalen Prozess. FORWARD - Das Paket wird weitergeleitet.?? von PREROUTING - Für alle eingehenden Pakete. POSTROUTING - Für alle ausgehenden Pakete. Es können auch eigene Chains definiert werden.

31 Policies Die vordefinierten Chains haben eine Default Policy. Dabei handelt es sich um eine Regel, die angewandt wird, falls keine vorhergehende Regel eingetroffen ist. Definierte Policies: ACCEPT - Das Paket wird zugestellt. REJECT - Das Paket wird verworfen und eine entsprechende Antwort wird gesendet. DROP - Das Paket wird verworfen. Für den Absender des Pakets ist nicht ersichtlich, dass das Paket angekommen ist aber nicht akzeptiert wurde.?? von Eigens definierte Chains haben keine default Policies. Stattdessen wird nach Durchlaufen der Chain zur vorhergehenden zurückgekehrt.

32 Beispiel iptables? 1 * filter 2 : INPUT DROP [0:0] 3 : FORWARD DROP [0:0] 4 : OUTPUT ACCEPT [0:0] 5 -A INPUT -m conntrack -- ctstate ESTABLISHED, RELATED -j ACCEPT 6 -A INPUT -p tcp -- dport http -j ACCEPT 7 -A INPUT -p tcp -- dport domain -j ACCEPT 8 -A INPUT -p udp -- dport domain -j ACCEPT 9 -A INPUT -p tcp -- dport ssh -j ACCEPT 10 -A INPUT -p icmp -j ACCEPT 11 -A INPUT -i lo -j ACCEPT 12 COMMIT? von

33 Demonstration I? Setup: 2 Maschinen im gleichen Netzwerksegment Server 1: Router, Server 2: ein Client Kommunikation von Server 2 mit Internet nur über Server 1 möglich? von

34 Demonstration II 1 #!/ bin / bash 2 BLACKLIST =/ root / blacklist. txt 3 INTERFACE =" eth1 " 4 IPT =/ sbin / iptables 6 # Create a new chain URLFILTER 7 $IPT -N URLFILTER 9 # loop through the blacklist file and append rules to URLFILTER chain 10 grep -v -E " ^# ^ $" " $BLACKLIST " while IFS = read - r URL 11 do 12 $IPT -A URLFILTER -p tcp -- dport 80 -m string -- icase -- algo bm -- string " $URL " -j LOG -- log - prefix " BLACKLIST : $URL : " 13 $IPT -A URLFILTER -p tcp -- dport 80 -m string -- icase -- algo bm -- string " host : $URL " -j REJECT -- reject - with tcp - reset 14 $IPT -A URLFILTER -p tcp -- dport 80 -m string -- icase -- algo bm -- string " host : www. $URL " -j REJECT -- reject - with tcp - reset 15 done?? von 17 # Insert the URLFILTER chain at position 1 18 $IPT -I FORWARD -j URLFILTER

35 Quellen Literatur Andrew S. Tanenbaum (2003): Computernetzwerke (5. Auflage). Wolfgang Barth (2001): Das Firewall-Buch. Grundlage, Aufbau und Betrieb sicherer Netzwerke mit Linux (3. erw. Auflage). Andreas G. Lessig (2006): Linux- - Ein praktischer Einstieg (2. Auflage). Alexander Schill / Thomas Springer (2012): Verteilte Systeme (2. Auflage). Claudia Eckert (2008): IT-Sicherheit. Konzepte - Verfahren - Protokolle. Bilder 3/0/g jpg security/800-10/node1.html?? von