Transkript

1 1 Einleitung Grundlagen Entwicklung und Verbreitung des Internets und TCP/IP Entstehung des Internets Kommerzialisierung des Internets Heutige Verbreitung des Internets Grundlagen von TCP/IP Die Schichtenmodelle Netzwerkschicht Internetschicht Transportschicht Weitere Protokolle des IP Applikationsschicht Die Offenheit der Protokolle und das Gefahrenpotential Einsatz von Firewalls zum Schutz vertrauenswürdiger Netzwerke De-militarisierte Zone Technische Sicherheitsmechanismen Paketfilter Vorteile von Paketfiltern Nachteile von Paketfiltern Circuit Level und Application Level Gateways Vorteile von Circuit Level und Application Level Gateways Nachteile von Circuit Level und Application Level Gateways Stateful Inspection Vorteile der Stateful Inspection Nachteile der Stateful Inspection Das Sicherheitskonzept Allgemeines zum Sicherheitskonzept Planung und Entwicklung des Sicherheitskonzepts Schaffung der Grundvoraussetzungen Feststellung des Ist-Zustands Definition von Prioritäten Schützenswerte Güter Mögliche Risiken und Bedrohungen

2 4.2.6 Bewertung der Bedrohungen und Risiken Kosten-Nutzen Analyse und das Sicherheitsniveau Festlegung und Beurteilung von Maßnahmen für die verschiedenen Bereiche Sicherheitskonzept Umsetzung der Maßnahmen Dokumentation des Sicherheitsniveaus und der Maßnahmen Aufrecherhaltung der Sicherheit Notwendige Maßnahmen zur Erhaltung der Sicherheit Überprüfung des Sicherheitsniveaus auf der organisatorischen Ebene Überprüfung des Sicherheitsniveaus auf der technischen Ebene Einige Hinweise zur Überprüfung einer FireWall Check Point FireWall-1 Grundlagen und Installation Komponenten der Check Point FireWall Inspektions-Modul Managementmodul Das GUI Einige optionale Möglichkeiten der Check Point FireWall Remote-Management Authentisierung Virtual Private Networks Load Balancing Routerverwaltung mit dem Open Security Manager Integration weiterer Software Leistungsfähigkeit der Check Point FireWall Installation und De-Installation Installationsvoraussetzungen Absicherung von Microsoft Windows NT Installation unter Microsoft Windows NT Installation und Absicherung von Sun Solaris Installation unter Sun Solaris Installation und Absicherung von Linux Hinweise zur Installation der FW-1 unter anderen Betriebssystemen De-Installation der Check Point FireWall Upgrade von Version 3.x Upgrade von Version 4.0 auf Installation von Service Packs Lizenzierung der Check Point FireWall Lizenztypen Eingabe von Lizenzen Features einer FireWall-1-Lizenz Kontrolle eingegebener Lizenzen Regelbasiseditor Das Menü und die Werkzeugleiste Die Werkzeugleiste des Regelbasiseditors Kurze Vorstellung der einzelnen Menüs Die Grundeinstellungen einer FireWall Installation einer Regelbasis

3 7 Manager der FireWall Netzwerkobjekt-Manager Workstation Network Domain Router Switch Integrated Firewall Group Logical Server Address Range Gateway Cluster Service-Manager TCP Compound TCP UDP RPC ICMP Other Group Port Range Ressourcen-Manager URI URI for Traffic Control SMTP FTP Group Server-Manager UFP-Server CVP-Server RADIUS und Gruppe von RADIUS-Servern TACACS-Server Defender-Server LDAP-Server CA (ab Version 4.1) Policy-Server (ab Version 4.1) User-Manager Group External Group Template Anlegen eines Benutzers Zeit-Manager Time Group Key-Manager SPI

4 8 Eingabe von Regeln Allgemeines Angabe von Absender und Ziel Auswahl an Services Geforderte Aktionen: Action Accept Drop Reject User Auth Client Auth Session Auth Encrypt Client Encrypt Die Reaktion der Firewall: Track No Short Long Account Alert Mail SNMP Trap UserDefined Installationsmöglichkeiten Install on Gateways Source Destination Routers Integrated Firewalls Targets Hinweise Zeitliche Beschränkung von Regeln: Time Stealth-Regel Clean-up-Regel Reihenfolge, in der die Regeln greifen Weiteres System-Status und Log Viewer Beschreibung des System Status Grundsätzliches Zustände des System-Status Das Menü und die Werkzeugleiste Eingabe von Alarmen bei Statuswechsel Beschreibung des Log Viewers Allgemeine Einstellungen und Hinweise Die Werkzeugleiste und Menüs Log-Einträge Klassisches Log: Security Log Accounting-Log Log aktiver Verbindungen Block-Intruder-Funktionalität

5 10 Authentisierung mit der FireWall Authentisierungsmethoden der FireWall Interne Authentisierungsmethoden Externe Authentisierungsmethoden Authentisierung von Benutzern User-Authentisierung Client-Authentisierung Session-Authentisierung Kombination der Authentisierungsverfahren Reihenfolge der Regeln zur Authentisierung Hinweise zur Einrichtung Anwendung von Account Units LDAP Lightweight Directory Access Protocol Installation des Account Management Client Vorbereitungen an der FireWall Einrichtung und Verwaltung von Benutzern auf LDAP-Servern Nutzung der Authentisierungsmöglichkeit in einer Regelbasis Network Address Translation Notwendigkeit und Möglichkeiten RfC Prinzip der NAT Static Mode Static Destination Mode Static Source Mode Hide Mode Einrichtung der NAT bei einer FireWall Das NAT-GUI Automatische NAT Manuelle NAT Mögliche Probleme bei der NAT ARP Routing Host-Routing Anti-Spoofing Mögliche Probleme mit einzelnen Protokollen Virtual Private Networks (VPN) mit der VPN-1/FireWall Grundlagen der Kryptographie Grundsätzliche Forderungen an Kryptosysteme Angriffe gegen Verschlüsselungssysteme Verschlüsselungsalgorithmen Symmetrische Verschlüsselung Echtheitsbestätigung übertragener Daten Verschlüsselungsprotokolle Anwendbare Möglichkeiten in der VPN Verschiedene Typen von VPN

6 Intranet VPN Remote-Access VPN Extranet VPN Vollständiges VPN VPN von Firewall zu Firewall FWZ IKE Manual IPSEC SKIP VPN von SecuRemote-Clients zur FireWall Das Prinzip von SecuRemote Installation von SecuRemote auf einem PC Einrichtung der VPN-1 für die Nutzung von SecuRemote Einrichtung von SecuRemote und der laufende Betrieb Der Einsatz von SecureClients Restrisiken bei der Nutzung von SecuRemote Der Policy-Server Installation des SecureClient Absicherung von Rechnern durch SecureClient Secure-Client in der Praxis Hinweise zur Konfiguration von SecuRemote und Secure-Client Einrichtung vieler SecuRemote-Clients Authentisierung mit dem Hybrid Mode Nutzung des Nameservice im Intra- und Internet Ausfallsicherheit für SecuRemote und Secure-Client Die Konfigurationsdatei»userc.C« Ausfallsicherheit mit der VPN-1/FireWall Überlappende Verschlüsselungsdomains Full overlap Volle Überschneidung der Verschlüsselungsdomains Partial overlap Teilweise Überschneidung der Verschlüsselungsdomains Proper subset Saubere Teilmengen von Verschlüsselungsdomains Hochverfügbarkeitslösung für eine Firewall Single Entry Point: SEP Prinzipielle Arbeitsweise eines SEP Grundkonfiguration der einzelnen Maschinen Einrichtung des SEP über das GUI Einrichtung der Synchonisation von State Tables Einschränkungen von SEP Ausfallsicherheit für SecuRemote Multiple Entry Points: MEP Das Prinzip von MEP Die Konfiguration von MEP und Einrichtung von IP-Pools Einschränkungen von MEP

7 14 Bedienung über die Kommandozeile Basiskommandos Das Kommando fw Allgemeiner Aufbau Kommandos für die Lizenzverwaltung Kommandos für das Monitoring Kommandos für die Konfiguration Kommandos für die Benutzerverwaltung von Hand Verwaltung von Zertifikaten und der internen CA Kommandos für die Accelerator Card Weitere Kommandos der FireWall Beispiel: Installation und De-Installation der Regelbasis von Hand Die Sprache INSPECT Praktische Konfigurationsbeispiele für die FireWall Hinweis zur Vergabe von Namen Vorstellung einer Beispielumgebung Aufbau einer einfachen Regelbasis Reihenfolge der Regeln Anpassung der Grundeinstellungen der FireWall Spezielle Regeln Nutzung von Ressourcen Ressourcen für SMTP Ressourcen für FTP Ressourcen für HTTP Definition eigener Ressourcen Einige mögliche Probleme bei FTP, HTTP und SMTP Einbindung und Konfiguration von Alarmen Authentisierung von Benutzern für verschiedene Dienste Eingabe von Regeln zur Authentisierung User-Authentisierung für Telnet und HTTP User-Authentisierung für HTTP über SSL User-Authentisierung für FTP Client-Authentisierung Session-Authentisierung Einrichtung von NAT Static Mode Hide Mode Remote Management der FireWall Abheben des GUI Trennung von Inspektions- und Management-Modul Routerverwaltung mit der FireWall Grundvoraussetzungen, Regeln und deren Installation Import der ACLs von einem Router

8 15.10 Aufbau Virtueller Privater Netzwerke Aufbau eines festen VPN mit FWZ Aufbau eines festen VPN mit SKIP Aufbau eines festen VPN mit Manual IPSEC Aufbau eines festen VPN mit IKE Sichere Datenübertragung mit SecuRemote und Secure-Client Vorbereitung der VPN-1 am Netzwerk des Unternehmens Installation und Einrichtung auf der Client-Seite Definition der Regelbasis Betrieb des VPN Load-Balancing Load-Balancing für HTTP Load-Balancing für FTP und andere Dienste Synchronisation mehrerer FireWall Performance-Tuning an einer FireWall-1/VPN Einige Bemerkungen zu Hardware und Betriebssystemen Einige Bemerkungen zur Konfiguration der FireWall-1/VPN A Weitere Quellen über Check Point FireWall A.1 Literatur A.2 Internet A.2.1 Web-Server A.2.2 Mailinglisten A.2.3 News-Server B Verzeichnisse B.1 Verzeichnis von Ports einer VPN-1 & FireWall B.2 Verzeichnisse von TCP- und UDP-Ports C Glossar Stichwortverzeichnis