Firewall-Systeme. Norbert Pohlmann. Sicherheit für Internet und Intranet. 3., aktualisierte und erweiterte Auflage

Transkript

1 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Norbert Pohlmann Firewall-Systeme Sicherheit für Internet und Intranet 3., aktualisierte und erweiterte Auflage

2 ^ Vorwort 17 Übersicht 19 1 Einleitung: Gesellschaftlicher Wandel und IT-Sicherheit Entwicklung von IT-Technologie und IT-Sicherheit Siegeszug des Internet Gefahren aus dem Internet Notwendigkeit von IT-Sicherheit Sicherheitskonzept und Zusammenhänge Chancen und Risiken - zwei Extreme der Ungewißheit Fazit Ziele von Firewall-Systemen Analogien zu Firewall-Systemen Zielsetzung eines Firewall-Systems 42 "3 TCP/l P-Technologie für Internet und Intranet Von den Anfängen bis heute Vorteile der TCP/IP-Technologie Das OSl-Referenzmodell TCP/IP-Protokollarchitektur Internet-Adressen Die Kommunikationsprotokolle IP-Protokoll Routing Protokolle ICMP 61

3 3.6.4 Portnummern UDP TCP DNS Telnet FTP SMTP HTTP NNTP 77 4 Bedrohungen im Netz Angriffsmöglichkeiten in Kommunikations-Systemen Passive Angriffe w Aktive Angriffe ' Zufällige Verfälschungsmöglichkeiten Weitere Aspekte potentieller Bedrohungen bei der Kommunikation über das Internet Angriffstools aus dem Internet Implementierungsfehler in Anwendungen und fehlerhafte Konfigurationen Wie hoch ist das Risiko? Schadenskategorien und Folgen Verstoß gegen Gesetze/Vorschriften/Verträge Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Außenwirkung Finanzielle Auswirkungen Angriffsmethoden und prinzipielle Gegenmaßnahmen auf der Grundlage der TCP/lP-Protokolle Idee eines Angriffs Analyse des Netzes mit Hilfe von Scannerprogrammen Password-Snooping und IP-Maskerade Nutzung einer falschen Konfiguration Hopping (Telnet) Nutzung von Implementierungsfehlern in Anwendungen wie z. B. sendmail IP-Adressen-Spoofing ICMP-Angriffe Internet-Routing-Angriffe Ergebnisse der KES/Utimaco-Studien Zusammenfassung 111

4 5 Elemente eines Firewall-Systems Aktive Firewall-Elemente Architektur von aktiven Firewall-Elementen Designkonzept aktiver Firewall-Elemente Packet Filter Allgemeine Arbeitsweise von Packet Filtern Überprüfungen auf der Netzzugangsebene Überprüfungen auf der Netzwerkebene 123 ' Überprüfungen auf der Transportebene Strategien für den Aufbau und die Bewertung der Filterregeln Beispiel für den Einsatz eines Packet Filters Dynamischer Packet Filter BenutzerorientierteV Packet Filter Sicherheitsrelevante Informationen in einem Packet Filter Realisierungsformen für Packet Filter Anwendungsgebiete von Packet Filtern Zustandsorientierte Packet Filter (stateful inspection) Application Gateway Allgemeine Arbeitsweise des Application Gateway Die Proxies Application Level Proxies SMTP Proxy Benutzerorientierte Application Level Proxies Telnet Proxy FTP Proxy 160, HTTP Proxy Authentication Proxy (Global Authentication) Transparent Proxy Spezielle Proxies Circuit Level Proxies SOCKS Anwendungsbeispiel für den SOCKS v5 Server Anwendungsgebiete von Application Gateways Adaptive Proxy Firewall-Elemente im Verhältnis Speed und Security Security Management für aktive Firewall-Elemente 182

5 6 Konzepte für Firewall-Systeme Ausschließlicher Einsatz eines Packet Filters Ausschließlicher Einsatz eines Application Gateway Kombination von Firewall-Elementen Packet Filter und single-homed Application Gateway Packet Filter und dual-homed Application Gateway Zwei Packet Filter als Screened Subnet und ein single-homed Application Gateway Zwei Packet Filter als Screened Subnet und ein dual-homed Application Gateway (High-Ievel Security Firewall-System) Möglichkeiten eines High-Ievel Security Firewall-Systems Internet Server Intranet Server Mehrere Application Gateways parallel Das richtige Firewall-Konzept für jeden Einsatzfall Mail-Konzept DNS-Konzepte Firewall-Systeme und Verschlüsselung Sicherhertsmechanismen für Verschlüsselung und Digitale Signatur Private-Key-Verfahren Public-Key-Verfahren One-Way-Hashfunktion Hybride Verschlüsselungstechnik Zertifikations-Systeme Chipkarte (SmartCard) Security Briefumschlag und Signatur für die elektronische Post Sicherheitsdienste des -Sicherheitssystems Security aus Sicht des Benutzers Objektverschlüsselung und Firewall-Systeme Der elektronische Vertrag: Die Rechtsform der Zukunft? Unterschiedliche Konzepte für objekt-orientierte Sicherheit (S/MIME, PGP) Der Markt bestimmt den Erfolg TeleTrusT - ein interdisziplinärer Verein zur Förderung der Vertrauenswürdigkeit in dmer Informations- und Kommunikationstechnologie MailTrusT - interoperable Sicherheitslösung

6 7.3 Virtual Private Networks (VPN) Sicherheitssystem als transparente Lösung Black-Box-Lösung Security Sublayer im Endgerät: End-to-end-Verschlüsselung Sicherheit in LAN-Segmenten Kopplung von LAN-Segmenten mit einer Security Bridge Kopplung von LAN-Segmenten über öffentliche Netze Bildung von kryptographisch gesicherten logischen. Netzen (VPN) Security Client Anwendungsfälle Transparente Verschlüsselung und Firewall-Systeme Vergleich zweier Konzepte: -Security versus VPN-Sicherheit Authentikationsverfahren Identifikation und Authentikation Generelle Authentikationsverfahren Passwort-Verfahren Einmal-Passwort Challenge-Response-Verfahren Authentikationsverfahren für Firewall-Systeme S/Key (MD5) Authentikationsverfahren mit Security Token Signaturkarte (Chipkarte) Verschiedene Firewall-Lösungen und ihre Bewertung Public Domain Software oder ein Firewall-Produkt? Public Domain Software für die Firewall-Application Firewall-Produkte Linux als sicheres Betriebssystem für Firewall-Lösungen Softwarelösung oder Turn-Key-Lösung? Was bietet eine Softwarelösung? Was ist eine Turn-Key Lösung? Kriterien für die Beurteilung der tatsächlichen Sicherheitsleistung eines Firewall-Produktes Offene und transparente Sicherheit Geprüfte, nachweisbare Sicherheit Sicherheit ohne staatliche Restriktionen

7 10 Praktischer Einsatz von Firewall-Systemen Sichere Kopplung des eigenen Intranet an das Internet Internet Server Intranet Security (VPN) Höhere End-to-end-Sicherheit Abschottung von Organisationseinheiten untereinander Skalierbare Sicherheit Remote Access (Tele-Arbeit, Mobil-Arbeitsplätze) Ankopplung besonderer Organisationseinheiten Externe Modem-Anschlüsse Modem-Verbindungen aus dem unsicheren Netz in das zu schützende Netz Virengefahr Integration von Viren-Scannern am Common Point of Trust Weitere technische, personelle und organisatorische Maßnahmen Intrusion Detection-Systeme Ein Firewall-System ist mehr als ein Produkt Firewall-Sicherheitspolitik Sicherheftsziele Darstellung der zu schützenden Ressourcen Festlegung von Kommunikationsanforderungen Festlegung von Diensten und Anwendungen Zusätzliche Sicherheitsmaßnahmen Infrastruktur Organisation Personal Notfall Konzeptionelle Grenzen eines Firewall-Systems Hintertüren Interne Angriffe Anwendungsdatenorientierte Angriffe Richtige Sicherheitspolitik und richtige Umsetzung der Sicherheitpolitik Trittbrettfahrer Wissen und Hypothese Security versus Connectivity Vertrauenswürdigkeit des Kommunikationspartners und der empfangenen Daten Praktische Sicherheit

8 12 Besondere Aufgabenstellungen bei Firewall-Systemen Network Address Translation Firewall-System und Network Address Translation Probleme für Netze, die mit illegalen IP-Adressen arbeiten Domänen-Namen Verwaltung mehrerer Firewall-Systeme mit Hilfe eines Security Managements Geschachtelte Firewall-Konstellationen Ausfallsicherheit Weiterführende Aufgabenstellungen bei Firewall-Systemen Logbuch - Belastung oder Nutzen? Ziele der Protokollierung Protokollierung von Ereignissen Alarmierung Beweissicherung Schutz der Protokolldaten Reaktionen auf eine Sicherheitsverletzung Datenschutzaspekte Java und seine Verwandten Java JavaScript ActiveX Anschaffung und Betrieb eines Firewall-Systems Beschaffungsphase eines Firewall-Systems Aufrechterhaltung des Betriebs eines Firewall-Systems Zusammenfassung der Kosten Evaluierung und Zertifizierung von Firewall-Systemen ITSEC-Zertifizierung ICSA-Zertifizierung Weiterentwicklung von Firewall-Systemen Höhere Geschwindigkeiten Identifikations-und Authentikationsverfahren Neue Proxies für neue Dienste Protokollauswertung Überprüfung von Firewall-Systemen im Betrieb (Security Audit) Einleitung

9 Definition von Security Audit Komponenten eines Security Audit Werkzeuge zur technischen Datensammlung Zusätzliche Informationsquellen Allgemeine Mailinglisten Intrusion Detection/Response-Systeme Einleitung Unterscheidung zwischen Detection und Response Einbindung in Firewall-Systeme Hauptaufgaben des IDS Aufbau und Funktionsweise von IDS Auswertekonzepte Grenzen von IDS Theoretische Grundlagen von Firewall-Systemen Definition eines Kommunikationsmodells Definition der Transmitter Definition der Receiver Definition der Protokollelemente Definition der Aktionen Kommunikationsabläufe Bedrohungen aus dem Netz Definition eines Firewall-Elements Definition des Kommunikationsmodells mit integriertem Firewall-System Bedrohungen des Firewall-Systems Grundsätzliche Einflußfaktoren für die Auswahl und Durchführung der Aktion auf der Empfängerseite Fehlerquellen durch Angriffe aus dem Netz Fehlerquellen der Kommunikationslösung beim Receiver Fehlerquellen des Firewall-Systems Sicherheitsdienste eines Firewall-Systems Die Wirkung der Sicherheitsdienste Die Wirkung der Einsatzumgebung Die Wirkung einer vertrauenswürdigen Realisierung eines Firewall-Systems Die Wirkung der Einfußfaktoren der eigenen Organisation Die Wirkung der unterschiedlichen Firewall-Konzepte Die Wirkung weiterer Sicherheitsmechanismen Zusammenfassung

10 Recht im Internet 457 Aktuelle Formen des Delikts»Computerkriminalität«458 Persönlichkeitsrechtsverletzungen 458 Wirtschaftsdelikte 459 Sonstige Delikte 461 Rechtsfragen Paradigmenwechsel und Perspektiven Zusammenfassung A.1 A.2 A.3 A.4 A.5 Computerkriminalität - Fakten und Zahlen Kriminalitätsstatistik-des BKA Schätzungen der Schadenshöhe Fallbeispiele Anhang A: Sicherheitsstandards S-HTTP SSL/TLS SKIP IPv6 IPSec Anhang B: Wichtige Adressen Anhang C: Legende Anhana D: Firewall-Produkte Anhang E: Literaturverzeichnis Anhang F: Sicherheitsanforderungen an Internet-Firewalls (BSI) Anhang G: Glossar, Abkürzungen Index