1.5.6 Verwendete Komponenten... 14

Transkript

1 Inhaltsverzeichnis 1 Vertiefende Aufgabenstellung Gerfried Wriesnig Aufgabenstellung Zusammenfassung Abstract Theoretische Erörterungen Das ISO-OSI Referenzmodell und die wichtigsten Protokolle Das ISO- OSI Modell Schichten des ISO-OSI-Referenzmodells Schicht 1: Physical Layer Schicht 2: Data-Link-Layer Schicht 3: Network Layer Schicht 5: Session Layer Schicht 6: Presentation Layer Schicht 7: Application Layer Die Entwicklung von TCP /IP Was ist TCP /IP Die wichtigsten Protokolle Das Internet-Protocol (IP) Das Transport Control Protocol (TCP) Das User Datagram Protocol (UDP) Das Internet Control Message Protocol (ICMP) Das Routing Information Protocol (RIP) Das Address Resolution Protocol (ARP) Das Hypertext Transfer Protocol (HTTP) Das Hypertext Transfer Protocol Secure (HTTPS) Angriffe auf Computersysteme und deren Prävention Broadcast Stürme Gegenmaßnahme Ping of Death Gegenmaßnahme ICMP Angriffe Gegenmaßnahme Was ist eine Firewall Was ist eine Demilitarisierte Zone (DMZ) Praktische Umsetzung Versuchsaufbau ohne Firewall Netzwerkplan Verwendete Komponenten Versuchsaufbau mit Firewall Netzwerkplan Verwendete Komponenten Konfiguration der Firewall Ergebnisse Auswertung ohne Firewall Schlussfolgerung Autor Gerfried Wriesnig REC-Remote Equipment Control,

2 1.8 Arbeitsnachweis für die vertiefende Aufgabenstellung Literaturverzeichnis Literatur zum Ingenieurprojekt Autor Gerfried Wriesnig REC-Remote Equipment Control,

3 1 Vertiefende Aufgabenstellung Gerfried Wriesnig Netzwerk Security Unterschrift:... Gerfried Wriesnig R.E.C Remote Eqipment Control

4 1.1 Aufgabenstellung Im theoretischen Teil werden die Möglichkeiten verschiedener Attacken auf IP Ebene analysiert, des Weiteren werden die möglichen Gegenmaßnahmen dazu aufgelistet. Es wird ermittelt, welche Firewall Typen es gibt und welche Vorteile bzw. Nachteile diese in unterschiedlichen Netzwerk Typologien besitzen, dabei wird auch der Begriff Demilitarized Zone (DMZ) erläutert. Ebenfalls wird auch die https Kommunikation behandelt. Im praktischen Teil wird eine Kosten Nutzen Analyse erstellt, welche die Messbaren Punkte Speicherauslastung, Reaktionszeiten sowie Administrationsaufwand in verschiedenen Typologien beschreibt. 1.2 Zusammenfassung Im Laufe der Aufbauarbeiten für die Teststellungen, haben sich einige Punkte als relativ schwer erwiesen. Wie zum Beispiel, das Portscannen aus dem Internet ist für alles verwendeten Sicherheitsvarianten gleich & für diesen Aufbau nicht aussagekräftig, da nicht verwendete Ports entweder über die auf die Simkarte gebuchte Firewall mittels als geblockt angezeigt werden, oder bei einigen Scannern gar keine Ports erkannt werden. Zum Kosten Nutzen Thema, mit der Variante ohne Firewall ist man sehr schnell in der Konfiguration und hat sehr geringe Kosten, es wäre auch eine DMZ möglich, jedoch muss man hier mit Abschlägen in der konfigurationsvariante rechnen. Der Versuchsaufbau mit der Hardwarefirewall hingegen ist eine relativ teure Angelegenheit, welcher mit den geeigneten Vorkenntnissen konfigurierbar ist. Man hat Vorteile in der Sicherheit, da man die verschiedensten Möglichkeiten hat, jedoch ist dies eine Frage des Budget, da auch für mehr verwendete DMZ Ports eigene Lizenzen gekauft werden müssen, welche extrem teuer sind. Das Thema CPU, Auslastung & Reaktionszeiten konnte bei diesem Versuchsaufbau nicht für einen messbaren Vergleich hergenommen werden, da sämtliche abfragen nicht aussagekräftig waren. 1.3 Abstract At the theoretical part there will be shown a list of the different opportunities of different network attacks and the solutions to prevent these attacks there also will be determined the different Types of firewall types especially there will be given some advantages and disadvantages of these types in the different network topologies. Also the term demilitarized Zone will be described. Another main aims is he description of the https communication. In the practical part there will be made a cost-benefit analysis of the measured resources like System capacity reaction time and the administration effort of the different topologies Gerfried Wriesnig R.E.C Remote Eqipment Control

5 1.4 Theoretische Erörterungen Das ISO-OSI Referenzmodell und die wichtigsten Protokolle Die komplexe Struktur von modernen Rechnernetzwerkaden führte zu Entwicklung von theoretischen Modellen die den Kommunikationsprozess in Schichten des vorgestellten ISO- Modells gelten Eine neue Schicht soll dort beginnen, wo ein neuer Abstraktionsgrad notwendig wird. Jede Schicht sollte eine genau definierte Funktion erfüllen. Bei der Funktionsweise sollte man die Definition internationaler genormter Protokolle im Auge behalten. Die Grenzen zwischen den einzelnen Schichten sollten so gewählt sein, dass keine Notwendigkeit dafür besteht verschiedene Funktionen auf dieselbe Schicht zu packen, und so klein dass die gesamte Struktur nicht unhandlich wird. (rfc1122, 1989) Das ISO- OSI Modell Abbildung 1 OSI-ISO Referenzmodell Gerfried Wriesnig R.E.C Remote Eqipment Control

6 1.4.3 Schichten des ISO-OSI-Referenzmodells Schicht 1: Physical Layer Der Physical Layer ist zuständig für die Übetragungsmedien. Hier werden folgende Parameter festgelegt Übertragungsmedium (Kupfer, Glasfaser, Funk) Die Funktion der einzelnen Leitungen (Datenleitung, Steuerleitung) die Übertragungsrichtung (Simplex: in eine Richtung /halb-duplex: abwechselnd in beide Richtungen / Duplex: gleichzeitig in beide Richtungen Übertragungsgeschwindigkeit Schicht 2: Data-Link-Layer Der Data- Link Layer wir auch Netzwerkschicht genannt. Sie steuert den Austausch von Datenpaketen zwischen Systemen. Es werden dabei folgende Unterscheidungen gemacht In die MAC-Schicht (Medium Access Control), die an die Bitübertragungsschicht (Schicht 1) grenzt und in die LLC-Schicht (Logical Link Control), die an die Netzwerkschicht (Schicht 3) grenzt. Die Mac-Schicht regelt die Nutzung der Übertragungsmedien und schreibt die physikalische Sende- und Empfangsadresse in das Protokoll der Datenpakete. Die LLC- Schicht teilt den Bitdatenstrom in Datenrahmen (Frames) und führt eine Fehlererkennung und -korrektur durch. - Beispielgeräte, die dieser Schicht zugeordnet werden sind Bridge und Switch Schicht 3: Network Layer Die Netzwerkschicht ist die unterste Schicht des TCP/IP-Modells. Protokolle, die auf dieser Schicht angesiedelt sind, legen fest, wie ein Host an ein bestimmtes Netzwerk angeschlossen wird und wie IP-Pakete über dieses Netzwerk übertragen werden Protokollen der höheren Schichten des TCP/IP-Modells, müssen die Protokolle der Netzwerkschicht sich auf die Details des verwendeten Netzwerks - wie z.b. Paketgrößen, Netzwerkadressierung, Anschluss Charakteristiken etc. - beziehen. Die Netzwerkschicht des TCP/IP-Modells umfasst also die Aufgaben der Bitübertragungsschicht, Sicherungsschicht und Vermittlungsschicht im OSI-Modell Schicht 4: Transport Layer Wird auch Transportschicht genannt, diese ermöglicht die Kommunikationssitzung zwischen Computern. Hier befinden sich wie in der Abbildung 1 folgende Protokolle TCP und UPD, welche für den Transport der Daten zuständig sind, die Datenübertragungsmethode ist entscheidend für das zu verwendende Protokoll Gerfried Wriesnig R.E.C Remote Eqipment Control

7 Schicht 5: Session Layer Die Sitzungsschicht und baut logische Verbindungen zwischen Sender und Empfänger auf, kontrolliert diese und beendet sie wieder. Folgende Dienste können in den Schichten 5-7 genutzt werden wie zum Beispiel FTP, Telnet, SMTP Schicht 6: Präsentation Layer Die Aufgabe der Darstellungsschicht besteht darin, die Daten in einer Form darzustellen, die vom empfangenden Gerät erkannt wird. Um sich dieses Konzept zu verdeutlichen, denken Sie an zwei Personen, die verschiedene Sprachen sprechen. Die einzige Art, sich zu verständigen, besteht darin, dass eine dritte Person als Dolmetscher fungiert. Die Darstellungsschicht dient als Dolmetscher für Geräte, die über ein Netzwerk kommunizieren Schicht 7: Applikation Layer Die oberste Schicht des TCP /IP Modells ist die, Anwendungsschicht. In dieser Schicht erhalten die Anwendungen Zugang zum Netz, in dem zahlreiche standardmäßige TCP/IP- Dienstprogramme zu Verfügung stehen, wie etwa FTP, Telnet, SNMP und DNS. Microsoft TCP/IP bietet 2 Schnittstellen, damit die Netzanwendungen die Dienste der TCP/IP Protokollschicht verwenden können. Die erste Schnittstelle mit dem Namen Windows Sockets ist eine standardmäßige Anwendungsprogrammierschnittstelle (API- Applikation Progra (792, 1981)mming Interface). Die zweite Schnittstelle für Netzwerkanwendungen ist NetBIOS. Bei dieser Schnittstelle handelt es sich um eine Standardschnittstelle Die Entwicklung von TCP /IP TCP /IP entstand Ende der 60er und Anfang der 70er Jahre bei der von der US- Behörde DARPA( Department of Defense Advanced Research Projects Agency) durchgeführten Netzwerkexperimenten zu Übertragung von Datenpaketen durch die Switching Methode Was ist TCP /IP TCP /IP ermöglich die Netzwerkkommunikation in Unternehmen und die Connectivity auf Computern die Betriebssysteme ausführen. Eine der wichtigsten Vorteile von TCP/IP liegt darin, dass es zu den derzeit ausgereiftesten und an den weit verbreitetsten Netzwerkprotokollen für Unternehmen gehört. Es wird vor allem bei modernen Betriebssystemen unterstützt und die meisten großen Netzwerke basieren beim Netzwerkdatenverkehr auf TCP/IP, das auch als Protokollstandard für das Internet dient. Ein weiterer Vorteil bei der Verwendung der TCP /IP Technologie besteht in der Fähigkeit ungleiche Systeme miteinander zu verbinden. Um Daten innerhalb ungleicher Netzwerke zu übertragen oder auf diese zuzugreifen, sind viele Standard- Dienstprogramme verfügbar. (rfc1122, 1989) Gerfried Wriesnig R.E.C Remote Eqipment Control

8 1.4.6 Die wichtigsten Protokolle Das Internet-Protocol (IP) Das IP Protokoll definiert die Grundlage der Datenkommunikation im Internet. Ob Web- Browser oder Server Zugriff, wann immer Internetanwendungen miteinander kommunizieren. Geschieht dies auf der Ebene de IP Protokolls. IP ist ein unzuverlässiges Protokoll, weil die Lieferung der Daten nicht garantiert wird. Dieses Protokoll versucht immer ein Pakt auszuliefern. Auf dem Weg zum Bestimmungsort kann ein Paket verloren gehen, außerhalb der Reihenfolge gesendet oder dupliziert werden, oder die Auslieferung kann sich verzögern. Beim Empfang von Daten erfordert IP keine Bestätigung. Wenn ein Paket verloren geht oder außerhalb der Reihenfolge gesendet wird, wird der Absender oder der Empfänger nicht darüber informiert. Die Bestätigung der Pakete ist die Aufgabe einer höheren Transportschicht, wie etwa TCP Das Transport Control Protocol (TCP) Bei TCP (Transport Control Protokoll) handelt es sich um einen zuverlässigen, verbindungsorientierten Zustelldienst, diese Daten werden in Segmenten übertragen, wobei eine Sitzung aufgebaut werden muss, bevor die Daten zwischen den Hosts ausgetauscht werden können. TCP verwendet eine Bytestrom- Kommunikation das heißt, die Daten werden wie eine Folge von Bytes behandelt. Durch Zuweisung einer Folgenummer zu jedem Segment erreicht dieser Dienst seine Zuverlässigkeit. Ist ein Segment in kleinere Teile aufgeteilt, weiß der Empfänger- Host, ob alle Teile empfangen wurden. Durch eine Bestätigung wird sichergestellt, dass der andere Host die Daten empfangen hat. Für jedes gesendete Segment muss der empfangene Host innerhalb einer bestimmten Dauer ein Bestätigungssignal (Acknowledge) zurücksenden. Erhält der Absender kein Acknowledge Signal, werden die Daten erneut übertragen. Wenn ein Segment im beschädigten Zustand empfangen wird, so verwirft der empfangene Host es. Weil auch in diesem Fall das Acknowledge Signal ausbleibt, wird das Segment vom Absender erneut übertragen. Gerfried Wriesnig R.E.C Remote Eqipment Control

9 Das User Datagramm Protocol (UDP) Das ebenfalls auf IP aufsetzende User-Datagram-Protokoll (UDP) stellt eine vereinfachte Version des TCP-Protokolls dar. Es ist in seiner Funktion beschränkt auf die Zuordnung von Portnummern zu den Applikationen. Eine zuverlässige Übertragung von Datenpaketen in der richtigen Reihenfolge leistet UDP nicht. Ereignisse wie Paketverlust, Übertragungsverzögerung oder vertauschte Pakete müssen von den Applikationen kompensiert werden, die dieses Protokoll nutzen. Jedoch benötigen nicht alle Applikationen und nicht alle Netzwerkarchitekturen eine gesicherte Verbindung zwischen zwei Kommunikationspartnern. So kann man im Regelfall davon ausgehen, dass LANs sicher genug sind, um auf gesicherte Verbindungen verzichten zu können und dadurch mit einem relativ einfachen Transportprotokoll zurechtkommen. Der Vorteil des einfacheren UDP gegenüber TCP ist, dass ein großer Teil des Kontroll- Overheads wegfällt, wodurch die Datenübertragung beschleunigt wird. UDP ermöglicht eine verbindunglose Kommunikation, bei der keine Garantie für die Auslieferung der Pakete besteht. Anwendungen, die mit UDP arbeiten, übermitteln normalerweise kleine Datenmengen gleichzeitig. Eine zuverlässige Datenübertragung ist Aufgabe der jeweiligen Anwendung Das Internet Control Message Protocol (ICMP) Da das Internet Protokoll nur einen verbindungslosen Dienst anbietet, die keinerlei Kontrollierende Sicherheitsfunktion implementiert hat, spricht man von einem unzuverlässigen Dienst. In Ergänzung zum Internet Protokoll setzt man das Internet Control Message Protocol (ICMP) zum Senden von Kontrollmeldungen in der Vermittlungsschicht ein. Ist zum Beispiel der Adressat von Datenpaketen nicht vorhanden, so werden diese Datenpakete nicht nur vernichtet, sondern der Absender erhält zusätzlich eine Nachricht, damit dieser keine weiteren Pakete an die betreffende Adresse versendet. Ein bekannter Befehl, der auf ICMP beruht, ist der ping -Befehl. (792, 1981) Das Routing Information Protocol (RIP) Das Routing Information Protocol (RIP) setzt auf UDP auf. Es dient allen Teilnehmern eines Netzes, die als Router fungieren können dazu, untereinander Informationen darüber auszutauschen, welche Netze sie erreichen können und wie weit diese entfernt sind. Durch Auswertung dieser Informationen können Router und Hosts dann erkennen, welche Netze erreichbar sind und welcher Weg dorthin der kürzeste ist. Gerfried Wriesnig R.E.C Remote Eqipment Control

10 Das Address Resolution Protocol (ARP) Um über ein Netzwerk kommunizieren zu können, müssen Hosts die Hardware-Adresse anderer Hosts kennen. Bei der Adressauswertung wird die IP- Adresse eines Hosts seiner entsprechenden Hardware- Adresse zugeordnet. Das Adressauswertungsprotokoll (ARP), das Teil der TCP/IP- Internet-Schicht ist, erhält die Hardware- Adressen des im selben physischen Netzwerks befindlichen Hosts. Das Adressauswertungsprotokoll (ARP) ist verantwortlich für den Erhalt der Hardware- Adressen der TCP/IP auf Broadcast basierten Netzwerken. ARP sende die IP Zieladresse als Broadcast an alle lokalen Hosts, um die Hardware- Adresse des Zeil- hosts oder- Gateways zu ermitteln. Sobald ARP die Hardware-Adresse ermittelt hat, werden die IP-Adresse und die Hardware- Adresse unter einem Eintrag im ARP- Cache gespeichert. Bevorein Broadcast bezüglich einer ARP Anfrage eingeleitet wird, überprüft ARP immer den ARP Cache nach einer Übereinstimmung zwischen IP Adresse und Hardware-Adresse. TCP/IP unterstützt keine umgekehrte Adressauswertung Das Hypertext Transfer Protocol (HTTP) Beim Hyper Text Transfer Protocol (HTTP) handelt es sich um ein einfaches, zustandsloses Übertragungsprotokoll für Hyper Text Markup Language (HTML), das auf das TCP Protokoll aufsetzt. Zustandslos bedeutet, dass die Übertragung jedes einzelnen Datenpakets zwischen Sender und Empfänger vollkommen unabhängig von vorher übertragenen Paketen ist. Man unterscheidet hierbei nicht zwischen den Protokollzuständen Verbindungsaufbau, Verbindung, Datenübertragung und Verbindungsabbau wie dies zum Beispiel bei TCP- Protokoll selbst der Fall ist. Die Server-Client Kommunikation erfolgt stets nach dem Schema: (2616, 1999) Client -> Server: Aufbau einer TCP/IP-Verbindung Übertragung der HTTP-Anforderung Server -> Client: Übertragung der HTTP-Antwort Abbau der Verbindung Die HTTP-Verbindung wird also in dem Moment wieder abgebaut, in dem die Antwort an den Client versendet wird und bleibt nicht über mehrere Anforderungen bestehen. Wesentlicher Vorteil dieses zustandslosen Protokolls ist, dass der Server keine Daten über bestehende oder im Aufbau befindliche Verbindungen speichern oder mehrere Verbindungen gleichzeitig aufrechterhalten muss. Da jede HTTP-Anforderung quasi in einem Schritt bearbeitet werden kann, können mit dieser Protokollarchitektur WWW-Server mit hoher Geschwindigkeit eine große Anzahl gleichzeitiger HTTP-Anforderungen verarbeiten. Gerfried Wriesnig R.E.C Remote Eqipment Control

11 Das Hypertext Transfer Protocol Secure (HTTPS) Https verschlüsselt die Daten zwischen dem Browser (Internet Explorer) und dem Webserver, die Technologie beruht auf X.509- Zertifikaten. Die Grundlagen bildet ein asymmetrisches Verschlüsselungsverfahren, da dies einen mathematischen Aufwand verursacht ist hier mit einer erhöhten Prozessorlast zu rechnen. Die Daten sind durch einen Angreifer nicht abfangbar. Jedes Zertifikat wird mit einem öffentlichen und einem privaten Schlüssel erstellt, der öffentliche Schlüssel wird für die Verschlüsselung der Daten verwendet, der private hingegen für die Entschlüsselung der Daten Angriffe auf Computersysteme und deren Prävention Broadcast Stürme Das ARP (Address-Resolution-Protocol) dient dazu, in Ethernet-Netzwerken die einer Internetadresse zugeordnete Hardwareadresse der Netzwerkkarte zu finden, um ein entsprechendes Ethernet Paket erzeugen zu können. Dazu werden ARP-Pakete in Form von Broadcasts an alle Netzteilnehmer versendet. Kann die Adresse innerhalb des Subnetzes nicht gefunden werden, so leiten Gateways diese ARP- Pakete an alle angeschlossenen Teilnetze weiter und so fort, bis die Adresse gefunden ist oder alle Möglichkeiten der Suche ausgeschöpft sind. Generiert man nun künstliche ARP- Pakete mit nicht vorhandenen Adressen, so führt das schnell zu einem sogenannten Broadcast-Sturm der Gateways. Verbessert wird dieser Angriff durch künstliche ARP- Replies, die auch von den Gateways weitergeleitet werden. Innerhalb kürzester Zeit belegen diese Brodcast-Stürme fast die gesamte Netzwerkbandbreite und beeinträchtigen die Netzwerkverfügbarkeit enorm Gegenmaßnahme Hierbei gibt es einige Gegenmaßnahmen, zum einen bietet sich hier, das Spanning Tree Protokoll an, welches einzelne Ports bei Fehlinformationen einfach blockiert und dynamisch abschalten kann. Zum anderen kann man einem Broadcaststurm mit Layer 3 Komponenten entgegenwirken (Router), da Broadcasts nur im eigenen Lan-Segment verschickt werden können, andere Netze können hier nicht erreicht werden. Ein ebenfalls wirksamer Schutz bieten hier verschiedene Vlan s, da sie die gleichen Eigenschaften besitzen wie die Konfiguration mittels Layer 3 Komponenten. Gerfried Wriesnig R.E.C Remote Eqipment Control

12 Ping of Death Ein relativ simpler aber wirkungsvoller Angriff. Man verschickt ein Datenpaket, welches vom Sender, wie beim IP-Protokoll üblich, fragmentiert wird. Dieses Datenpaket überschreitet die bei IP-Paketen zulässige Maximallänge von aber, wodurch es nach dem Zusammensetzen, wenn die Netzwerktreiber versuchen dieses Paket zu verarbeiten, zu einem Systemabsturz auf dem Zielsystem kommt Gegenmaßnahme In der Regel wurden hier die betroffenen Systeme von den Herstellern entsprechend auf den neuesten Softwarestand gebracht, so dass diese Attacke mittlerweile nicht mehr wirkungsvoll ist. Betroffene Systeme waren hier zum Beispiel Windows NT, und einige Unix-Derivate, wie zum Beispiel AIX und Solaris ICMP Angriffe Das ICMP-Protokoll dient, in Erweiterung des IP-Protokolls dazu, dem im Fehlerfall betroffenen Absender von Datenpaketen das Auftreten von Netzwerkproblemen anzuzeigen. Dieser ergreift dann entsprechende Gegenmaßnahmen. Diese Maßnahmen werden häufig von Routern und Hosts automatisch ausgeführt, die sich entsprechend rekonfigurieren. Versendet man nun künstliche oder manipulierte ICMP-Pakete, so kann man oftmals Computersysteme zu bestimmten Reaktionen bewegen. Die häufigsten Ziele dieses Angriffs, sind eine Beeinträchtigung des Netzwerks des Opfers oder eine Veränderung der Vermittlungspfade. In der Regel führt der neue Pfad über den Computer der Angreifer, um so später folgende Systemeinbrüche vorzubereiten. (792, 1981) Gegenmaßnahme Hierbei ist es schwer eine geeignete Gegenmaßnahme zu erstellen, da ICMP eine notwendige Komponente des Internet Protokolls darstellt. Es kann nr so verhindert werden, indem man das Netzwerk so konfiguriert, dass hier nur eine bestimmte maximale Anzahl vom ICMP Paketen im Netzwerk erlaubt sind Was ist eine Firewall Eine Firewall ist ein Rechner bzw. ein Gerät, das die Kommunikation zwischen zwei Rechnernetzen kontrolliert z.b. die Kommunikation zwischen Firmennetz und Internet. Die eigentliche Firewall ist eine spezielle Software, die dem Netzadministrator erlaubt einzelne Benutzerprofile zu erstellen, so dass nicht jeder Benutzer jeden zur Verfügung stehenden Dienstnutzen kann. Die Firewall Software ist zu Beginn per Voreinstellung so konfiguriert, dass der gesamte ein- und ausgehende Datenverkehr gesperrt ist. Der Administrator kann nun mit speziellen Softwaremodulen einzelne Kommunikationskanäle (Kommunikationsdienste) für einzelne Benutzer bzw. Benutzergruppen freigeben. Alle anderen Verbindungen, die nicht ausdrücklich freigeschaltet sind, bleiben blockiert. Firewalls existieren in unterschiedlichen Größen und Ausbaustufen. Je nach Anzahl der Benutzer, Schutzbedürfnis und Art der Anwendung wird man zu unterschiedlichen An-sätzen kommen, die sich in der eingesetzten Hard- und Software gravierend unterscheiden. Gerfried Wriesnig R.E.C Remote Eqipment Control

13 Was ist eine Demilitarisierte Zone (DMZ) Als demilitarisierte Zone bezeichnet man ein Netzwerk, welches sichere und kontrollierte Zugriffpunkte auf verschiedene Server besitzt. Dies wird meist mit einer oder mehreren Firewalls abgeschirmt. Das Netzwerk wird somit von außen durch eine Firewall und eine Firewall von innen durch den Zugriff im Netz geschützt. Somit hat man die Möglichkeit öffentliche Dienste anzubieten und kann gleichzeitig interne Dienste geschützt vor Zugriff von außen betreiben. 1.5 Praktische Umsetzung Versuchsaufbau ohne Firewall In diesem Szenario wird ein Netzwerk ohne Firewall aufgebaut, es wird mittels eines IP Scanners nach offenen Ports gesucht, diese werde dann im Detail aufgelistet Netzwerkplan Abbildung 2 Netzwerkplan Verwendete Komponenten Hierbei wurde ein 3G Router verwendet, welcher den Zugriff ins Internet mittels Simkarte ermöglicht, somit ist man Standortunabhängig. Es wurde ebenfalls ein dynamischer Domain Gerfried Wriesnig R.E.C Remote Eqipment Control

14 Name Service Eintrag bei einem freien Serviceanbieter gesetzt, damit die Homepage auch vom Internet erreichbar ist. Es wurden hierbei ein Portscan im Lan sowie auch ein Portscan aus dem Wan Bereich erstellt. Da hier eine spezielle Simkarte verwendet wurde sind vom Provider her mehrere Ports in Richtung Internet gesperrt, als mit einer herkömmlichen Versuchsaufbau mit Firewall In diesem Szenario wird ein Netzwerk mit Firewall konfiguriert, dabei wird ebenfalls ein IP Scanner eingesetzt um die offenen Ports im Detail anzuzeigen. Des Weiteren wurde ein DNS Eintrag bei einem freien Provider gesetzt, damit die Homepage von extern erreichbar ist Netzwerkplan Abbildung 3 Netzwerkplan Verwendete Komponenten Es wurde schon wie zuvor der 3G Router eingesetzt, jedoch wurde das Konzept um einen Switch sowie einen Access Point und eine Firewall erweitert. Bis auf den Router wurden Geräte der Firma Cisco verwendet, da diese am zuverlässigsten Arbeiten. Des Weiteren Gerfried Wriesnig R.E.C Remote Eqipment Control

15 wurde ein DNS Eintrag bei einem freien Provider gesetzt, damit die Homepage von extern erreichbar ist Konfiguration der Firewall Die Konfiguration der verwendeten Firewall ist über 2 Wege möglich über die ASDM Software ( Cisco proprietäre Software) oder mittels Comman Line Interface (CLI). In diesem Fall wurde zuerst die CLI verwendet & die Abbildung dann mittels ASDM veranschaulicht. Zuerst wurden die verschiedenen Netzwerke eingerichtet, um so den Vorteil einer getrennten Netzwerkinfrastruktur zu erhalten Abbildung 4 Firewall Konfiguration ASDM 1 Gerfried Wriesnig R.E.C Remote Eqipment Control

16 Danach wurde eine default route gelegt, welche sämtlichen unbekannten traffic an den Internetrouter schick. Abbildung 5 Firewall Konfiguration ASDM 2 Schlussendlich wurde eine Network Adress Translation (NAT) eingerichtet, damit der Verkehr gefiltert werden kann. Des Weiteren wurde eine Inspection rule aktiviert, welche auch auf den Inhalt des Datenverkehrs auf Richtigkeit überprüft. Abbildung 6 Firewall Konfiguration ASDM 3 Gerfried Wriesnig R.E.C Remote Eqipment Control

17 1.6 Ergebnisse Auswertung ohne Firewall Bei dieser Variante ist do gut wie keine Sicherheit gegeben, da mittels Ping jeder Rechner im LAN erreichbar ist & somit von extern auch auf den Webserver ohne Probleme zugegriffen werden kann. Selbst wenn die Softwarefirewall aktiviert ist, wird der Internettraffic, welcher am Port 80 weitergeleitet wird, nicht auf den Inhalt gefiltert. Somit kann dem System ein evtl. Internetverkehr vorsimuliert werden, welcher in Wahrheit ein Angriff ist. Die Konfiguration des Clients Ethernetadapter LAN-Verbindung: IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ping zum Default Gateway Hiermit ist erwiesen, dass der Client ohne Probleme ins Netzwerk kommt. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit<1ms TTL=64 Ping auf den Webserver Hierbei kann schon erkannt werden, dass wenn der Webserver nicht auf dem aktuellen Patchstand ist, dass dieser ein potentielles Ziel für Angriffe von außen & innen ist. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit<1ms TTL=255 Gerfried Wriesnig R.E.C Remote Eqipment Control

18 Ping zum Domain Name Server im Internet (A1 DNS) Wenn der richtige DNS Server eingestellt ist, dann ist hier ein internetverkehr möglich. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit=248ms TTL=53 Die Konfiguration des Webservers Ethernetadapter LAN-Verbindung: IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ping zum Default Gateway Hiermit ist erwiesen, dass der Client ohne Probleme ins Netzwerk kommt. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit<1ms TTL=64 Ping auf den Client C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit<1ms TTL=255 Ping zum Domain Name Server im Internet (A1 DNS) Wenn der richtige DNS Server eingestellt ist, dann ist hier ein internetverkehr möglich. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit=248ms TTL=53 Gerfried Wriesnig R.E.C Remote Eqipment Control

19 Das aufrufen der Webseite ist vom Client aus mittels IP Adresse erreichbar Abbildung 7 Homepage Die Homepage ist ebenfalls von extern (übers Internet) erreichbar. Abbildung 8 Homepage Gerfried Wriesnig R.E.C Remote Eqipment Control

20 Die offenen Ports im Lan Abbildung 9 offene Ports ohne DMZ Auswertung mit Firewall Hier wurde folgendes konfiguriert. Der UMTS Router bildet das Lan-Segment in dem sich die Clients befinden, dieser leitet den Datenstrom der vom Internet kommt mit dem Port 80 auf die Firewall weiter. Auch der normale Datenverkehr kann auf die Firewall geleitet werden. Die Firewall hingegen leitet nur den Verkehr der mit dem Port 80 aus dem Internet kommt an den Webserver weiter. Die Firewall schaut auch in die Datenpakete ob es sich tatsächlich um einen www Verkehr handelt & leitet nur diesen weiter. Vom Webserver aus ist im Netzwerk alles erreichbar. Gerfried Wriesnig R.E.C Remote Eqipment Control

21 Die Konfiguration des Clients Ethernetadapter LAN-Verbindung: IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ping zum Default Gateway Hiermit ist erwiesen, dass der Client ohne Probleme ins Netzwerk kommt. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit<1ms TTL=64 Ping auf den Webserver Hier wird schon ersichtlich, dass keine direkte Layer 3 Verbindung zu dem Webserver besteht, somit ist dieser nicht direkt aus dem Lan erreichbar. Dies macht den Server vor Angriffen im Lan relativ sicher. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Zeitüberschreitung der Anforderung. Ping zum Domain Name Server im Internet (A1 DNS) Wenn der richtige DNS Server eingestellt ist, dann ist hier ein internetverkehr möglich. C:\Dokumente und Einstellungen\Administrator>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit=248ms TTL=53 Gerfried Wriesnig R.E.C Remote Eqipment Control

22 Die Konfiguration des Webservers Ethernetadapter LAN-Verbindung: IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ping zum Client C:\Dokumente und Einstellungen\Gerisan>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit=1ms TTL=64 Ping ins Internet C:\Dokumente und Einstellungen\Gerisan>ping Ping wird ausgeführt für mit 32 Bytes Daten: Antwort von : Bytes=32 Zeit=109ms TTL=53 Die offenen Ports im Lan Hier wird schön ersichtlich, dass nur dass Port 80 geöffnet ist & alle anderen Ports gesperrt sind. Abbildung 10 offene Ports mit DMZ Gerfried Wriesnig R.E.C Remote Eqipment Control

23 Das aufrufen der Webseite von extern ist vom Client aus mittels IP Adresse erreichbar Abbildung 11 Homepage Die Homepage ist ebenfalls von extern (übers Internet) erreichbar. Abbildung 12 Homepage Gerfried Wriesnig R.E.C Remote Eqipment Control

24 1.7 Schlussfolgerung Obwohl jedes Netz abgesichert werden kann, bedeutet es doch einen erheblich größeren Aufwand, ein Netz, bei dem jeder Rechner ein potentielles Sicherheitsloch ist, gegen Angriffe von außen zu sichern. Da z.b. mehrere Rechner eine Verbindung zum Internet besitzen, kann auch über mehrere Rechner in das System eingebrochen werden, ergo muss bei einem solchen Netz jeder Rechner einzeln auf den Sicherheitslevel gebracht werden (sehr zeitaufwendig, daher kostenintensiv). Anders hingegen sieht es bei einem Netz mit Firewall aus: Es gibt meist nur diesen einen Zugang zum anderen Netz, d.h. ein Angriff auf das Netz kann nur über die Firewall erfolgen. Der Administrator muss. die Firewall entsprechend zu modifizieren, und erreicht damit eine höhere Sicherheit. Das Thema CPU Auslastung, hat sich nicht als Messbarer wert herausgestellt, da keine messbare Veränderung durch Zugriffe erkennbar war. Gerfried Wriesnig R.E.C Remote Eqipment Control

25 1.8 Arbeitsnachweis für die vertiefende Aufgabenstellung Gerfried Wriesnig Datum Uhrzeit Beschreibung Außerhalb des Unterrichts :00 21:00 Grobkonzept erstellen 02: :00-22:00 Netzwerkpläne erstellen 04: :00-22:00 Netzwerkpläne erstellen 04: :00-22:00 Material Beschaffung 04: :00-17:00 Informationssammlung 08: :00-16:00 Informationssammlung 04: :00-17:00 Erste Konfigurationsschritte 08: :00-16:00 Informationssammlung 04: :00-16:00 Dokumentation 02: :00-17:00 Software Installation 06: :00-16:00 Informationssammlung 04: :00-17:00 Test Aufbau ohne Firewall 08: :00-17:00 Verbesserung, Dokumentation 08: :00-17:00 Test Aufbau mit Firewall 08: :00-20:00 Verbesserung, Dokumentation 04: :00-20:00 Ergebnismessung, Portscan 06: :00-15:00 Ergebnismessung, Portscan 08: :00-16:00 Dokumentation 02: :00-16:00 Dokumentation 02: :00-16:00 Dokumentation 02: :00-16:00 Dokumentation 02:00 SUMME 100:00 Gesamtaufwand außerhalb der Unterrichtszeit für NN: 100 Stunden Gerfried Wriesnig R.E.C Remote Eqipment Control

26 1.9 Literaturverzeichnis 1.10 Literatur zum Ingenieurprojekt 2616, R. (1999). Hypertext Transfer Protocol. 792, R. (September 1981). Internet Control Message Protocol. rfc1122. (Oktober 1989). Requirements for Internet Hosts -- Communication Layers. Gerfried Wriesnig R.E.C Remote Eqipment Control