Jochen Schlichting

Transkript

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Konzepte für f r Firewall und VPN jochen.schlichting@secorvo.de Seite 1

2 Inhalt Einführung zu Firewalls Typen und Funktionen von Firewalls Firewall-Architekturen Einführung und Einsatzmöglichkeiten VPN Typen, Funktionen und Problemfelder VPN Gestaltung sicherer Netzwerke Fazit Seite 2

3 Einführung zu Firewalls Seite 3

4 Definition: Firewall Anordnung von Hard- und Softwarekomponenten, die zwischen ein zu schützendes und ein unsicheres Netz geschaltet werden Kommunikation zwischen den beiden Netzen erfolgt ausschließlich über das Firewall-System Firewall kontrolliert den kompletten Datenfluss Firewall setzt vorher definierte Sicherheitsrichtlinien durch Definition aus [Firewalls - Klassifikation und Bewertung, Uwe Ellermann, 1. DFN-CERT Workshop 1994]: Ein Firewall ist eine Schwelle zwischen zwei Netzen, die überwunden werden muß, um Systeme im jeweils anderen Netz zu erreichen. Es wird dafür gesorgt, daß jede Kommunikation zwischen den beiden Netzen über den Firewall geführt werden muß. Auf dem Firewall sorgen Zugriffskontrolle und Audit dafür, daß das Prinzip der geringsten Berechtigung durchgesetzt wird und potentielle Angriffe schnellstmöglich erkannt werden. Falls der Verkehr nicht ausschließlich über die Firewall geführt wird, d. h. die Firewall durch alternative Verbindungen (Beispiel: Modem/ISDN-Zugang Internet einzelner Clientsysteme) umgangen werden kann, ist kein definiertes Schutzniveau möglich Seite 4

5 Notwendigkeit von Firewalls Kopplung Netzwerke mit identischen wie auch unterschiedlichen Sicherheitsniveaus Anbindung des Unternehmensnetzwerks an das potentiell unsichere Internet Spezielle Absicherung einzelner Teilnetze im Unternehmen (z. B. Forschung und Entwicklung) Gegebenenfalls Einrichten mehrerer Firewalls für unterschiedlich sensitive Subnetze (DMZ) Schutz von internen Daten und Diensten gegen unbefugte Zugriffe und Angriffe von außerhalb der Firewall Abkürzungen DMZ: Demilitarisierte Zone Seite 5

6 Typen und Funktionen von Firewalls Seite 6

7 Typen von Firewalls Stealth-Gateway (Layer 2) Paket-Filter (Layer 3/4) Mit und ohne stateful inspection Application-Level-Gateway (Layer 5-7) Hybrid-Firewall (Layer 3/ ) Seite 7

8 Stealth Gateway (Layer 2) Arbeitet auf Schicht zwei des OSI-Referenzmodells Virtuelles Nichtvorhandensein, d. h. hat keine eigene, erkennbare IP-Adresse Wird somit von Angreifern (erst einmal) nicht wahrgenommen und kann somit nicht angegriffen oder umgangen werden Kommt häufig als sogenannte vorgeschaltete Firewall zum Einsatz Unterstützt dahinter liegende Firewallsysteme durch eine vorherige Selektion des Netzwerkverkehrs Stichwort: bridged mode Schicht 2 OSI-Referenzmodells: Sicherungsschicht Abkürzungen IP: Internet Protocol OSI: Open Systems Interconnection Seite 8

9 Paket-Filter (Layer 3/4) Vorteile Bewährtes, einfaches Konzept Geringe Investitionen Einfache Implementation, sehr effizient Transparenz Hoher Durchsatz Audit möglich Unterstützung anderer Protokollfamilien (z. B. IPX, OSI, DECNET, SNA) Nachteile Aufwand steigt mit zunehmender Komplexität Arbeitet verbindungs- und statuslos Keine Prüfung des Paketinhalts Keine benutzerbezogene Kontrolle Nur indirekte Kontrolle der Dienste (Portnummer) Abkürzungen: OSI: Open Systems Interconnection IPX: Internetwork Packet Exchange DECNET: Routingfähiges Kommunikationsprotokoll von Digital Equipment Corp. (DEC). SNA: Systems Network Architecture (IBM) Seite 9

10 Application-Level Level-Gateway (Layer 5-7) 5 Vorteile Keine physikalische Verbindung Verdeckt die interne Struktur Verbindungsorientiert Prüfung des Dateninhalts Entkopplung von Diensten Spezielle Anwendungsfilter Gute Protokollierung Benutzerauthentisierung möglich Nachteile Ein Proxy pro Anwendung notwendig Gegebenenfalls keine Proxies für neue Anwendungen verfügbar Nicht alle Anwendungen unterstützen Proxies Geringer Durchsatz Hohe Investitionen Seite 10

11 ALG / Web Application Firewalls Vorteile Mehrere Ebenen des Schutzes (zusätzlicher Schutz zu vorhandenen Filtern in der Anwendung) Sicherheitslücken können gleichzeitig für mehrere Anwendungen hinter einer WAF geschlossen werden Schutz von Anwendungen, die nicht mehr aktualisiert werden können (Altsysteme) Schutz von verwundbaren Drittanbieteranwendungen, bis Patch verfügbar Nachteile Sicherheitslücken können durch ein Umgehen der WAF weiterhin ausgenutzt werden Durch Unterschiede bei der Request-Bearbeitung wurden neue Angriffe möglich (bspw. HTTP Request Smuggling) Behoben Störung des Betriebs durch zu restriktive oder falsch konfigurierte Filter Einsatz einer WAF kann zu einem schlechteren Softwareentwicklungsprozess führen Bundesamt für Sicherheit in der Informationstechnik (BSI): Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen Seite 11

12 Firewallregelwerk Kernelement einer Firewall-Policy/Konzeption Regelwerk bestimmt Funktionen: Zugelassene und gesperrte Verbindungen Zu überwachende Objekte, Protokolle, Dienste Grundsätzliche Voraussetzung für Implementierung Theoretisches Regelwerk für Audits und zum Abgleich des real implementierten Regelwerks erforderlich Freigabeprozesse und organisatorische Abläufe erforderlich Dokumentation sehr wichtig, Regeln erläutern und eindeutig benennen Das Regelwerk ist das Herzstück einer Firewall. Der Aufbau und die Definition des Regelwerks bestimmen die zentralen Sicherheitsvorkehrungen. Die zwei wichtigsten (Maximal- ) Regeln eines jeden Regelwerks sind: Erlaube jeglichen Netzwerkverkehr, der nicht explizit verboten ist. Verbiete jeglichen Netzwerkverkehr, der nicht explizit erlaubt ist. Seite 12

13 Firewall-Architekturen Seite 13

14 PAP -ArchitekturenArchitekturen Internet Äußerer Router Bastion-Host Grenznetz Firewall Innerer Router internes Netz Ethernet PAP = Paket Filter - Application Level Gateway - Paket Filter Mehrere Bastion-Hosts (SMTP, FTP, WWW) möglich Abkürzungen FTP: File Transfer Protocol SMTP: Simple Mail Transfer Protocol WWW: World Wide Web Seite 14

15 Betriebssystem Betriebssystem Schwachstellen des Betriebssystems machen Firewall angreifbar Härtung des Betriebssystems durchführen Deaktivieren aller nicht benötigten Dienste, Server und Accounts Keine weiteren Applikationen auf der Firewall Aktuelle Patches und Hotfixes installieren Regelmäßige Überprüfung der Konfiguration Customized Versionen von Betriebssystemen der Hersteller SPlat (Secure Platform) IPSO IPSO: IP Secure OS; IP: Ipsilon Networks hat IPSO von FreeBSD abgeleitet; Firma wurde 1997 von Nokia gekauft; Nokia Security Appliance Geschäft (incl. IPSO) wurde 2009 von Checkpoint gekauft Seite 15

16 Sicherheitsaspekte Remote- und Wartungs- Zugänge Aktualisierung, Verfügbarkeitsanforderungen Audits und Kontrolle Audit-Konzept, Log hosts Rollen- und Rechtekonzept Angriffe von innen berücksichtigen Mitarbeiter Ausreichende Schulung der Administratoren Schulung der Benutzer, insbesondere Grenzen von Firewalls Unverschlüsselte Nachrichtenübertragung Gefahr durch Malicious Code Viren, ActiveX, JavaScript, VBScript, Java Weiterführende Literatur: Firewall-Studie II des BSI (2001): Benchmarking Terminology for Firewall Performance (RFC 2647): Behavior of and Requirements for Internet Firewalls (RFC 2979): Sicherheit in vernetzten Systemen, FB Informatik, Univ. Hamburg, 2000: Seite 16

17 Grenzen von Firewalls Interne Reglementierung eigener Mitarbeiter schwierig Keine Überwachung verschlüsselter Kommunikation möglich Performanz in Hochgeschwindigkeitsnetzen und LAN Bei Ausfall der Firewall kann die gesamte Kommunikation gestört sein Sicherheit des LANs bleibt unberücksichtigt Schutz von E-Commerce-Anwendungen auf Anwendungsebene Abkürzungen LAN: Local Area Network Erläuterungen Moderne Angriffe wie z. B. SQL-Injection (Eingabe von SQL-Befehlen in Eingabefeldern von Applikationen) werden in der Regel durch Firewalls auch sogenannte Application Level Gateways nicht überwacht. Diese können nur überprüfen, dass dem Protokoll entsprechende Befehle z. B. auf HTTP-Ebene unterstützt werden. Der Content einzelner HTTP-Pakete wird in der Regel nicht überprüft. Eine neue Generation von Applikationsfiltern als Ergänzung zu herkömmlichen Firewallsystemen wird gerade eingeführt. Sollte durch legale Protokolle (kein Schutz durch Firewall) ein Webserver übernommen worden sein können von diesem aus weitere Angriffe durchgeführt werden. Über weitere zulässige Zugriffe kann auch auf Datenbanken für die Anwendung zugegriffen werden. Wird dieser Verkehr und die Inhalte nicht weiter eingeschränkt ist ein Zugriff ggf. auch auf interne Datenbanken möglich. Seite 17

18 Grenzen von Web Application FWs Schwachstelle / Angriffe (Auszug) () Cookieschutz Information-Leakage Session-Riding (CSRF) () Session-Timeout - Session-Hijacking File-Upload Parameter-Tampering Forced-Browsing Path-Traversal (URL), Link-Validation Path-Traversal (Parameter), Path-Manipulation Logging - Priv. Escalation - Logische Ebene Buffer-Overflow Best Practices: Einsatz von Web Application Firewalls - Seite 18

19 Einführung und Einsatzmöglichkeiten VPN Seite 19

20 Virtual Private Network - Definition Allgemein Man spricht von einem VPN, wenn innerhalb eines öffentlichen Netzes kundenspezifische logische Teilnetze gebildet werden. Im Sinne der Sicherheit Die Kommunikation erfolgt abgesichert. Unter Nutzung von Verschlüsselung Virtual bedeutet: Der Anwender hat die Illusion der Nutzung exklusiver ( privater ) Verbindungen für seine Kommunikation Abkürzungen LAN Local Area Network SOHO Small Office, Home Office WAN Wide Area Network Seite 20

21 Anforderungen an VPN Skalierbar und hochgradig verfügbar Interoperabilität (Kommunikation mit Dritten) Starke Authentisierung Vertraulichkeit und Integrität der übertragenen Daten Frei skalierbare Zugriffskontrolle auf IT- Systeme und Anwendungen Integrationsfähigkeit in bestehende IT-Landschaft Zentrale Administration Geringe Kosten ;-) Einfache und flexible Adressund Schlüsselverwaltung Multi-Protokoll-Unterstützung Seite 21

22 Drei typische VPN-Szenarien End-to-Site-VPN Mobile Worker, Homeoffice Host-to-Host-VPN Zentrale Unsicheres Netz Aussenstelle, Partner,... Site-to-Site-VPN Seite 22

23 Site-to to-site VPN Nur die Gateways müssen mit VPN-Fähigkeit ausgestattet sein Intern ist die Verwendung privater IP-Adressen möglich Server Internet Server verschlüsselt Workstation Standort A VPN Gateway Standort B VPN Gateway Workstation Laptop Laptop Seite 23

24 Host-to to-host VPN Wird bei sehr hohem Sicherheitsbedarf genutzt; alle beteiligten Rechner müssen mit entsprechender VPN-Fähigkeit ausgestattet sein Jeder Computer muss über die Schlüssel der Kommunikationspartner verfügen; ggf. ist eine PKI einzusetzen Workstation Internet Laptop Workstation Server Server Seite 24

25 End-to to-site VPN Kombination aus Host-to-Host- und Site-to-Site-VPN Einwahl bei lokalem ISP und nicht direkt am Firmennetz Weitverbreitet zur Absicherung von WLANs Laptop nun weakest link, um Firmennetz anzugreifen? Internet Server verschlüsselt Laptop ISP Firma VPN Gateway Workstation Laptop Abkürzungen ISP: Internet Service Provider WLAN: Wireless Local Area Network (Funknetze) Seite 25

26 VPN Protokolle Einordnung in das OSI-Referenzmodell OSI-Schicht Anwendung Darstellung Sitzung Transport Protokolle PGP SOCKS SSL Sicherheitsprotokolle höherer Schichten (4-7) sind oft auf bestimmte Anwendungen beschränkt (z. B. SSL für einige Client-Server-Anwendungen -> SSL-VPNs) Vermittlung Sicherung Bitübertragung IPsec PPTP, L2F, L2TP Im VPN-Umfeld haben sich wegen der erwünschten Anwendungsunabhängigkeit Schicht 2- und Schicht-3 Protokolle durchgesetzt. OSI-Schichten-Modell: siehe Unterlagen Firewallkonzepte Abkürzungen PGP: Pretty Good Privacy SOCKS (RFC 1928) SSL: Secure Sockets Layer IPSec: IP Security PPTP: Point-to-Point Tunneling Protocol L2F: Layer 2 Forwarding L2PT: Layer 2 Tunneling Protocol Layer 2 Protokolle arbeiten auf Basis von PPP-Frames Layer 3 Protokoll arbeitet auf Basis von IP-Paketen Internet-Ressourcen SOCKS-Infosite der Fa. NEC Seite 26

27 VPN auf Ebene 2 (PPTP & Co.) PPTP, L2P und L2TP selbst sind Tunneling -Verfahren und keine eigentlichen Sicherheitsprotokolle Zusatzprotokolle erlauben kryptographische Sicherung Kryptographische Sicherung erfolgt auf Ebene 2 ( PPP ) Endsystem 1 TCP/IP-Schichtenmodell Endsystem 2 Tunneling Transitsystem (Router) Kryptogr. Sicherung Gesicherter Tunnel Daten ungesichert Daten gesichert Seite 27

28 VPN auf Ebene 3 (IPsec( IPsec) IPsec: Internet Protocol Security Sicherung von IP- Datagrammen Kryptographische Sicherung auf Ebene 3 AH: Authentication Header (Integrität) ESP: Encapsulating Security Payload (Vertraulichkeit, Integrität) TCP/IP-Schichtenmodell Endsystem 1 Endsystem 2 Kryptogr. Sicherung Transitsystem (Router) Gesicherte Kommunikation Daten ungesichert Daten gesichert Abkürzungen: AH Authentication Header ESP Encapsulating Security Payload IKE Internet Key Exchange IP Internet Protocol IPSec IP Security RFC Request for Comment ( Internet-Standard ) TCP Transmission Control Protocol Seite 28

29 Typen, Funktionen und Problemfelder VPN Seite 29

30 Point-to to-point Tunneling Charakteristik Point-to-Point Tunneling Protocol (PPTP) Basiert auf dem weitverbreiteten Protokoll PPP für IP Microsoft führte es als Standardbestandteil des TCP/IP- Stacks in das Betriebssystem Windows NT ein Definiert Tunnel zwischen Endsystemen Eignet sich für Absicherung jeglichen Datenverkehrs im Netzwerk Ist in der Lage andere Protokolle (IPX, NetBEUI) zu tunneln Bietet starke Authentisierung und Verschlüsselung über PPP- Sicherheitsprotokolle (z. B. EAP, EAP-TLS, ECP) Problem Historische MS-Implementierung enthielt sicherheitskritische Fehler Verschlüsselungsstärke von PPTP korreliert direkt mit der Länge des eingesetzten Passworts Microsoft entwickelte dagegen das Point-To-Point Encryption Protocol (MPPE) Abkürzungen EAP Extensible Authentication Protocol (RFC2284) EAP-TLS EAP via TLS (RFC2716) ECP Encryption Control Protocol IP: Internet Protocol IPX: Internetwork Packet Exchange NetBEUI: NetBIOS Extended User Interface NetBIOS: Network Basic Input/Output System MPPE Microsoft Point-To-Point Encryption Protocol PPP: Point to Point Protocol TCP: Transmission Control Protocol TLS Transport Layer Security Internet-Ressourcen IETF-WG Point-to-Point Protocol Extensions (pppext) Microsoft Point-To-Point Encryption Protocol Bruce Schneier's PPTP-Analyse Seite 30

31 Layer 2 Tunneling Protocol Charakteristik L2TP v2 Wurde von der IETF entworfen (RFC 2661) Kombination aus L2F und PPTP Deckt nur PPP-Frames ab Übertragung erfolgt auf Basis paketbasierte Netzwerke - X.25, Frame Relay, ATM Tunnel-ID im L2TP-Header erlaubt den Betrieb mehrerer Tunnel im Parallelbetrieb Nutzung von NAT (Network Address Translation) wird unterstützt Verschlüsselung ist nicht definiert Als Authentifizierungsverfahren bietet L2TP die Verfahren CHAP und PAP an Verschlüsselung ergänzbar durch Nutzung von IPSec (RFC 3193) Charakteristik L2TP v3 Weiterentwicklung (RFC 3931) Alternative zum MPLS-Protokoll Kann IP direkt nutzen Andere Protokolle der Sicherungsschicht als PPP tunnelbar Abkürzungen: CHAP Challenge Handshake Authentication Protocol IETF Internet Engineering Task Force IPSec IP Security L2F Layer 2 Forwarding NAT Network Address Translation PAP Password Authentication Protocol PPP Point-to-Point Protocol MPLS Multiprotocol Label Switching Internet-Ressourcen IETF-WG Layer Two Tunneling Protocol Extensions (l2tpext) L2TP.NET RFC Layer Two Tunneling Protocol RFC Securing L2TP using IPSec Seite 31

32 IP Security (IPsec( IPsec) Charakteristik Standardisiert von IETF (RFCs, Internet-Standards ) Host-to-Host, Gateway-to-Gateway und Host-to-Gateway Schutz der Authentizität, Vertraulichkeit und Integrität Verschiedene Kryptoverfahren möglich Schutz vor Replay-Attacken Manuelle oder dynamische Schlüsselverwaltung mit IKE IPv4- und IPv6-kompatibel Probleme Komplexität der Protokolle (nur im geringem Maße: Interoperabilität) Standardisierung fast abgeschlossen (IKE v2) Benutzerauthentisierung schwierig (IPsra) Probleme mit NAT ( private Internetadressen) und NAT-T Abkürzungen IETF Internet Enginerring Task Force IKE Internet Key Exchange IP Internet Protocol IPsra IP Security Remote Access JFK Just Fast Keying NAT Network Adress Translation Internet-Ressourcen IETF-WG IP Security Protocol (ipsec) IETF-WG IP Security Policy (ipsp) IETF-WG IP Security Remote Access (ipsra): Ferguson & Schneier's IPsec-Analyse Herve Schauer Präsentationen zu IPsec (insb. zu IKE) International Computer Security Association (ICSA) LABS IPSEC-Interoperability NIST IPSEC PROJECT VPN-Infoseite von Tina Bird Securing L2TP using IPsec (RFC 3193) Seite 32

33 Secure Socket Layer-VPNs (SSL) Charakteristik Eingesetzte Protokolle TLS v1.1 (2006) und SSL v3.0 (1996) Authentifizierung nutzt meistens Benutzerverzeichnisse Autorisierung nutzt meistens Gruppenzuordnungen Probleme Sicherheit des Clients ist entscheidend für sichere SSL-VPNs (Stichwort: Internet-Cafe) Anfällig für Cross Site Scripting (XSS) Anfällig für Man-in-the-Middle-Attacks Session timeouts, SSL version verification Abkürzungen LDAP Lightweight Directory Access Protocol RADIUS Remote Authentication Dial-In User Service TACAS+ Terminal Access Controller Access Control System (erweitert von Cisco) TLS Transport Layer Security SSL Secure Sockets Layer Internet-Ressourcen RFC The Transport Layer Security (TLS) Protocol Version SSL 3.0 specification Derzeit drei unterschiedliche Typen von SSL-VPNs am Markt verfügbar Typ1, der den Zugriff auf Webanwendungen mit einem Webbrowser ermöglicht; diese SSL- VPNs erfordern keine Client-Installation Typ 2, der ähnlich wie andere VPN-Technologien (PPTP, IPSec, L2TP) arbeitet, aber SSL zur Datenübertragung nutzt Typ 3, der sowohl den Zugriff auf Webanwendungen als auch einen Netzwerkzugriff auf private Netzwerk ermöglicht Eine einheitliche Nomenklatur hat sich bisher nicht durchgesetzt Üblich ist die Bezeichnung allerdings für alle VPN-Systeme, die SSL/TLS als Verschlüsselungsprotokoll einsetzen und TCP-Port 443 (HTTPS) zur Datenübertragung verwenden Eingesetzte Protokolle TLS v1.1 (2006) und SSL v3.0 (1996) Authentifizierung nutzt meistens Benutzerverzeichnisse LDAP, RADIUS, TACAS+ Autorisierung nutzt meistens Gruppenzuordnungen in LDAP, in RADIUS oder eigene produktspezifische Gruppenverwaltungen Seite 33

34 SSL-VPNs Remotezugriff Netzwerk über Browser und HTTPS Nutzung von Anwendungen, welche über Webserver zur Verfügung gestellt werden Webmail, Outlook Web Access, Lotus Notes, Groupware-Lösungen Fileservice Terminalservices... Vorteile: Weitgehende Unabhängigkeit von Client-Systemen, lediglich Browser erforderlich Nachteile: Bei Authentifizierung nur über UserID/Kennwort kann Zugang kompromittiert werden (Keylogger, Trojaner, Internetcafe etc.) Seite 34

35 Problemfelder VPN Authentisierung Einsatz von Pre-shared Keys wird nicht empfohlen Sichere Verteilung der Kommunikationsschlüssel ( PKI) Starke Authentifizierung z. B. mit SmartCards dringend empfohlen Filterung von VPN-Verbindungen erforderlich World-Wide-LAN wird nicht empfohlen VPN-Gateway ist mindestens so kritisch wie die Firewall! World-Wide-LAN: Werden IT-Systeme weltweit ohne Filterung verbunden, so ist ein Zugriff auf das lokale Netzwerk von vielen Systemen und Lokalitäten aus möglich. In vielen Fällen ist aber die Einhaltung der Sicherheitsstandards nur für das lokale Netzwerk zu gewährleisten. Potenzielle Angreifer könnten ohne weitergehende Schutzmaßnahmen über andere Standorte in das LAN eindringen. Seite 35

36 Fazit VPN Technische Realisierung eines VPNs heute problemlos möglich Aber genaue Abstimmung auf die Kommunikationsanforderungen erforderlich Outsourcing bestimmter Aspekte eines VPN möglich Gesamtsicherheit durch VPN nicht gefährden! Komplexität so weit wie möglich vermeiden! Seite 36

37 Gestaltung sicherer Netzwerke Seite 37

38 Designziele Sicheres/Zentrales Management, Logging und Reporting Als Grundlage für alle Implementierungen Authentifizierung und Autorisierung für User und Administratoren Als Notwendigkeit für die Nutzung von Ressourcen Unterstützung für neue/zukünftige Netzwerkanwendungen Vermeidung von Skalierungsengpässen, Nutzung von Standards Zusammenarbeit mit ISP(s) / Upstream-Provider Abwehr von Distributed Denial of Service (DDoS) Seite 38

39 Umsetzung Identifizierung der schwächsten Elemente Security Audits, Risk Assessments Funktionselemente der Sicherheit Schutz, Erkennung, Reaktion Firewall / Sicherheitsgateways, VPN und IDS Kaskadierung von Sicherheitseinrichtungen DMZ-Design / Aufgabenverteilung für Rechner Single Point of Entry Minimierung der Avenue of Attack (Einfallspfade) Risikoverminderung durch Aufteilung / Segmentierung Privilege Separation / Out-of-Band Management Beispiele: Zentraler Layer-3-Switch, Segmentierung, VLANS Management-LAN Integriertes Netzwerk Intrusion Detection System (NIDS) Mail Relay Server / Mail Server Proxy Server (u. a. HTTP, FTP, SIP (VoIP)) Content Scanner Seite 39

40 Topologie-Beispiel Quelle: Cisco Abkürzungen DMZ: Demilitarisierte Zone ISP: Internet Service Provider FW: Firewall VPN: Virtual Private Network Intranet Stellt das interne Netzwerk des Unternehmens dar Stellt das abzusichernde Objekt/Netzwerk dar Initiiert den Zugriff von innen außen Demilitarisierte Zone (DMZ) Zone für die Anbietung von Serverdiensten im Internet Intranet initiiert den Zugriff von innen via DMZ nach außen DMZ selbst sollte niemals Verbindungen von sich aus initiieren Firewall, VPN und ISP/Internet-Connectivity Firewall trennt Internet von Intranet und DMZ und ermöglicht einen kontrollierten Datenfluss VPN-Server stellt kryptographisch gesicherte Schnittstelle zum Unternehmensnetzwerk für autorisierte Mitarbeiter dar (Remote Access) Netzwerkanbindungen für Unternehmensstandorte sind über VPN absicherbar ISP/Internet-Connectivity Durch eine sinnvolle Konfiguration auf Provider-Seite kann eine weitere Stufe der Kaskadierung der Sicherheitseinrichtungen erreicht werden Seite 40

41 Beispielhafte Topologie: DMZ Quelle: Cisco Seite 41

42 Beispielhafte Topologie: DMZ Beinhaltet alle jene Services, die von "außen", also dem nicht vertrauenswürdigen Netz, zugänglich sein müssen Quelle: Cisco Seite 42

43 Fazit Seite 43

44 Fazit Firewalls sind notwendig und bieten Schutz auf Netzwerkund Protokoll-Ebene Ergänzung durch weitere Sicherheitssysteme wie Application Layer Gateway und Content Filter sinnvoll Einsatz von Firewall-Techniken auch im LAN berücksichtigen Technische Realisierung eines VPNs heute problemlos möglich Genaue Abstimmung auf die Kommunikationsanforderungen (Protokolle, Anwendungen) erforderlich Gesamtsicherheit durch VPN nicht gefährden! Seite 44

45 Seite 45