9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Transkript

1 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet ("Security Gateway"), aber auch in Endstation als "Personal Firewall" zur Überwachung und gegebenenfalls Einschränkung des Datenverkehrs ITS-9.1 1

2 (vereinfacht) (Quelle: images/firewall_1_images/firewall.diagram1.gif ) ITS-9.1 2

3 (Quelle: ITS-9.1 3

4 Typische Einsatzzwecke von Firewalls: Sicherheitslücken schließen, die es eigentlich nicht geben sollte; Beispiel: IP-Spoofing-Angriff von außen mit - angeblich - interner Absenderadresse Manche Dienste sollen nur intern nutzbar sein; oder: interne Benutzer sollen nicht beliebig im Netz arbeiten können. Zentrale Protokollierung des Verkehrs zwischen innen und außen (Intrusion Detection, 9.2.2), Bemerkung: Der Vergleich der Firewall-Funktionalität mit "Zugriffsschutz" ist nur bedingt zutreffend. ITS-9.1 4

5 9.3.1 Paketfilterung (screening) Die Protokolldaten eintreffender IP-Pakete werden analysiert: Eintrittspunkt (Netzanschluss) Quell/Ziel-IP-Adresse Quell/Ziel-Portnummer Transportprotokoll evtl. Protokolldaten wie SYN, ACK und jedes Paket wird entweder weitergeleitet oder verworfen (im letzteren Fall eventuell mit Fehlernachricht an Sender) und eventuell aufgezeichnet. ITS-9.1 5

6 Filterregeln steuern das Verhalten des Paketfilters, z.b. "ausschließlich ordnungsgemäßen -Verkehr gestatten" (SMTP, Port 25): Nr. Richtung Quelle Ziel Quellport Zielport Protokoll ACK Was tun? 1 einwärts extern intern > TCP erlauben 2 auswärts intern extern 25 > 1023 TCP ja erlauben 3 auswärts intern extern > TCP erlauben 4 einwärts extern intern 25 > 1023 TCP ja erlauben 5 verbieten Die Regeln werden streng sequentiell durchlaufen, bis man auf eine anwendbare Regel stößt. Wenn keine gefunden, Standardaktion ("erlauben" oder "verbieten") ITS-9.1 6

7 Realisierungsvarianten für Paketfilter: in Router: Screening Router, dort aber i.d.r. ohne Port-Analyse in speziellem Gateway-System in normalem Rechner, auch als "private Firewall": in Linux mittels Netfilter/iptables konfigurierbar, in Mac OS IPFirewall über Systemeinstellungen/Sharing, in Windows mit Windows Firewall ITS-9.1 7

8 Personal Firewall (Quelle: Wikipedia (D), "Personal Firewall") ITS-9.1 8

9 9.3.2 Proxy Servers Proxy Server = Software, die als Stellvertreter für einen bestimmten Anbieter zwischen den Klienten und dem Anbieter vermittelt. Einfachste Konfiguration: Bastion Host, dual-homed ITS-9.1 9

10 2 Arten von Proxies: dienstspezifisch: universell: Anwendungsfilter (application-level proxy) generischer Proxy (circuit-level proxy) Vorteile des Proxy-Einsatzes: Authentisierung, Protokollierung (Intrusion Detection!) anwendungsbezogene Überwachung der Dienstnutzung Verbergen der internen Netzstruktur evtl. praktische Zusatzfunktionen, z.b. Caching Nachteil des Proxy-Einsatzes: Bastion Host evtl. Schwachstelle ITS

11 Interner vs. externer Dienst: Externer Klient wendet sich an internen Anbieter: internes Netz unbekannt, nur Bastion Host bekannt! Z.B. FTP Proxy lauscht dort auf Port 21, überprüft die Anfrage und leitet sie an den internen Web Server weiter bzw. weist sie zurück. Klient ftp:// :21/pub/... FTP Proxy Bastion Host Server außen innen ITS

12 Interner Klient wendet sich an externen Anbieter, dessen Adresse er kennt, z.b. Diese Anfrage muss aber an zunächst an den Proxy gehen, der sie stellvertretend für den Klienten auszuführen hat - wie geschieht das? Server HTTP Proxy Bastion Host Klient außen innen ITS

13 ... wie geschieht das? Mehrere Varianten: Explizites Ansprechen des Proxy, z.b. mit ftp:// , der sich wie ein leicht veränderter FTP Server verhält, z.b. die erweitete Eingabe versteht (nicht benutzerfreundlich) Modifiziertes Klientenprogramm, das selbst den Proxy anspricht. a) Zwei Arten von Klienten verfügbar (nicht schön) b) Klient ist einstellbar "mit/ohne Proxy" (Beispiel: Web Browser) Umlenkung ist ins Betriebssystem integriert ITS

14 Unterstützung der Variante durch Public-Domain-Programmpaket SOCKS mit 3 Komponenten: generischer (!) Proxy Server socksd Bibliothek mit umlenkenden rconnect, rbind,... einige entsprechend modifizierte Standard-Klienten ("SOCKSified clients"), z.b. für FTP, Telnet,... Leistungen: Authentisierung, Protokollierung Verbergen der internen Netzstruktur..... ITS

15 9.3.3 Firewall-Architekturen Router mit Paketfilter (Screening Router) Dual-homed Bastion Host mit Proxies Screened Host = Screening Router + Bastion Host: vom Paketfilter durchgelassener, von außen kommender Verkehr geht teilweise über den Bastion Host und teilweise direkt an die Endstationen Screened Subnet:..... ITS

16 Screened Subnet: Ein Teilnetz bildet eine "entmilitarisierte Zone" (demilitarized zone, DMZ) zwischen Außenwelt und innerem Netz. Die DMZ ist an beiden Seiten mit einem Screened Router versehen und enthält typischerweise neben dem Bastion Host unkritische Server, z.b. öffentliche Web Server. Nach eventueller Eroberung des Bastion Host oder eines Servers bleibt immer noch die Hürde des inneren Paketfilters Filter Bastion Host Filter Server Server Server DMZ Server ITS