Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 8: Firewalls Dr. Erwin Hoffmann

Transkript

1 Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 8: Firewalls Dr. Erwin Hoffmann

2 Wozu Firewalls? Der Einsatz von Firewalls bei der Nutzung IP-basierter Dienste und der Anbindung ans Internet wird seit Anfang der 90'er Jahre diskutiert. Inbound-Datenverkehr: Firewalls dienten zunächst als sog. Paketfilter, um schlecht geschützte Rechner (damals vor allem unter Windows 3.11) bzw. schlecht aufgesetzte /administrierbare Rechner (Unix/Mainframes) vor unerwünschten Einflüssen aus dem Internet fernzuhalten. Outbound-Datenverkehr: Firewalls beinhalteten damals aber auch sog. Application-Layer Gateways (ALG), wie z.b. Socks-Dienstes und Proxies zur Kontrolle des ausgehenden Datenverkehrs und zwar nicht nur in Richtung Internet; sondern auch zu den zentralen Intranet-Applikationen. Die ersten Implementierungen von Firewalls basierten auf auf Sammelsurium von PublicDomain Software. Diese wurde auf einem speziell gehärteten Unix-Rechner zum Einsatz gebracht. Hierbei wurde intensives Logging vorgenommen (als Vorläufer der Intrusion Detection)

3 Entwicklung von Firewalls Mit dem Aufkommen des 'öffentlichen' Internets Mitte der 90'er Jahre und der Abkopplung der Rechner Intranet hiervon durch die 1996 dokumentiere Network Address Translation (NAT; RFC 1631) sowie der Diskussion der 'Perimeter' Netzwerke durch die Firma Cisco (was bis dato Bestandteil der Architektur des Internet Explorers als 'Sicherheit einer Zone' ist) fanden Firewalls allgemeinen Eingang in eine Internet-Sicherheitsarchitektur. Nach 20 Jahren Erfahrung im Umgang mit Firewalls und auch gerade auch im Hinblick auf die letzten Sicherheitslücken des Internet Explorers muss festgehalten werden, dass der mit den Perimeter-Netzwerken implizit vorhandene Ansatz einer 'trusted Domain' bzw. 'trusted Rechners' (DMZ) weitgehend gescheitert ist: Hier wird (mit dem Verweis auf eine Firewall) Sicherheit vorgegaukelt, die nicht gewährleistet werden kann.

4 Aktuelle Firewall Produkte Public Domain: Linux: Ipchains (alt), Iptables FreeBSD: IPFW Kommerziell: Astaro Security Linux X/OS (von Jos Voss) einschliesslich RedHat OS Check Point Firewall 1 Appliances (Hard+Software): Cisco: PIX (alt), ASA Juniper: Netscreen Sun: Solstice 1 (Solaris + Check Point FW 1) Nokia: IP 390 (+ Check Point FW 1)

5 Inbound: Arbeitsweise von Firewalls Per Interface Rule Database IPv4 IPv6 ICMP UDP Circuitfilter Condition: IP? Quelle:Ziel UDP Port? Quelle:Ziel TCP Port? Quelle:Ziel TCP Packetfilter Flowfilter UDP Condition: State: Syn/Ack/Rst Flow: Initiator/Recipient TCP Log Database Conection DB Action: Pass/Block/Dup Gobal: IP Adresse Reaction: Log/Monitor/Alert Action: Allow/Tarpit/Reply/Drop/Dup SNMP Traps external Logging

6 (D)Dos Attacken und Firewall Verfügbarkeit Einer der wichtigsten Gründe für den Einsatz von Firewalls besteht darin die interne Infrastruktur zu schützen den Zugang auf Ressourcen kontrolliert freizugeben. Die Firewall wird nun allerdings selbst zum Gegenstand on Attacken: Distributed Denial of Serice (DDoS) Attacken können einen Firewall schnell an ihre Performance-Limits bringen. Infrastrukturmassnahmen: Notwendig ist die Trennung von Inbound- und Output-Traffic auf verschiedene Firewalls. Hochverfügbarkeit: Die Firewall redundant(aktiv/passiv) ausgelegt, sodass eine passive Standby-FW trotz Kompromittierung der aktiven FW im Bedarfsfall mit neuen Regeln ausgestattet und anschliessend aktiviert werden kann. Der Zeitraum vom Beginn der Attacke, über ihre Entdeckung, Analyse, Einrichten der neuen Regeln bis zu ihrer Aktivierung umfasst häufig mehrere Stunden, während derer das Netzwerk von aussen nicht erreichbar ist.

7 Einsatz von Firewalls Firewall Rule Compiler/Dispatcher Äussere Firewall Innere Firewall Internet Access Router Internet Demiliterized Zone (DMZ) Intranet Router Intranet Internet Dienste (Mail, DNS, Web-Server)

8 Regelwerk-Konfiguration von Firewalls (IPFW) Filtern von IP-Adressen (Interface; IP Source; IP Destination; Subnet) pass in on eth0 all block in quick on eth0 from /16 to any Filtern von ICMP Verkehr pass in on eth0 proto icmp from any to /24 icmp-type 0 pass in on eth0 proto icmp from any to /24 icmp-type 11 block in log on eth0 proto imp any to any Zugriffsbeschränkung auf TCP/UDP Dienste/Rechner block in log on eth0 tcp from any to /24 port = 513 block in log on eth0 tcp from any to /24 port = 25 block return-icmp(port-unr) in log on eth0 udp from any to /24 port=111. pass in on eth0 tcp from any to port = 25 Filtern von TCP Zuständen pass in on etch0 proto tcp any to port = 25 keep state (es werden nur aktive TCP Verbindungen oder solche mit SYN erlaubt) block return-rst on eth0 log proto tcp from any to port = 25 (einlaufende TCP Pakete mit RESET Flag werden bereits von der Firewall beantwortet)

9 Attacken auf die Firewall Redundant aufgebaute Firewalls besitzen eine Komplexität, die sie selbst zum besonderen Angriffsobjekt werden lassen: Sie stellen in der Netzwerk-Infrastruktur einen 'Single-Point of Failure' dar. Redundante Firewalls arbeiten immer im Stand-By und nie im Load-Shareing Verfahren. Ein komplexes Regelwerk und umfangreiches Logging sind der Performance und der Fehleranalyse abträglich und können selbst zur Ursache von Fehlersituationen werden. Für jede (akzeptierte) TCP-Verbindung muss ein TCP-Puffer bereit gestellt werden (maximal 64k pro IP); parallel muss der Verbindungsstatus aufgezeichnet werden (TCP-Syn Flodding) Die Grösse des TCP-Puffers ist abhängig von der (vom Client) angeforderten Window-Size, minimal aber 200 Byte und bleibt bis zu 2*RTT bestehen.s

10 Warum Firewalls? Grundsätzlich dienen Firewalls dazu, schwach geschützte Systeme nicht nach 'aussen' öffentlich zu machen. Wo liegen die Probleme? Offene Dienste: Dienste (= TCP/UDP Ports) werden beliebig freigegeben, d.h. sind für jedermann/frau nutzbar (HTTP, SSH, DNS, rpc, Napster...). Schwache Authentisierung: Anwendungen haben schwache Benutzer/Kennwort Vorgaben, Anonymer Zugriff wird erlaubt (SMTP, LDAP, DNS). Fehlerhaft Implementierung: Applikationen sind bekannt fehlerhaft und erlauben Exploits. Mittels einer Firewall lassen sich diese Problem partiell cachieren; aber nicht lösen. Dies ist vom Ansatz ein Security-Desaster.

11 Schwächen in Firewalls Eine besondere Gefahrenquelle stellen IP (ICMP/TCP/UDP) Pakete mit defektem Inhalt dar: Die Firewall-Anwendung nutzt die IP-Implementierung des Gast-Rechners (Socket-Schnittstelle), diese kann Fehleranfällig sein. Es können ungewöhnliche oder experimentelle Option in den Paketen genutzt werden, mit denen die TCP-Implementierung nicht umgehen kann; andererseits kann eine Firewall diese erfolgreich abblocken. Werden die Firewall-Rechner über eine HTTP-Komponente eingerichtet/konfiguriert, kann diese als Angriffsziel für Cross-Site-Scripts dienen. Es gibt keine Anlass anzunehmen, dass die Software in Firewall-Systemen weniger fehleranfällig als andere Software ist: Trennung von notwendigen Netzdiensten im Kernel und Firewall-Anwendung mit eigenem Benutzer-Kontext sowie (entfernter) Konfigurations-Schnittstelle mit ebenfalls eigenem Benutzer.

12 Firewalls mit Filterfunktion Firewalls lassen sich mit Content-Filter auf dem Application-Layer ergänzen: 'On-the-wire' Filtern von Viren und Malware. 'Gefährliche' HTTP Pakete (ActiveX, JavaScript) Aufgrund von Performance-Aspekten wird von diesen Filtern in der Regel Abstand genommen. Bei hoher Last der Firewall können diese zu DDOS-Attacken genutzt werden. Möglich wäre es, den Kommunikations-Prolog auszuwerten: HTTP: HTTP-Request/Response SMTP: Envelope SSH: (unverschlüsselte) Verbindungsaufnahme um hierüber 'validen' Protokollverkehr auszumachen.

13 Einschränkungen von Firewalls Firewalls sind in der Regel 'Anwendungs-Blind': Speziell verschlüsselte Verbindungen passieren die Firewall ohne Einschränkungen. In diesem Sinn können Firewalls einfach 'durch-tunnelt' werden. Firewalls arbeiten asymmetrisch: Inbound: Datenverkehr aus dem Internet ins Intranet wird partiell blockiert; Outbound: Datenverkehr aus dem Intranet ins Internet wird bestenfalls reglementiert. Firewalls müssen permanent überwacht werden: Für ein pro-aktives Erkennen von Angriffen und Sicherheitslücken sind die Log-Informationen der Firewalls stetig und systematisch auszuwerten. Ggf. muss dies durch ein Intrusion Detection System (IDS) ergänzt werden.

14 Routing vs. Bridging Die Standard-Funktion von Firewalls ist das Filtern von IP-Datenverkehr. Für VPNs (Virtual Private Networks) ist es aber ggf. notwendig diese auf Layer 2 zu bridgen. Hierzu muss die Firewall ARP-Pakete und u.u. ältere Datenprotokolle (AppleTalk, NetBEUI) unterstützen. Sinnvollerweise muss die (inbound) Firewall dies über ein eigenes Interface realisieren. Die Fähigkeit der Firwall Layer 2 Protokolle zu handhaben, muss aber im Einzelfall ermittelt werden.

15 Personal Firewalls Unter Windows hat sich eine eigene Form vom Firewalls etabliert: Personal Firewalls. Ein Standard-Window-System hat sehr viele Ports offen (für die interne Kommunikation mit einem Domain-Controller/ADS) [was in der 'Home' Edition vollkommener Nonesense ist; dies sollte im Gegenteil wesentlich restriktiver aufgesetzt werden als eine 'Company' Edition]. Personal Firewalls monitoren (und beschränken; falls sinnvoll programmiert) nicht nur den Inbound-Datenverkehr, sondern registrieren auch den Outbound-Datenverkehr, indem sie einen Hash-Wert über die Quell-Applikation berechnen und bei Änderung einen Alarm schlagen [die mit Argumenten aufrufbaren Windows-eigenen svc-dienste sind hierbei teilweise aussen vor gelassen (Norman Firewall!)] Windows Personal Firewalls stellen daher insbesondere ein Dienste-spezifische Outbound Firewall dar die zudem mittels (soweit von Microsoft) mittels Cross-Site-Scripting deaktiviert werden kann.

16 Firewalls: Fazit Firewalls stellen heute ein unverzichtbares Infrastrukturelement zur Anbindung von Intranets ans Internet dar. Firewalls schotten das Intranet gegen andere Netze ab. Firewalls schützen interne Rechner vor illegitimen Anfragen. Firewalls sind in gewissen Umfang aufwändig in der Konfiguration. Firewalls benötigen umfangreiche Pflege während ihres Einsatzes. Firewalls sind im kommerziellen Einsatz durchaus nicht 'billig'. Firewalls stellen naturgemäss einen zentralen Angriffspunkt für die Netzwerk-Infrastruktur dar. Wichtig ist, die Sicherheitslücken nicht durch den Verweis auf Firewalls zu cachieren, sondern diese aktiv zu suchen und zu eliminieren.