Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Transkript

1 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann

2 Zugangsschutz für Netzwerke Firewall-Systeme

3 Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken auf und weist auf diese hin zwecks Schließung derselben keine kriminelle Absicht bewegt sich jedoch in rechtlicher Grauzone Seite: 3

4 Typologie der Angreifer Black-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken auf und nutzt diese gezielt kriminell aus hohes Schadenspotenzial Seite: 4

5 Typologie der Angreifer Script Kiddie geringes Know-How benutzt automatische Tools aus dem Internet handelt aus Neugier oder Geltungssucht niedriges Unrechtsbewusstsein hohes Schadenspotenzial, da Ausmaß der Handlungen nicht überschaut oder kontrolliert wird Seite: 5

6 Schutzmaßnahmen Zum Schutz von Angriffen auf ein Netz setzt man als eine Maßnahme spezielle Schutzsysteme ein, die allgemein als Firewalls oder Firewallsysteme bezeichnet werden. Firewalls sollen unberechtigte Nutzung von Netzwerkressourcen verhindern. Seite: 6

7 Firewall-Systeme Ein Firewall-System verbindet zwei Netze. Das innere Netz wird als schutzwürdig angesehen. Das äußere Netz wird als bedrohlich angesehen. Dies ist aber nur eine Sprachregelung! Seite: 7

8 Ziele eines Firewall-Systems Typischer Anwendungsfall: Anbindung eines lokalen Netzes (innen) einer Firma an das Internet (außen). Seite: 8

9 Analogien zu Firewall-Systemen Ein Firewallsystem ist eine Brandschutzmauer die gewisse Bereiche eines Netzes abschottet. die verhindert, dass ein Schaden, der auf der einen Seite der Mauer auftritt, nicht auf die andere Seite übergreift. Seite: 9

10 Analogien zu Firewall-Systemen Ein Firewallsystem ist ein Pförtner der Daten, die von dem einem zum anderen Netz geschickt werden, kontrolliert und abhängig vom Ergebnis der Kontrolle den Zugang zulässt oder verweigert. der alle relevanten Ereignisse protokolliert. Seite: 10

11 Sicherheitskonzept Ein Firewallsystem bildet einen common point of trust. schützt nur vor Schäden, die als solche erkannt werden. ist nur so gut, wie seine Konfiguration. benötigt ein Sicherheitskonzept, um wirksam zu sein. Seite: 11

12 Sicherheitskonzept Im Sicherheitskonzept wird u.a. festgelegt welche Zugriffe vom äußeren ins innere Netz erlaubt sind. welche Zugriffe vom inneren ins äußere Netz erlaubt sind. welche Authentisierungsmechanismen gefordert werden. welche Ereignisse als schadhaft anzusehen sind und wie darauf zu reagieren ist. welche Ereignisse zu protokollieren sind und was mit den Protokollen zu geschehen hat (Auswertung, Speicherung etc.). Seite: 12

13 Allgemeine Ziele eines Firewall-Systems Zugangskontrolle auf Netzwerkebene Es wird überprüft, welche Rechnersysteme über das FWS miteinander kommunizieren dürfen. Zugangskontrolle auf Benutzerebene Das FWS überprüft, welche Benutzer über das FWS eine Kommunikation aufbauen dürfen. Dazu muss sich jeder Benutzer gegenüber dem FWS authentisieren. Seite: 13

14 Allgemeine Ziele eines Firewall-Systems Rechteverwaltung Im Rahmen der Rechteverwaltung wird festgelegt, mit welchen Protokollen und Diensten und zu welchen Zeiten über das FWS eine Kommunikation stattfinden darf. Kontrolle auf Anwendungsebene Das FWS überprüft, ob Kommandos genutzt oder Dateiinhalte übertragen werden, die nicht zur durch die Anwendung definierten Aufgabenstellung gehören. Seite: 14

15 Allgemeine Ziele eines Firewall-Systems Beweissicherung und Protokollauswertung Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert und können für die Beweissicherung von Handlungen der Benutzer und von Sicherheitsverletzungen ausgewertet werden. Verbergen der internen Netzstruktur Der tatsächliche Aufbau des internen Netzes ist von außen nicht sichtbar. Stellvertreterfunktion (Proxy) Network Adress Translation (NAT) Seite: 15

16 Aufbau eines Firewall-Systems Ein FWS kann aus mehreren Komponenten bestehen. Der Umfang und die Funktionen eines FWS hängen vom gewünschten Schutzbedarf ab. Ein FWS ist nur wirksam, wenn technische und organisatorische Maßnahmen Hand in Hand gehen. Seite: 16

17 Internet-Firewalls Ein FWS kann im Prinzip für jeden Typ Netz aufgebaut werden. Wir beschränken uns aber auf IP-basierte Netze. Typische Komponenten einer IP-Firewall sind Paketfilter und Application Gateways Seite: 17

18 Paketfilter Ein Paketfilter (auch: Packet Filter, IP-Filter) filtert IP- Pakete anhand des IP-Headers oder zusätzlich anhand des TCP-Headers. Paketfilter können IP-Pakete weiterleiten oder abweisen, je nach Filtereinstellung. Paketfilter haben Routing-Funktionaliät oder sind direkt in Routern integriert. Paketfilter können (meist) ihre Aktionen protokollieren. Paketfilter treffen ihre Entscheidungen anhand von Filtertabellen. Seite: 18

19 Paketfilter Zwei Ansätze für Paketfilter: Alles, was nicht explizit erlaubt ist, ist verboten (DENY ALL-Policy). Alles, was nicht explizit verboten ist, ist erlaubt (ALLOW ALL-Policy). Es empfiehlt sich aus Sicherheitssicht, die erste Variante zu wählen. Die zweite Variante ist meist die Sicht der Anwender. Seite: 19

20 Paketfilter Die Felder im Header, nach denen die Filterentscheidungen getroffen werden, sind meist Typ des IP-Pakets (ICMP, TCP, UDP etc.) IP-Adresse des Absenders IP-Adresse des Ziels Portnummer des Absenders (bei TCP/UDP-Paketen) Portnummer des Ziels (Bei TCP/UDP-Paketen) Flags im TCP-Header (bei TCP-Paketen) Seite: 20

21 Paketfilter: Beispiel Netz A * Client Computers Firewall (Paketfilter) Seite: 21

22 Paketfilter: Beispiel Die Rechner aus Netz A dürfen auf Server B an Werktagen von zwischen 7:00 und 18:00 den telnet-dienst nutzen, wenn Ein Rechner eine IP-Adresse aus Netz A hat, B die IP-Adresse hat, das Protokoll TCP ist, der telnet-port auf dem Server 23 ist, der Quellport > 1023 ist. Seite: 22

23 Paketfilter: Beispiel Ein Rechner aus Netz A darf nicht auf Server B telnet zu anderen Zeiten als den festgelegten nutzen, Einen anderen Dienst als telnet nutzen. Mit einem anderen Rechnersystem als mit B über den Paketfilter kommunizieren. Seite: 23

24 Filtertabellen: Beispiel Bei einer Deny-All-Policy würde eine Filtertabelle für die geschilderte Anforderung beispielsweise so aussehen: Interface Quelladresse Zieladresse Protokoll Quellport Zielport Aktion Zeitfenster * TCP > ALLOW Mo-Fr, 7:00-18: * TCP 23 >1023 ALLOW Mo-Fr, 7:00-18:00 Seite: 24

25 Filtertabellen Wie die Filtertabelle genau aussieht und welche Einträge möglich sind, hängt vom speziellen FWS ab. Paketfilter, deren Filtertabelle fest vorgegeben sind und sich nicht im laufenden Betrieb an den Netzwerkverkehr anpassen, heißen statische Paketfilter, sonst dynamische. Seite: 25

26 Paketfilter: Pro und Contra Pro Schnell, wenig Behinderung des Netzwerkverkehrs Contra Kontrolliert nur Netzwerkinfos, keine Paketinhalte Kontrolle auf niedriger Netzwerkschicht Geht von gewissen Annahmen aus (z.b. Well-Known-Ports) Benötigt wenig Ressourcen, geringe Komplexität Kostengünstig Keine Authentisierung möglich Kein Schutz auf Anwendungsebene Seite: 26

27 Application Gateways Ein AGW (manchmal auch Bastion genannt) ist ein Firewall-Element der Anwendungsebene. Ein AGW bietet i.a. Nutzerauthentisierung Proxy-Funktionalität Kontrolle der Paketinhalte Schnittstellen zur Einbindung von Virenscanner, Spamfiltern, IDS etc. Protokollierung Seite: 27

28 Proxy Ein Proxy (Stellvertreter) ist ein Dienst auf dem AGW. Ein Proxy ist speziell auf einen Netzwerkdienst angepasst (ftp-proxy, http-proxy etc.) und bietet für diesen Dienst spezielle Sicherheitsmechanismen. Jeder Proxy übernimmt für seinen Dienst die Vermittlungsfunktion zwischen dem äußeren und dem inneren Netz. Seite: 28

29 Application Gateways Ein AGW ist für das äußere Netz sichtbar (offizielle IP- Adresse) und nimmt bei Verbindungen zwischen den Netzen NAT vor. Ein AGW sollte keine Routing-Funktionalität besitzen, damit Pakete nicht an den Proxies vorbeigeleitet werden können. AGWs sollten selber mit Paketfiltern geschützt werden. Seite: 29

30 Application Gateways Ein AGW, bei dem ein- und ausgehender Verkehr über die gleiche Netzwerkschnittstelle geleitet werden, heißt Single-homed Gateway. Ein AGW mit zwei Netzwerkschnittstellen, bei dem die eine nur für eingehenden, die andere nur für ausgehenden Verkehr zuständig ist, heißt Dual-homed Gateway. Seite: 30

31 Application Gateways Seite: 31

32 Application Gateways: Pro und Contra Pro Höhere Sicherheit, da alle Pakete über Proxies übermittelt werden Echte Entkopplung von Diensten Benutzerverhalten kann genau definiert und kontrolliert werden Sicherheit auf Anwendungsebene Verbergen der internen Netzstruktur, NAT Contra Geringe Flexibilität: für jeden neuen Dienst muss ein neuer Proxy konfiguriert werden. Meist recht teuer. Komplexer zu verwalten. Bremst Netzwerkverkehr aus. Seite: 32

33 Die demilitarisierte Zone (DMZ) Oft ist es nötig, gewisse Server einer Organisation nach außen hin sichtbar zu machen, z.b. Webserver. Sicherheit des internen Netzes soll darunter nicht leiden. Lösungsansatz: Stelle Server zwischen Firewallsystem und internes Netz. Die Zone zwischen Firewall zum äußeren Netz und zum inneren Netz wird demilitarisierte Zone (DMZ) genannt. Seite: 33

34 Die demilitarisierte Zone (DMZ) Seite: 34

35 Screened Subnet Bei Firewallsystemen mit Hochsicherheitsanforderungen wird meist eine dreistufige Anordnung Paketfilter AGW Paketfilter (PAP) gewählt. Wird ein dual homed gateway verwendet, nennt man die Zone zwischen den Firewallelementen ein Screened Subnet. Das BSI empfiehlt PAP-Anordnung. Seite: 35

36 Screened Subnet: Beispiel Seite: 36

37 Grenzen eines FWS Ein FWS ist eine notwendige Komponente eines sicheren Netzes, aber es hat seine Grenzen. Ein FWS schützt nicht gegen Schadhafte Inhalte, die auf erlaubten Wegen ins Netz gelangen (z.b. über offene Ports der Firewall) Fehlerhafte Konfiguration Mutwillige Umgehung, z.b. per Modem oder USB Stick Ausspähen oder Zerstören von Daten durch Innentäter Menschliche Fehler Seite: 37