Zugangsschutz: Packet Filter und Firewalls

Transkript

1 Zugangsschutz: Packet Filter und Firewalls (1)

2 Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse ist. Aufgrund der verschiedenen Benutzergruppen und -interessen bestehen unterschiedliche Sicherheitsbedürfnisse, für die entsprechende Schutzmechanismen bereitgestellt werden müssen. (2)

3 Inhaltsübersicht Symmetrische versus asymmetrische Netzverbunde Sicherheitsspezifische Aspekte des Internet und seiner Protokolle Methoden der Zugangsbeschränkung (3)

4 Symmetrische versus asymmetrische Netzverbunde Sichere Insel crypt Sichere Insel??? Öffentliches Internet crypt Sichere Insel Das öffentliche Internet (4)

5 Wesentliche Schwachstellen Kein Schutz der Basisdateneinheit (IP Paket) Vertrauen in die Korrektheit von Routing-Information Kein Schutz der Transport-Dateneinheiten (TCP und UDP) Nicht geschützte Hilfsprotokolle (ICMP, DNS, ARP, BOOTP, TFTP) Meist ungeschützte Applikationsprotokolle (SMTP) oder nur schwacher Schutz mit Name/Passwort im Klartext (TELNET, FTP) Spezifische Schutzmechanismen als add on (NFS, SNMP, X11) (5)

6 Methoden der Zugangsbeschränkung Physische Sicherung von Komponenten Packet Filter Network Relay Firewalls Sicherung einzelner Rechner oder Anwendungen (6)

7 Physische Sicherung Schutz gegen physikalischen Zugriff oder Mitlesen auf Stromversorgungs- und Netzwerkkabeln Schutz interner und externer Anschlusspunkte Schutz von Routern, Bridges usw. vor physischem Zugriff oder Umkonfiguration durch ungeschützte Konsole Problem der Unterstützung von Mobilbenutzern Problem der Benutzung externer Ressourcen (7)

8 Zugangsschutz durch Packet Filter Angesiedelt auf der Netzwerkschicht des OSI-Modells Zur Filterung verwendete Information: IP-Adresse des Senders IP-Adresse des Empfängers Portnummer des Empfängers ggf. Portnummer des Senders Verantwortliches Transportprotokoll Filterregeln Unzulänglichkeiten von Packet Filtern (8)

9 Filterregeln PF Regel Source Destination Action A / /24 Permit B / /16 Deny C / /0 Deny (9)

10 Zugangsschutz durch Network Relay externe Verbindungen Router Überwachungsrechner interne Verbindung privates Subnetz Logging, Konfiguration (10)

11 Zugangsschutz durch sichtbaren Firewall Der Firewall terminiert DNS, elektronische Post usw. Alle Benutzer von Internet-Diensten müssen einen Benutzerbereich auf dem Firewall haben. Die Benutzerauthentisierung muss genügend gut sein (S/Keys). Benutzer können Dienste des Internet nur auf dem Firewall nutzen. (11)

12 Zugangsschutz durch unsichtbaren Anwendungs-Firewall Termination aller store-and-forward Dienste (DNS, , ), ggf. durch vorgelagerte Server Authentisierung von Anrufern (innen und aussen) Logging und Alarmierung Selektive Weiterleitung von Anwendungsverbindungen Umschreiben/Verbergen von internen Adressen (NAT) usw. Durchführung von Interaktionen im Auftrag von Benutzern (Proxy) Internet Router D N S öffentliche Server Firewall Umgeb. Router Internes Netz (12)

13 Benutzer oder Anwendung ist proxy aware (13)

14 Realisierung von Proxy Diensten Schichten 3 bis 6 telnet ftp externe Verbindungen Schicht 7 x_telnetd x_ftpd x_ d IPC Autorisierung x_telnet x_ftp x_ interne Verbindung telnetd ftpd d (14)

15 Anwendung ist nicht proxy aware talk, ping, spezifisches Umschreiben und Weiterleitung von Netzwerkoder Anwendungsverbindungen Angebot von Ersatzdiensten Verzicht auf diese Dienste (15)

16 Sicherung einzelner Rechner oder Anwendungen (I) Elektronische Post: z.b. PGP oder SMIME Transaktionsverarbeitung: z.b. Secure RPC oder IBM MQ/Series Benutzerauthentisierung: z.b. SecurID oder S/Keys Programmierumgebungen: z.b. SSL oder Kerberos aber: die Kompatibilität ist nicht gesichert bzw. nicht vorhanden die Komplexität von Betrieb und Fehlersuche ist hoch End-zu-End-Chiffrierung kann die Firewalls blenden die Chiffrierung der Benutzerdaten kann z.b. durch entsprechende nationale Gesetze eingeschränkt werden. (16)

17 Sicherung einzelner Rechner oder Anwendungen (II) Es ist möglich, einzelne Rechner oder einzelne Anwendungen durch lokale Firewalls und/oder strenge Authentisierung abzusichern. In einem solchen Fall müsste sogar das interne Netzwerk nicht mehr als sicher angenommen werden (mit Ausnahme von denial of service Angriffen). Jedoch müsste Sicherheit an vielen verschiedenen Stellen implementiert und die Verantwortung an viele Stellen delegiert werden. (17)

18 Schlussfolgerungen Mit den heutigen Mechanismen können Organisationen sich auf kontrollierte Weise an das Internet anschliessen, jedoch mit teilweise (bewusst) limitierter Funktionalität und Performance. Die Konfiguration, der tägliche Betrieb und die Administration der Zugangskontroll-Mechanismen dürfen nicht zu stark mit dem normalen Betrieb eines Rechenzentrums gekoppelt werden. Stattdessen sollte die Installation und der Betrieb eines gesicherten Internet-Anschlusses in der Verantwortung eines Sicherheitsverantwortlichen liegen, der mit entsprechendem Know-How, Ressourcen und Entscheidungs- bzw. Eskalations-Autorität ausgestattet ist. Wichtiger als technische Sicherheitsmassnahmen sind ein akkurates Sicherheits- / Betriebskonzept und die Ausbildung aller Betroffenen. (18)

19 Literatur S. Bellovin, B. Cheswick, Firewalls and Internet Security, Addison-Wesley, 1994 B. Chapman, E. Zwicky, Building Internet Firewalls, O Reilly & Associates, 1995 (19)