Inhaltsverzeichnis. Teil I: Grundlagen der Internetsicherheit 21. Einleitung 15

Transkript

1 Inhaltsverzeichnis 1 Einleitung 15 Teil I: Grundlagen der Internetsicherheit 21 1 Internetsicherheit Gefahren im Internet Netzwerkdienste Routerdienste Firewalldienste Authentifizierungs- und Autorisierungsdienste NAT-Dienste (Network Address Translation) Verschlüsselungs- und Entschlüsselungsdienste Proxydienste Sicherheit in der TCP/IP-Protokollfolge TCP/IP im Überblick Internet Protocol (IP) Address Resolution Protocol (ARP) Internet Control Message Protocol (ICMP) Transmission Control Protocol (TCP) User Datagram Protocol (UDP) Denial of Service-Angriffe (DoS-Attacks) SYN-Flut-Angriffe Ping-Angriffe Übergreifende Sicherheitskonzepte Zusammenfassung Häufig gestellte Fragen Glossar 54 2 Sicherheit bei Cisco-Routern Grundlagen des Sicherheitsmanagements Zugriffslisten Standardzugriffslisten 61

2 6 Cisco Secure Erweiterte Zugriffslisten Namenszugriffslisten Passwortverwaltung enable password-befehl enable secret-befehl Physische Sicherheit Die Kontrolle des Verbindungszugriffs Sicherheit beim Out-of-Band-Management Cisco Discovery Protocol (CDP) Konfigurationsdienste für Hypertext Transfer Protocol (HTTP) Simple Network Management Protocol (SNMP) Network Time Protocol (NTP) Banner Empfohlene IOS-Mindest-Sicherheitseinstellungen Das Verweigern von RFC-1918-Routen UDP- und TCP-Server Fingerdienste IP-unerreichbar ICMP-Umleitungsmitteilungen Gezielte Broadcasts Proxy Address Resolution Protocol (ARP) IP-Überprüfung IP-Quellrouting TCP Intercept Zusammenfassung Globale Befehle Interface-Befehle vty-befehle 98 Teil II: Die Produktfamilie Cisco Secure Überblick über die Sicherheitslösung und Produkte Die Cisco-Sicherheitslösung Identität Peripheriesicherung Verbindungsschutz Sicherheitsüberwachung Sicherheitsmanagement 107

3 Inhaltsverzeichnis Die Produktpalette der Cisco-Sicherheitsfamilie Cisco Secure PIX-Firewall Cisco IOS-Firewall Cisco Secure Intrusion Detection System (IDS) Cisco Secure Scanner Cisco Secure Policy Manager Cisco Secure Access Control Server (ACS) Zusammenfassung Häufig gestellte Fragen Glossar Bibliografie URLs Die Cisco Secure PIX-Firewall Die PIX-Modelle PIX PIX PIX 520/ PIX Die PIX-Eigenschaften Die Konfiguration der PIX Die Grundkonfiguration Die tatsächliche Konfiguration Die Konfiguration einer DMZ Duale DMZ mit AAA-Authentifizierung VPN mit PPTP (Point-to-Point Tunneling Protocol) ip local pool-befehl vpdn-befehl sysopt-befehl VPN mit IPSec und manuellen Schlüsseln crypto map-befehle crypto ipsec-befehl VPN mit zugeteilten Schlüsseln isakmp-befehle Erläuterungen zu VPN mit zugeteilten Schlüsseln Certificate Authorities (CAs) Zertifikatsvollmachten PIX-zu-PIX-Konfiguration PIX-zu-PIX mit identischen internen IP-Adressen Zusammenfassung 193

4 8 Cisco Secure 5 Die Cisco IOS-Firewall Zugriffslisten Dynamische Zugriffslisten Zeitabhängige Zugriffslisten Reflexive Zugriffslisten Die Nullroute Die Eigenschaften der Cisco IOS-Firewall Port Application Mapping (PAM) Kontextabhängige Zugriffslisten (CBAC) Die Arbeitsweise von CBAC Die Abfolge der CBAC-Ereignisse CBAC-unterstützte Protokollsitzungen Kompatibilität mit CET (Cisco Encryption Technology) und IPSec Die Konfiguration von CBAC Auswahl eines Interfaces Die Konfiguration von IP-Zugriffslisten auf dem Interface Die Konfiguration von globalen Timeouts und Grenzwerten Festlegung der Überprüfungsregeln Konfiguration von Logging- und Audit-Pfaden Beispiel für eine CBAC-Konfiguration Zusammenfassung Intrusion Detection System Angriffserkennung Überblick über die Angriffserkennung Hostgestützte Angriffserkennungssysteme Netzwerkgestützte Angriffserkennungssysteme Angriffserkennungssysteme Cisco Secure Intrusion Detection System (CSIDS) Überblick über die CSIDS-Komponenten Der CSIDS Sensor Das CSIDS Post Office Protocol Der CSIDS Director Signaturen Antwort auf den Alarm Die Interpretation einer Log-Datei Cisco IOS Firewall IDS 256

5 Inhaltsverzeichnis Cisco Secure PIX Firewall IDS Die Konfiguration von Cisco IDS Die Konfiguration von Cisco IOS Firewall IDS Die Konfiguration von Cisco Secure PIX Firewall IDS Zusammenfassung Häufig gestellte Fragen Glossar Cisco Secure Scanner Funktionen des Cisco Secure Scanner Netzwerk-Mapping Datenerfassung Datenanalyse Vulnerabilitätsbestätigung Datenpräsentation und Navigation Berichterstattung Installation des Cisco Secure Scanner Konfiguration des Cisco Secure Scanner Inbetriebnahme des Cisco Secure Scanner Erstellung einer Sitzung zur Datenerfassung Auswertung der gesammelten Daten Bericht über die gesammelten Daten Zusammenfassung Häufig gestellte Fragen Glossar URLs Cisco Secure Policy Manager (CSPM) Eigenschaften von CSPM Installation von CSPM Hardware-Anforderungen Software-Anforderungen Planung der Installation Installationsverfahren Konfigurationsbeispiel Konfiguration der Netzwerktopologie Konfiguration der Sicherheitsstrategie Erzeugung und Veröffentlichung der gerätespezifischen Befehlspakete 347

6 10 Cisco Secure 8.4 Zusammenfassung Häufig gestellte Fragen Glossar URLs Cisco Secure Access Control Server (ACS) Die Funktionen des Cisco Secure ACS Überblick über Authentifizierung, Autorisierung und Abrechnung (AAA) Authentifizierung Autorisierung Abrechnung (Accounting) RADIUS und TACACS RADIUS TACACS RADIUS und TACACS+ im Vergleich Installation von Cisco Secure ACS Installation auf Windows NT und Windows Installation auf Unix Konfiguration von Cisco Secure ACS Webgestützte Konfiguration und die ACS Admin-Site Benutzereinrichtung und Gruppeneinrichtung Netzwerk-Konfiguration System-Konfiguration Interface-Konfiguration Administration Control External User Databases Berichte und Aktivität Online Documentation Konfiguration des Network Access Server Überblick über die Konfiguration von AAA Konfigurationsbeispiel Szenario Technische Aspekte Potenzielle Risiken Konfiguration Konfiguration des ACS-Servers Die Konfiguration des NAS Die Konfiguration der Authentifizierung 400

7 Inhaltsverzeichnis Die Konfiguration der Autorisierung Die Konfiguration von Accounting Zusammenfassung Häufig gestellte Fragen Glossar Bibliografie URLs 404 Teil III: Internetsicherheit in der Praxis Sicherung des Unternehmensnetzwerks Einwahlsicherheit AAA für Einwahlbenutzer AAA-Authentifizierung mit TACACS+ und RADIUS Startkonfiguration Erstellen einer Methodenliste Verknüpfung der Liste mit Interfaces Feinabstimmung der Konfiguration Die Einrichtung von AAA-Autorisierung Die Einrichtung von AAA-Accounting Die gleichzeitige Verwendung aller AAA-Dienste Virtuelle Private Netzwerke (VPNs) L2F L2TP GRE-Tunneling Verschlüsselung Die Konfiguration von IPSec Zusammenfassung Sicherer Zugriff auf Internetdienste Internetdienste Häufige Sicherheitsrisiken im Internet Network Intrusion Denial of Service (DoS) Beispiel für die Sicherheit von Internetdiensten Anfangsprobleme und Gefahren in unserem Beispiel für die Sicherheit von Internetdiensten Veränderungsvorschlag für das Beispiel Korrigierte Probleme und Gefahren im Beispiel für die Sicherheit von Internetdiensten 447

8 12 Cisco Secure 11.4 Web-Server Gefahren für Web-Server Lösungen gegen die Gefahren für Web-Server Konfigurationsempfehlungen für Web-Server FTP-Server Gefahren für FTP-Server Lösungen gegen die Gefahren für FTP-Server Konfigurationsempfehlungen für FTP-Server Internet- -Server (SMTP/POP3/IMAP4) Gefahren für Internet- -Server Lösungen gegen die Gefahren für Internet- -Server Konfigurationsempfehlungen für Internet- -Server DNS-Server Gefahren für DNS-Server Lösungen gegen die Gefahren für DNS-Server Konfigurationsempfehlungen für DNS-Server Back-End-Server Gefahren für Back-End-Server Lösungen gegen die Gefahren für Back-End-Server Zusammenfassung Häufig gestellte Fragen Glossar 459 Teil IV: Anhang 461 A Cisco SAFE: Ein Sicherheits-Konzept für Unternehmensnetzwerke 463 A.1 Über die Autoren dieses Anhangs 463 A.2 Der Sinn von SAFE 463 A.3 Die Zielgruppe für SAFE 464 A.4 Voraussetzungen für diesen Text 464 A.5 Überblick über die Architektur 466 A.5.1 Gestaltungsgrundlagen 466 A.5.2 Das Modulkonzept 467 A.5.3 Allgemeine Grundsätze für die SAFE-Architektur 469 A.6 Unternehmensmodule 477 A.6.1 Erwartete Gefahren 477

9 Inhaltsverzeichnis 13 A.7 Unternehmenscampus 478 A.7.1 Managementmodul 478 A.7.2 Kernmodul 483 A.7.3 Gebäude-Distributionsmodul 484 A.7.4 Gebäude-Zugriffsmodul 486 A.7.5 Server-Module 487 A.7.6 Edge-Distributionsmodul 490 A.8 Unternehmensrandbereich (Edge) 492 A.8.1 Unternehmens-Internetmodul 492 A.8.2 VPN- und Remote-Zugriffsmodul 499 A.8.3 WAN-Modul 503 A.8.4 E-Commerce-Module 505 A.9 Unternehmens-Optionen 510 A.10 Entwicklungsstrategien 511 A.11 Anlage A: Versuchslabor 512 A.11.1 Allgemeine Richtlinien 513 A.11.2 Verwaltungsmodul 517 A.11.3 Kernmodul 520 A.11.4 Gebäude-Distributionsmodul 520 A.11.5 Gebäude-Zugriffsmodul 522 A.11.6 Server-Modul 522 A.11.7 Edge-Distributionsmodul 524 A.11.8 Unternehmens-Internetmodul 524 A.11.9 VPN- und Fernzugriffsmodul 527 A WAN-Modul 531 A.12 Anlage B: Sicherheitsfibel für Netzwerke 532 A.12.1 Die Notwendigkeit für Netzwerksicherheit 532 A.12.2 Struktur von Netzwerkangriffen 532 A.12.3 Was ist eine Sicherheitsrichtlinie? 544 A.12.4 Die Notwendigkeit einer Sicherheitsrichtlinie 544 A.13 Anlage C: Begriffe aus der Netzwerkarchitektur 544 A.14 Referenzen 546 A.14.1 RFCs 546 A.14.2 Diverse Referenzen 546 A.14.3 Partnerprodukt-Referenzen 547 Stichwortverzeichnis 549

10