Vorlesung. Rechnernetze I Teil 13. Wintersemester 2005/2006

Transkript

1 Vorlesung Rechnernetze I Teil 13 Wintersemester 2005/2006 Christian Grimm Fachgebiet Distributed Virtual Reality (DVR) Lehrgebiet Rechnernetze C. Grimm 25. Januar 2006

2 TERMINE Klausur Rechnernetze I schriftlich (90 Minuten) am Montag, 20. Februar 2006 um 9:00 Uhr im Kesselhaus (Gebäude 1208) Klausur Rechnernetze II schriftlich (90 Minuten) am Dienstag, 21. Februar 2006 um 9:00 Uhr im Kesselhaus (Gebäude 1208) C. Grimm 25. Januar 2006 Folie 2

3 Rückblick Teil 12 Protokolle für zufälligen Mehrfachzugriff auf einen Übertragungskanal Pure ALOHA Slotted ALOHA CSMA CSMA/CD Ethernet (Ethernet II und IEEE 802.3) Eigenschaften Manchester Codierung Binary Exponential Backoff Rahmenlänge und geografische Ausdehnung Bewertung der Auslastung und Performance Broadcast Domain und Collision Domain Erweiterungen des klassischen Ethernet Switching Fast Ethernet (IEEE 802.3u) Gigabit Ethernet (IEEE 802.3ae) C. Grimm 25. Januar 2006 Folie 3

4 Übersicht Teil 13 Angriffe ARP-Spoofing Kombination von TCP-Scanning und IP-Spoofing DoS mit TCP three-way-handshake Firewalls Eigenschaften Typen von Firewalls Regeln in Firewalls Beispiel für Gesamtkonfiguration von Firewalls Security Flag im IP-Header C. Grimm 25. Januar 2006 Folie 4

5 Definition Angriff Angriffe verletzen explizite oder implizite Sicherheitsregeln Sicherheitsregeln werden im Allgemeinen als Policies bezeichnet Angriffe richten sich gegen Vertraulichkeit (Confidentiality) von Informationen Schutz sensitiver Informationen vor nicht autorisierten Zugriffen und Offenlegung Unversehrtheit (Integrity) von Informationen Sicherung der Authentizität von Informationen Verlässlichkeit (Dependability) von Informationen Nichtabstreitbarkeit / Unleugbarkeit von Informationen Verfügbarkeit (Availability) von Informationen und Ressourcen Angriffe können aus dem gesamten Internet kommen für Angriffe gibt es keine zeitliche Begrenzung Dauer von Angriffen Zeitpunkt des Auftretens C. Grimm 25. Januar 2006 Folie 5

6 Typische Arten von Angriffen Sniffing: Mitlauschen von Datenverkehr im Netzwerk Ermittlung von Username und Password aus unverschlüsselten Diensten (Telnet, FTP) Scanning: Suche nach offenen Ports Aufdecken und nachfolgendes Ausnutzen sicherheitsrelevanter Schwächen (Exploits) Spoofing: fälschen von Adressen IP-Spoofing: IP-Adressen fälschen Vortäuschen falscher, in der Regel vertrauenswürdiger IP-Adressen Verschleiern der eigenen IP-Adresse ARP-Spoofing: MAC-Adressen fälschen Umleitung von Rahmen in geswitchten Netzen Denial of Service: Hosts, Dienste oder Netze außer Betrieb setzen durch provozierte Überlast oder Zusammenbruch von Ressourcen zielt auf wirtschaftlichen Schaden des Betreibers typisch sind Kombinationen der vier genannten Angriffe C. Grimm 25. Januar 2006 Folie 6

7 Angriffe im TCP/IP-Schichtenmodell Application TCP / UDP IP Data Link Physical Viren Buffer overflow SYN Flooding illegale Kombination von TCP-Flags (Nastygram) Spoofing indirektes Scanning überlappende Fragmente ( Teardrop -Angriff) ARP Spoofing ARP Flooding von Switches C. Grimm 25. Januar 2006 Folie 7

8 Herkömmlicher Ablauf ARP A sendet in einem klassischen Ethernet Daten an B (Shared Media, vgl. Teil 11) IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP MAC CC-49-DE-D0-AB-7D B IP MAC 49-BD-D2-C7-56-2A 1. Knoten A sendet Ethernet-Frame mit ARP-Request (Type = ) MAC-Adresse des Absenders ist 1A-23-F9-CD-06-9B MAC-Adresse des Ziels ist Broadcast-Adresse, d. h. FF-FF-FF-FF-FF-FF Payload enthält IP-Adresse alle Knoten in Broadcast Domain erhalten ARP-Request Knoten B stellt fest, dass ARP-Request die IP-Adresse seines Netzwerk-Interface enthält 3. Knoten B sendet Ethernet-Frame mit ARP-Reply MAC-Adresse des Absenders ist 49-BD-D2-C7-56-2A MAC-Adresse des Ziels ist 1A-23-F9-CD-06-9B Payload enthält IP-Adresse Knoten A erhält ARP-Reply und kann vollständigen Ethernet-Frame erstellen C. Grimm 25. Januar 2006 Folie 8

9 Herkömmlicher Ablauf ARP A sendet in einem geswitchten Ethernet Daten an B IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP MAC CC-49-DE-D0-AB-7D Switch B IP MAC 49-BD-D2-C7-56-2A Ablauf wie in einem ungeswitchten Netz, s. o. d.h. es werden nur die MAC-Adressen der Stationen verwendet, nicht die des Switch Besonderheit in geswitchten Netzen Switch merkt sich, an welchen Ports welche MAC-Adressen angeschlossen sind Broadcast-Frames sind weiterhin im gesamten Netz sichtbar Switch leitet Broadcast-Frames an alle angeschlossenen Knoten weiter gerichtete Frames werden direkt an das Ziel vermittelt diese Frames sind für alle anderen Stationen nicht mehr sichtbar unbemerktes Mithören (Sniffing) ist nicht mehr einfach möglich Lösung für Angreifer: ARP-Spoofing C. Grimm 25. Januar 2006 Folie 9

10 ARP-Spoofing typischer Man-in-the-Middle Angriff Angreifer versucht, unbemerkt Daten mitzuhören und ggf. zu manipulieren Angreifer gibt sich gegenüber Sender als Empfänger aus Angreifer empfängt Daten vom Sender und leitet Sie an das eigentliche Ziel weiter Ansatz: Angreifer verbreitet gefälschte ARP-Replies im Netz ARP-Replies enthalten MAC-Adresse des Angreifers und IP-Adresse des Empfängers Station nehmen Informationen aus dieser ARP-Reply in ihre ARP-Tabelle auf Pakete an IP-Adresse des Empfängers werden somit tatsächlich an MAC-Adresse des Angreifers gesendet Angreifer liest Daten aus und leitet ursprünglichen Rahmen an korrekte MAC-Adresse Schutz gegen ARP-Spoofing ist (ohne Erweiterung des Protokolls) schwierig erfordert Prüfung der Integrität von ARP-Replies Opfer hat keine Möglichkeit, sich gegen gefälschte ARP-Nachrichten zu wehren geeignete Zustandsprüfung von ARP im Prinzip nur auf Switch möglich ARP-Replies sollten nur bei vorliegenden zugehörigen ARP-Requests weitergleitet werden Verdacht, wenn für eine IP-Adresse ARP-Replies mit verschiedenen MAC-Adressen vorliegen C. Grimm 25. Januar 2006 Folie 10

11 ARP-Spoofing Situation: Z will durch ARP-Spoofing Datenverkehr zwischen A und B mithören IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP Z MAC CC-49-DE-D0-AB-7D Switch B IP MAC 49-BD-D2-C7-56-2A 1. Knoten Z sendet Frame mit ARP-Reply an A MAC-Adressen: Absender ist CC-49-DE-D0-AB-7D, Empfänger ist C-E8-FF-55 Payload enthält die IP-Adresse richtig wäre Knoten Z sendet Frame mit ARP-Reply an B MAC-Adressen: Absender ist CC-49-DE-D0-AB-7D, Empfänger ist 49-BD-D2-C7-56-2A Payload enthält die IP-Adresse richtig wäre Knoten A sendet nun IP-Pakete an B in Rahmen an die MAC-Adresse von Z 4. Knoten B sendet nun IP-Pakete an A in Rahmen an die MAC-Adresse von Z wichtig: Z leitet Rahmen an A bzw. B weiter, d. h. A und B bemerken nichts! C. Grimm 25. Januar 2006 Folie 11

12 Aufbau von IP-Paketen (vgl. Teil 9) der IP-Header umfasst mindestens 20 Byte Version des IP-Protokolls (4 Bit) Länge des Headers (4 Bit) in 32-Bit Worten enthält typisch Wert 5 Type of Service (ToS) für QoS (8 Bit) Länge des gesamten IP-Pakets (16 Bit) Angabe in Byte inklusive des IP-Headers 16 Bit maximale Länge von Byte Identifier, Flags und Fragment Offset dienen der Fragmentierung von IP-Paketen Time to Live,TTL (8 Bit) Sender setzt TTL per Default auf 255 jeder Router verringert TTL um Wert 1 bei Erreichen von 0 wird Paket verworfen Upper Layer Protocol (8 Bit) gibt ID des Transportprotokolls an Checksum (16 Bit) Berechnung wie Internet-Checksum wg. TTL auf jedem Router neue Berechnung Options werden auf 32-Bit Werte aufgefüllt Ver. Hdr. Len. Time to Live Identifier Type of Service Upper Lay. Protocol 32 Bit Flags Source IP Address Destination IP Address Options Nutzdaten (maximale Länge?) Length Fragment Offset Checksum C. Grimm 25. Januar 2006 Folie 12

13 Kombination von TCP-Scanning und IP-Spoofing Ziel ist Scanning von TCP-Ports des Opfers unter Ausnutzung eines Stellvertreters Ablauf Voraussetzung: Stellvertreter hat während des Scannens keine weiteren Verbindungen 1. Angreifer sendet SYN-Segment an einen nicht benutzten Port des Stellvertreters 2. Stellvertreter antwortet mit RST-ACK-Segment, Angreifer erhält IP-ID Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 4321 IP-ID beliebig TCP SYN 1. Angreifer C. Grimm 25. Januar 2006 Folie 13 Src , 4321 Dst , 1234 IP-ID IP-ID TCP RST, ACK 2. Stellvertreter

14 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 3. Angreifer sendet SYN-Segment mit IP-Adresse des Stellvertreters an Opfer 4. Opfer antwortet mit SYN-ACK-Segment an den Stellvertreter 5. Stellvertreter setzt die Verbindung mit RST-ACK-Segment zurück, IP-ID ist um 1 erhöht Src , 1234 Dst , 80 IP-ID beliebig TCP SYN 3. Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 80 IP-ID IP-ID + 1 TCP RST, ACK 5. Src , 80 Dst , 1234 IP-ID beliebig TCP SYN, ACK 4. Angreifer Stellvertreter C. Grimm 25. Januar 2006 Folie 14

15 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 6. Angreifer sendet erneut SYN-Segment an Stellvertreter 7. Stellvertreter antwortet mit RST-ACK-Segment, IP-ID ist wiederum um 1 erhöht Angreifer erhält IP-ID + 2 auf Opfer ist TCP-Port 80 aktiv, d. h. Dienst läuft zu keinem Zeitpunkt hat Opfer die IP-Adresse des Angreifers gesehen Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 4321 IP-ID beliebig TCP SYN 6. Angreifer C. Grimm 25. Januar 2006 Folie 15 Src , 4321 Dst , 1234 IP-ID IP-ID + 2 TCP RST, ACK 7. Stellvertreter

16 Kombination von TCP-Scanning und IP-Spoofing jetzt TCP-Scanning von Port 25 (SMTP, Mailserver) Ablauf auf Opfer ist der gescannte Port nicht aktiv 1. Angreifer sendet SYN-Segment an einen nicht benutzten Port des Stellvertreters 2. Stellvertreter antwortet mit RST-ACK-Segment, Angreifer erhält IP-ID Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1236 Dst , 4321 IP-ID beliebig TCP SYN 1. Angreifer C. Grimm 25. Januar 2006 Folie 16 Src , 4321 Dst , 1236 IP-ID IP-ID TCP RST, ACK 2. Stellvertreter

17 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 3. Angreifer sendet SYN-Segment mit IP-Adresse des Stellvertreters an Opfer 4. Opfer antwortet mit RST-ACK-Segment an den Stellvertreter 5. keine Reaktion des Stellvertreters, d. h. IP-ID wird nicht erhöht Src , 1234 Dst , 25 IP-ID beliebig TCP SYN 3. Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 25 Dst , 1234 IP-ID beliebig TCP RST, ACK Angreifer Stellvertreter C. Grimm 25. Januar 2006 Folie 17

18 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 6. Angreifer sendet erneut SYN-Paket an Stellvertreter 7. Stellvertreter antwortet mit RST-ACK-Paket, IP-ID wird um 1 erhöht Angreifer erhält IP-ID + 1 auf Opfer ist TCP-Port 25 nicht aktiv, d. h. kein Dienst auch hier gilt: zu keinem Zeitpunkt hat Opfer die IP-Adresse des Angreifers gesehen Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1235 Dst , 4321 IP-ID beliebig TCP SYN 6. Angreifer C. Grimm 25. Januar 2006 Folie 18 Src , 4321 Dst , 1235 IP-ID IP-ID + 1 TCP RST, ACK 7. Stellvertreter

19 Denial of Service Angriffe (DoS) DoS-Angriffe richten sich typisch gegen Server erschöpfen die vorhandene Bandbreite der Server-Anbindung Beispiel smurf -Angriff (ICMP, vgl. Teil 9) ICMP echo request von gefälschtem Absender (Opfer) an Broadcast-Adresse eines Netzes alle erreichbare Hosts im Netz senden ICMP echo reply an Opfer erschöpfen die Ressourcen eines Systems z. B. wird maximale Anzahl Netzwerkverbindungen eines Betriebssystems erreicht Beispiel SYN-Flooding (Beispiel siehe unten) Angreifer sendet SYN-Segmente IP-Adresse des Absenders ist aus Private Internet (vgl. Teil 9) Opfer sendet SYN-ACK-Segmente Opfer bekommt keine Antwort, sendet Retransmits der SYN-ACK-Segmente Auswahl typischer Gegenmaßnahmen Egress Filtering: Router sortieren offensichtlich gespoofte ausgehende Pakete aus Dienste haben eine maximale Anzahl an möglichen Verbindungen Router leiten Datenpakete an Broadcast-Adressen nicht weiter C. Grimm 25. Januar 2006 Folie 19

20 DoS durch TCP three-way-handshake (vgl. Teil 5) Sender Empfänger CLOSED CLOSED connect () listen () LISTEN SYN_SENT SYN=1 ACK=0 seq=client_isn regulärer Verlauf auf Sender SYN=1 ACK=1 seq=server_isn, ack=client_isn+1 accept () SYN_RCVD regulärer Verlauf auf Empfänger SYN=0 ACK=1 seq=client_isn+1, ESTABLISHED ack=server_isn+1 t t ESTABLISHED C. Grimm 25. Januar 2006 Folie 20

21 DoS durch TCP three-way-handshake Sender Empfänger CLOSED CLOSED connect () SYN_SENT SYN=1 ACK=0 seq=client_isn RST=1 ACK=1 seq=0 ack=client_isn+1 kein entsprechender Dienst auf Empfänger aktiv Empfänger sendet RST CLOSED t t C. Grimm 25. Januar 2006 Folie 21

22 DoS durch TCP three-way-handshake Sender Empfänger CLOSED CLOSED listen () LISTEN TCP-Segment in IP-Paket mit gefälschter Absenderadresse (d. h. von anderem Sender) SYN=1 ACK=0 seq=client_isn SYN=1 ACK=1 seq=server_isn ack=client_isn+1 accept () SYN_RCVD Sender kann SYN-ACK nicht zuordnen, deshalb RST RST=1 ACK=1 seq=0 ack=server_isn+1 t t LISTEN C. Grimm 25. Januar 2006 Folie 22

23 DoS durch TCP three-way-handshake Empfänger CLOSED listen () LISTEN TCP-Segment in IP-Paket mit gefälschter Absenderadresse (d. h. von anderem Sender) SYN=1 ACK=0 seq=client_isn Sender ist jedoch gar nicht aktiv, Three-way-Handshake wird nicht abgeschlossen SYN=1 ACK=1 seq=server_isn ack=client_isn+1 SYN=1 ACK=1 seq=server_isn ack=client_isn+1 SYN=1 ACK=1 seq=server_isn ack=client_isn+1 accept () t SYN_RCVD d. h. Timeouts und Retransmissions auf Empfänger führt bei vielen SYN zu DoS! LISTEN C. Grimm 25. Januar 2006 Folie 23

24 Distributed Denial of Service Angriffe (DDoS) Eigenschaften richten sich gegen die verfügbare Bandbreite einer Serveranbindung erfordert größere Vorbereitung als DoS Vorgehen Angreifer installiert Agenten auf kompromittierten Rechnern häufig über P2P oder IRC Angreifer sendet initiale Datenpakete an Agenten Agenten greifen Opfer an mehrstufige Hierarchie durch Einsatz von Handlern (alt)bekannte DDoS-Tools Trinoo, TFN, Stacheldraht, Shaft Angreifer Handler Agenten mögliche Gegenmaßnahme Zombie Zapper von BindView ( versucht Agenten zu stoppen gelingt allerdings nur, wenn auf Agenten noch Default-Password für Stop gesetzt ist Opfer Anmerkung: alternative Form von DDoS Virus MyDoom verbreitete sich als Mail-Attachment (Opfer z. B. C. Grimm 25. Januar 2006 Folie 24

25 Distributed Denial of Service Angriffe (DDoS) Verteiltheit und Größe von DDoS-Angriffen im Zentrum (= Ziel des Angriffs) wurden die IP-Adressen der Agenten gesammelt dargestellt sind die traceroutes vom Zentrum zu den gesammelten IP-Adressen United States China Germany United Kingdom France Brazil Japan Philippines Russian Federation Malaysia Hong Kong Quelle: The Prolexic Zombie Report ( C. Grimm 25. Januar 2006 Folie 25

26 Firewalls Aufgabe einer Firewall Rechner im internen Netz vor Angriffen aus äußerem Netz schützen das äußere Netz ist in der Regel das Internet oder allgemein: Datenverkehr zwischen zwei Netzen reglementieren innere Topologie von Netzen verschleiern Internet internes Netz Firewall äußeres Netz C. Grimm 25. Januar 2006 Folie 26

27 Gründe für den Einsatz von Firewalls zentrale Verwaltung der Sicherheitsrichtlinien Regeln definieren die verfügbare Dienste d. h. welcher Dienst für wen erreichbar ist unerwünschter Verkehr wird blockiert verwundbare interne Rechner werden nach außen abgeschirmt Protokollierung des Verkehrs Umleitung eingehenden Verkehrs an bestimmte interne Systeme Zugang ins äußere Netz nur nach Authentifizierung des Nutzers freigeben Schutz vor DoS, DDoS, z. B. SYN-Flooding IP-Spoofing interner Adressen Einbruch in Systeme im inneren Netz Buffer Overflows auf Rechnern im inneren Netz durch Angriffe aus dem Internet unbemerkte Nutzung eigener Ressourcen durch fremde Nutzer Integration eines zentralen Virenfilters für z. B. oder WWW wegen notwendiger Performance ist jedoch Auslagerung auf dediziertes System sinnvoll ersetzt nicht herkömmliche Virenfilter, sondern bietet nur einen zusätzlichen Schutz C. Grimm 25. Januar 2006 Folie 27

28 Was eine Firewall kann eine Firewall trennt verschiedene Netze voneinander unterschiedlicher Anspruch an Sicherheit in den verschiedenen Netzen Einschränkung der möglichen Dienste über die Firewall z. B. nur WWW- und FTP- Verkehr vom inneren Netz ins Internet und nur WWW-Verkehr aus dem Internet auf einen bestimmten WWW-Server Überwachung der erlaubten Dienste Einschränkung der Rechner, die das Internet nutzen dürfen Protokollierung der Verkehrsströme eingeschränkte Steuerung der Verkehrsströme möglich Drosselung der Datenrate (Traffic Shaping) Umsetzung von IP-Adressen (Network Address Translation) zeitabhängige Zugänge C. Grimm 25. Januar 2006 Folie 28

29 Was eine Firewall nicht kann keinen Schutz vor Angriffen von innen keinen Schutz vor Einschleusung von Viren und Würmern durch mitgebrachte Notebooks durch Herunterladen aus dem Internet an einem Virenfilter vorbei keinen Schutz vor Zugang über ungeschützte oder schlecht geschütze Zugänge z. B. Zugang über Telefonnetz (Modem, ISDN) oder WLAN Access Points keinen Schutz vor Angriffen über getunnelten oder verschlüsselten Zugänge eine Firewall kann verschlüsselte Daten nicht prüfen kein Zugriff auf Daten über VPN- bzw. ssh-tunnel oder mit PGP verschlüsselte s keinen Schutz vor Angriffen durch aktive Inhalte (Flash, ActiveX, Java) Firewall kann Übertragung aktiver Inhalte nur generell erlauben oder blockieren keine inhaltliche Überprüfung möglich aktive Inhalte können unerwünschte / schädliche Aktionen durchführen C. Grimm 25. Januar 2006 Folie 29

30 Absicherung von Firewalls Firewalls sind exponiert gegenüber dem Internet d. h. Firewalls sind häufig direkte Angriffspunkte eine kompromittierte Firewall ist häufig der worst case Firewall als Bastion Host betreiben, d. h. als besonders gesichertes System keine Compiler installiert keine unnötigen Dienste installiert kein X-Windows keine Benutzerkonten spezielle root Umgebung nutzen schränkt die Rechte der aktiven Programme zusätzlich ein Firewall im Stealth Mode betreiben, d. h. unsichtbar aus Sicht von IP keines der Interface hat eine IP Adresse dadurch nicht direkt über IP ansprechbar Realisierung auf Data Link Layer und Proxy-ARP im Prinzip ähnlich zu ARP-Spoofing, vgl. Folie 10 C. Grimm 25. Januar 2006 Folie 30

31 Typen von Firewalls Firewalls werden unterschieden in Personal Firewall Paketfilter statische Paketfilter dynamische Paketfilter Circuit-Level Gateway derzeit nur akademisch interessant, wird nicht weiter erläutert Application-Level Gateway Anmerkung kommerzielle Produkte sind meist eine Kombination aus den verschiedenen Typen aktuelle Firewalls enthalten Funktionen für Intrusion Detection und Intrusion Prevention deep packet inspection: Firewalls versuchen, Angriffe zu erkennen Erkennung anhand Signaturen von Viren und Trojanern oder einfach SYN-Flooding, DDoS, bei erkannten Angriffen werden eigene Regeln aktiv geändert C. Grimm 25. Januar 2006 Folie 31

32 Personal Firewall Personal Firewalls werden auf Endgeräten (Hosts) installiert die meisten Personal Firewalls existieren für Windows Systeme prinzipiell ein Paketfilter Sperrung gewisser Ports, IP-Adressen, ICMP Typen, usw. Einschränkung der Internetnutzung für einzelne Programme möglich Unterbindung von Ping- / Traceroute-Antworten möglich begrenztes Logging möglich Gefahren von Personal Firewalls Malware (Würmer, Trojaner, Spam Mailer, etc.) wird u. U. nicht erkannt zusätzlicher Virenscanner unbedingt nötig, schützt nur vor Würmern Firewall kann von Programmen ausgeschaltet werden User fühlt sich sicher und wird unvorsichtiger C. Grimm 25. Januar 2006 Folie 32

33 Statische Paketfilter arbeiten auf Network und Transport Layer Integration in Routern möglich typisch für kleinere Netze geringer Datenrate (Anbindung an Provider < Fast Ethernet) Firewall/Router vergleicht empfangene Pakete mit konfigurierten Screening-Regeln Selektionskriterien beziehen sich auf fast alle Felder im IP- und TCP-/UDP-Header Regeln legen fest ob Paket weitergeleitet, verworfen oder eine Nachricht an den Absender gesendet wird zweiteilige Screening-Regeln bestimmen Behandlung für jedes Paket 1. anhand Selektionskriterien wird true oder false berechnet Selektionskriterien sind z. B. IP-Adressen, Portnummern, Protokoll-IDs oder SYN-/ACK-Flag bei erstem true wird angegebene Aktion durchgeführt 2. Aktion gibt generelle Vorgehensweise nach Ergebnis true vor mit Gebotsregel darf Paket passieren (Allow) mit Verbotsregeln wird Paket verworfen (Deny) oder ICMP-Fehler an Quelle gesendet (Reject) Achtung: Screening-Regeln werden bis zu erstem true sequentiell abgearbeitet nach erstem true werden weitere Regeln werden nicht mehr beachtet! typische Fehlerquelle bei umfangreichen Listen von Regeln, s. Beispiel C. Grimm 25. Januar 2006 Folie 33

34 Beispiel Screening-Regeln Beispiel für Firewall zwischen dem Subnetz /24 und dem Internet 1. interner oder gespoofter Verkehr wird generell nicht durchgelassen (d. h. verworfen) 2. eingehendes Telnet (Port 23) wird ohne Rückmeldung an Sender verworfen 3. eingehendes HTTP wird erlaubt (von Port 80, typisch Responses von WWW-Servern) 4. ausgehendes HTTP wird erlaubt (an Port 80, typisch Requests an WWW-Server) 5. SSH (Port 22) von an ist erlaubt 6. SSH (Port 22) von an ist erlaubt 7. ausgehendes HTTP von Host ist verboten greift aber wg. Regel 4 nicht! 8. alle übrigen Pakete werden mit einer Rückmeldung an Sender abgelehnt Nr Typ Quell-Adresse Ziel-Adresse Quell-Port Ziel-Port Aktion 1 * / /24 * * Deny 2 TCP * /24 * 23 Deny 3 TCP * /24 80 * Allow 4 TCP /24 * * 80 Allow 5 TCP / /32 22 * Allow 6 TCP / /32 * 22 Allow 7 TCP /32 * * 80 Deny 8 * * * * * Reject C. Grimm 25. Januar 2006 Folie 34

35 Dynamische Paketfilter arbeiten auf Network, Transport und (rudimentär) Application Layer Eigenschaften speichern Kontext-Informationen zu einzelnen Datenflüssen für jeden neuen Datenfluss (Flow) wird ein Eintrag in einer Tabelle generiert Zeile enthält u. a. das Tupel { { IP, Port } Sender, { IP, Port } Empfänger, Transportprotokoll } weitere Pakete werden genau dann durchgelassen, wenn ein Tupel passt dabei werden Statusinformationen der jeweiligen Protokolle beachtet Datensegmente in TCP werden z. B. genau dann durchgelassen, wenn vorher SYN- und SYN-ACK-Segmente zwischen den entsprechenden Hosts ausgetauscht wurden zulässiges Vertauschen der beiden Tupel { IP, Port } ergibt Unabhängigkeit von Richtung Entfernung des Eintrages nach Abbau der Verbindung bzw. Ablauf eines Idle-Timers besonders geeignet für TCP Problem bei UDP kein Verbindungsauf- oder Abbau keine Informationen über Status der Datenflusses im Protokoll enthalten somit kann Beginn und Ende eines Datenflusses über UDP nicht eindeutig bestimmt werden ggf. werden weitere Informationen in Protokoll auf Application Layer ausgewertet C. Grimm 25. Januar 2006 Folie 35

36 Stärken und Schwächen von Paketfiltern Stärken kostengünstig auf fast allen Routern implementiert Regeln sind leicht erweiterbar Schwächen bei großen Netzen werden Regeln schnell umfangreich und schwer überschaubar umfangreiche Regeln beeinträchtigen Durchsatz komplexe Protokolle sind auch mit dynamischen Paketfiltern nicht handhabbar z. B. H.323 keine umfassende semantische Kontrolle über Inhalte der Pakete kein Schutz vor Missbrauch von well known Ports Inhalte auf Application Layer werden nicht geprüft C. Grimm 25. Januar 2006 Folie 36

37 Application-Level Gateway (ALG) arbeiten auf Network, Transport und Application Layer Eigenschaften Entkopplung der Netze Verbindungen zwischen Quelle und Ziel werden von ALG unterbrochen Quelle muss explizit Verbindung zum ALG aufbauen, ALG baut Verbindung zum Ziel auf Nutzdaten sind online analysierbar und manipulierbar der komplette Verkehr einer Anwendung kann überwacht und protokolliert werden suche nach Schlüsselwörtern in Nutzdaten möglich z. B. Entfernung von allen Java-Applets aus Webseiten oder Virenfilterung von Einschränkungen von Dienstmerkmalen konfigurierbar z. B. Unterbindung von PUT in FTP: kein Upload möglich Authentisierung des Nutzers möglich Dienste können benutzerabhängig erlaubt werden Nachteile für jeden Dienst ist ein spezielles Proxy-Programm auf dem ALG notwendig Nutzung des ALG erfordert Anpassung der Applikationen hoher Rechenaufwand, d. h. schlecht skalierbar C. Grimm 25. Januar 2006 Folie 37

38 Beispiel für Gesamtkonfiguration von Firewalls standalone Firewall nach außen sichtbare Server werden in so genannter Demilitarized Zone (DMZ) platziert Zugriffe von außen in inneres Netz sind generell nicht gestattet Zugriffe von außen in DMZ nur auf bestimmte Dienste und Hosts gestattet Zugriffe von DMZ in inneres Netz sind generell nicht gestattet Zugriffe von DMZ nach außen sind generell nicht gestattet Zugriffe von innerem Netz in DMZ nur auf bestimmte Dienste und Hosts gestattet Zugriffe von innerem Netz nach außen sind generell gestattet Internet inneres Netz DMZ Firewall äußeres Netz C. Grimm 25. Januar 2006 Folie 38

39 Beispiel für Gesamtkonfiguration von Firewalls Firewall und Paketfilter zusätzlicher Schutz der Firewall vor innerem und äußerem Netz durch Paketfilter einfache Regeln auf Paketfiltern Entlastung der Firewall mehrfacher Schutz des inneren Netzes diese Konfiguration ist state-of-the-art! verschiedene Dienste (z.b. Webserver und SAP) ggf. in getrennte DMZ legen! Internet inneres Netz Paketfilter DMZ Firewall Paketfilter äußeres Netz C. Grimm 25. Januar 2006 Folie 39

40 Security Flag im IP-Header Spezifikation S. Bellovin. The Security Flag in the IPv4 Header. RFC 3514, IETF, April 2003 noch kein Internet Standard Ansatz markiere Bit im IP-Header, um gutartige von bösartigen IP-Paketen zu unterscheiden dieses Bit wird auch als Evil Bit bezeichnet verwendet wird das höchstwertige Bit im IP Fragment Offset genauer: 1. April 2003 Setzen des Evil Bit durch (Auswahl) Applikationen, mit denen Angriffe ausgeübt werden können (setzen API voraus!) TCP/IP-Stacks auf unsicheren Betriebssystemen Router bei fragmentierten IP-Paketen Verarbeitung des Evil Bit (vereinfachte Darstellung) Beachtung nur auf Endsystemen, Firewalls und IDS nicht auf Routern! auf 0: keine Aktion, bereits in den meisten Betriebssystemen implementiert auf 1: verwerfen bzw.... hosts MUST react approppriately according to their nature. C. Grimm 25. Januar 2006 Folie 40

41 Übersicht Teil 13 Angriffe ARP-Spoofing Kombination von TCP-Scanning und IP-Spoofing DoS mit TCP three-way-handshake Firewalls Eigenschaften Typen von Firewalls Regeln in Firewalls Beispiel für Gesamtkonfiguration von Firewalls Security Flag im IP-Header C. Grimm 25. Januar 2006 Folie 41