Norbert Pohlmann. Firewall-Systeme. Sicherheit für Internet und Intranet. 2., aktualisierte und erweiterte Auflage

Größe: px

Ab Seite anzeigen:

Download "Norbert Pohlmann. Firewall-Systeme. Sicherheit für Internet und Intranet. 2., aktualisierte und erweiterte Auflage"

Dieter Kaufer
vor 8 Jahren
Abrufe

1 Norbert Pohlmann Firewall-Systeme Sicherheit für Internet und Intranet 2., aktualisierte und erweiterte Auflage

2 i Vorwort 15 Übersicht 17 1 Einleitung: Gesellschaftlicher Wandel und IT-Sicherheit Entwicklung der IT-Technologie und IT-Sicherheit Siegeszug des Internet Gefahren aus dem Internet Notwendigkeit von IT-Sicherheit 29 2 Ziele von Firewall-Systemen Analogien zu Firewall-Systemen Zielsetzung eines Firewall-Systems 36 3 TCP/IP-Technologie für Internet und Intranet Von den Anfängen bis heute Vorteile der TCP/IP-Technologie Das OSl-Referenzmodell TCP/IP-Protokollarchitektur Internet-Adressen Die Kommunikationsprotokolle IP-Protokoll Routing Protokolle ICMP Portnummern UDP TCP DNS Telnet FTP 64 7

2 Zielsetzung eines Firewall-Systems 36 3 TCP/IP-Technologie für Internet und Intranet 41 3.1 Von den Anfängen bis heute 41 3.2 Vorteile der TCP/IP-Technologie 43 3.

3 SMTP HTTP NNTP 69 4 Bedrohungen aus dem Netz Angriffsmöglichkeiten in Kommunikations-Systemen Passive Angriffe Aktive Angriffe Zufällige Verfälschungsmöglichkeiten Weitere Aspekte potentieller Bedrohungen bei der Kommunikation über das Internet Angriffstools aus dem Internet Implementierungsfehler in Anwendungen und fehlerhafte Konfiguration Wie hoch ist das Risiko? Schadenskategorien und Folgen Verstoß gegen Gesetze/Vorschriften/Verträge Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Außenwirkung Finanzielle Auswirkungen Angriffsmethoden und prinzipielle Gegenmaßnahmen auf der Grundlage der TCP/IP-Protokolle Idee eines Angriffes Analyse des Netzes mit Hilfe von Scannerprogrammen Password-Snooping und IP-Maskerade Nutzung einer falschen Konfiguration Hopping (Telnet) Nutzung von Implementierungsfehlern in Anwendungen wie z. B. sendmail IP-Adressen-Spoofing ICMP-Angriffe Internet-Routing-Angriffe Zusammenfassung Elemente eines Firewall-Systems Aktive Firewall-Elemente Architektur von aktiven Firewall-Elementen Designkonzept aktiver Firewall-Elemente 109 8

3 Wie hoch ist das Risiko? 83 4.4 Schadenskategorien und Folgen 85 4.4.1 Verstoß gegen Gesetze/Vorschriften/Verträge 85 4.4.2 Beeinträchtigung der persönlichen Unversehrtheit 86 4.4.3 Beeinträchtigung der Aufgabenerfüllung 86 4.

4 Packet Filter Allgemeine Arbeitsweise von Packet Filtern Überprüfungen auf der Netzzugangsebene Überprüfungen auf der Netzwerkebene Überprüfungen auf der Transportebene Strategien für den Aufbau und die Bewertung der Filterregeln Beispiel für den Einsatz eines Packet Filters Dynamischer Packet Filter Benutzerorientierter Packet Filter Sicherheitsrelevante Informationen in einem Packet Filter Realisierungsformen für Packet Filter Anwendungsgebiete von Packet Filtern Zustandsorientierte Packet Filter Application Gateway Allgemeine Arbeitsweise des Application Gateway Die Proxies Anwendungsgebiete von Application Gateways Security Management für aktive Firewall-Elemente Konzepte für Firewall-Systeme Ausschließlicher Einsatz eines Packet Filters Ausschließlicher Einsatz eines Application Gateway Kombination von Firewall-Elementen Packet Filter und single-homed Application Gateway Packet Filter und dual-homed Application Gateway Zwei Packet Filter als Screened Subnet und ein single-homed Application Gateway Zwei Packet Filter als Screened Subnet und ein dual-homed Application Gateway (High-level Security Firewall-System) Möglichkeiten eines High-level Security Firewall-Systems Internet Server Intranet Server Mehrere Application Gateways parallel Das richtige Firewall-Konzept für jeden Einsatzfall Mail-Konzept DNS-Konzepte

5 7 Firewall-Systeme und Verschlüsselung Sicherheitsmechanismen, die für die Verschlüsselung und die digitale Signatur notwendig sind Private-Key-Verfahren Public-Key-Verfahren One-Way-Hashfunktion Hybride Verschlüsselungstechnik Zertifikations-Systeme Chipkarte (SmartCard) Objektorientierte Sicherheit: Verschlüsselung von Dokumenten und digitale Signatur Briefumschlag und Signatur für die elektronische Post Sicherheitsdienste des Sicherheitssystems Die Digitale Signatur und die Objektverschlüsselung aus Sicht des Benutzers Objektverschlüsselung und Firewall-Systeme Der elektronische Vertrag: Die Rechtsform der Zukunft? Unterschiedliche Konzepte zur Realisierung von objektorientierter Sicherheit (PEM, PGP) TeleTrusT Deutschland MailTrusT-Projekt Sicherheitssystem als transparente Lösung Black-Box-Lösung Security Sublayer im Endgerät: End-to-end-Verschlüsselung Sicherheit in LAN-Segmenten Kopplung von LAN-Segmenten mit einer Security Bridge Kopplung von LAN-Segmenten über öffentliche Netze Bildung von kryptographisch gesicherten logischen Netzen (VPN) PC Security Komponente Remote-Ankopplung Transparente Verschlüsselung und Firewall-Systeme Vergleich zweier Konzepte: Transparente Sicherheit vs. Objektsicherheit Authentikationsverfahren Identifikation und Authentikation Generelle Authentikationsverfahren Passwort-Verfahren Einmal-Passwort

2 Objektorientierte Sicherheit: Verschlüsselung von Dokumenten und digitale Signatur 207 7.2.1 Briefumschlag und Signatur für die elektronische Post 208 7.2.2 Sicherheitsdienste des Sicherheitssystems 214 7.

6 8.2.3 Challenge-Response-Verfahren Authentikationsverfahren für Firewall-Systeme S/Key (MD5) Authentikationsverfahren mit Security Token Signaturkarte (Chipkarte) Verschiedene Firewall-Lösungen und ihre Bewertung Public Domain Software oder ein Firewallprodukt? Public Domain Software Firewall-Produkte Softwarelösung oder Turn-Key-Lösung? Was bietet eine Softwarelösung? Was ist eine Turn-Key Lösung? Kriterien für die Beurteilung der tatsächlichen Sicherheitsleistung eines Firewall-Produktes Offene und transparente Sicherheit Geprüfte, nachweisbare Sicherheit Sicherheit ohne staatliche Restriktionen Praktischer Einsatz von Firewall-Systemen Sichere Kopplung des eigenen Intranet an das Internet Internet Server Intranet Security Höhere End-to-end-Sicherheit Abschottung von Organisationseinheiten untereinander Skalierbare Sicherheit Externe Anbindung (Remote-Zugriff und Heimarbeitsplätze) Ankopplung besonderer Organisationseinheiten Externe Modem-Anschlüsse Modem-Verbindungen aus dem unsicheren Netz in das zu schützende Netz Virengefahr Integration von Viren-Scannern am Common Point of Trust Weitere technische, personelle und organisatorische Maßnahmen

255 9.2.2 Was ist eine Turn-Key Lösung? 257 9.3 Kriterien für die Beurteilung der tatsächlichen Sicherheitsleistung eines Firewall-Produktes 259 9.3.1 Offene und transparente Sicherheit 259 9.3.2 Geprüfte, nachweisbare Sicherheit 260 9.

7 11 Ein Firewall-System ist mehr als ein Produkt Firewall-Sicherheitspolitik 287 Sicherheitsziele 288 Darstellung der zu schützenden Ressourcen 289 Festlegung von Kommunikationsanforderungen 290 Festlegung von Diensten und Anwendungen 291 Zusätzliche Sicherheitsmaßnahmen 294 Infrastruktur 294 Organisation 296 Personal 301 Notfall 305 Grenzen eines Firewall-Systems 305 Hintertüren 305 Interne Angriffe 306 Anwendungsdatenorientierte Angriffe 306 Richtige Sicherheitspolitik und richtige Umsetzung der Sicherheitpolitik 306 Trittbrettfahrer 307 Besondere Aufgabenstellungen bei der Verwendung von Firewall-Systemen 309 Network Address Translation 309 Firewall-System und Network Address Translation 311 Probleme für Netze, die mit illegalen IP-Adressen arbeiten 312 Domainen-Namen 313 Verwaltung mehrerer Firewall-Systeme mit Hilfe eines Security Managements 313 Geschachtelte Firewall-Konstellationen 314 Ausfallsicherheit Weiterführende Aufgabenstellungen beim Einsatz von Firewall-Systemen Logbuch - Belastung oder Nutzen? Ziele der Protokollierung Protokollierung von Ereignissen Erkennen von Sicherheitsverletzungen durch die Auswertung von Protokolldaten der Logbücher Alarmierung Beweissicherung

Zusätzliche Sicherheitsmaßnahmen 294 Infrastruktur 294 Organisation 296 Personal 301 Notfall 305 Grenzen eines Firewall-Systems 305 Hintertüren 305 Interne Angriffe 306 Anwendungsdatenorientierte

8 Schutz der Protokolldaten Reaktionen auf eine Sicherheitsverletzung Datenschutzaspekte Java und ActiveX Java ActiveX Anschaffung und Betrieb eines Firewall-Systems Beschaffungsphase eines Firewall-Systems Aufrechterhaltung des Betriebs eines Firewall-Systems Zusammenfassung der Kosten Evaluierung und Zertifizierung von Firewall-Systemen ITSEC-Zertifizierung ICSA-Zertifizierung Weiterentwicklung von Firewall-Systemen Höhere Geschwindigkeiten Identifikations-und Authentikationsverfahren Neue Proxies für neue Dienste Protokollauswertung Überprüfung von Firewall-Systemen im Betrieb (Security Audit) Einleitung Definition von Security Audit Komponenten eines Security Audit Werkzeuge zur technischen Datensammlung Zusätzliche Informationsquellen Allgemeine Mailinglisten Recht im Internet Aktuelle Formen des Delikts»Computerkriminalität« Persönlichkeitsrechtsverletzungen Wirtschaftsdelikte Sonstige Delikte Rechtsfragen Paradigmenwechsel und Perspektiven Zusammenfassung

4 Evaluierung und Zertifizierung von Firewall-Systemen 346 13.4.1 ITSEC-Zertifizierung 346 13.4.2 ICSA-Zertifizierung 355 13.5 Weiterentwicklung von Firewall-Systemen 359 13.5.1 Höhere Geschwindigkeiten 359 13.

9 A Anhang A: Sicherheitsstandards 383 A.1 S-HTTP 384 A.2 SSL 387 A.3 SKIP 391 A.4 IPSEC 393 B Anhang B: Wichtige Adressen 395 C Anhang C: Legende 397 D Anhang D: Firewall-Produkte 399 E Anhang E: Literaturverzeichnis 401 F Anhang F: Sicherheitsanforderungen an Internet-Firewalls (BSI) 405 F.l Einleitung 405 F.2 Gefährdungen bei der Benutzung des Internet 406 F.2.1 Vielfalt der Netzdienste 406 F.2.2 Verlust der Vertraulichkeit und Integrität 407 F.2.3 Konzeptionsfehler 407 F.2.4 Mißbrauch von frei verfügbaren Informationen 409 F.3 Schutzmöglichkeiten 409 F.4 Forderungen an Firewalls 411 F.4.1 Forderungen zur Abwehr von Angriffen auf die Firewall-Anordnung 412 F.4.2 Forderungen zur Abwehr von Angriffen aus dem Internet auf das zu sichernde Netz 414 F.4.3 Organisatorische Maßnahmen 419 F.5 Adressen 421 F.6 Literatur 422 G Anhang G: Glossar, Abkürzungen 423 Index

(BSI) 405 F.l Einleitung 405 F.2 Gefährdungen bei der Benutzung des Internet 406 F.2.1 Vielfalt der Netzdienste 406 F.2.2 Verlust der Vertraulichkeit und Integrität 407 F.2.3 Konzeptionsfehler 407 F.

Ähnliche Dokumente

Firewall-Systeme. Norbert Pohlmann. Sicherheit für Internet und Intranet. 3., aktualisierte und erweiterte Auflage

Firewall-Systeme. Norbert Pohlmann. Sicherheit für Internet und Intranet. 3., aktualisierte und erweiterte Auflage 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Norbert Pohlmann Firewall-Systeme Sicherheit für Internet und Intranet