IT-Security Teil 3: (Personal) Firewalls

Transkript

1 IT-Security Teil 3: (Personal) Firewalls

2 Literatur [3-1] Klein, Tobias: Linux Sicherheit. dpunkt, 2001 [3-2] Cheswick, W.R.; Bellovin, S.M.; Rubin, A.D.: Firewalls und Sicherheit im Internet. Addison-Wesley, 2. Auflage, 2004 [3-3] Zwicky, E.D.; Cooper, S.; Chapman, B.: Einrichten von Internet Firewalls. O'Reilly, Sonderausgabe, 2. Auflage, 2002 [3-4] Barth, Wolfgang: Das Firewall-Buch. millin, 3. Auflage,

3 Überblick Begriffe und Architekturen Wichtige Regeln zum Firewall-Bau Spezifikation Dienste Realisierung 3

4 Zum Begriff der Firewall I Demilitarisierte Zone (DMZ) Grenznetz Innennetz Internet Paketfilter Paketfilter Server Server Server Server Proxy-Server Bastion Server Server Server Server Öffentliche Server In der DMZ stehen Server mit Schutzfunktionen sowie Server mit öffentlichen Zugang, z. B. Web-Server (Bastionen). 4

5 Zum Begriff der Firewall II Firewall = Gerät, Betriebssystemkomponente oder Programm, das oder die eine Zugriffskontrolle mit Hilfe eines Filters realisiert (frei nach RFC 2647) Packet-Filter = Firewall, die Pakete der Ebenen 3 und/oder 4 ohne Betrachtung der Dateninhalte prüft Proxy-Firewall = Firewall, die Pakete der Ebenen 3, 4 bis 7 einschließlich der Daten prüft Typische Aufgaben der Proxies innerhalb von Firewalls sind: Prüfung der aktiven Inhalte bei HTTP, nicht HTTPS Prüfung auf "ungesunde" Kommandos bei SMTP oder FTP Prüfung auf zulässige Web Services, z. B. über SOAP, REST Unter Proxies werden hier nicht solche zur Optimierung (Cache) oder zur Anonymisierung o.ä. verstanden; hier geht es nur um Proxies innerhalb von Firewalls. 5

6 Zum Begriff der Firewall III Appliance = Eigenes Gerät - meist mit Spezialhardware - samt Betriebssystem und Software mit Schutzfunktionen Bastion = Exponierter, geschützter Rechner mit Sicherheitsaufgaben Siehe auch: S.6 6

7 Firewall - Filter und Bastion Filtern von Paketen Nach Herkunft und Ziel Nach Inhalt Nach Port/Dienst Nach Richtung Filter werden in Form von Regeln definiert. Bastion sind Server innerhalb der DMZ, meist mit speziellen Schutzfunktionen: Virenscanner für Daten oder Mails Proxy-Server für spezielle Dienste, z. B. Web, ftp, HBCI etc. Daneben sind noch Router erforderlich. 7

8 Personal Firewall Personal Firewalls = Firewalls auf den Endsystemen Diese Firewalls sind bei Ende-zu-Ende-Verschlüsselung notwendig. Leider müssen sie im privaten Bereich von den Benutzern administriert werden, im betrieblichen Umfeld von den Administratoren. Auch kommen häufig Benutzer mit den Meldungen der Firewalls nicht zurecht (dies trifft auch für den Virenbefall o.ä.zu). 8

9 Zustandslose/Kontextsensitive Firewall Zustandslose Firewall = stateless firewall = statische Firewall = Firewall, bei der jedes Paket isoliert von allen anderen untersucht wird Manchmal auch: stateless filtering genannt Kontextsensitive Firewall = statefull firewall = dynamische Firewall = Firewall, bei der mehrere im Zusammenhang stehende Pakete zur Grundlage der Entscheidung über das Filtern gemacht werden Manchmal auch: statefull filtering genannt 9

10 Zustandsloses Filtern Vorteile Schnell Einfache Regeln, überschaubar Nachteile Leicht zu überwinden, z. B. mit Fragmentieren Für geringes Sicherheitsniveau (besser als gar nichts) 10

11 Kontextsensitives Filtern Vorteile Fängt sehr viel ab Nachteile Langsam Schwer zu implementieren Hohe Qualität schwer zu erreichen Für DoS-Angriffe gefährdet, da Tabellen überlaufen können Was passiert in diesem Fall? Sperren? "Rückfall" in den zustandslosen Betrieb? Für mittleres Sicherheitsniveau 11

12 Proxy-Firewall Vorteile Fängt am meisten ab Nachteile Langsam Schwer zu implementieren Viele (offene) Implementierungen existieren nicht, z. B. für Web Services oder Chat Hohe Qualität schwer zu erreichen Für hohes Sicherheitsniveau 12

13 Welche Art soll genommen werden? Das hängt vom zu erreichenden Sicherheitsniveau ab. In der Praxis scheint kontextsensitives Filtern mit verschärften Maßnahmen das beste zu sein: Beschränkte Zulassung von Fragmentierung Kontrollfluss-Steuerung zur Verhinderung von Überlastungen (die eine Firewall in den kontextlosen Modus bringen können) Ansonsten: Proxy-Firewall mit DMZ 13

14 DMZ-Formen I 14

15 DMZ-Formen II Auf dem Bastion Host laufen die Proxies. Der Bastion Host realisiert auch Routing-Funktionen. 15

16 Zonenkonzept I Jeder Bereich in einer Organisation mit gleichem Sicherheitsniveau und den gleichen benötigten Diensten bildet eine Zone (Bereich). Alle aneinander grenzenden Zonen werden über eigene Firewalls verbunden, d.h. für jeden Übergang von einem Sicherheitsniveau zu einem anderen ist eine Firewall erforderlich. Die äußeren Netze bilden auch Zonen: Internet als eigene Zone Alle Extranets bilden eine eigene Zone VPNs, die über externe Netze gehen, bilden wiederum Zonen innerhalb des äußeren Bereichs. Die Realisierung des Zonenkonzepts führt schnell zu 5-10 und mehr Firewalls innerhalb einer Organisation. 16

17 Zonenkonzept II Vorteile Sehr sicher Klare Struktur Entwurf zwingt zum Überdenken der Kommunikation Nachteile Aufwendig zu administrieren teuer 17

18 Allgemeines Architektur-Modell I Die Komponenten können alle auf einem Host sein, oder auch verteilt auf mehrere - es gibt viele gemischte Bauformen. 18

19 Konkretisierung Personal Firewall Single homed hosts haben nur eine Netzschnittstelle. Diese Hosts sollten alles, was hinein- und hinaus geht, filtern. Derartige Konstruktionen heißen Personal Firewall: Personal Firewall = Komponente auf einem Host, dessen Netzschnittstellen mit Filtern versehen sind, und auf dem die zu schützenden Applikationen laufen 19

20 Konkretisierung Echte Firewall Dual-homed host haben zwei Netzschnittstellen mit jeweils zwei Filtern. Multi-homed host haben drei und mehr Schnittstellen und führen zusätzlich noch Routing-Funktionen aus. 20

21 Wie komme ich zur Spezifikation? Analyse bekannter Angriffe und Schwachstellen Aufstellen und Beachten von Policies Vorgehen: 1. Aufstellung der konkreten Architektur 2. Spezifikationen der Dienste anhand der Architektur 3. Umsetzung in konkrete Filterregeln 4. Ergänzung durch Administration 21

22 Was muss heraus gefiltert werden? I Pakete von Außen und Innen in der folgenden Art bilden Probleme und sollten herausgefiltert werden: IPv4-Adressen als Absender Außen Innen Eigene IP-Adresse X X Alle privaten IP-Adressen bis , bis und bis X? Multicast-Adressen der Klasse D bis Reservierte Adressen der Klasse E bis bis (Reserviert) Loopback/Localhost bis X X X X X X 22

23 Was muss heraus gefiltert werden? II Typ der Adressen (IPv4) Außen Innen Broadcast-Adressen X X Klasse A-Netzwerk bis Adressen aus dem Link-Local-Bereich bis (RFC 3330) Testnet-Adressen bis X X X X X X Also gleich zu Beginn können alle Pakete mit derartigen Absender-Adressen entfernt werden. Außen bedeutet: von Außen ankommend Innen bedeutet: von Innen ankommend 23

24 Was muss heraus gefiltert werden? III Typ der Pakete/Protokolle Außen Innen ICMP-Pakete Source-quench Redirect X X ICMP-Pakete Echo request, Echo reply (Ping)?? ICMP-Pakete Destination-unreachable für bestimmte Untertypen Time exceeded Parameter-Problem Alle fragmentierten ICMP-Pakete X X Alle Pakete mit "merkwürdigen" TCP-Flags X X 24

25 Was muss heraus gefiltert werden? IV Typ der Pakete/Protokolle Außen Innen Absender-Ports von Client-Paketen <1024 X Absender-Ports von Server-Paketen >=1024? Alles mit Port 0 (Absender/Empfänger) X X X bedeutet: Verwerfen? bedeutet: Kommt darauf an: Verwerfen oder nicht 25

26 Positiv-Liste von externen Servern für das LAN Dienst DNS NTP Siehe IMAP POP SMTP DNS/IP-Beispiele Vom Provider (HTW) ptbtime1.ptb.de ptbtime2.ptb.de ptbtime3.ptb.de Vom Provider Vom Provider Vom Provider Es hängt vom Sicherheitsniveau ab, ob auch die IP-Adressen der externen Server auf bestimmte beschränkt werden sollen. DNS: hier muss mit IP-Adressen gearbeitet werden, da ja erst dadurch die DNS-Server definiert bzw. zugelassen werden. 26

27 Angebotene Dienste von einer Firewall Dienst Richtung Ja oder Nein DNS nach Innen Vielleicht, eher nein NTP nach Innen vielleicht IMAP Beide Richtungen nein POP Beide Richtungen nein SMTP Beide Richtungen nein SSH Beide Richtungen vielleicht Aber: SSH-Zugang von Außen ist bequem Aber: Zentralen DNS-Server in der Firewall ist bequem Aber: Zentraler NTP-Server in der Firewall ist auch bequem. 27

28 Benutzte Dienste von einer Firewall Dienst Richtung Ja oder Nein DNS von Außen Ja, IP-beschränkt NTP von Außen Ja, IP-beschränkt IMAP nein POP nein SMTP Beide Richtungen vielleicht, IP-beschränkt SSH Beide Richtungen nein Wenn vom Inneren einer Firewall ein Dienst benutzt werden muss (oder soll), so ist dies immer ein Problem. Auch hier heißt es abwägen IP-beschränkt bedeutet, dass nur mit bestimmten Servern kommuniziert werden darf. 28

29 Nun geht es an die Spezifikation der Dienste Die Vorgehensweise wird anhand folgender Beispiele erläutert: Domain Name Service (DNS) Hypertext Transport Protokoll (HTTP, Web) Netzwerkzeit (NTP) Mail Telnet und SSH FTP Traceroute Das Ziel ist die Spezifikation einer Personal Firewall. 29

30 DNS I - Szenario I 30

31 DNS II - Szenario II In Fall (1) ist der Record nicht im Cache vorhanden, im Fall (2) schon. 31

32 Bemerkungen Für unsere Personal Firewall befindet sich der DNS-Server auf dem eigenen System. Im Falle eines LANs gibt es eine eigene Maschine mit dem DNS-Server mit fester IP- Adresse, oder läuft der DNS-Server auf der Firewall, was unsicher ist. Entsprechend müssen die Regeln geändert werden. Weiterhin: Es werden hier nur Anfragen, keine Zonentransfers behandelt. Annahme: Die Server sind auf Port 53 konfiguriert. 32

33 DNS - Tabelle Nr Außen Richtung Innen Außen-Innen (1) *:UDP:53 <- *:UDP:open Server-Client (2) *:TCP:53 <- *:TCP:open Server-Client (3) *:UDP:53 <-> *:UDP:53 Server-Server (4) *:TCP:53 <-> *:TCP:53 Server-Server (5) *:UDP:open -> *:UDP:53 Client-Server (6) *:TCP:open -> *:TCP:53 Client-Server IP-Adresse Außen Port Initiale Richtung IP-Adresse Innen Port Rollen Kürzel Erläuterung Kürzel Erläuterung Open 1024:65535 * Beliebige sinnvolle Adresse UDP Protokoll TCP Protokoll 33

34 Bemerkungen Diese Tabellen müssen für jede Schnittstelle und Dienst einzeln definiert werden, wobei viele Details immer dieselben bleiben, also: die Tabellen werden nur ein einzige Mal erstellt und können dann für alle Projekte benutzt werden. Statt der '*' für die IP-Adressen könnten auch die IP-Adressen dezidierter Server stehen. 34

35 Netzwerkzeit NTP Nr Außen Richtung Innen Außen-Innen (1) *:UDP:123 <- *:UDP:open Server-Client Hier wurde die Funktion der Kommunikation der Server untereinander weggelassen, d.h. auf unserem HOST gibt es keinen TIME-Server. TIME (Veraltet) Nr Außen Richtung Innen Außen-Innen (1) *:UDP:37 <- *:UDP:open Server-Client (2) *:TCP:37 <- *:TCP:open Server-Client 35

36 Mail SMTP Nr Außen Richtung Innen Außen-Innen (1) *:TCP:25 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:25 Client-Server POP Nr Außen Richtung Innen Außen-Innen (1) *:TCP:110 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:110 Client-Server IMAP Nr Außen Richtung Innen Außen-Innen (1) *:TCP:143 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:143 Client-Server Die Fälle 2 treffen nur dann zu, wenn ein eigener Server, der von außen erreichbar sein soll, vorhanden ist. 36

37 Interaktivität I Telnet Nr Außen Richtung Innen Außen-Innen (1) *:TCP:23 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:23 Client-Server SSH Nr Außen Richtung Innen Außen-Innen (1) *:TCP:22 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:22 Client-Server (3) *:TCP:22 <- *:TCP:513:1024 Server-Client (4) *:TCP:513:1024 -> *:TCP:22 Client-Server Die Fälle 2 und 4 treffen nur dann zu, wenn ein eigener Server, der von außen erreichbar sein soll, vorhanden ist. Für SSH gibt es zwei Varianten, die einmal mit den nicht- privilegierten und einmal mit den privilegierten Ports arbeiten. 37

38 Interaktivität II Bei den "interaktiven" Diensten muss ein Fall Back in den zustandslosen Betrieb vorhanden sein, denn die Antwortzeiten (durch den Menschen) können so lang sein, dass der Kernel die entsprechenden Tabelleneinträge löscht. 38

39 FTP Das besondere Protokoll Nr Außen Richtung Innen Außen-Innen Modus (1) *:TCP:21 <- *:TCP:open Server-Client (2) *:TCP:20 -> *:TCP:open Server-Client aktiv (3) *:TCP:open <- *:TCP:open Server-Client passiv Über Port 21 wird der Kontrollkanal aufgebaut. Der Fall (2) behandelt den aktiven Modus, bei dem der Server Datenverbindungen zum Client (von Außen!) aufbaut. Der Fall (3) behandelt den passiven Modus, bei der Client sämtliche Verbindungen aufbaut. Zum Betrieb von FTP sind besondere Module notwendig, die per RELATED die betroffenen Datenkanäle behandeln. Ohne diese Module bzw. zustandslos öffnet FTP sehr stark die Firewall. 39

40 Das Web HTTP Nr Außen Richtung Innen Außen-Innen (1) *:TCP:80 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:80 Client-Server HTTPS Nr Außen Richtung Innen Außen-Innen (1) *:TCP:443 <- *:TCP:open Server-Client (2) *:TCP:open -> *:TCP:443 Client-Server Die Fälle 2 treffen nur dann zu, wenn ein eigener Server, der von außen erreichbar sein soll, vorhanden ist. 40

41 Traceroute als Sonderfall Selbst traceroute aufrufen Nr Außen Richtung Innen Kommentar (1) *:UDP: <- *:UDP: Senden (2) *:ICMP:3 -> - Time exceeded (3) *:ICMP:11 -> - Destination unreachable Vom fremden traceroute bearbeitet werden Nr Außen Richtung Innen Kommentar (1) *:UDP: > *:UDP: Empfang (2) - <- *:ICMP:3 Time exceeded (3) - <- *:ICMP:11 Destination unreachable 41

42 Nun wieder etwas entspannen... Wir stehen noch in der Sonne, aber der Regen kommt immer näher... 42