Next Generation Firewalls -

Transkript

1 Next Generation Firewalls - Moderner Schutz sensitiver Netzwerkbereiche

2 Warum Netzwerksicherheit? Schutz der Unternehmenswerte wie Daten und Hardware Kontrolle des Datenflusses Priorisierung von Diensten/ Anwendungen Erfüllung rechtlicher Vorgaben Erfüllung der Vorgaben von Partnern Erfüllung des Datenschutzes...

3 Warum besteht Handlungsbedarf? Die Bedrohungslage verändert sich [Mandiant Report] Angriffe werden komplexer/ vielschichtiger/ gezielter [APT] Der klassische Perimeter ist nicht mehr eindeutig bestimmbar Angriffe erfolgen nicht mehr ausschließlich außen Netzwerke mit unterschiedlichen Sicherheitsanforderungen...

4 Evolution der Firewall-Systeme 3.0 Next Generation Firewall [NGFW] 2.2 Unified Threat Management [UTM] 2.1 Application Level Gateway [ALG] 2.0 Stateful Packet Inspection [SPI] 1.0 Paketfilter [PF]

5 Evolution der Firewall-Systeme 4 3 TCP/IP / 2.2 Anwendungsschicht Transportschicht Stateful Inspection Einige Applikationen AV, ISD/ IDS/ IPS, Webfilter Stateful Inspection 3.0 Protokollvalidierung Applikationserkennung Deep-Paket- Inspection AV, ISD/ IDS/ IPS, Webfilter Stateful Inspection 2 Vermittlungsschicht Paketfilter Paketfilter Paketfilter Paketfilter 1 Sicherungsschicht

6 Evolution der TCP/IP Paketfilter Ipfw ipchains iptables nftables

7 Firewalls - Beispiele zur Einsatzumgebung

8 Einsatzumgebung von Firewalls Schutz des Perimeters Steuerung des Datenflusses/ Priorisierung von Diensten Zugriffsregelung mobiler Benutzer Schutz der Produktion/ der Unternehmenswerte Segmentierung des internen Netzwerks Schutz des Management-Netzwerks...

9 Firewall - einstufig Internet

10 Firewall einstufig mit DMZ Internet

11 Firewall - zweistufig Internet Firewall Firewall

12 Firewall zweistufig mit DMZ Internet Firewall Firewall

13 Firewall Netzwerksegmentierung Firewall Internet Firewall Firewall

14 Der Paketfilter - Funktionsweise der klassischen Firewall

15 Aufbau des TCP/IP-Protokolls 4 Anwendungsschicht HTTP, FTP, SMTP,... Daten 3 Transportschicht TCP, UDP, ICMP Header, Daten 2 Vermittlungsschicht IP Header x2, Daten 1 Sicherungsschicht Ethernet, PPP,... Header x3, Daten

16 Teile eines TCP/IP-Pakets Sicherungsschicht Vermittlungsschicht Transportschicht Anwendungsschicht Ziel-MAC Quell-MAC Ziel-IP Quell-IP Ziel-Port Quell-Port Daten

17 Iptables Beispielregeln ## setzen der standard Policy iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ## Definition der CHAINS iptables -N input-intern... ## Verzweigen in die CHAINS iptables -A INPUT -s $GREEN_NET -d $GREEN_IP -i $GREEN_NIC... iptables -A INPUT -j input-intern -j DROP ## CHAIN in-int iptables -A input-intern -p tcp --dport $HTTP -m state --state NEW -j ACCEPT iptables -A input-intern -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT... iptables -A input-intern -j LOG --log-prefix "[fwlog:in-int] Ende: " iptables -A input-intern -j REJECT

18 Auslaufmodell: Der reine Paketfilter Kontrolle nur über TCP/IP Header (MAC, IP, Port, Status, Protokoll) Anwendungsdaten sind nicht kontrollierbar (Web 2.0, Skype,...) Aktuelle Angriffe erfolgen über Anwendungsdaten (Mail, Web,...) Aktuelle Angriffe erfolgen über einen langen Zeitraum Keine Erkennung von Angriffsmustern...

19

20 Die Zukunft - Next Generation Firewall [NGFW]

21 Wie entwickelte sich die NGFW? 2009 berichtet Gartner über die Zukunft der Firewall-Systeme 2010 wurden NGFW zu einem Hype-Thema 2010 und später - alle bekannten Hersteller bieten NGFW an NGFW basieren meist auf bestehenden Produkten NGFW werden von jedem Hersteller anders ausgelegt NGFW Neuentwicklungen bieten nur 2 Hersteller an Der Begriff Next Generation Firewall ist nicht geschützt

22 NGFW eine Definition Identifikation der Anwendung, unabhängig vom Port, Protokoll, Klassische Firewall-Funktionen (Paketfilter, VPN, ) sind integriert Applikationen und individuelle Funktionen werden erfasst Benutzer und -gruppen sind integrierter Bestandteil der Firewall-Regeln Erkennung von Angriffen und Einleitung von Gegenmaßnahmen Integration sämtlicher Sicherheitsfunktionen in die Firewall-Regeln Ausreichend Bandbreite zur Kontrolle von Gigabit-Verbindungen

23 Unified Threat Mangement [UTM] Eine UTM ist die Weiterentwicklung des Applikation-Level-Gateway UTM sind bewährt und ausgereift Ein Paket durchläuft mehrere eigenständige Filter Sicherheitsfunktionen sind teilweise in Firewall-Regeln integriert Die Anwendungskontrolle erfolgt in eigenständigen Modulen Die Malware-Analyse erfolgt offline/ mit der vollständigen Datei

24 Magic Quadrant for Enterprise Firewalls As the firewall market evolves from stateful firewalls to NGFWs, other security functions (such as network IPSs) and full-stack inspection, including applications, will also be provided within an NGFW. The NGFW market will eventually subsume the majority of the stand-alone network IPS appliance market at the enterprise edge. This will not be immediate, however, because many enterprise firewall vendors have IPSs within their firewall products that are competitive with standalone IPS appliances, and are resisting truly integrating the functions and instead colocate them within the appliance.. (Quelle: Gartner - Magic Quadrant for Enterprise Firewalls, December 14, 2011)

25 NGFW Single-Pass Engine Bild: Adyton Systems

26 UTM Multi-Pass Engine Bild: Adyton Systems

27 NGFW vs. UTM Funktion NGFW UTM Firewall/ VPN IPS AV Webfilter Application Detection Security DLP Stream Based Malware-Scanning Proxy/ File Based Malware-Scanning Protocol Decoder

28 Stream vs. File Based Detection Eigenschaft Stream Proxy Geringe Latenz (Datei-Download) Erkennungsrate Prüfung ohne maximale Dateigröße Prüfung komprimierter Daten Prüfung von HTML, JavaScript, Prüfung von PDF, Office, Prüfung verschlüsselter Dateien Prüfung von SSL-Verbindungen [MITM]...

29 Protocol Decoder Funktion Option NGFW UTM HTTP payload, request, response FTP argument, command, file DNS payload, answer, query ICMP payload, data, type,... SIP payload, body, touri,... IMAP payload, user, imf-... SMTP payload, from, to, imf-... SSL payload, commenname,......

30 Detecting the user Anwender werden auf eine IP-Adresse umgesetzt Direkte Authentifizierung an einem Captive-Portal (HTTP) Auswertung von Anmeldungen (Exchange, AD, edirectory, ) Auswertung von Syslogeinträgen (Linux, diverse Appliances, ) Auswertung sonstiger Quellen per XML, Überwachung von Terminaldiensten/ von Clients Integration von Verzeichnisdiensten (AD, LDAP,...)

31 IPv6 IPv6 wird bereits (unbewusst) produktiv eingesetzt Firewalls/ UTM unterstützen IPv6 uneinheitlich Im ungünstigsten Fall ist IPv6 aktiv und wird nicht gefiltert Filterregeln müssen für IPv4 und IPv6 erstellt werden 6[in over to]4 Tunnel sollten gefiltert werden/ blockiert werden IPv6 Wissen ist notwendig

32 Betriebsmodus - Bridge Transparent im Netzwerk Broadcasts bleiben erhalten Keine zusätzliche Verwaltungssysteme in Netzwerksegmenten Keine Umstellung der Netzwerk-Infrastruktur Nachträglich integrierbar Routing ist nicht erforderlich

33 Betriebsmodus - Router Wird im Netzwerk als Router eingesetzt Broadcasts bleiben nicht erhalten zusätzliche Verwaltungssysteme in Netzwerksegmenten Umstellung der Netzwerk-Infrastruktur erforderlich Routing ist erforderlich

34 NGFW oder UTM? Eine UTM ist keine NGFW, enthält aber einige NGFW Eigenschaften NGFW und UTM verfolgen unterschiedliche Ziele UTM werden bevorzugt am Perimeter/ in erster Reihe eingesetzt NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt NGFW bieten eine weitere Option für die Netzwerksicherheit NGFW ermöglichen UTM Sicherheitsfunktionen im LAN UTM und NGFW werden koexistieren und sich ergänzen

35 Anwendungsbeispiele Next Generation Firewall [NGFW]

36 Mobile Mitarbeiter fast richtig Internet UTM/ NGFW

37 Mobile Mitarbeiter - richtig Internet Firewall/ UTM NGFW

38 Netzwerksegmentierung - Konzept NGFW NGFW NGFW Internet NGFW NGFW VPN-Gateway/ UTM

39 Netzwerksegmentierung - Praxis Produktion Server Internet VPN-Gateway/ UTM NGFW Server-Cluster

40 Perimeterschutz Internet UTM/ (NGFW)

41 Mail-Server/ CAS-Server in der DMZ CAS Exchange Internet Firewall/ UTM NGFW

42 Mail-Server/ CAS-Server im LAN WAF/ Reverse Proxy CAS Internet Firewall/ UTM NGFW

43 NGFW was nun? NGFW ermöglichen TCP/IP Layer-4 Sicherheitsfunktionen im LAN NGFW ermöglichen UTM Sicherheitsfunktionen im LAN NGFW ergänzen die vorhandenen Paketfilter/ UTM-Systeme NGFW sind eine Option zur Erhöhung der Netzwerksicherheit NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt Paketfilter/ UTM-Syteme werden bevorzugt am Perimeter eingesetzt

44 rocon - Informationstechnologie Dipl.-Ing. [T.I.S.P.] Am Wasserturm Selm Cappenberg Tel: Fax: christian.rost@rocon-it.de Web: