Neueste Entwicklungen in der Firewall- Technologie

Transkript

1 Neueste Entwicklungen in der Firewall- Technologie John Read 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen und Antworten 2 1

2 Angriffspunkte auf verschiedensten Ebenen Viren Anwendungsebene Transport-Ebene Netzwerk-Ebene Physikalische Übertragungsebene 3 Protokolle auf Anwendungsebene z.b. MIME z.b. SMTP z.b. SSL/TLS Transport-Ebene Netzwerk-Ebene Physikalische Übertragungsebene 4 2

3 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy 5 Packet Filter Firewall Funktionsprinzip: Die zu übermittelnden Datenpakete werden nach vorkonfigurierten Regeln und entsprechend überprüfter Protokollinformationen einzeln übertragen bzw. verworfen (dropped, rejected). Entscheidungsgrundlage: Protokollinformationen (IP- und TCP- Headers Sender-/Empfänger-Adresse, etc.) 6 3

4 Packet Filter Firewall - Protokollinformationen 7 Bewertung Prinzip Paket Filter Firewall Vorteile: Hohe Übertragungsraten Einfache Regeln (z.b. in Access Control Listen) Nachteile: Anwendungsebene bleibt unberücksichtigt Kennt keine Verbindungen (Kontext, Status, etc) Probleme im Umgang mit Multi-Channel Protokollen Ungeprüfte / bzw. nicht verstandene Protokoll- Informationen werden nicht gefiltert 8 4

5 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy 9 Stateful Packet Filters/Inspection (SPF) Funktionsprinzip: Die Verbindungen werden nach vorkonfigurierten Regeln und entsprechend überprüfter Protokoll-Informationen einzeln übertragen bzw. verworfen. Entscheidungsgrundlage: Kontext der Verbindung sowie Protokollinformationen (IP- und TCP-Headers Sender-/Empfänger- Adresse, etc.)

6 Stateful Packet Filter mit IPS oder IDS IPS (Intrusion Prevention) IP- und TCP-Protokoll Überwachung Attacke aus der IP- und TCP-Ebene abwehren Echtzeit Verhalten IDS (Intrusion Detection) Intelligente Firewall-Logdatei auswerten Nachträgliche Attacke erkennen und bekämpfen 11 Bewertung Prinzip Stateful Packet Filter Vorteile: Hohe Übertragungsraten Wenigere, einfachere Regeln Höheres Sicherheitsniveau als Packet Filter Firewalls Nachteile: Anwendungsebene bleibt unberücksichtigt Ungeprüfte / bzw. nicht verstandene Protokoll- Informationen werden nicht gefiltert

7 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy 13 Bastion Host Funktionsprinzip: Host-System welches mit verschiedenen Netzwerken verbunden ist. Angemeldete Benutzer kännen auf Anwendungen des Host-Systems zugreifen. Kann mit Paket Filter Technologie ergänzt werden um die Absicherung des Host-Systems zu verbessern. Entscheidungsgrundlage: Benutzer Authentifizierung und Berechtigungen Bewertung: Veraltet Schwer zu Verwalten Benutzer erhöhen das Sicherheitsrisiko

8 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy 15 Application Level Gateway (Proxy) Funktionsprinzip: Systeme im Netzwerk (Clients) kommunizieren mit dem Proxy-Server, welcher seinerseits eine Verbindung mit dem eigentlichen Server aufbaut. Entscheidungsgrundlage: Protokolle (auf Anwendungsbene)

9 Bewertung Prinzip Proxies Vorteile: Sicherheit auf Anwendungsebene Detailierte Überprüfung (Protocol) Weitreichende Filtermöglichkeiten Nachteile: Nur eine limitierte Anzahl von protokoll-spezifischen Proxies verfügbar Konfiguration der Endsysteme notwendig Eingeschränkte Performance Unbekannte nicht verstandene Protokoll-Informationen können gefiltert werden 17 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy

10 Transparent Proxies Funktionsprinzip: Verbindungen werden (typischerweise unter Zuhilfenahme von Packet Filtern) zum Proxy-System umgeleitet und geprüft. Weder Client- noch Server-System sehen den Proxy in der Verbindung. Entscheidungsgrundlage: Protokolle (auf Anwendungsbene) 19 Firewall Technologie - Entwicklungsschritte Keine Schutzmassnahmen Paket Filter Firewall Bastion Host Stateful Paket Filter Firewall Application Level Gateway Transparent Proxy Modular Proxy

11 Modular Proxy Firewall Funktionsprinzip: Alle Proxy-Funktionen werden in eigenständigen Software-Modulen implementiert.diese Module lassen sich individuell durch den Administrator konfigurieren und kombinieren. Entscheidungsgrundlage: Protokolle (auf Anwendungsbene) sowie eine Vielzahl von zusätzlichen Informationen (konfigurierte Parameter, ermittelte Parameter wie z.b. Statusinformationen, etc.) X.509 Input SSL POP Output Virus Scanner 21 Bewertung Prinzip Modular Proxy Firewall Vorteile: Sicherheit auf Anwendungsebene Höchstes Sicherheitsniveau Perfekte Lösung für ineinander verschachtelte als auch Multi- Channel Protokolle Flexibilität, Stabilität, Skalierbarkeit Nachteile: Hohe Anforderungen an die Leistungsfähigkeit der Hardware Unbekannte nicht verstandene Protokoll-Informationen können gefiltert werden

12 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Questions and Answers 23 Zorp Professional Funktionsmerkmale Umfasssende IT Sicherheit auf Anwendungsebene Sicherheit auf allen Ebenen - Multilevel Protection Unterstützung einer grossen Anzahl von Anwendungen / Protokolle Unterbindung bislang unbekannter Angriffsmethoden Modulare Architektur, sehr flexible Konfiguration Sehr weitgehend programmierbar, anpassbar Unterstützung von transparenten und nicht-transparenten Proxies Zusätzliches Stateful Packet Inspection Modul VPN, PPPoE, VLAN- und QoS-Unterstützung Sicheres gehärtetes Betriebssystem Clustering (Redundanz, Load Balancing) Leistungsfähiges Authentisierungssystem (ZAS) Unterstützt Radius, LDAP, Active Directory, PKI-Management Umfassende (zentralisierte) Management Lösung (ZMS)

13 Zorp Professsional im Überblick Zorp Agents Gesicherte Verbindung ZAS Zorp Agents Gesicherte Verbindung ZMC Gesicherte Verbindung ZMS Zorp Agents Gesicherte Verbindung ZMC 25 Zorp Application Level Gateway Policy Based Networking VPN VLAN VLAN PPPoE / PPTP Netzwerk Funktionen Stateful Packet Filter Application Level Gateway Agents Zorp Authentication High Availability Management Gesicherte Verbindung

14 Modularität auf verschiedenen Ebenen Individuelle Datenströme (Anwendungen) können individuell betrachtet / bearbeitet werden Module Input Output 27 Zorp Module Parameter Input Proxy / Modul Output Logging

15 Zorp Module Protokoll Filter Authentifizierung (verschiedene Methoden) Schnittstellen zu Systemen (auch Anderer Anbieter) Weitere Module Stateful Packet Filter Input Proxy / Modul Output 29 Zorp Module Stateful Packet Filter Protokoll Filter Authentifizierung (verschiedene Methoden) Schnittstellen zu Systemen (auch Anderer Anbieter) Weitere Module X.509 Input SSL POP Output Virus Scanner

16 The graphical console (ZMC) Unterstützte Betriebssysteme: MS Windows, GNU/Linux 31 Zorp Protokoll Proxies Jedes Modul führt eine einzele, genau definierte Funktion aus. (Service, Session, Listening, Routing, Connecting, NAT, etc.) Verfügbare Protokoll-Proxies: HTTP, FTP, POP3, IMAP4, SMTP, TELNET, WHOIS, FINGER, LP, RSH, SQLNET, RADIUS, NNTP, LDAP, TFTP, PlugProxy (General Proxy), SSL, MIME und VBUSTER VoIP Proxy in Vorbereitung Der Umgang mit unbekannten, bzw. nicht verstandenen Protokoll- Informationen kann konfiguriert / programmiert werden

17 Agenda Introduction of firewall technologies Introduction of Zorp Professional firewall suit Balabit Questions and Answers 33 BalaBit Profil Führender europäischer Hersteller von IT Security Lösungen auf Anwendungsebene Marktführer in Ungarn (laut IDC 27% 2004) Gegründet 1996 Hauptsitz in Ungarn (Budapest) Mitarbeiter über 30 ca. 60% in R&D

18 Solide Basis für Wachstum und Erfolg Eigene excellente Technologie Offene, geprüfte und erprobte Lösungen auf höchstem Niveau Open Source Versionen verfügbar (Zorp, syslog-ng) Vielzahl überzeugter Kunden (KMU bis Grossunternehmen) Klare Channel-Strategie Training und Zertifikation Starke Partnerschaften 35 Gezielte Expansion (Phase I) Vertrieb in ganz EMEA Niederlassungen in: Ungarn (Budapest) DACH (München) Benelux (in Planung) Italien (in Planung) Vertriebspartner in: Osteuropa

19 Vielen Dank! Halle 7 Stand B21 John Read john.read@de.balabit.com