IT-Sicherheit - Sicherheit vernetzter Systeme -

Ähnliche Dokumente
IT-Sicherheit - Sicherheit vernetzter Systeme -

Kapitel 6: Netzwerk-Sicherheit

IT-Sicherheit - Sicherheit vernetzter Systeme -

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

IT-Sicherheit - Sicherheit vernetzter Systeme -

Modul 4: IPsec Teil 1

Grundkurs Routing im Internet mit Übungen

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Proxies, Firewalls und drumherum

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

IT-Sicherheit - Sicherheit vernetzter Systeme -

3.2 Vermittlungsschicht

Firewalls Hager Björn Wegenast Jakob Zagovic Vahid

8.2 Vermittlungsschicht

IPSec und IKE. Richard Wonka 23. Mai 2003

Transportschicht TCP, UDP. Netzzugangsschicht

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

IPsec Hintergrund 1 Überblick

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Systeme II 4. Die Vermittlungsschicht

Fachbereich Medienproduktion

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Peer-to-Peer- Netzwerke

Firewall - Techniken & Architekturen

Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Peer-to-Peer- Netzwerke

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

VPN Virtual Private Network

UDP-/ICMP-Erweiterung für fwtest

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Network Security. Proseminar Thema: Network Security

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Seminar: Konzepte von Betriebssytem- Komponenten

IT-Sicherheit - Sicherheit vernetzter Systeme -

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

IP Internet Protokoll

Kurs 1866 Sicherheit im Internet

Inhaltsverzeichnis. Teil I TCP/IP-Grundlagen Einführung... 11

Sicherheit in der Netzwerkebene

VIRTUAL PRIVATE NETWORKS

Netze und Protokolle für das Internet

Sicherheitsaspekte im Internet

Themen. Transportschicht. Internet TCP/UDP. Stefan Szalowski Rechnernetze Transportschicht

HOBLink VPN Anywhere Client

NCP Secure Entry macos Client Release Notes

Virtual Private Networks

UDP User Datagramm Protokoll

NETWORK BOX. Next Generation Managed Security. Network Box Germany More than a Partner. Hardware Programm. E-Serie

Modul 3: IPSEC Teil 2 IKEv2

Ethernet: MAC-D MAC-S Type Data FCS. Eigenschaften: 1. Kann nur im eigenen Netz eingesetzt werden 2. Keine Bestätigung des Empfangs

Sichere Netzwerke mit IPSec. Christian Bockermann

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Telekommunikationsnetze 2

NCP Exclusive Remote Access Client (ios) Release Notes

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Sicherheitsdienste in IPv6

Thema: Internet Protokoll Version 6 IPv6 (IPng)

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Grundlagen des Datenschutzes und der IT-Sicherheit

Hochschule Bonn-Rhein-Sieg. Prof. Dr. Kerstin Uhde Hochleistungsnetze u. Mobilkommunikation. Modul 5: IPv6. Netze, BCS, 2.

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

Internetprotokoll und Adressvergabe

TCP/IP-Protokollfamilie

Netzwerk-Programmierung. Netzwerke.

NCP Exclusive Remote Access Client (ios) Release Notes

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Inhalt. 1 Grundlagen und Motivation Einleitung Begriffe Motivation Aufgaben 4

SKALIERBAR UND MODULAR

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Version: Das Versionsfeld gibt an ob es sich um IPv4 oder um IPv6 handelt.

15. Firewall 15. Firewalls unter UNIX

Knowledge Base IPSec-Tunnel zwischen Fortigate und Draytek Vigor

Sicherheitsmanagement in TCP/IP-Netzen

ARP, ICMP, ping. Jörn Stuphorn Bielefeld, den 4. Mai Mai Universität Bielefeld Technische Fakultät

Domain Name Service (DNS)

Systemsicherheit 12: IPSec

IPv4- und IPv6 Header Analyse und Vergleich

Bibliografische Informationen digitalisiert durch

Sicherheits-Richtlinien

Best Practices WPA2 Enterprise und Radius-SSO

VPN: wired and wireless

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Architekturen für echte Firewalls I. (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel (A)

Transkript:

IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 6: Netzwerksicherheit Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 1 Schwächen des IP Protocolls Inhalt IPSec Sicherheitserweiterung des IP-Protokolls Authentication Header (AH) Encapsulation Security Payload (ESP) Anwendungsbeispiele Schlüsselverteilung mit IKE (Internet Key Exchange) Firewall Klassen Paketfilter Applikationsfilter Verbindungs-Gateway Firewall Architekturen Single Box Screened Host (Multiple) Screened Subnet(s) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 2

Vertraulichkeit: Mithören einfach möglich Man-in-the-middle Attack Verkehrsflußanalyse Integrität: IP: Gefahren und Schwächen Veränderung der Daten Session Hijacking Replay Angriffe Authentisierung: IP-Spoofing Lösung: IPSec (Sicherheitserweiterungen für IP) Integraler Bestandteil von IPv6 Als Erweiterungs-Header auch in IPv4 einsetzbar Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 3 IPSec Überblick IP Authentication Header (AH) Integrität des verbindungslosen Verkehrs Authentisierung des Datenursprungs (genauer des IP Headers) Optional: Anti-Replay Dienst IP Encapsulation Security Payload (ESP) Vertraulichkeit (eingeschränkt auch für den Verkehrsfluss) Integrität Authentisierung (der Security Association) Anti-Replay Dienst Jeweils zwei verschiedene Betriebsmodi: Transport Mode Tunnel Mode Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 4

AH im Transport Mode Authentication Header (AH) IP-Header AH-Header... SPI Sequ.-Nr. MAC Daten Authentisierungsschlüssel z.b. HMAC-MD5 Integrität durch MAC Authentisierung durch gemeinsamen Schlüssel Anti-Replay durch gesicherte Sequenznummer AH im Tunnel Mode IP-Header 2 AH Header IP Header 1 Daten Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 5 Encapsulation Security Payload (ESP) ESP Transport Mode verschlüsselt IP- Header ESP-Header SPI... Sequ-Nr. Daten ESP- Trailer (Padding) Authentication Data z.b. Authentisierungsschlüssel HMAC-MD5 Vertraulichkeit durch Verschlüsselung Integrität durch MAC (optional) Authentisierung durch HMAC (optional) Anti-Replay durch gesicherte Sequenznummer (optional) ESP Tunnel Mode IP Header 2 ESP Header IP Header 1 Daten ESP Trailer Auth. Data Anti-Traffic Analysis durch verschlüsselten IP Header 1 Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 6

IPSec Anwendungsszenarien AH und ESP können kombiniert verwendet werden Auch Tunnel und Transport Mode können kombiniert werden Mögliche Einsatzszenarien Kopplung von verschiedenen Unternehmensstandorten Verbindung von Security Gateway (SGW) zu Security Gateway SGW SGW Telearbeitsplätze; Remote Access ( Road Warrior ) Endsystem zu SGW SGW End-to-End Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 7 Szenario Standortvernetzung Standort A Standort B SGW Internet SGW Mögliche Anforderungen: Authentisierung SGW-to-SGW oder End-to-End Integritätssicherung SGW-to-SGW oder End-to-End Anti-Replay Vertraulichkeit auch im internen Netz SGW realisiert auch FW Funktionen Verwendung privater IP-Adressen in den Standorten Verschattung interner Netzstrukturen Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 8

Protokollkombinationen AH Tunnel Mode am Security Gateway Integritätssicherung Authentisierung SGW to SGW Private Adressen im internen Netz ESP Tunnel Mode am Security Gateway Vertraulichkeit (auch der privaten Adressen) AH Transport am Endsystem / ESP Transport am SGW Integritätssicherung Authentisierung End to End Vertraulichkeit ab SGW Private Adressen nicht möglich IP Header ESP Header AH Header Daten ESP Trailer Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 9 Protokollkombinationen (2) ESP Transport am Endsystem, AH Transport am SGW Vertraulichkeit End to End Authentisierung SGW to SGW Private Adressen nicht möglich SGW kann nicht mehr filtern (wegen Verschlüsselung) IP Header AH Header ESP Header Daten ESP Trailer AH Transport am Endsystem / ESP Tunnel am SGW Integritätssicherung Authentisierung End to End Vertraulichkeit ab SGW Private Adressen möglich IP Header 2 ESP Header IP Header 1 AH Header Daten ESP Trailer Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 10

Inhalt einer SA IPSec Security Association (SA) IPSec Protocoll Modus (Tunnel oder Transport) Parameter (Algorithmen, Schlüssel, Initialisierungsvektor,...) Lebensdauer der SA Sequenznummernzähler mit Overflow Anti-Replay-Window... Identifikation einer SA: Security Parameter Index (SPI); 32 Bit Zahl Ziel-Adresse Verwendetes Protocol (AH, ESP) D.h. in jede Richtung wird eine eigene SA vereinbart Jeder IPSec Teilnehmer hält eine Security Parameter Database (SPD) mit SAs Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 11 IPSec Schlüsselaustausch über IKE IKE (Internet Key Exchange) Verwendet UDP (Port 500) Setzt funktionierende CA voraus 2 Phasen Phase 1: Aufbau einer IKE SA Main Mode: 6 Nachrichten Aggressive Mode: 3 Nachrichten Phase 2: Aufbau einer IPSec SA mit Schlüsselaustausch Quick Mode: 3 Nachrichten Ein Phase 1 Kanal kann für mehrere Phase 2 Exchanges verwendet werden Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 12

Einschub: Diffie-Hellman Schlüsselaustausch Ermöglicht den sicheren Austausch eines Schlüssels über einen unsicheren Kanal: Primzahl p und eine primitive Wurzel g (mod p) dürfen öffentlich bekannt gemacht werden Alice wählt ein x aus [1..p-1] Bob wählt ein y aus [1..p-1] Alice schickt Bob schickt an Bob Beide verwenden den folgenden Schlüssel: Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 13 Umfrage zur mobilen Nutzung des Internets www.internet-goes-mobile.de Mitmachen und 3x2 VIP-Logen-Tickets für das Bundesligaspiel FC Bayern VfB Stuttgart gewinnen! Veranstaltungsname Titel - Vorname - Nachname # 1

IPSec Schlüsselaustausch über IKE 2 Phasen Phase 1: Aufbau einer IKE SA Main Mode: 6 Nachrichten Aggressive Mode: 3 Nachrichten Phase 2: Aufbau einer IPSec SA mit Schlüsselaustausch Quick Mode: 3 Nachrichten Ein Phase 1 Kanal kann für mehrere Phase 2 Exchanges verwendet werden Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 15 Alice IKE Phase 1: Main Mode IKE-SA Vorschlag IKE-SA ID Header Header IKE-SA ID IKE SA Bob Verw. Alg. bekannt Keys erzeugen Schlüssel erzeugt, ABER keine Authentisierung Zert. Verifizieren oder besorgen Nonce a Diffie-Hellman Key g^x Header Header Diffie Hellman Key g^y Nonce b verschlüsselt Signature [Certificate] Identity Header Header Identity [Certificate] Signature Keys erzeugen: Hash Authentisierung Verschlüsselung Zert. Verifizieren oder besorgen A und B authentisiert; IKE-SA sowie ein vertraulicher Kanal zwischen A und B vorhanden Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 16

IKE Phase 1: Aggressive Mode Ziel: Höhere Performance durch Verringerung der Nachrichten Alice Bob Identity Nonce a g^x SA-Vorschlag Header Header SA g^y Nonce b Identity [Cert] Signatur [Certificate] Signatur Header 3 Nachrichten anstelle von 6 ABER: keine Vertraulichkeit Preisgabe von Identitäten und damit Verkehrsflussanalyse möglich Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 17 IKE Phase 1: Generierung der Schlüssel Erzeugung der Schlüssel für das IKE Protokoll: Master Schlüssel: SKEYID = Hash ( Nonce a, Nonce b, g^(xy) ) Schlüssel für das Hash Verfahren SKEYID_d = Hash (SKEYID, g^(xy), Nonce a, Nonce b, 0 ) Authentisierungsschlüssel SKEYID_a = Hash (SKEYID, SKEYID_d, g^(xy), Nonce a, Nonce b, 1 ) Verschlüsselungsschlüssel: SKEYID_e = Hash (SKEYID, SKEYID_a, g^(xy), Nonce a, Nonce b, 2 ) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 18

IPSec Schlüsselaustausch über IKE 2 Phasen Phase 1: Aufbau einer IKE SA Main Mode: 6 Nachrichten Quick Mode: 3 Nachrichten Phase 2: Aufbau einer IPSec SA mit Schlüsselaustausch Quick Mode: 3 Nachrichten Ein Phase 1 Kanal kann für mehrere Phase 2 Exchanges verwendet werden Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 19 IKE Phase 2: Quick Mode Ziel: Aushandlung einer IPSec SA u. Schlüsselaustausch Identity B Identity A g^x Nonce a SA Vorsch. Hash1 Header Hash 1 = Hash ( SKEYID_a, Message-ID, SA, Nonce a, g^x ) Header Hash 2 SA Nonce b g^y Identity A Identity B Hash 2 = Hash ( SKEYID_a, Nonce a, Message-ID, SA, Nonce b, g^y ) Schlüssel und Verfahren vereinbart für A -> B und B -> A Kommunikation Hash 3 Header Hash 3 = Hash ( SKEYID_a,, Message-ID, SA, Nonce a, Nonce b ) Acknowledgement Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 20

IKE Phase 2: Generierung der Schlüssel Ein Phase 1 Kanal kann für mehrere Phase 2 Aushandlungen verwendet werden, d.h. Parameter der Phase 2 können unabhängig von Phase 1 gewählt werden Z.B. Nonce a der Phase 1 ist nicht dasselbe wie Nonce a der Phase 2 In Phase 2 können bspw. IPSec Schlüssel vereinbart werden Schlüssel von A nach B: KEYMAT_AB = Hash ( SKEYID, g^(xy), Protocol, SPI_B, Nonce a, Nonce b ) Schlüssel von B nach A: KEYMAT_BA = Hash ( SKEYID, g^(xy), Protocol, SPI_A, Nonce a, Nonce b ) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 21 Firewall: Firewall-Techniken Besteht aus einer oder mehreren Hard- und Softwarekomponenten Koppelt zwei Netze als kontrollierter Netzübergang Gesamter Verkehr zwischen den Netzen läuft über die Firewall (FW) Realisiert Sicherheitspolicy bezüglich Zugriff, Authentisierung, Protokollierung, Auditing,... Nur Packete die Policy genügen werden durchgelassen Klassen: Paketfilter Applikationsfilter (Application Level Gateway) Verbindungs-Gateway (Circuit Level Gateway) Kombinationen daraus Internet Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 22

Paketfilter Filtern auf OSI Schichten 3 und 4 Filter-Informationen aus den Protokollpaketen Im folgenden Beispielhaft TCP / IP IP Paket: 0 4 8 16 19 24 31 Version HLEN Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source IP Address Destination IP Address IP Options Padding Data Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 23 Packetfilter: TCP-Paketformat Bei Packetfilter-FW nur Regeln über Felder der Packet-Header möglich! Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 24

FW für TCP/IP : Granularität der Filter Schicht 3: wesentliche Filter- Kriterien: Quell- Zieladresse Protokoll der Transportschicht (z.b. TCP, ICMP, UDP,... Vgl. /etc/ protocols) FW auf IP-Basis kann damit Endsysteme filtern (erlauben, verbieten) IP-Spoofing u.u. erkennbar, falls: Packet mit interner Quell-Adresse kommt an externem FW-Interface an Keine Filterung auf Ebene der Dienste möglich Schicht 4: wesentliches Filterkriterium: Quell- sowie Zielport Flags Über Port-Nr. werden Well-Known Services identifiziert; z.b. Port 23 = Telnet (vgl. /etc/services) Allerdings nur Konvention; OS setzt diese nicht automatisch durch Weitere Konventionen: privilegierte Ports (Ports < = 1023) für Systemdienste Ports > 1023 für jeden nutzbar Flags zum Verbindungsauf- und abbau (vgl. Kap. 3 SYN Flooding) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 25 Grundsätzliche Ansätze: Packetfilter: Filterregeln 1. Alles was nicht explizit verboten ist, wird erlaubt. 2. Alles was nicht explizit erlaubt ist, wird verboten. Reihenfolge der Regeln wichtig: Regel die zuerst zutrifft wird ausgeführt ( feuert ) Daher im Fall 2. letzte Regel immer: alles verbieten Statische Paketfilterung Zustandslos Pakete werden unabhängig voneinander gefiltert Dynamische Paketfilterung (Statefull Inspection) Zustandsabhängig FW filtert abhängig vom Zustand des Protokoll-Automaten Grundsatz: KISS Keep it Small and Simple Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 26

Packetfilter-Regeln: Beispiele Statischer Paketfilter: Ausgehender Telnet Verkehr erlaubt, Eingehender Telnet Verkehr verboten Dynamischer Packetfilter Regel Source Destination Protocol Source Port Dest. Port Flags Action 1 <intern> <extern> TCP >1023 23 Any Accept, Log 2 <extern> <intern> TCP 23 >1023!SYN Accept 3 Any Any Any Any Any Any Drop, Log Regel Source Destination Protocol Source Port Dest. Port Action 1 <intern> <extern> TCP >1023 23 Accept, Log 2 Any Any Any Any Any Drop, Log Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 27 Bewertung Packetfilter Einfach und preiswert Effizient Gut mit Router-Funktionalität kombinierbar (Screening Router) Integrität der Header Informationen nicht gesichert; alle Felder können relativ einfach gefälscht werden Grobgranulare Filterung Keine inhaltliche Analyse bei freigegebenen Diensten Statische Strategie: Damit Problem bei Diensten, die Ports dynamisch aushandeln (z.b. Videokonferenz-Dienst) Abbildungsproblematik: Policy auf konkrete FW-Regeln Erstellung einer Filtertabelle nicht triviale Aufgabe Korrektheit? Vollständigkeit? Konsistenz? Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 28

Weitere Firewall-Techniken auf Schicht 3/4 Network Adress Translation (NAT) Intern werden andere Adressen ( private IP-Adr. ) oder Ports als extern verwendet FW macht Adress/Port-Umsetzung Statisch oder dynamisch Masquerading Alle ausgehenden Pakete erhalten Adresse der FW Gesamtes internes Netz wird verborgen Anti-Spoofing Binden von FW-Regeln an bestimmte Interfaces (ingress, egress) Wenn an externem Interface ein Packet mit interner Quell-Adresse ankommt muss dieses gefälscht sein Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 29 Applikationsfilter (Application Level Gateway) Filtern auf Schicht 7 (Anwendungsschicht) Analyse des Anwendungsschichtprotokolls u. d. Protokolldaten Für jeden Dienst, jedes Protokoll eigener Filter Prozess (auch als Proxy bezeichnet) erforderlich Interner Client muss sich i.d.r. am Proxy authentisieren Proxy trennt Verbindung zwischen Client und Server Nach außen erscheint immer nur die Adresse des Application Level Gateways; völlige Entkoppelung von internem und externem Netz Kann Zustandsinformationen halten und nutzen Client Server Application Level Gateway Proxy Prozess Client Server Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 30

Proxies Für viele Standarddienste verfügbar (z.b. HTTP, Telnet, FTP,..) Problematisch für proprietäre Dienste (SAP R3, Lotus Notes,...) Beispiel eines HTTP Proxies: Squid Umfangreiche Access Conrol Listen (ACL) möglich: Quell- / Zieladresse Protokolle Domains Protokoll-Primitive (z.b. FTP put, HTTP POST) Ports Benutzernamen Benutzerauthentisierung am Proxy Zusätzlich Caching-Funktionalität Beispiel: acl SSL_PORT port 443 (Definition von SSL Ports) acl AUTH proxy_auth REQUIRED (Benutzerauthentisierung) http_access deny CONNECT!SSL_PORT (Alle Verbindungen zu einem anderen Port außer SSL verbieten) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 31 Bewertung Applikationsfilter Feingranulare, dienstspezifische Filterung Umfangreiche Logging Möglichkeit und damit Accounting Zustandsbehaftet Inhaltsanalyse (damit z.b. Filterung aktiver Inhalte möglich) Benutzerauthentisierung und benutzerabhängige Filterung Entkopplung von internem und externem Netz Möglichkeit der Erstellung von Nutzungsprofilen Möglichkeit der Erstellung von Nutzungsprofilen Jeder Dienst braucht eigenen Proxy Sicherheit der Proxy Implementierung?? Problem von Protokollschwächen bleibt bestehen Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 32

Verbindungs-Gateway (Circuit Level Gateway) Filtert auf Schicht 7; spezielle Ausprägung des Application Level Gateway Circuit Level Gateway stellt generischen Proxy dar Nicht auf einzelne Dienste zugeschnitten, allgemeiner Vermittler von TCP/IP Verbindungen Trennt Verbindung zwischen Client und Server Benutzerauthentisierung am Gateway möglich Bsp. Socks: Socks-Server filtert den TCP/IP Verkehr Alle Verbindungen der Clients müssen über Socks-Server laufen Daher Modifikation der Clients erforderlich (SOCKSifing) Filtert nach: Quelle, Ziel, Art des Verbindungsaufbaus (z.b. Initiierung oder Antwort), Protokoll, Benutzer Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 33 Bewertung Verbindungs-Gateway Anwendungsunabhängige Filterung Ein Proxy für alle Dienste Umfangreiche Logging Möglichkeit und damit Accounting Zustandsbehaftet Benutzerauthentisierung und benutzerabhängige Filterung Entkopplung von internem und externem Netz Möglichkeit der Erstellung von Nutzungsprofilen Möglichkeit der Erstellung von Nutzungsprofilen I.d.R. keine Filterung nach Dienstprimitiven möglich Sicherheit der Proxy Implementierung?? I.d.R. Modifikation der Clients erforderlich Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 34

Firewall Architekturen Kombinationen von FW Komponenten und deren Anordnung wird als FW Architektur bezeichnet Single Box Architektur Screening Router Dual Homed Host Screened Host Screened Subnet Multiple Sceened Subnets Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 35 Single Box Architektur FW als einziger Übergang ins interne Netz Router (Screening Router) übernimmt FW Funktionalität (i.d.r: Packetfilter) normaler Rechner mit 2 Netzwerk-Interfaces (Dual Homed Host) Internes Netz Externes Netz Billige und einfache Lösung Single Point of Administration I.d.R. gute Performance (falls nur Packetfilter eingesetzt wird) Wenig flexibel Single Point of Failure Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 36

Screened Host FW (Bastion Host) liegt im internen Netz (nur 1 Interface) Verkehr von außen wird über Screening Router (vor-) gefiltert und i.d.r. zum Bastion Host geleitet Bastion Host kann Aplication Level Gateway oder Circuit Level Gateway realisieren Internes Netz Externes Netz Trennung von Packet- und Applikationsfilter Vorfilterung des externen Verkehrs Hohe Flexibilität Packete können immer noch direkt in internes Netz gelangen Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 37 Screened Subnet FW Komponenten liegen in einem eigenen Subnetz (Perimeter Subnet) auch demilitarisierte Zone (DMZ) genannt Schutz der DMZ sowohl nach innen als nach außen durch Paketfilter Erweiterung der DMZ um dezidierte Server, z.b. WWW DMZ Internes Netz Externes Netz Keine direkte Verbindung von extern nach intern mehr möglich Zusätzlicher Grad an Sicherheit Interner Router/FW schützt vor Internet und ggf. vor DMZ Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 38

Multiple Screened Subnet Verwendung zweier Perimeter Subnets getrennt durch Dual Homed Host Internes Netz Externes Netz Verwendung mehrerer Bastion Hosts (Redundanz) Internes Netz Externes Netz Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 39 Möglichkeiten und Grenzen von Firewall-Arch. Abgestufte Sicherheitskontrollen (vom Einfachen zum Komplexen) Möglichkeiten effizienter Protokollierung Möglichkeiten der Profilbildung Problem der Fehlkonfiguration Umfangreiche Kenntnisse erforderlich Trügerische Sicherheit Erheblicher Administrationsaufwand Tunnel-Problematik Anwendungsprotokolle werden z.b. über HTTP getunnelt FW kann dies nicht erkennen Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 40

Intrusion Detection Systeme (IDS) Intrusion Detection Systeme (IDS) Ziel: Angriffe automatisch erkennen (und ggf. blockieren) Intrusion Prevention Systeme (IPS) Ziel: Auf Angriffe reagieren (verhindern / Gegenmaßnahmen ergreifen Gegenangriff durchführen) Im folgenden: Host basierte IDS Netz-basierte IDS Angriffs- bzw. Mißbrauchserkennung Beispiele Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 41 Host-basierte IDS (HIDS) Ausgeführt auf dem zu überwachenden System Systemüberwachung Applikationsüberwachung Integritätsüberwachung (kryptographische Prüfsummen; Hashing) + Individuell an zu überwachendes System anpassbar + Sehr spezifische Aussagen über erkannte Angriffe möglich - Benötigt Ressourcen des zu schützenden Systems - HIDS selbst als Angriffsziel - Anpassung an individuelles System erforderlich - Fällt bei erfolgreichem Angriff mit angegriffenem System aus Bsp.: Tripwire AIDE (Advanced Intrusion Detection Environment) Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 42

Netz-basierte IDS (NIDS) Eigener Sensor (kein Gastsystem) Überwachen den Netzverkehr (Mithören): Eines Rechners Eines (Sub-) Netzes Einer gesamten Domäne + Ein Sensor für das gesamte Netz + NIDS kann unsichtbar installiert werden + NIDS kann ausfallsicher installiert werden + Verteilte Angriffe erkennbar - Betrieb am Mirror Port von Netzgeräten; Packet-Drop - Überlast des gesamten NIDS möglich - Verschlüsselte Daten und Kanäle - nur Netzauffälligkeiten erkennbar Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 43 Angriffs- bzw. Mißbrauchserkennung Signatur-basiert: Pattern-matching & Expertensysteme typische Angriffsmuster + Zuverlässigkeit - Nur bekannte Angriffe erkennbar (keine Zero Day Exploits) Bsp.: Snort Anomalie-Erkennung: Lernt Normalverhalten Abweichung wird als Angriff gedeuted + Flexibel bei neuen Angriffen - Adaptivität bei Netzänderungen - False Positives & False Negatives Integritätsprüfung Berechnung kryptographischer Hashes Speicherung auf WORM und Vergleich + Schnell und Zuverlässig - Aufwand bei gewollter Datenänderung Bsp.: Tripwire Kombination der Verfahren Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 44

Bsp.: Tripwire www.tripwire.org Host-basiertes IDS Überwacht anzugebende Dateien und Verzeichnisse Erstellt (verschlüsselte) Datenbank mit Prüfsummen: MD5 SHA-1 HAVAL,... Berechnet regelmäßig Hashes und vergleicht mit gespeicherten Probleme: Auswahl schützenswerter Objekte Befugte Änderungen Initialstatus muss sicher sein Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 45 www.snort.org Netzbasiertes IDS Signatur-basierte Analyse Bsp. Snort Regeln in Dateien definiert (*.rules) Alle Regeln mit logischem ODER verknüpft Netzverkehr wird gegen diesen Regelsatz geprüft Signatur Beispiel: alert tcp any any -> 192.168.1.0/24 111 (content:" 00 01 86 a5 "; msg: "mountd access";) alert: Alarm generieren; Packet loggen Protokoll Addresse Port -> (Richtungsoperator) Adresse Port content: (Regel Option) Suche nach Muster in der Payload String und/oder Binärdaten; Hex-Notation; gekennzeichnet durch msg: Nachricht in Alarm und Log aufnehmen mehrere Regel Optionen mit logischem UND verknüpft Helmut Reiser, LRZ, WS 07/08 IT-Sicherheit 46

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback