Einführung zum Thema Firewalls
1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit
1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue Chancen - birgt aber auch Risiken für eine Organisation -Unerlaubte Informationsgewinnung -Zerstörung bzw. Modifikation von Daten -Kontrollübernahme des EDV-Systems durch externen Angreifer
1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.b. dem Internet - Oft eigenständige Hardwaregeräte - Zugriffssteuerungsmechanismus; Unbefugten wird der Zugriff auf das interne Netzwerk verweigert - Schaffung von sicheren Subnetzen (z.b. für die Entwicklungsabteilung) - Alle Verbindungsanfragen müssen hier durch
2. Firewall-Typen 2. Firewall-Typen 2.1 Paket-Filter Firewalls Paket-Filter Firewalls sind normalerweise Router, die über Funktionen zur Paketfilterung verfügen. Bevor die Pakete weitergeleitet werden, werden sie mit den definierten Regeln verglichen. Bei einem Verstoss gegen eine Regel wird das Paket nicht weitergeleitet.
2. Firewall-Typen Überprüft werden: -IP-Adressen -Portnummern -Protokollnummern Die Filterregeln können generell als Gebots- oder Verbotsregeln ausgelegt werden: - Bei einer Auslegung als Gebotsregel ist alles verboten, was nicht explizit erlaubt ist -Bei einer Auslegung als Verbotsregel ist alles erlaubt, was nicht explizit verboten ist
2. Firewall-Typen Vorteile von Paketfiltern : -Kostengünstig -Gute Performance -Leicht erweiterbar Nachteile von Paketfiltern: -Filterregeln können sehr umfangreich werden -Fehlende Kontrolle des Inhaltes der Datagramme -Unzureichende Integrität, Fälschbarkeit von IP-Adressen
2.Firewall-Typen 2.2 Proxy oder Application Gateway Physische Trennung durch zwei Netzwerkanschlüsse Der Client kontaktiert den Proxy und dieser kontaktiert dann (nach der Analyse) den eigentlichen Server Es kommt zu keinem direkten Aufbau einer Verbindungsbeziehung. Für jeden Dienst (z.b. FTP) ist ein spezifischer Proxy notwendig.
2. Firewall-Typen Vorteile von Proxys: -Hohes Mass an Sicherheit -Authentisierung des Benutzers möglich -Vollständige Entkopplung zwischen den Netzwerken Nachteile von Proxys: -Hoher Rechenaufwand (schlechte Performance) -Verfügbarkeit von spez. Proxys bei neuen Protokollen -Wenig skalierbar
2. Firewall-Typen 2.3 Andere Firewall Systeme 2.3.1 Stateful Packet Filter: SPF basieren auf dem Prinzip der Paketfilterung Zusätzlich haben sie interne Zustandstabellen, mit denen sie die Sitzungen überwachen (siehe Linux-Firewall) Beispielsweise können alle Ports > 1024 geschlossen (und nur bei Bedarf geöffnet) werden
2. Firewall-Typen 2.3.2 Stateful Inspection Firewalls Filterung der eingehenden Pakete wie bei einer Paket Filter Firewall Extrahierung zutandsbezogener Informationen und Speicherung in internen Tabellen Bewertung nachfolgender Verbindungsversuche => Erweiterung des SPF-Ansatzes um die Nutzdatenanalyse, Client- Server-Modell wird nicht durchbrochen
3. Praktischer Einsatz 3. Firewalls im praktischen Einsatz Ausschliesslicher Einsatz von Application Gateways Externes Netz Firewall Internes Netz
3. Praktischer Einsatz Fähigkeiten: -Verbergen der internen Netzwerkarchitektur - Benutzerauthentifizierung - Kontrolle der IP-Adresse - Zugriff nur über erlaubte Ports und Protokolle - Alarmierung - Verbesserte Protokollierung (Benutzeridentifikation) - Kontrolle auf der Anwendungsebene (z.b. Anwendungsfilter für bestimmmte Kommandos) Insgesamt schon eine recht hohe Schutzwirkung
3. Praktischer Einsatz De-Militarized Zone (DMZ) Externes Netz Paket Filter Application Gateway Paket Filter Internes Netz
3. Praktischer Einsatz Paketfilter-Regeln sind einfach und überschaubar (aus der Sicht des Paketfilters kommuniziert der Application Gateway nur mit dem gekoppelten Netz) Einsatz von unterschiedlichen Analysekonzepten, unterschiedlichen Betriebssystemen und verschiedenen Herstellern (um die Anzahl der Sicherheitslücken zu verringern) Ein Firewall-System für höchste Sicherheitsanforderungen, aber Aufwand und Kosten ebenfalls sehr hoch (ca. 3-4 Mal höher)
4. Linux-Firewall 4. Linux Firewall (ab Kernel 2.4) Es gibt drei Tabelle: - Filter: (hauptsächlich) Filtern von eingehenden Datenpaketen - Nat: Adressübersetzung - Masquerade:Verändern von Paket-Parametern (z.b. TTL) Jede Tabelle besteht aus mehreren Regelketten (chains), die die einzelnen Regeln definieren.
4. Linux-Firewall Es gibt weiterhin 5 Chains: - Input: für den lokalen Prozess bestimmte Pakete - Output: vom lokalen Prozess stammende Pakete - Forward: zu routende Pakete laufen hier durch - Prerouting: unmittelbar vor der Routingentscheidung laufen die Pakete hier durch - Postrouting: nach dem Routing laufen alle Pakete hier durch Es können auch benutzerdefinierte Chains erstellt werden. Nicht jede Kombination von Tabelle - Chain ist sinnvoll/erlaubt
4. Linux-Firewall Paketauswertung Prerouting Routing Forward Postrouting Input Output Lokale Prozesse
4. Linux-Firewall Weiterer Fortschritt gegenüber Vorgängerversion: Überwachung der Verbindungen mit internen Zustandstabellen Zuordnung von "new", "established", "related" oder "invalid" zu den entsprechenden Verbindungen => Schliessung aller Ports >1024 Es werden nur Pakete hereingelassen, die zu einer von innen aufgebauten Verbindung gehören
5. Grenzen 5. Grenzen von Firewalls -Angriffe aus dem internen Netz -Social Engineering -Viren
6. Trends 6.Trends Post-Firewall-Ära: Jedes Computersystem schützt sich selbst mit leistungsfähigen Authentifikations- und Verschlüsselungsmechanismen Datenaustausch über sichere Kommunikationskanäle mit identifizierten Kommunikationspartnern (bisher begrenzt von der Leistungsfähigkeit der Computer)
7.Fazit 7. Fazit Firewalls sind ein MUSS zur Erhöhung der Netzwerksicherheit. Dennoch absolute Sicherheit nicht möglich. Es geht darum, möglichst wenig Angriffspunkte zu bieten. Abwägung - welche Dienste werden benötigt? (um von dem Nutzen der Vernetzung zu profitieren, bei gleichzeitiger höchstmöglicher Sicherheit)