Firewall. My Company - My Castly. Kontinuierlicher Prozess



Ähnliche Dokumente
Firewalls mit Iptables

Packet Filters - iptables

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Das Netzwerk von Docker. Java Stammtisch Goettingen

Grundlagen Firewall und NAT

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Sicherheits-Richtlinien

Firewall - Techniken & Architekturen

Architekturen für echte Firewalls I. (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel (A)

Internet Security 2009W Protokoll Firewall

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Einführung. zum Thema. Firewalls

IPTables und Tripwire

Linux Netfilter/iptables

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

Firewall Implementierung unter Mac OS X

Distributed Systems Security. Überblick. Überblick. Firewalls

MultiNET Services GmbH. iptables. Fachhochschule München, Dr. Michael Schwartzkopff, MultiNET Services GmbH

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Ein Paketfilter. netfilter/iptables. Bernd Kohler. 19. September UMIC Research Centre RWTH Aachen

Distributed Systems Security

Distributed Systems Security

Firewall Lösungen mit Linux Kurs 1004

Netzwerk-Zugriffskontrolle mit einer DMZ

Was ist ein Paketfilter? 1. Warum sollte ich einen Paketfilter wollen?

Firewall mit Netfilter/iptables

Computer-Sicherheit SS Kapitel 5: Sicherheitsmechanismen

NAT Network Adress Translation

Praktikum IT-Sicherheit. Firewall

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Netzwerk Teil 2. Zinching Dang. 11. Januar 2016

Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains

15 Iptables(Netfilter)

NAT - und Firewall-Einstellungen am Beispiel eines Exposed Host zum IPv4-Zugriff aus dem WAN

DSL Router und Masquerading mit SuSE 7.3 (Kernel2.4 und iptables)

Firewalls. Mai Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Firewalls. Krypto Christian Kawalar, Tim Ungerhofer. June 9, 2017

IT-Security Teil 10: Echte Firewalls mit NAT

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Firewalls Hager Björn Wegenast Jakob Zagovic Vahid

15. Firewall 15. Firewalls unter UNIX

Konfiguration einer Firewall mit FireHOL

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Proxies, Firewalls und drumherum

5 Firewall und Masquerading

Paketfilterung mit Linux

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

ISA Server 2004 IP-Einstellungen definieren - Von Marc Grote

IT-Security. Teil 4: Implementierung von Firewalls

Ihre Aufgabe. Nachbildung der IT-Landschaft zweier virtueller Firmen

#!/bin/tcsh. Das Skript wird in der Umgebung der tcsh Shell aufgerufen und ausgeführt.

In meinem Beitrag "Einrichten eines 6in4 static Tunnels mit SIXXS unter Linux" habe ich beschrieben, wie man einen IPv6 Tunnel einrichtet.

IRF2000 Application Note Port - Weiterleitung

Übersicht. Tipps und Tricks Testen von Firewalls Administration Echte Firewalls mit NAT. WIS SS Teil 11/Firewalls III

Iptables & NAT. R. Mutschler, inf

Teil 11: Firewall - Ergänzungen

Verteidigung der Diplomarbeit 3D-Netzwerk-Visualisierung

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Sinn und Unsinn von Desktop-Firewalls

Fachbereich Medienproduktion

2.Härten von UNIX-Systemen

Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

SANDRO DÄHLER, DANIEL WALTHER I3T FIREWALL LAB

Praxisarbeit Semester 1

Unterricht im Netzwerklabor mit Routerboards von Mikrotik

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Ali Mirza Nejad TA1-D Firewall-regeln unter dem Kernel 2.4 April 2003 Seite 1 von 15

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

Evaluierung der Layer-7-Inspection Möglichkeiten von IPtables. Christoph Singer 22. Oktober 2007

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Konfigurationsbeispiel ZyWALL USG

IP-Gateway. Internet-Partner der Wirtschaft. Der Wachschutz für Ihr

Hacker-Contest WS16/17. Anmeldungsaufgabe

[4-6]

Linux Personal Firewall mit iptables und ip6tables

Port-Weiterleitung einrichten

Firewall für LAN und DMZ einstellen

Einführung in Firewall-Regeln 1

Carsten Harnisch. Der bhv Routing & Switching

Honeypots und Honeynets die süße Versuchung. Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c

15. Firewall 15. Firewalls unter Unix

Firewall für LAN und DMZ einstellen

Statisches Routing. Jörn Stuphorn Bielefeld, den Juni Juni Universität Bielefeld Technische Fakultät

Netzwerk Teil 1 Linux-Kurs der Unix-AG

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Anwendungsbeschreibung OTT netdl 1000 mit IP Kamera D-Link DCS 7110

14 Firewalling und Masquerading

Kommunikation im lokalen Netz

NAT / PAT Thomas Koch & Marco Reinel 1

Grundkurs Routing im Internet mit Übungen

Transkript:

Firewall My Company - My Castly 04.11.2003 1 Kontinuierlicher Prozess Im Idealfall sollte (!) IT-Sicherheit ein kontinuierlicher Prozess aus folgenden Stufen sein Protection Phase Detection Phase Response Phase 04.11.2003 2 Protection Phase Aus den Sicherheitanforderungen - abgeleitet aus der Security Policy und den Sicherheitskonzepten - werden Massnahmen definiert. Diese Massnahmen werden sukzessive umgesetzt um zu einem Zeitpunkt X einen definierten - sicheren - Zustand der Systeme zu erreichen 04.11.2003 3 1

Detection Phase Durch den Einsatz von Host - oder Netzwerk basierten Intrusion detection Systemen werden die Angriffe auf das Systeme überwacht und ausgewertet (!) Insbesondere Auswertung und Überwachung ermöglichen eine Ausgangsbasis für die 3. Phase 04.11.2003 4 Response Phase Durch Erkenntnisse die aus der Überwachung gewonnen werden, kann das Sicherheitssystem permanent aktualisiert werden So wird auf neue Angriffe, Schwachstellen in Betriebssystemen oder neue Angriffstechniken reagiert Diese 3 Phasen werden permanent durchlaufen und ggf. aktualisiert 04.11.2003 5 Maßnahmen Intrusion Detection Host - oder Netzwerkbasiert Firewallsysteme ggf. auch durch DMZ getrennt Maßnahmen auf Betriebssystemebene insbesondere auf Servern die für externe Aufgaben zur Verfügung stehen (z.b. WWW Server) 04.11.2003 6 2

Intrusion Detection Systeme Werden mit Netzwerk - oder Host-Sensoren ausgeliefert Diese Sensoren haben eine Policy Je nach Policy werden definierte Ereignisse an eine Datenbank geschrieben, der Port wird gesperrt, die IP wird gesperrt, der Admin erhält eine Mail und/oder der Vorstand eine SMS usw... Produkte: Real-Secure (ISS), Dragon, Snort 04.11.2003 7 Bsp ISS Sensoren für Solaris, W2K und Linux Wird mit vordefinierten Policys ausgeliefert Diese sind natürlich konfigurierbar! Alle Sensoren liefern ihre Informationen an einen Event Collector (Wehe, wenn der ausfällt) Dieser schreibt die Informationen in eine Datenbank (2 GB wird mitgeliefert) 04.11.2003 8 Betriebssystemebene Minimalprinzip Nutzung minimaler Rechte und entsprechender Kernel Deaktivierung nicht benötigter Dienste Aktualisierung durch entsprechendes Patchen 04.11.2003 9 3

Möglichkeiten Scannen eines Hosts mit z.b. nmap welche Ports sind offen? Nötig oder nicht? Software auf einem Server Sind Entwicklungsumgebungen auf einem Server notwendig? Gcc, Skriptsprachen? 04.11.2003 10 Firewalltypen Applicationlevel Gateway Proxies [Vertreter] -> Programme die auf Applicationsebene auf einen bestimmten Dienst spezialisiert sind. Jede Verbindung aus dem zu schützenden Netz wird an den Proxy gerichtet, der gibt die Anfrage an das unsichere Netz weiter. 04.11.2003 11 Vorteil - Nachteil + Kann auf Applicationsebene absichern + Nutzdaten werden erfasst + funktioniert auch als Cache für Seiten + Kann als Reverse - Proxy Rechenleistung übernehmen - benötigt mehr Rechenleistung als Paketfilter bei entsprechenden Bandbreiten - meist schwieriger zu konfigurieren 04.11.2003 12 4

Firewalltechniken Paketfilter Netzwerkebene IP Datagramme werden in das Netz hinein und aus dem Netz heraus überprüft Filterregeln treffen die Entscheidung, ob ein Paket durchgelassen wird oder nicht (drop, reject) 04.11.2003 13 Was wird überprüft? Reiner Paketfilter OSI Level 3 und 4 (Network und Transport) Grundsätzlich wird nur der Header betrachtet Vorteile: Relativ einfache Konfiguration an einem festgelegten Punkt Schnelle Entscheidungen wenig Performance Verluste 04.11.2003 14 Nachteile Nur in begrenztem Umfang können Quell - und Zielport u. Protokolle überprüft werden ICMP Typen Aber: Keine Nutzdaten wie Viren, Kontraproduktive Programme oder ungewollte Inhalte 04.11.2003 15 5

Paketfilter Ein Paketfilter kontrolliert und analysiert den ein- und ausgehenden Datenstrom auf der Netzzugangs-, der Netzwerk- und der Transportebene. Die Analyse wird derart durchgeführt, daß die Datenpakete, die durch das physikalische Kabel übertragen werden, aufgenommen und analysiert werden 04.11.2003 16 Arbeitsweise Von welcher Seite - des Netzwerks - kommen die Pakete Protokolltyp Ziel - und Quelladresse Portnummer ggf. Zeitraum Verstoßen die hier gefundenen Informationen nicht gegen die aufgestellten Regeln werden die Pakete durchgelassen, sonst.. Je nach Konfiguration 04.11.2003 17 Bauarten Router Router übernimmt Firewallfunktionalitäten Vorteil: Nicht noch ein Bauteil... Nachteil: Einschränkungen bei Protokollierung, kompliziertere Programmierung der Filterregeln 04.11.2003 18 6

Bauarten Seperater Paketfilter Auf Softwarebasis - z.b. Netfilter/Iptables - die Software übernimmt die Funktionalität Vorteil: Leichtere Programmierung der Filterregeln, bessere Programmierung der Meldungen an den Admin bei Alarm Gelegentlich teurer 04.11.2003 19 NAT (PAT) Network Adress Translation Im internen Netz wird ein privater Adressraum genutzt Der Paketfilter tritt als eine - öffentliche - IP auf, und kann so das interne Netz vor den neugierigen Blicken aus dem öffentlichen Netz verbergen 04.11.2003 20 Filterregeln Zwei grundsätzliche Ansätze: Es wird alles erlaubt, was verboten ist wird deaktiviert Es wird alles verboten, nur was explizit erlaubt ist, wird aktiviert 04.11.2003 21 7

Filterregeln an einem Beispiel #!/bin/sh # ISDN INTERFACE=ippp0 # Modem #INTERFACE=ppp0 # Ethernet (eth0=lan, eth1=dmz, eth2=internet) #INTERFACE=eth2 insmod ip_tables insmod ip_conntrack insmod ip_conntrack_ftp insmod ipt_state insmod iptable_nat insmod ipt_masquerade 04.11.2003 22 Filterregeln an einem Beispiel iptables -F iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i! $INTERFACE -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block iptables -A POSTROUTING -t nat -o $INTERFACE -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #Quelle: Linux Magazin 04.11.2003 23 Erläuterung #!/bin/sh # ISDN INTERFACE=ippp0 #dev wird bestimmt, entweder ippp0 - ISDN oder entsprechende Moden Schnittstelle #Danach werden mit insmod Module geladen, mit denen dann ein neuer Kernel kompiliert wird. iptables -F #bestehende Filterregeln werden gelöscht, wichtig, wenn Skript mehr als einmal aufgerufen wird.. 04.11.2003 24 8

Erläuterung iptables -N julius #es wird mit -N julius eine neue Chain angelegt. Vorhandene Chains sind INPUT Pakete die an die Firewall selbst gerichtet sind FORWARD Pakete die an andere geschickt werden und von der Firewall nur weitergeleitet werden sollen OUTPUT... iptables -A julius -m state --state ESTABLISHED,RELATED -j ACCEPT #Diese Regel wird mit der Options -A Abandon an die CHAIN julius angehängt -m state #Status des Pakets (Verbindungsorientierte Protokolle) 04.11.2003 25 Erläuterung --state ESTABLISHED,RELATED # ESTABLISHED Paket gehört zu einer bestehenden Verbindung # RELATED Paket gehört nicht zur selben Verbindung hat aber Beziehung dazu. Bsp. FTP #Andere sind #NEW Neue Verbindung #INVALID Unindentifizierbare Pakete - werden nie weitergeleitet -j ACCEPT #Was mit dem Paket anstellen -j? #ACCEPT.. #DROP - Verwerfen #LOG - Loggen.. 04.11.2003 26 Erläuterung -A julius -m state --state NEW -i! $INTERFACE -j ACCEPT # -i In interface # -o Out Interface #! $INTERFACE ist hier die entsprechende Variable iptables -A julius -j DROP # Alle Pakete die nicht in diese Regeln passen, werden verworfen ( DROP ) iptables -A INPUT -j julius # Alle Pakete die an die Firewall gesendet werden, sollen an die Chain julius übergeben werden- wie in einem Unterprogramm 04.11.2003 27 9

Regeln für ganze Ketten Eine neue Kette erstellen (-N). Eine leere Kette loeschen (-X). Die Policy fuer eine eingebaute Kette aendern (-P). Die Regeln einer Kette auflisten (-L). Die Regeln aus einer Kette ausspuelen (flush) (-F). Paket- und Bytezaehler aller Regeln einer Kette auf Null stellen (-Z). 04.11.2003 28 Regeln einer Kette manipulieren Eine neue Regel an eine Kette anhaengen (-A). Eine neue Regel an eine bestimmte Position in der Kette einfuegen (-I). Eine Regel an bestimmter Position in der Kette ersetzen (-R). Eine Regel an einer bestimmten Position in der Kette loeschen (-D). 04.11.2003 29 Einige Flags -p Protokoll -s Source -d Destination! Nicht... Quellen: http://www.netfilter.org/documentation/howto/de/packet-filtering- HOWTO-7.html 04.11.2003 30 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback