3. Firewall-Architekturen



Ähnliche Dokumente
3 Firewall-Architekturen

Christian Immler. BlackBerry. 10 Lektionen für Einsteiger

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

How-to: Webserver NAT. Securepoint Security System Version 2007nx

ICS-Addin. Benutzerhandbuch. Version: 1.0

ANYWHERE Zugriff von externen Arbeitsplätzen

Guide DynDNS und Portforwarding

1 Computer- Chinesisch

FTP-Leitfaden RZ. Benutzerleitfaden

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Firewalls für Lexware Info Service konfigurieren

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

Virtual Private Network

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Netzwerk einrichten unter Windows

Lizenzen auschecken. Was ist zu tun?

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Hilfedatei der Oden$-Börse Stand Juni 2014

SharePoint Demonstration

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Root-Server für anspruchsvolle Lösungen

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Windows das erste Mal

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Anbindung des eibport an das Internet

Firewalls für Lexware Info Service konfigurieren

Verwendung des IDS Backup Systems unter Windows 2000

Was meinen die Leute eigentlich mit: Grexit?

Netzwerkeinstellungen unter Mac OS X

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

mmone Internet Installation Windows XP

Kurzanleitung So geht s

Geld Verdienen im Internet leicht gemacht

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Arbeiten Sie gerne für die Ablage?

ISA 2004 Netzwerkerstellung von Marc Grote

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

NetStream Helpdesk-Online. Verwalten und erstellen Sie Ihre eigenen Tickets

Persönliches Adressbuch

Local Control Network Technische Dokumentation

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

System-Update Addendum

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Zeichen bei Zahlen entschlüsseln

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Installationsanleitung DSL Business Standleitung unter Windows 7

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

Berechtigungsgruppen TimeSafe Leistungserfassung

Tipps und Tricks zu Netop Vision und Vision Pro

Installationsanleitung adsl Privat unter Windows Vista

Carolo Knowledge Base

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Nachricht der Kundenbetreuung

14.2 Einrichten der Druckserverfunktionen

EASYINSTALLER Ⅲ SuSE Linux Installation

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

INTERNETZUGANG UND DATENBANKEN IM ZRS

Anleitung ProBackup. Anleitung ProBackup. Stand: Februar STRATO AG

Fax einrichten auf Windows XP-PC

Wenn Sie das T-Online WebBanking das erste Mal nutzen, müssen Sie sich zunächst für den Dienst Mobiles Banking frei schalten lassen.

DSL Business Standleitung unter Windows XP

NetVoip Installationsanleitung für Grandstream GXP2000

Multimedia und Datenkommunikation

1 Schritt: Auf der Seite einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Moodle Update V 1.9.x V 2.4.x

Herzlich Willkommen bei der nfon GmbH

support Kurzanleitung Kunde Version 5.1.1

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Verwendung des Terminalservers der MUG

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

4 Assistent "Erste Schritte"

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Benutzerhandbuch MedHQ-App

Professionelle Seminare im Bereich MS-Office

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

Updatehinweise für die Version forma 5.5.5

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Die Elemente der User Experience

Video Unlimited -Nutzungsbeschränkungen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

ISBN (print); (PDF); (epub)

Transkript:

3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen durchgesetzt. Diese Architekturen möchte ich Ihnen in diesem Kapitel vorstellen. Jede Architektur hat ihre Daseinsberechtigung. Es gibt keine absolut richtige Architektur. Wie bei allen anderen Betrachtungen sollten Sie immer Aufwand und Nutzen abwägen. Speziell bei der Wahl der Architektur müssen Sie den Aufwand in Form der benötigten Hardware analysieren. Verabschieden Sie sich von dem Gedanken, eine absolut sichere Firewall aufzubauen, wenn Sie nicht das Netzwerkkabel durchschneiden wollen. Eine 100%ig sichere Firewall gibt es nicht. Daher muss Ihre Architektur mögliche Fehler in Ihrer Konfiguration und der Implementierung durch den Hersteller möglichst lange überleben, um Ihnen die Gelegenheit für eine Reaktion auf einen erfolgreichen Angriff auf Ihre Firewall einzuräumen. Ihre Firewall-Architektur sollte keinen Single-Point-of-Failure besitzen. Das ist ein Punkt, bei dessen Ausfall die Sicherheit komplett kompromittiert ist. 3.1 Screening-Router Die erste Implementierung des Screening-Routers war der Screend von Jeffrey Mogul. Ein Screening-Router ist im Grunde nichts anderes als ein einfacher Paketfilter, wie er in diesem Buch beschrieben wird. Als Architektur basiert die Firewall lediglich auf diesem Screening- Router und verwendet keine andere zusätzliche Komponente. Abbildung 3.1 zeigt die Architektur. Der Screening-Router erlaubt üblicherweise nur Verbindungen von innen nach außen. Eine Verbindungsaufnahme von außen nach innen wird von dem Screening-Router unterbunden. In vielen Umgebungen, bei denen nur der Zugriff von innen nach außen erlaubt werden soll, ist ein Screening-Router ausreichend, um die Sicherheit eines Netzes zu gewährleisten. Dies hängt sicherlich auch stark davon ab, ob auch interne Dienste angeboten werden sollen. Dann ist in vielen Fällen ein Screening-Router nicht ausreichend, und Sie sollten sich Gedanken über die Verwendung einer demilitarisierten Zone machen (siehe Abschnitt 3.2). Ein nicht zu unterschätzender Nachteil eines einzelnen Screening-Routers ist, dass bei einem Fehler in der Implementierung oder einem erfolgreichen Angriff das Netz offen steht. Wenn Ihre Firewall-Architektur nur aus einer Komponente besteht, kann ein Angreifer durch die Überwindung dieser Komponente kompletten Zugriff auf Ihr Netzwerk erhalten. Um dieses

Internet LAN Abbildung 3.1: Ein Screening-Router schützt das interne Netz. zu verhindern, sollten Sie eine mehrstufige Firewall-Architektur wie die Multiple DMZ wählen (siehe Abschnitt 3.3). 3.2 DMZ Sobald Sie Dienste anbieten möchten, die von anderen Anwendern im Internet oder von einem nicht vertrauenswürdigen Netz genutzt werden sollen, sollten Sie sich für die Implementierung Ihres Firewall-Konzepts mit der DMZ-Architektur beschäftigen. Hierbei handelt es sich um eine demilitarisierte Zone (häufig auch entmilitarisierte Zone genannt). Dies ist ein besonderes ausgelagertes Netz, in dem Sie die Systeme positionieren, auf die ein Zugriff aus dem Internet erforderlich ist. Auch ein Proxy wird üblicherweise in dieser DMZ aufgestellt. Ein zusätzlicher Screening-Router steuert den Paketfluss, sodass aus dem internen Netz nur ein Zugriff auf die Systeme der DMZ möglich ist (siehe Abbildung 3.2). Ein direkter Zugriff auf das Internet wird so unterbunden. 1 Die Proxies greifen dann auf die Dienste im Internet zu und dienen dem internen Netz bei dem Zugriff auf das Internet als Mittelsmann. Alle Dienste, die Sie dem Internet anbieten möchten, wie zum Beispiel ein Webund ein E-Mailserver, werden ebenfalls von Systemen in der DMZ implementiert. Da Sie diese Dienste anbieten möchten, können Sie diese Systeme nicht so schützen wie die internen 1 Da einige Protokolle nicht von Proxies unterstützt werden, ist für diese Protokolle häufig noch ein direkter Zugriff auf das Internet notwendig, wenn diese Protokolle genutzt werden sollen. 44

Internet DMZ LAN Abbildung 3.2: Die DMZ wird am einfachsten durch ein drittes Bein am Screening-Router realisiert. Der Screening- Router regelt den Paketfluss. Systeme, auf die kein Zugriff erlaubt wird. Bei einem erfolgreichen Angriff und Einbruch in diese weniger geschützten Systeme sind die internen Systeme aber immer noch durch den Screening-Router geschützt, der hoffentlich nicht jeden Zugriff aus der DMZ in das interne Netz erlaubt. Diese Kombination aus Proxies und einem Paketfilter erhöht die Sicherheit der geschützten Systeme. Selbst wenn Sie keine Proxies einsetzen, erhöht die Auslagerung der angebotenen Dienste aus dem internen Netz die Sicherheit desselben, da nun bei einem Angriff kein direkter Zugriff auf die weiteren Rechner des internen Netzes möglich ist. Dennoch basiert die Sicherheit der Architektur auf einem Single-Point-of-Failure, dem Screening-Router. Wenn der Administrator oder der Programmierer bei der Einrichtung oder Entwicklung des Screening-Routers einen Fehler macht, der erfolgreich von einem Angreifer ausgenutzt werden kann, ist der Angreifer in der Lage, auf das interne Netz zuzugreifen, da nur der Screening-Router dieses Netz schützt. Wenn dies nicht akzeptabel ist, können Sie die DMZ durch zwei Paketfilter realisieren: einen externen und einen internen Paketfilter. Der interne Paketfilter regelt den Verkehr zwischen der DMZ und dem internen Netz. Der externe Paketfilter regelt den Verkehr zwischen der DMZ und dem Rest. Dies ähnelt der multiplen DMZ (siehe den nächsten Abschnitt). 45

3.3 Multiple DMZ Den Begriff der multiplen DMZ verwende ich, um eine mehrstufige Firewall zu beschreiben, die über mehrere DMZs verfügt. Abbildung 3.3 zeigt das Prinzip. Bei der multiplen DMZ existiert kein Single-Point-of-Failure. Die in Abbildung 3.3 dargestellte Architektur wird durch zwei Screening-Router realisiert, die keine direkte Verbindung besitzen. Anstatt die beiden Screening-Router direkt miteinander zu verbinden, verfügen die Application-Level-Gateways über zwei Netzwerkkarten und stehen mit jeweils einem Bein in der inneren und der äußeren DMZ. Kann der Angreifer den äußeren Screening-Router überwinden, so ist das interne Netz immer noch durch die Application-Level-Gateways und den inneren Screening-Router geschützt. Selbst wenn der Angreifer direkt ein Application-Level- Gateway angreifen könnte, wird das interne Netz immer noch von dem inneren Screening- Router geschützt. Die angebotenen Dienste besitzen nur eine Netzwerkkarte und befinden sich in der äußeren DMZ. Falls diese Dienste auf interne Datenbanken zugreifen müssen, ist der Zugriff nur über die Application-Level-Gateways möglich, oder diese Systeme benötigen fürdiesenzugriffeinweiteresbeininderinnerendmz. Internet DMZ LAN Abbildung 3.3: Bei einer multiplen DMZ gibt es keinen Single-Point-of-Failure. 46

Der schiere Hardware-Aufwand und der damit einhergehendeadministrationsaufwand lassen diese Lösung natürlich nur für Netze mit einem hohen Schutzbedürfnis adäquat erscheinen. Natürlich sind auch zahlreiche Variationen der Architektur denkbar. Der Vorteil dieser Architektur ist das Fehlen des Single-Point-of-Failure. Sie haben hoffentlich bei dem erfolgreichen Angriff auf die Firewall genügend Zeit, mit entsprechenden Maßnahmen (Unterbrechung der Netzwerkverbindung) zu reagieren. 3.4 Wahl der Architektur Die Wahl der richtigen Architektur ist nicht einfach. Verabschieden Sie sich von dem Gedanken einer 100%ig sicheren Firewall. Diese mag in Hochglanzprospekten der Hersteller existieren. In der Realität habe ich sie noch nie gefunden. Falls Sie einen Hersteller finden, der Ihnen diese verspricht, fragen Sie ihn, warum er Ihnen dann auch noch ein Intrusion-Detection- System (IDS) und einen Virenscanner verkaufen möchte. Die Wahl der Architektur ist entscheidend für die Standhaftigkeit der Firewall. Vergleichen Sie Ihr Netzwerk mit einer Stadt aus dem Mittelalter. Im Mittelalter war jede Stadt in Bezug auf ihren Schutz auf sich allein gestellt. Es gab keine Polizeigewalt, die den Austausch von Waren und das Reisen zwischen den Städten überwachte. Vielmehr regierten außerhalb der Städte meistens Raubritter und Diebe. Es herrschte Anarchie, wie es heute in vielen Bereichen des Internets der Fall ist. Sobald Sie Ihr Netz mit dem Internet verbinden, sind Sie daher bezüglich der Sicherheit Ihres Netzes auch auf sich allein gestellt. Sie müssen sich, wie die Städte im Mittelalter, gegen jeden nur möglichen Angriff verteidigen. Im Mittelalter bauten die Stadtbewohner daher Mauern und zogen Gräben. Meist wurde nicht nur eine Mauer oder ein Graben gezogen, damit die Verteidiger ausreichend Zeit für die Vorbereitung der Verteidigung erhielten. Musste der Angreifer nur eine Mauer überwinden, benötigte er nur genügend lange Leitern, um den Angriff erfolgreich durchzuführen. Gute Verteidigungsanlagen verfügten über mehrere Mauern und Gräben und deren Kombination, sodass die Mauer zwar mit einer Leiter überwunden werden konnte, aber der Angreifer für den Graben Boote benötigte und die Leitern nicht einsetzen konnte. Die Verteidiger hatten in der Zeit die Gelegenheit, ihr Öl zum Sieden zu bringen, um es über die Angreifer zu gießen. Nutzen auch Sie daher in Ihrer Firewall-Architektur unterschiedliche Technologien zur Verteidigung, und bauen Sie mehrere Schutzwälle auf. Auch heute zeigt sich wie im Mittelalter, dass Angreifer häufig nur die schlecht geschützten Ziele angreifen. Diese werden auch als low hanging fruits (niedrig hängende Früchte) bezeichnet. Gegen derartige Angriffe sind Sie mit einer mehrstufigen Firewall gut geschützt. Falls ein Angreifer Sie tatsächlich gezielt angreift, bietet ein mehrstufiges System Ihnen hoffentlich die notwendige Zeit zur Vorbereitung der Verteidigung, bevor der Angreifer in Ihr Netz gelangt. 47

Copyright Daten, Texte, Design und Grafiken dieses ebooks, sowie die eventuell angebotenen ebook-zusatzdaten sind urheberrechtlich geschützt. Dieses ebook stellen wir lediglich als persönliche Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses ebooks oder zugehöriger Materialien und Informationen, einschließlich der Reproduktion, der Weitergabe, des Weitervertriebs, der Platzierung im Internet, in Intranets, in Extranets, der Veränderung, des Weiterverkaufs und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags. Insbesondere ist die Entfernung oder Änderung des vom Verlag vergebenen Passwortschutzes ausdrücklich untersagt! Bei Fragen zu diesem Thema wenden Sie sich bitte an: info@pearson.de Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen. Hinweis Dieses und viele weitere ebooks können Sie rund um die Uhr und legal auf unserer Website herunterladen: http://ebooks.pearson.de

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback