Sicherung von Web Services durch Firewalls



Ähnliche Dokumente
TCP/IP-Protokollfamilie

Technische Grundlagen von Internetzugängen

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Seminar: Konzepte von Betriebssytem- Komponenten

Fachbereich Medienproduktion

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

KN Das Internet

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Beispiel einer Web-Service gestützten Systematischen Suche in den Beständen des Stadtgeschichtlichen Museums Leipzig

Grundkurs Routing im Internet mit Übungen

SOA. Prof. Dr. Eduard Heindl Hochschule Furtwangen Wirtschaftsinformatik

Internet und WWW Übungen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Internet Routing am mit Lösungen

SOAP Integrationstechnologie für verteilte Middlewarearchitekturen?

IP-COP The bad packets stop here

Java RMI, CORBA und Firewalls

TCP/UDP. Transport Layer

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

All People Seem To Need Data Processing: Application Presentation - Session Transport Network Data-Link - Physical

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

epayment Leistungen des Bundes einfach, schnell und sicher bezahlen mit Payment Eine Idee mit Zukunft

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

15 Transportschicht (Schicht 4)

Anwendungsprotokolle: HTTP, POP, SMTP

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Firewall Implementierung unter Mac OS X

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Man liest sich: POP3/IMAP

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Internetzugang Modul 129 Netzwerk Grundlagen

Web-Konzepte für das Internet der Dinge Ein Überblick

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Grundlagen Firewall und NAT

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Idee des Paket-Filters

Einführung in die Netzwerktechnik

Zugangsschutz: Packet Filter und Firewalls

Einführung. Internet vs. WWW

Grundlagen der Rechnernetze. Internetworking

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Proseminar: Website-Management-Systeme

Session Management und Cookies

Vorlesung SS 2001: Sicherheit in offenen Netzen

Kontrollfragen Firewalltypen

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Ich will raus! Tunnel durch die Firewall

Einführung in die. Netzwerktecknik

Sinn und Unsinn von Desktop-Firewalls

Netzwerk-Programmierung. Netzwerke.

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Modul 13: DHCP (Dynamic Host Configuration Protocol)

Internet Security 2009W Protokoll Firewall

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

ICMP Internet Control Message Protocol. Michael Ziegler

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

SolarWinds Engineer s Toolset

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: mail:

Switch 1 intern verbunden mit onboard NICs, Switch 2 mit Erweiterungs-NICs der Server 1..6

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Workflow, Business Process Management, 4.Teil

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Themen. Transportschicht. Internet TCP/UDP. Stefan Szalowski Rechnernetze Transportschicht

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren

Transmission Control Protocol (TCP)

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

4 Assistent "Erste Schritte"

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Datenbank-basierte Webserver

Technische Anforderungen. zum Empfang. von XML-Nachrichten

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

pr[sms] MMS-MM7/SOAP Schnittstelle Version: 1.1 Stand: Autor: Gollob Florian

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Einrichtungsanleitung Router MX200

Netzwerk-Programmierung. Netzwerke. Alexander Sczyrba Michael Beckstette.

Gefahren aus dem Internet 1 Grundwissen April 2010

UDP-, MTU- und IP- Fragmentierung

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

2. Architektur von Kommunikationssystemen

Internet Protokolle für Multimedia - Anwendungen

Prof. Dr. Klaus Lang, Fachhochschule Bingen. rwho rhosts.. NIS YP ... NFS RIP/OSPF/EGP ARP/RARP SLIP/PPP. Modem/V24/ISDN

Transkript:

Sicherung von Web Services durch Firewalls Mario Jeckle, Barbara Zengler DaimlerChrysler Forschungszentrum Ulm {mario.jeckle, barbara.zengler}@daimlerchrysler.com www.jeckle.de

Gliederung Kommunikation im Internet Grundidee Technik Protokolle Web Services Beschreibungsmodell Implementierung und Ausführungsmodell Firewalls Grundidee Klassische Ansätze -Firewalls M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 3

Kommunikation im Internet - Grundprinzip A Internet B M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 6

Kommunikation im Internet - Funktionsweise 53.16.71.160 53.16.71.44 3937 1147 1189 Internet 8080 21 443 Adressierung Rechner: IP Adresse (IP Protokoll) Applikation: Port ( bzw. UDP Protokoll) Port: logische Verbindung zwischen Client und Server Programmen Unterscheidung mehrere logischer Kanäle auf gleichem Netzwerk Interface auf selbem Computer Server Software bindet an (assoziiert sich mit) zugewiesenen Port M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 7

Kommunikation im Internet - Protokollstack Sitzungsschicht 2 () Sitzungsschicht 1 (HTTP) Transportschicht (, UDP) Netzschicht (IP) Sicherungsschicht (Ethernet, FDDI) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 8

Kommunikation im Internet Datenübertragung zwischen Applikationen -- Beispielszenario A isprime(42) Internet false HTTP IP B M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 9

Exkurs: Das v1.2 Protokoll Grundidee: Entfernte Funktionsaufrufe und Nachrichtenaustausch mit XML Zumeist HTTP als Kommunikationsprotokoll Synchrone Aufrufe RPC-Style Version 1.2 durch die W3C-Arbeitsgruppe XML Protocol erarbeitet Breit unterstützt Bereits in ersten (einsetzbaren) Implementierungen verfügbar Aufbau: Part 0: Einführendes (nicht-normatives Dokument) Part 1: Rahmenwerk zur Konstruktion einer -Nachricht Part 2: Konkrete Nutzung des Rahmenwerks, beispielsweise für RPCs über HTTP M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 11

Exkurs: Das v1.2 Protokoll -- struktureller Aufbau -Nachricht -Header...... -Block -Body. -Block M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 12

Exkurs: Das v1.2 Protokoll -- Protokollunabhängigkeit Binding S O A P Sitzungsschicht (Session Layer) MIME HTTP BEEP SMTP HTTPS Transportschicht (Transport Layer) Netzschicht (Network Layer) Sicherungsschicht (Data Link Layer) Bitübertragungsschicht (Physical Layer) IP (v4, v6), X.25, SPX, IPX HDLC, SLIP, PPP, Ethernet, IEEE 802.x analoges Modem, V. 90, ISDN, ADSL UDP M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 13

Exkurs: Das v1.2 Protokoll --- Intermediäre -Knoten (Ursprungssender) -Knoten (Empfänger und Sender) -Knoten (endgültiges Ziel) Applikation 1 Actor 1 Actor 2 Block 1 Block 2 Applikation 2 Actor 3 Block 3 Block 4 Applikation 3 Actor 6 Actor 7 Actor 4 Actor 8 Actor 5 Prozessor Prozessor Prozessor Nachricht Nachricht M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 14

Kommunikation von Web Services A POST POST /axis/isprime.jws /axis/isprime.jws HTTP/1.0 HTTP/1.0 Content-Type: Content-Type: text/xml; text/xml; charset=utf-8 charset=utf-8 Accept: Accept: application/soap+xml, application/soap+xml, application/dime, application/dime, multipart/related, multipart/related, text/* text/* User-Agent: Axis/beta3 User-Agent: Axis/beta3 Host: 53.16.71.44:8070 Host: 53.16.71.44:8070 Cache-Control: no-cache Cache-Control: no-cache Pragma: Pragma: no-cache no-cache Action: Action: "" "" Content-Length: Content-Length: 396 396 <?xml version="1.0" encoding="utf-8"?> <?xml version="1.0" encoding="utf-8"?> <soapenv:envelope <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <soapenv:body> <test <test soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <number <number xsi:type="xsd:string">6</number> xsi:type="xsd:string">6</number> </test> </test> </soapenv:body> </soapenv:body> </soapenv:envelope> </soapenv:envelope> Internet B HTTP IP HTTP/1.1 200 OK HTTP/1.1 200 OK Content-Type: text/xml; charset=utf-8 Content-Type: text/xml; charset=utf-8 Connection: close Connection: close Date: Tue, 10 Dec 2002 18:45:01 GMT Date: Tue, 10 Dec 2002 18:45:01 GMT Server: Apache Tomcat/4.0.4 (HTTP/1.1 Connector) Server: Apache Tomcat/4.0.4 (HTTP/1.1 Connector) Set-Cookie: JSESSIONID=41B96D25B609A1F3235852305A36E46D;Path=/axis Set-Cookie: JSESSIONID=41B96D25B609A1F3235852305A36E46D;Path=/axis <?xml version="1.0" encoding="utf-8"?> <?xml version="1.0" encoding="utf-8"?> <soapenv:envelope <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <soapenv:body> <testresponse soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <testresponse soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <testreturn xsi:type="xsd:boolean">false</testreturn> </testresponse> <testreturn xsi:type="xsd:boolean">false</testreturn> </soapenv:body> </testresponse> </soapenv:envelope> </soapenv:body> </soapenv:envelope> M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 15

Kommunikation im Internet Protokolle Datenübertragung zwischen Applikationen Datenpaket Header: Protokollspezifische Information Body: Nutzdaten HTTP IP Header Body Header Body Header Body HTTP... M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 16

Kommunikation Im Internet Protokolle Anwendungsschicht HyperText Transfer Protocol HTTP, v1.1-anfrage POST /axis/isprime.jws HTTP/1.0 Content-Type: text/xml; charset=utf-8 Accept: application/soap+xml, application/dime, multipart/related, text/* User-Agent: Axis/beta3 Host: 53.16.71.44:8080 Cache-Control: no-cache Pragma: no-cache Action: "" Content-Length: 396 HTTP IP <?xml version="1.0" encoding="utf-8"?> <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <test soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <number xsi:type="xsd:string">7</number> </test> </soapenv:body> </soapenv:envelope> M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 17

Kommunikation im Internet Protokolle Anwendungsschicht HyperText Transfer Protocol HTTP, v1.2-anfrage POST /axis/isprime.jws HTTP/1.0 Content-Type: application/soap+xml; charset=utf-8 Accept: application/soap+xml, application/dime, multipart/related, text/* User-Agent: Axis/beta3 Host: 53.16.71.44:8080 Cache-Control: no-cache Pragma: no-cache Action: "" Content-Length: 396 HTTP IP <?xml version="1.0" encoding="utf-8"?> <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <test soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <number xsi:type="xsd:string">7</number> </test> </soapenv:body> </soapenv:envelope> M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 18

Kommunikation im Internet Protokolle Anwendungsschicht HyperText Transfer Protocol HTTP, -Antwort HTTP/1.1 HTTP/1.1 200 200 OK OK Content-Type: Content-Type: application/soap+xml; application/soap+xml; charset=utf-8 charset=utf-8 Connection: Connection: close close Date: Date: Tue, Tue, 10 10 Dec Dec2002 200218:45:01 GMT GMT Server: Server: Apache Apache Tomcat/4.0.4 Tomcat/4.0.4 (HTTP/1.1 (HTTP/1.1 Connector) Connector) Set-Cookie: Set-Cookie: JSESSIONID=41B96D25B609A1F3235852305A36E46D;Path=/axis HTTP IP <?xml <?xml version="1.0" version="1.0" encoding="utf-8"?> encoding="utf-8"?> <soapenv:envelope <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <soapenv:body> <testresponse soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <testresponse <testreturn <testreturn xsi:type="xsd:boolean">false</testreturn> </testresponse> </soapenv:body> </testresponse> </soapenv:envelope> </soapenv:body> </soapenv:envelope> M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 19

Kommunikation im Internet Protokolle Transportschicht Transmission Control Protocol (): Quellport Zielport Flags (verbindungsorientiertes Protokoll) User Datagram Protocol UDP: Quellport Zielport HTTP IP 0F 61 1F 90 B8 8E D6 94 9D 5B 9B A3 50 18 44 70 95 0B 00 00 Quellport (3937) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 21

Kommunikation im Internet Protokolle Transportschicht Transmission Control Protocol (): Quellport Zielport Flags (verbindungsorientiertes Protokoll) User Datagram Protocol UDP: Quellport Zielport HTTP IP 0F 61 1F 90 B8 8E D6 94 9D 5B 9B A3 50 18 44 70 95 0B 00 00 Zielport (8080) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 22

Kommunikation im Internet Protokolle Transportschicht Transmission Control Protocol (): Quellport Zielport Flags (verbindungsorientiertes Protokoll) User Datagram Protocol UDP: Quellport Zielport HTTP IP 0F 61 1F 90 B8 8E D6 94 9D 5B 9B A3 50 18 44 70 95 0B 00 00 Flags (PSH, ACK) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 23

Kommunikation im Internet Protokolle HTTP IP Aufrufer:Node Dienst:Node POST POST /axis/isprime.jws /axis/isprime.jws HTTP/1.0 HTTP/1.0 Content-Type: Content-Type: text/xml; text/xml; charset=utf-8 charset=utf-8 Accept: Accept: application/soap+xml, application/soap+xml, application/dime, application/dime, multipart/related, multipart/related, text/* text/* User-Agent: User-Agent: Axis/beta3 Axis/beta3 Host: Host: 53.16.71.44:8070 53.16.71.44:8070 Cache-Control: Cache-Control: no-cache no-cache Pragma: Pragma: no-cache no-cache Action: Action: "" "" Content-Length: Content-Length: 396 396 Request <?xml <?xml version="1.0" version="1.0" encoding="utf-8"?> encoding="utf-8"?> <soapenv:envelope <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <soapenv:body> <test <test soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <number <number xsi:type="xsd:string">6</number> xsi:type="xsd:string">6</number> </test> </test> </soapenv:body> </soapenv:body> </soapenv:envelope> </soapenv:envelope> Response M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 24

Kommunikation im Internet Protokolle HTTP IP Aufrufer:Node Dienst:Node HTTP/1.1 HTTP/1.1 200 200 OK OK Content-Type: Content-Type: text/xml; text/xml; charset=utf-8 charset=utf-8 Connection: Request Connection: close close Date: Date: Tue, Tue, 10 10 Dec Dec 2002 2002 18:45:01 18:45:01 GMT GMT Server: Server: Apache Apache Tomcat/4.0.4 Tomcat/4.0.4 (HTTP/1.1 (HTTP/1.1 Connector) Connector) Set-Cookie: Set-Cookie: JSESSIONID=41B96D25B609A1F3235852305A36E46D;Path=/axis JSESSIONID=41B96D25B609A1F3235852305A36E46D;Path=/axis <?xml <?xml version="1.0" version="1.0" encoding="utf-8"?> encoding="utf-8"?> <soapenv:envelope <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> xmlns:xsd="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> <soapenv:body> <soapenv:body> <testresponse soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <testresponse soapenv:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <testreturn <testreturn xsi:type="xsd:boolean">false</testreturn> xsi:type="xsd:boolean">false</testreturn> </soapenv:body> </testresponse> </soapenv:envelope> </soapenv:body> </soapenv:envelope> </testresponse> M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 25

Kommunikation im Internet Protokolle HTTP IP Aufrufer:Node (SYN, SACK) (SYN, ACK, SACK) (ACK) HTTP (POST, Request), (ACK, (PSH)) Dienst:Node 0..* 0..* HTTP (Continuation, Request), (ACK, (PSH)) (ACK) HTTP (200 OK, Response), (ACK, (PSH)) HTTP (Continuation, Response), (ACK, (PSH)) (ACK) (FIN, ACK) (ACK) (FIN, ACK) (ACK) PSH nur bei letzter Kommunikation Verbindungsaufbau Verbindungsabbau M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 27

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C IP Version 4 M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 29

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C Differentiated Service Field M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 30

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C Don t Fragment M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 31

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 32

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C Source (53.16.71.160) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 33

Kommunikation im Internet Protokolle Vermittlungsschicht (Internet Protocol (IP)): Adressierung von Rechnern im Netzwerk Quelladresse Zieladresse Nutzdaten-Protokolltyp (, UDP, ICMP,...) HTTP IP 45 00 00 30 1C 76 40 00 80 06 E5 65 35 10 47 A0 35 10 47 2C Destination (53.16.71.44) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 34

Funktionsweise einer Firewall Schützt Rechnersystem vor Einbruch Zwischenstation zwischen nicht-vertrauenswürdigen Hosts und internem Netz Angesiedelt in der DMZ (demilitarisierte Zone) Ort für Web-Server, Mailserver, DNS Firewall Internes Netz DMZ DB... Mail Web Internet DNS Proxy M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 35

Funktionsweise einer Firewall Paketfilter Steuerung des Datenverkehrs Paket an Ziel weiterleiten Internes Netz DB... Paket verwerfen (keine Information für Sender) Paket zurückweisen (Information für Sender) Paket verändern Paket an anderes Ziel leiten (Lastverteilung) Information aufzeichnen Alarm auslösen Filterregeln ändern Mail DNS DMZ Web Proxy Internet M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 36

Funktionsweise einer Firewall Paketfilter Regeln Protokoll Quell-Netzwerkadresse Ziel-Netzwerkadresse Quell-Port Ziel-Port Paketgröße Zustandslose Paketfilter Zustandsgesteuerte oder dynamische Paketfilter Verfolgen des Netzverkehrs Dynamische Paketbehandlung Intelligente Paketfilter Internes Netz DB... Inspektion von Paketinhalten, möglicherweise Modifikationen daran Mail DNS DMZ Web Proxy Internet M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 37

Funktionsweise einer Firewall Inhaltsfilter Vorteile: Paketfilterung weit verbreitet (Router, kommerzielle und freie Produkte) Einfacher Paketfilter arbeitet sehr effizient Nachteile: Filterregeln oft schwer konfigurierbar und testbar Komplexe Filter erzeugen Last Nicht alle Policies durch Filterregeln durchführbar (z.b. Benutzerauthentisierung); hier Einsatz von intelligenten Filtern nötig M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 38

Funktionsweise einer Firewall Proxy Proxy (1) Person authorized to act on behalf of another (2) Authority to represent somebody else Oxford Advanced Learner s Dictionary of Current English, 4th Edition Transparenter Stellvertreter für Benutzer oder Dienst Application Level Gateway Entgegennahme von Benutzeranfragen Weiterleitung der Anfragen an den Dienst Einsatz auch für Cachingzwecke M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 40

Funktionsweise einer Firewall Proxy Mischsysteme: Paketfilter und Proxy Paketfilter fängt Verbindung ab und leitet sie an Proxy weiter oder fungiert selbst als solcher Treffen von Entscheidungen bei eingehenden Anfragen Verschiedene Hosts: unterschiedliche Fähigkeiten Weiterleitung von Anfragen Benutzerauthentisierung Für ausgehenden Datenverkehr: gängig Für nach innen gerichtete Verbindungen einsetzbar zur Lastverteilung und Erhöhung der Sicherheit M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 41

Funktionsweise einer Firewall Proxy Vorteile: Möglichkeit zur intelligenten Filterung Benutzer-Authentisierung Verständnis des Anwendungsprotokolls ermöglicht effektive Protokollierung Nachteile: Schlechte Verfügbarkeit für neue oder selten eingesetzte Protokolle (Dienste) Installation und Konfiguration aufwendig M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 42

und Firewalls Herausforderungen: ist protokollunabhängig => Dieselben Inhalte können in verschiedene Protokolle verpackt sein ist selbst ein Protokoll => Auswertung der -Header ist XML und damit Text => Neue Art von Angriffen (konkret Denial-of-Service-Attacken) denkbar Gültiges allein ist nicht genug... => Schemagültigkeit nicht immer hinreichend M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 43

Firewalls für Ansätze: 1. Keine Überladung des WWW-Ports 2. Einbezug der -Kommunikationssemantik 3. Überwachung des -Verkehrs (etwa der Window Size) 4. IP-Adressen-basierte (Basis-)Authentisierung 5. Authentisierung und Autorisierung über -Inhalte (z.b. WS-Security konforme Signatur- und Verschlüsselungsheader) 6. XML-agnostische Prüfung von Body-Inhalten (reguläre Ausdrücke) 7. XML-basierte Validierung (Nutzung von (restriktivem) XML-Schema) Keine Nutzung von -Implementierungen die programmiersprachliche Reflektionsmechansimen ausbeuten! M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 44

-Firewalls Derzeit: Idee oder Vision Kaum (ausgereifte) Produkte Integration mit bestehenden XML-Sicherheitsstandards wünschenswert Grundsätzliche Entscheidung: Erweiterung einer klassischen Firewall Zusätzliche Firewall(-schicht) M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 45

Erfahrungen mit -Firewalls -- Serverseite Bandbreite CPU Datenverkehr M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 46

Erfahrungen mit -Firewalls -- Clientseite Latenzzeit durch -Firewall M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 47

Latest News... on UML, XML, XMI, and Web Services M. Jeckle, B. Zengler Sicherung von Web Services durch Firewalls 2003-01-21 48

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback