Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen



Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

Anbindung des eibport an das Internet

Daten Monitoring und VPN Fernwartung

Collax PPTP-VPN. Howto

Kontrollfragen Firewalltypen

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Guide DynDNS und Portforwarding

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Fachbereich Medienproduktion

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Technische Grundlagen von Internetzugängen

Firewalls für Lexware Info Service konfigurieren

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Root-Server für anspruchsvolle Lösungen

Firewalls für Lexware Info Service konfigurieren

HTBVIEWER INBETRIEBNAHME

SharePoint Demonstration

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

Proxyeinstellungen für Agenda-Anwendungen

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

ANYWHERE Zugriff von externen Arbeitsplätzen

Treuhand Cloud. Die Arbeitsumgebung in der Cloud

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Wenn keine Verbindung zwischen den Computern besteht, dann bist du offline.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Installation des COM Port Redirectors

FTP-Leitfaden RZ. Benutzerleitfaden

Verwendung des IDS Backup Systems unter Windows 2000

IRF2000 Application Note Eingeschränkter Remote Zugriff

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Step by Step Webserver unter Windows Server von Christian Bartl

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Telekommunikationsmanagement

NAS 224 Externer Zugang manuelle Konfiguration

Einführung. zum Thema. Firewalls

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Powermanager Server- Client- Installation

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Inkrementelles Backup

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

VERWALTUNG. Postfächer, Autoresponder, Weiterleitungen, Aliases. Bachstraße 47, 3580 Mödring

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Anbinden der Visualisierung GILLES TOUCH (VNC)

Virtual Private Network

Transparente Hausverwaltung Marketingschmäh oder doch: eine neue Dimension der Dienstleistung?

FAQ. Häufige VoIP-Probleme

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

3 Firewall-Architekturen

Verwendung des Terminalservers der MUG

Adressen der BA Leipzig

OutLook 2003 Konfiguration

Aufgabe 12.1b: Mobilfunknetzwerke

EchoLink und Windows XP SP2

Schnellstart. MX510 ohne mdex Dienstleistung

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Übung - Datensicherung und Wiederherstellung in Windows 7

ASP Dokumentation Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Leichte-Sprache-Bilder

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Point of Information. Point of Information

Installationsanleitung HZV Online Key

Professionelle Seminare im Bereich MS-Office

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

Installationshandbuch

Installation und Inbetriebnahme von SolidWorks

System-Update Addendum

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Einrichtung einer Weiterleitung auf eine private Adresse in der Hochschule

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

ISA Server 2004 Einzelner Netzwerkadapater

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Machen Sie Ihr Zuhause fit für die

Outlook Web App 2010 Kurzanleitung

Erkennung und Verhinderung von Netzangriffen

Benutzerkonto unter Windows 2000

Transkript:

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die auch für kleine und mittelständische Unternehmen zunehmend an Bedeutung gewinnen. Neben dem Zugriff auf Informationen wird auch eine verbesserte Kommunikation mit Lieferanten und Kunden sowie ein kostengünstiger Zugriff von Aussendienstmitarbeitern auf lokale Ressourcen ermöglicht. Die neuen Möglichkeiten des Internet sollen dabei den Mitarbeitern an ihren Arbeitsplatzrechnern zur Verfügung stehen. Es entsteht daher die Motivation, das private Firmennetz (Intranet) mit dem Internet zu verbinden. Gefahren des Internet Die Verbindung von Intra- und Internet bietet aber nicht nur Vorteile für Unternehmen, sie erhöht auch die Gefährdung der privaten Infrastruktur und Daten durch Angriffe aus dem Internet. Durch das Eindringen nichtautorisierter Personen in das Intranet besteht die Gefahr der Manipulation von Daten durch Löschen, Verfälschen oder Einfügen. Durch Spionage besteht die Gefahr des Verlustes der Vertraulichkeit von Informationen, die zu einem Wettbewerbsvorteil der Konkurrenz führen können. Abbildung 1: Netzeinbrüche bei Firmen mit und ohne Internetanschluss Eine Studie der National Computer Security Association aus dem Jahre 1995 belegt, daß Unternehmen mit Anschluß an das Internet einer 8-fach höheren Gefährdung für Einbrüche in das Datennetz ausgesetzt sind als Unternehmen ohne Internet-Anschluß. Daneben hat das Dpt. of Computerintelligence & Security DoD bereits im Jahre 1994 belegt, daß das Internet gegenüber anderen Medien, die mit Unternehmens-Datennetzen verbunden sind, das am häufigsten für Angriffe benutzte Medium darstellt. Es wird daher eine Anbindung gesucht, die den hohen Sicherheitsanforderungen eines Unternehmens gerecht wird. Sicherheitskonzepte Die sichere Anbindung von privaten Netzen an ein globales Netz wie das Internet setzt voraus, daß ein Sicherheitskonzept erarbeitet wird, das den individuellen Anforderungen eines Unternehmens gerecht Page: 1

wird. Ein Teil dieses Konzeptes ist eine Analyse der bedrohten Systeme nach ihrem Gefährdungsgrad und den Folgekosten bei einem möglichen Verlust der Integrität der Systeme. Dabei ist zu prüfen, inwieweit durch eine Strukturierung des Datennetzes Bereiche mit hoher Sensitivität zusätzlich vom übrigen Netz gesichert werden müssen (ein solcher Bereich stellt beispielsweise die Buchhaltung dar). Die so geschaffenen Netzsegmente werden durch eine Firewall voneinander entkoppelt. Eine Firewall stellt eine für Unbefugte nicht überwindbare Mauer dar, nur zugelassene Dienste dürfen die Firewall passieren. Abbildung 2: Anbindung eines Unternehmensnetzes über eine Firewall (Klicken Sie auf das Bild um eine vergrößerte Darstellung zu erhalten) Abbildung 2 zeigt die Anbindung eines Unternehmensnetzes an das Internet über eine Firewall. Verbindungen aus dem Unternehmensnetz in das Internet dürfen die Firewall passieren (grüner Pfeil). Verbindungen aus dem Internet werden durch die Firewall geblockt (roter Pfeil). Zusätzlich ist ein öffentliches Netz eingerichtet worden, das sowohl aus dem Internet wie auch aus dem Unternehmensnetz erreichbar ist (auch Demilitarisierte Zone (DMZ) bezeichnet). Dieses Netz dient beispielsweise der Internetpräsentation des Unternehmens und für Kommunikationsdienste (Electronic Mail). Eine geeignete Realisierung einer Firewall, die auf ein umfassendes und individuelles Sicherheitskonzept basiert, kann die folgenden Sicherheitsziele erfüllen: Schutz des privaten Netzes gegen unbefugten Zugriff von außen, Schutz der Firewall gegen Angriffe aus dem externen Netz, aber auch gegen Manipulationen aus dem internen Netz Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit Verfügbarkeit der Informationen und Dienste des externen Netzes Damit die Firewall einen umfassenden Schutz gegen Angriffe von außen darstellen kann, muß sichergestellt sein, daß die Firewall die einzige Schnittstelle zwischen beiden Netzen ist. Es dürfen keine Verbindungen an der Firewall vorbei geschaffen werden, die die getroffenen Sicherheitsmaßnahmen umgehen. Aufbau einer Firewall Eine Firewall ist ein Filter, der auf Basis des Internet Protokolls (IP) Netzwerkverbindungen erlaubt oder verbietet. Sie kann aus einer oder mehreren Komponenten aufgebaut sein, die abhängig von ihrer Arbeitsweise in Paketfilter und Application Level Gateways (Proxy) unterschieden werden. Zusätzlich gibt es bei den Paketfiltern die Unterteilung nach statischen und dynamischen Filtern. Die Funktionsweisen der Komponenten sind: Statischer Paketfilter: Ein statischer Paketfilter prüft die Page: 2

Netzwerkadressen (IP-Adressen) und Dienstkennungen (Port) der passierenden Datenpakete und vergleicht die Quell- und Zieladressen mit einer Tabelle, in der die zugelassenen Netzverbindungen in Form von Regeln definiert sind. Es werden die Pakete, die in einer Regel erlaubt worden sind, weitergeleitet, alle anderen Pakete werden verworfen. Tabelle 1 enthält ein Beispiel für Regeln, die mit einem statischen Paketfilter umgesetzt werden können. Regel Quelladresse Quellport Zieladresse Zielport Aktion 1 123.45.67.89/32 1024-65536 0.0.0.0/0 80 Accept 2 123.45.67.0/24 1024-65536 98.76.54.32/32 23 Accept 3 0.0.0.0/0 0 0.0.0.0/0 0 Deny Tabelle 1: Filterregeln eines statischen Paketfilters Regel 1 besagt, daß der Rechner mit der IP-Adresse 123.45.67.89 bei beliebigen Rechnern auf den Port 80 (HTTP) zugreifen kann, er kann somit den Dienst World Wide Web (WWW) benutzen. Regel 2 erlaubt allen Rechnern im Netz 123.45.67.x den Zugriff auf den Rechner mit der IP-Adresse 98.76.54.32 mit Port 23 (telnet). Alle Datenpakete, die nicht diesen beiden Regeln entsprechen, werden durch die Regel 3 geblockt. Dynamischer Paketfilter: Zusätzlich zu den Funktionen des statischen Paketfilters bietet der dynamische Paketfilter die Möglichkeit, bestimmte Kommunikationsbeziehungen für einen begrenzten Zeitraum freizuschalten. Dies wird bei Protokollen benötigt, die ihre Datenverbindungen erst während des Verbindungsaufbaus aushandeln, so z. B. bei NetMeeting (H.323) oder RealVideo (RTSP/RTP). Die Filterregeln werden daher nicht anhand der Portnummern aufgestellt, sondern über Dienste festgelegt, hinter denen die dynamisch zugewiesenen Netzverbindungen verborgen werden. Die unterstützten Dienste werden durch den Hersteller des Paketfilters festgelegt. Ein Beispiel für Filterregeln eines dynamischen Paketfilters ist in Tabelle 2 gegeben. Regel Quelladresse Zieladresse Dienst Aktion 1 123.45.67.89/32 0.0.0.0/0 HTTP Accept 2 123.45.67.0/24 98.76.54.32/32 Telnet Accept 3 123.45.67.89/32 98.76.54.32/32 H.323 Accept 4 123.45.67.0/24 98.76.54.32/32 RealVideo Accept 5 0.0.0.0/0 0.0.0.0/0 Any Deny Tabelle 2: Filterregeln eines dynamischen Paketfilters Application Level Gateways (Proxy): Eine Filterung der Daten auf Anwendungsebene kann nur von Application Level Gateways vorgenommen werden. Sie zeichnen sich dadurch aus, das für jeden Dienst ein eigener Proxy existiert, der die Eigenschaften des Protokolls kennt. Es lassen sich somit protokollspezifische Regeln umsetzen (z. B. bei HTTP GET erlauben, PUT verbieten) oder Benutzerauthentisierungen durchführen. Page: 3

Regel Quelladresse Zieladresse Dienst Aktion Optionen 1 123.45.67.89/32 0.0.0.0/0 HTTP Accept allow GET deny PUT 2 123.45.67.0/24 98.76.54.32/32 Telnet User Auth User Meier 3 123.45.67.89/32 98.76.54.32/32 H.323 Accept 4 123.45.67.0/24 98.76.54.32/32 RealVideo Accept 5 0.0.0.0/0 0.0.0.0/0 Any Deny Tabelle 3: Filterregeln eines Application Level Gateways Durch die geeignete Kombination aus Paketfiltern und Application Level Gateway lassen sich Firewall-Lösungen erstellen, die auch dem hohen bis sehr hohen Schutzbedarf genügen. Abbildung 3 zeigt eine solche Kombination, die aus drei Paketfiltern und einem Application Level Gateway besteht. Durch die Paketfilter kann ein großer Teil unbefugter Zugriffe auf das gesicherte Netz aufgrund der Netzwerkadressen abgewehrt werden (oberer roter Pfeil), das Application Layer Gateway prüft dann die Daten in der Anwendungsebene oder nimmt eine Authentisierung des Benutzers vor und blockt bei Verletzung der Regeln das Datenpaket (unterer roter Pfeil). Der Paketfilter im öffentlichen Netz sichert das Application Level Gateway bei unbefugter Inbesitznahme des öffentlichen Servers. Weitere Kombinationsmöglichkeiten bietet das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Infomationstechnik (BSI). Abbildung 3: Firewall für hohen Schutzbedarf mit Paketfiltern und Application Layer Gateway (Klicken Sie auf das Bild um eine vergrößerte Darstellung zu erhalten) Firewall-Lösungen werden in einer weiten Produktpalette angeboten, die von einfachen Softwarepaketen für UNIX- und Windows-NT-Systeme bis hin zu Komplettlösungen mit eigener Hardware reichen. Eine Übersicht über die verschiedenen Firewall-Produkte und deren Bezugsquellen bietet das Firewall-Labor des DFN-Cert an. Einzelheiten zu einigen Firewall-Produkten bietet die Studie "Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall", die im Auftrag des BSI erstellt wurde. Gefahren trotz Firewall Auch mit einem geeigneten Firewall-System zur Sicherung des privaten Netzes gibt es Gefahren, die durch eine Firewall nicht oder nur unzureichend abgesichert werden. Hierzu gehören das Einspielen von Viren oder Trojanischen Pferden auf lokalen Rechern, die beispielsweise über ein Dateitransfer aus dem Internet eingeschleust worden sind. Zum Erkennen und Entfernen von Viren sind in der Regel zusätzliche Softwarepakete oder Module erforderlich, die laufend aktualisiert werden müssen. Auch der Zugriff auf vertrauliche Nachrichten, die unverschlüsselt über das Internet verschickt werden, bleibt trotz des Einsatzes einer Firewall möglich. Vertrauliche Informationen sollten daher immer durch den Einsatz von Kryptographie gegen unbefugtes Mithören gesichert werden. Weitere Informationen Page: 4

Unter den folgenden Adressen sind weitere Hinweise zum Thema "Sicherung von Unternehmensnetzen mit Firewall-Technologie" zu finden: Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutzhandbuch des Bundesamtes für Sicherheit in der Infomationstechnik (BSI) Studie: "Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall" Computer Emergency Response Team des DFN (DFN-Cert) Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes der Humboldt-Universität Internet Firewalls Frequently Asked Questions Autor: Dipl.-Ing. Bernd Böker, Lehrgebiet Rechnernetze und Verteilte Systeme (RVS), Universtät Hannover März 1999 Beratungszentrum Elektronischer Geschäftsverkehr in Niedersachsen, c/o IHK Hannover, Schiffgraben 49, 30175 Hannover, Telefon (0511) 31 07-268 und -273, Telefax (0511) 31 07-450, E-Mail info@begin.de, Internet: www.begin.de, im Leitsystem Hannover Online Page: 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback