Konzeption von Sicherheitsgateways



Ähnliche Dokumente
Konzeption von Sicherheitsgateways

Inhaltsverzeichnis. 1 Einleitung 1

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Open Source und Sicherheit

Technische Grundlagen von Internetzugängen

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Fachbereich Medienproduktion

Erkennung und Verhinderung von Netzangriffen

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Secure Authentication for System & Network Administration

IP-COP The bad packets stop here

State of the Art in Network-Related Extrusion Prevention Systems. Andreas Hackl, Barbara Hauer

Einrichtungsanleitung Router MX200

Daten Monitoring und VPN Fernwartung

Malware. Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. von Eugene Kaspersky. 1. Auflage. Hanser München 2008

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Sicherheitsmanagement in TCP/IP-Netzen

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

Sicherheit im IT - Netzwerk

IT-Security Herausforderung für KMU s

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Sicherheitskonzepte für das Internet

Firewall oder Router mit statischer IP

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

1 Einleitung 1. 2 Netzwerkgrundlagen 11

Virtual Desktop Infrasstructure - VDI

Remote Access Service (RAS) für iphone und ipad

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Praktikum IT-Sicherheit SS Einführungsveranstaltung

Virtual Private Network

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

ANYWHERE Zugriff von externen Arbeitsplätzen

Agile Softwareentwicklung

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Flexible IT-Kommunikationswege

Aurorean Virtual Network

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

mtc mapping technology & consulting

Die Vielfalt der Remote-Zugriffslösungen

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

VPN- Konzept Landkreis Schwandorf. Referent: Thomas Feige Tech. Leiter Kommunales Behördennetz

Seminar: Konzepte von Betriebssytem- Komponenten

Das Home Office der Zukunft: Machen Sie es einfach aber sicher! von Paul Marx Geschäftsführer ECOS Technology GmbH

Absicherung von Grid Services Transparenter Application Level Gateway

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

57. DFN-Betriebstagung Überblick WLAN Technologien

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Netzwerke als Kommunikationswege

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client

FTP Server unter Windows XP einrichten

Virtual Private Network Ver 1.0

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Sicherheit in Netzen- Tiny-Fragment

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Schnellstart. MX510 mit public.ip via OpenVPN

Konzeption von Sicherheitsgateways

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Konsistenz, Replikation und Fehlertoleranz

Einrichten von Internet Firewalls

Grundlagen des Datenschutzes und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

EDI Datenaustausch und Konvertierung Funktionsumfang & Services


ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Leistungsbeschreibung der PfalzKom, Gesellschaft für Telekommunikation mbh

Zugangsschutz: Packet Filter und Firewalls

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Bayerisches Landesamt für Statistik und Datenverarbeitung. Sicherheit im BYBN. Bernhard Wager. erheit im BYBN. Bayern-CERT

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Unified Threat Management als Ersatz für das Microsoft TMG/IAG

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de (c) Michael Behrendt -

IT Security Investments 2003

Remote Tools. SFTP Port X11. Proxy SSH SCP.

Rechenzentrenkapazitäten dynamisch und flexibel nutzen

I Grundlegende Internetdienste einrichten 9

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe

Firma und Internet-Server Projekt

Firewall Implementierung unter Mac OS X

Schwachstellenanalyse 2012

08. Juni Best Practice Mandantenfähige Remote Access Plattform

Transkript:

Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Bundesanzeiger Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 89817 525 8

Vorwort... 3 Inhaltsübersicht... 5 Abkürzungsverzeichnis... 13 1. Übersicht... 15 1.1 Definition des Begriffs Sicherheitsgateway... 15 1.2 Erläuterung des Begriffs Konzeption... 15 1.3 Anspruch des Dokuments... 16 1.4 Übersicht über den Aufbau des Dokuments... 16 2. Einsatzmöglichkeiten von Sicherheitsgateways... 19 3. Einordnung der Konzeption in den Gesamtzusammenhang... 21 3.1 Erstellung oder Anpassung einer IT-Sicherheitsleitlinie... 21 3.2 Konzeption des Sicherheitsgateways... 22 3.3 Umsetzung des Sicherheitskonzepts... 24 3.3.1 Revision... 24 3.3.2 Wartung und Störungsbehebung... 25 4. Module von Sicherheitsgateways... 27 4.1 Funktionen auf Anwendungsebene (Application-Level-Gateways)... 27 4.2 Funktionen auf UDP/IP- und TCP/IP-Ebene (Paketfilter)... 29 4.2.1 Statische Paketfilter... 29 4.2.2 Dynamische Paketfilter/Stateful Inspection... 30 4.2.3 Realisierungsformen von Paketfiltern... 30 4.3 Abwehr von Schadprogrammen... 33 4.3.1 Viren... 33 4.3.2 Würmer... 34 4.3.3 Trojanische Pferde... 34 4.3.4 Technologie mit Gefahrenpotenzial: Aktive Inhalte... 34 4.4 Protokollierung... 35 4.5 Funktionsüberwachung ( System and Network Monitoring )... 35 4.6 Automatische Angriffserkennung ( Intrusion Detection )... 36 4.7 Intrusion Prevention System (IPS)... 38 4.8 Remote-Controlled Browsers System (ReCoBS)... 39 4.9 Verbindung räumlich getrennter Netze... 39 4.9.1 Remote Access Service (RAS)... 40 4.9.2 Remote Authentication Dial-In User Service (RADIUS)... 40 4.9.3 Virtual Private Network (VPN)... 41 4.9.3.1 Trusted VPN... 41 4.9.3.2 Secure VPN... 41 4.10 Reverse Proxy... 44 7

5. Grundlegende Strukturen von Sicherheitsgateways... 45 5.1 Paketfilter Application-Level-Gateway Paketfilter (P-A-P)... 45 5.2 Paketfilter... 46 5.3 Vor- und Nachteile der grundlegenden Strukturen... 47 5.4 Argumente gegen die Wahl anderer Strukturen... 49 6. Integration modularer Erweiterungen der grundlegenden Strukturen... 53 6.1 HTTPS-Sicherheitsproxy... 53 6.2 Protokollierung... 55 6.2.1 Platzierung des zentralen Loghosts... 57 6.2.1.1 Platzierung bei einfach strukturierten Sicherheitsgateways... 57 6.2.1.2 Platzierung bei großer Modulanzahl... 57 6.2.2 Zeitabgleich... 62 6.3 Schutz vor Viren, Würmern und Trojanern... 62 6.3.1 Filterung durch das Sicherheitsgateway beim Einsatz eines ALG... 62 6.3.2 Filterung durch die Endgeräte beim Einsatz eines Paketfilters... 64 6.4 Nutzung eines Remote-Controlled Browsers System (ReCoBS)... 64 6.5 Angriffserkennung und -behandlung: Intrusion Detection System (IDS) / Intrusion Detection and Response System (IRS)... 65 6.5.1 Grundsätzliche Aussagen zur Platzierung von Sensoren... 66 6.5.2 Sensorenplatzierung vor dem ALG... 67 6.5.3 Sensorenplatzierung in demilitarisierten Zonen... 68 6.5.4 Sensorenplatzierung hinter dem ALG... 68 6.5.5 Platzierung der Management-Station... 69 6.5.5.1 Integration der Management-Station im vertrauenswürdigen Netz... 70 6.5.5.2 Integration der Management-Station im Administrationsnetz... 71 6.5.6 Zusammenführung der gesammelten Daten... 72 6.6 Intrusion Prevention System... 75 6.7 Wartung... 77 6.7.1 Technische Zugangsarten zum Sicherheitsgateway... 77 6.7.1.1 Administration über die Konsole... 77 6.7.1.2 Zugriff mittels verschlüsselter Protokolle... 77 6.7.1.3 Administration über Terminal-Server... 79 6.7.1.4 Im Ausnahmefall: Administration mittels Telnet... 81 6.7.1.5 Problemfall: Aus- und Einschalten von Rechnern... 82 6.7.2 Zugangsarten in Abhängigkeit von der Organisation der Wartung... 82 6.7.2.1 Fernwartung durch den Administrator (über Intra- und Extranet)... 82 6.7.2.2 Fernwartung durch Dienstleister... 83 6.8 Virtual Private Network... 84 6.8.1 VPNs mittels IPSec... 85 6.8.1.1 Nutzung eines Trusted VPN... 86 6.8.1.2 Integration eines Secure VPN... 86 6.8.2 VPNs mittels SSL... 90 6.9 Caching-Proxy ( Forward-Proxy )... 94 6.10 Reverse Proxy... 95 6.11 Fernzugriff ( Remote Access Service [RAS])... 99 6.11.1 Fernadministratoren und Dienstleister... 99 8

6.11.2 Telearbeiter... 100 6.11.3 Verbindung zweier LANs... 100 6.11.4 Integration eines RADIUS-Servers... 100 6.12 Hochverfügbarkeit... 101 6.12.1 Cold-Standby... 102 6.12.2 Hot-Standby... 103 6.12.3 Parallelbetrieb... 103 6.12.4 Anforderungen an HA-Lösungen... 104 6.13 Funktionsüberwachung... 106 7. Aufstellung von Applikations-Servern... 107 7.1 Web-Server... 107 7.1.1 Web-Server ohne Verwendung eines Reverse Proxies... 107 7.1.2 Web-Server unter Verwendung eines Reverse Proxies... 107 7.1.3 Web-Server unter Verwendung eines Reverse Proxies und eines Paketfilters 108 7.2 E-Mail-Server... 111 7.2.1 Anbindung eines vertrauenswürdigen Netzes... 111 7.2.2 Anbindung mehrerer vertrauenswürdiger Netze... 111 7.3 Datenbank-Server... 113 7.3.1 Zugriff über Web-Frontend... 114 7.3.2 Direkter Zugriff... 115 7.4 FTP-Server... 115 7.5 DNS-Server... 116 7.5.1 Betrieb eines eigenen DNS-Servers... 116 7.5.2 Domain-Registrierung bei externen Dienstleistern... 117 7.6 Web-Anwendung mit Web-, Applikations- und Datenbank-Server... 119 8. Konfigurationsvorschläge für Komponenten des Sicherheitsgateways... 123 8.1 Erstellung des Sicherheitsgatewaykonzepts als Teil des Sicherheitskonzepts 123 8.2 Konfiguration von Anwendungsproxies... 123 8.2.1 HTTP... 123 8.2.1.1 Weitere Einstellungen... 123 8.2.2 HTTPS... 124 8.2.3 SMTP... 125 8.2.3.1 Spam-Mail... 125 8.2.3.2 Weitere Einstellungen... 126 8.2.4 Telnet... 127 8.2.5 FTP... 127 8.2.6 POP3... 127 8.2.7 Protokollübergreifende Einstellungen... 127 8.3 Konfiguration von Personal Firewalls... 129 8.4 Fernzugriff ( Remote Access Service [RAS])... 130 8.5 Virtual Private Network... 133 8.5.1 Proprietäre Lösungen... 133 8.5.2 Offene Standards... 133 8.6 Protokollierung... 134 8.6.1 Umfang der Protokollierung... 134 9

8.6.2 Auswertung der Protokolldaten... 136 8.7 Beispiele für Paketfilterregeln... 137 8.8 Vorgehen bei Störungen... 137 8.8.1 Ausfall des Systems aufgrund von Defekten... 139 8.8.2 Ausfall des Systems aufgrund von Sicherheitsvorfällen... 140 Anhang A: Bedrohungen kategorisiert nach dem Vier-Schichten-Referenzmodell... 143 A.1 Angriffe auf MAC-Ebene... 143 A.1.1 ARP-Spoofing... 143 A.1.2 MAC-Flooding... 143 A.1.3 Spanning Tree Protocol... 144 A.2 Angriffe auf IP-Ebene... 144 A.2.1 IP-Spoofing... 144 A.2.2 IP-Source-Routing... 145 A.2.3 Fragmentation Attack... 145 A.2.4 Overlapping Fragment Attack... 145 A.2.5 Unberechtigte Veränderung dynamischer Routing-Informationen... 146 A.3 Angriffe auf TCP-Ebene... 146 A.3.1 SYN-Flooding... 146 A.3.2 Sequence Number Guessing... 146 A.3.3 Desynchronized State... 147 A.4 Angriffe auf ICMP-Ebene... 147 A.4.1 ICMP Flood... 147 A.4.2 ICMP Sweep... 148 A.4.3 Firewalking... 148 A.4.4 Ping-of-Death... 148 A.4.5 ICMP-Redirect bei Routern... 148 A.5 Angriffe auf UDP-Ebene... 149 A.5.1 UDP Packet Storm... 149 A.6 Angriffe auf Anwendungsebene... 149 A.6.1 DNS... 149 A.6.1.1 DNS-Spoofing... 149 A.6.1.2 DNS-Sniffing... 149 A.6.2 FTP... 149 A.6.2.1 Angriffe bei Verwendung von aktivem FTP... 150 A.6.2.2 Bounce Attack... 150 A.6.2.3 Manipulieren und Lesen... 150 A.6.2.4 Ausnutzen des anonymous FTP... 151 A.6.2.5 Ausführbarer Code... 151 A.6.3 HTTP... 151 A.6.3.1 Programmausführung auf fremden Systemen... 151 A.6.3.2 WWW-Spoofing... 151 A.6.4 IRC... 152 A.6.5 NTP... 152 A.6.6 SMTP... 152 A.6.6.1 Flooding... 152 A.6.6.2 Fälschen der Absenderadresse... 152 10

A.6.6.3 Ausspähen von Benutzernamen... 153 A.6.7 POP3... 153 A.6.8 Telnet... 153 A.6.9 SNMP... 153 A.6.9.1 Abhören des Passworts... 153 Anhang B: Grenzen der technischen Möglichkeiten von Sicherheitsgateways... 155 B.1 Risikofaktor Technik... 155 B.2 Risikofaktor Mensch... 156 Anhang C: Hinweise zur Ermittlung der grundlegenden Struktur des Sicherheitsgateways... 163 C.1 Ermittlung der Schutzbedarfskategorie... 163 C.1.1 Schadensszenario Verstoß gegen Gesetze/Vorschriften/Verträge... 165 C.1.2 Schadensszenario Beeinträchtigung des Rechts auf informationelle Selbstbestimmung... 166 C.1.3 Schadensszenario Beeinträchtigung der persönlichen Unversehrtheit... 167 C.1.4 Schadensszenario Beeinträchtigung der Aufgabenerfüllung... 167 C.1.5 Schadensszenario Negative Außenwirkung... 168 C.1.6 Schadensszenario Finanzielle Auswirkungen... 169 C.2 Empfehlungen zum grundlegenden Entwurf des Sicherheitsgateways... 170 Anhang D: Anforderungen an Module des Sicherheitsgateways... 173 D.1 Allgemeine Anforderungen/Rahmenbedingungen... 173 D.2 Grundlegende technische Anforderungen... 174 D.3 Spezielle technische Anforderungen... 176 D.3.1 Paketfilter... 176 D.3.2 Application-Level-Gateway... 177 D.3.3 Wartung... 181 D.3.4 Hochverfügbarkeit... 182 D.3.5 Funktionsüberwachung... 182 D.3.6 Spam-Filter... 182 D.3.7 Virtual Private Network... 183 D.3.8 Revision... 183 D.3.9 Archivierung... 183 D.3.10 Verbindungskontrolle... 183 D.3.11 RAS... 184 D.3.12 Intrusion Detection System... 184 D.3.13 Personal Firewall... 185 D.3.14 Remote-Controlled Browsers System (ReCoBS)... 186 Anhang E: Beispielregeln für IPTables... 189 E.1 Nutzung von Diensten... 189 E.2 Bereitstellung von Diensten... 192 11

Anhang F: Verfügbare Software unter Linux... 199 Anhang G: Weiterführende Kapitel im Grundschutzhandbuch... 203 Anhang H: Vorschlag für eine Standard-Sicherheitsrichtlinie/allgemeine Einstellungen. 205 H.1 Zugriff auf das Sicherheitsgateway... 205 H.2 Nutzung der Anbindungen an das Internet... 205 H.3 Antragswesen/Nachvollziehbarkeit von Änderungen... 205 H.4 Allgemeine Anforderungen... 206 H.5 Unregelmäßigkeiten beim Betrieb... 206 Anhang I: Literaturverzeichnis... 207 Stichwortverzeichnis... 209 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback