Next Generation Firewalls - Moderner Schutz sensitiver Netzwerkbereiche
Warum Netzwerksicherheit? Schutz der Unternehmenswerte wie Daten und Hardware Kontrolle des Datenflusses Priorisierung von Diensten/ Anwendungen Erfüllung rechtlicher Vorgaben Erfüllung der Vorgaben von Partnern Erfüllung des Datenschutzes...
Warum besteht Handlungsbedarf? Die Bedrohungslage verändert sich [Mandiant Report] Angriffe werden komplexer/ vielschichtiger/ gezielter [APT] Der klassische Perimeter ist nicht mehr eindeutig bestimmbar Angriffe erfolgen nicht mehr ausschließlich außen Netzwerke mit unterschiedlichen Sicherheitsanforderungen...
Evolution der Firewall-Systeme 3.0 Next Generation Firewall [NGFW] 2.2 Unified Threat Management [UTM] 2.1 Application Level Gateway [ALG] 2.0 Stateful Packet Inspection [SPI] 1.0 Paketfilter [PF]
Evolution der Firewall-Systeme 4 3 TCP/IP 1.0 2.0 2.1/ 2.2 Anwendungsschicht Transportschicht Stateful Inspection Einige Applikationen AV, ISD/ IDS/ IPS, Webfilter Stateful Inspection 3.0 Protokollvalidierung Applikationserkennung Deep-Paket- Inspection AV, ISD/ IDS/ IPS, Webfilter Stateful Inspection 2 Vermittlungsschicht Paketfilter Paketfilter Paketfilter Paketfilter 1 Sicherungsschicht
Evolution der TCP/IP Paketfilter 1995 1999 2001 2014 Ipfw ipchains iptables nftables
Firewalls - Beispiele zur Einsatzumgebung
Einsatzumgebung von Firewalls Schutz des Perimeters Steuerung des Datenflusses/ Priorisierung von Diensten Zugriffsregelung mobiler Benutzer Schutz der Produktion/ der Unternehmenswerte Segmentierung des internen Netzwerks Schutz des Management-Netzwerks...
Firewall - einstufig Internet
Firewall einstufig mit DMZ Internet
Firewall - zweistufig Internet Firewall Firewall
Firewall zweistufig mit DMZ Internet Firewall Firewall
Firewall Netzwerksegmentierung Firewall Internet Firewall Firewall
Der Paketfilter - Funktionsweise der klassischen Firewall
Aufbau des TCP/IP-Protokolls 4 Anwendungsschicht HTTP, FTP, SMTP,... Daten 3 Transportschicht TCP, UDP, ICMP Header, Daten 2 Vermittlungsschicht IP Header x2, Daten 1 Sicherungsschicht Ethernet, PPP,... Header x3, Daten
Teile eines TCP/IP-Pakets Sicherungsschicht Vermittlungsschicht Transportschicht Anwendungsschicht Ziel-MAC Quell-MAC Ziel-IP Quell-IP Ziel-Port Quell-Port Daten
Iptables Beispielregeln ## setzen der standard Policy iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ## Definition der CHAINS iptables -N input-intern... ## Verzweigen in die CHAINS iptables -A INPUT -s $GREEN_NET -d $GREEN_IP -i $GREEN_NIC... iptables -A INPUT -j input-intern -j DROP ## CHAIN in-int iptables -A input-intern -p tcp --dport $HTTP -m state --state NEW -j ACCEPT iptables -A input-intern -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT... iptables -A input-intern -j LOG --log-prefix "[fwlog:in-int] Ende: " iptables -A input-intern -j REJECT
Auslaufmodell: Der reine Paketfilter Kontrolle nur über TCP/IP Header (MAC, IP, Port, Status, Protokoll) Anwendungsdaten sind nicht kontrollierbar (Web 2.0, Skype,...) Aktuelle Angriffe erfolgen über Anwendungsdaten (Mail, Web,...) Aktuelle Angriffe erfolgen über einen langen Zeitraum Keine Erkennung von Angriffsmustern...
Die Zukunft - Next Generation Firewall [NGFW]
Wie entwickelte sich die NGFW? 2009 berichtet Gartner über die Zukunft der Firewall-Systeme 2010 wurden NGFW zu einem Hype-Thema 2010 und später - alle bekannten Hersteller bieten NGFW an NGFW basieren meist auf bestehenden Produkten NGFW werden von jedem Hersteller anders ausgelegt NGFW Neuentwicklungen bieten nur 2 Hersteller an Der Begriff Next Generation Firewall ist nicht geschützt
NGFW eine Definition Identifikation der Anwendung, unabhängig vom Port, Protokoll, Klassische Firewall-Funktionen (Paketfilter, VPN, ) sind integriert Applikationen und individuelle Funktionen werden erfasst Benutzer und -gruppen sind integrierter Bestandteil der Firewall-Regeln Erkennung von Angriffen und Einleitung von Gegenmaßnahmen Integration sämtlicher Sicherheitsfunktionen in die Firewall-Regeln Ausreichend Bandbreite zur Kontrolle von Gigabit-Verbindungen
Unified Threat Mangement [UTM] Eine UTM ist die Weiterentwicklung des Applikation-Level-Gateway UTM sind bewährt und ausgereift Ein Paket durchläuft mehrere eigenständige Filter Sicherheitsfunktionen sind teilweise in Firewall-Regeln integriert Die Anwendungskontrolle erfolgt in eigenständigen Modulen Die Malware-Analyse erfolgt offline/ mit der vollständigen Datei
Magic Quadrant for Enterprise Firewalls As the firewall market evolves from stateful firewalls to NGFWs, other security functions (such as network IPSs) and full-stack inspection, including applications, will also be provided within an NGFW. The NGFW market will eventually subsume the majority of the stand-alone network IPS appliance market at the enterprise edge. This will not be immediate, however, because many enterprise firewall vendors have IPSs within their firewall products that are competitive with standalone IPS appliances, and are resisting truly integrating the functions and instead colocate them within the appliance.. (Quelle: Gartner - Magic Quadrant for Enterprise Firewalls, December 14, 2011)
NGFW Single-Pass Engine Bild: Adyton Systems
UTM Multi-Pass Engine Bild: Adyton Systems
NGFW vs. UTM Funktion NGFW UTM Firewall/ VPN IPS AV Webfilter Application Detection Email Security DLP Stream Based Malware-Scanning Proxy/ File Based Malware-Scanning Protocol Decoder
Stream vs. File Based Detection Eigenschaft Stream Proxy Geringe Latenz (Datei-Download) Erkennungsrate Prüfung ohne maximale Dateigröße Prüfung komprimierter Daten Prüfung von HTML, JavaScript, Prüfung von PDF, Office, Prüfung verschlüsselter Dateien Prüfung von SSL-Verbindungen [MITM]...
Protocol Decoder Funktion Option NGFW UTM HTTP payload, request, response FTP argument, command, file DNS payload, answer, query ICMP payload, data, type,... SIP payload, body, touri,... IMAP payload, user, imf-... SMTP payload, from, to, imf-... SSL payload, commenname,......
Detecting the user Anwender werden auf eine IP-Adresse umgesetzt Direkte Authentifizierung an einem Captive-Portal (HTTP) Auswertung von Anmeldungen (Exchange, AD, edirectory, ) Auswertung von Syslogeinträgen (Linux, diverse Appliances, ) Auswertung sonstiger Quellen per XML, Überwachung von Terminaldiensten/ von Clients Integration von Verzeichnisdiensten (AD, LDAP,...)
IPv6 IPv6 wird bereits (unbewusst) produktiv eingesetzt Firewalls/ UTM unterstützen IPv6 uneinheitlich Im ungünstigsten Fall ist IPv6 aktiv und wird nicht gefiltert Filterregeln müssen für IPv4 und IPv6 erstellt werden 6[in over to]4 Tunnel sollten gefiltert werden/ blockiert werden IPv6 Wissen ist notwendig
Betriebsmodus - Bridge Transparent im Netzwerk Broadcasts bleiben erhalten Keine zusätzliche Verwaltungssysteme in Netzwerksegmenten Keine Umstellung der Netzwerk-Infrastruktur Nachträglich integrierbar Routing ist nicht erforderlich
Betriebsmodus - Router Wird im Netzwerk als Router eingesetzt Broadcasts bleiben nicht erhalten zusätzliche Verwaltungssysteme in Netzwerksegmenten Umstellung der Netzwerk-Infrastruktur erforderlich Routing ist erforderlich
NGFW oder UTM? Eine UTM ist keine NGFW, enthält aber einige NGFW Eigenschaften NGFW und UTM verfolgen unterschiedliche Ziele UTM werden bevorzugt am Perimeter/ in erster Reihe eingesetzt NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt NGFW bieten eine weitere Option für die Netzwerksicherheit NGFW ermöglichen UTM Sicherheitsfunktionen im LAN UTM und NGFW werden koexistieren und sich ergänzen
Anwendungsbeispiele Next Generation Firewall [NGFW]
Mobile Mitarbeiter fast richtig Internet UTM/ NGFW
Mobile Mitarbeiter - richtig Internet Firewall/ UTM NGFW
Netzwerksegmentierung - Konzept NGFW NGFW NGFW Internet NGFW NGFW VPN-Gateway/ UTM
Netzwerksegmentierung - Praxis Produktion Server Internet VPN-Gateway/ UTM NGFW Server-Cluster
Perimeterschutz Internet UTM/ (NGFW)
Mail-Server/ CAS-Server in der DMZ CAS Exchange Internet Firewall/ UTM NGFW
Mail-Server/ CAS-Server im LAN WAF/ Reverse Proxy CAS Internet Firewall/ UTM NGFW
NGFW was nun? NGFW ermöglichen TCP/IP Layer-4 Sicherheitsfunktionen im LAN NGFW ermöglichen UTM Sicherheitsfunktionen im LAN NGFW ergänzen die vorhandenen Paketfilter/ UTM-Systeme NGFW sind eine Option zur Erhöhung der Netzwerksicherheit NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt Paketfilter/ UTM-Syteme werden bevorzugt am Perimeter eingesetzt
rocon - Informationstechnologie Dipl.-Ing. [T.I.S.P.] Am Wasserturm 10 59379 Selm Cappenberg Tel: +49 2306 910 658 Fax: +49 2306 910 664 Email: christian.rost@rocon-it.de Web: www.rocon-it.de