Demilitarisierte Zonen und Firewalls



Ähnliche Dokumente
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Anbindung des eibport an das Internet

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Guide DynDNS und Portforwarding

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Seminar: Konzepte von Betriebssytem- Komponenten

Preis- und Leistungsverzeichnis der Host Europe GmbH. Firewalls V 1.1. Stand:

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Telekommunikationsmanagement

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

Anbinden der Visualisierung GILLES TOUCH (VNC)

ANYWHERE Zugriff von externen Arbeitsplätzen

Fachbereich Medienproduktion

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Routing und DHCP-Relayagent

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

SolarWinds Engineer s Toolset

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Firewalls für Lexware Info Service konfigurieren

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Sicherheitszone durch Minifirewall

Virtual Private Network

Powermanager Server- Client- Installation

Collax PPTP-VPN. Howto

Daten Monitoring und VPN Fernwartung

Firewalls für Lexware Info Service konfigurieren

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

HTBVIEWER INBETRIEBNAHME

Gefahren aus dem Internet 1 Grundwissen April 2010

Schnellstart. MX510 ohne mdex Dienstleistung

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Anleitung zur Nutzung des SharePort Utility

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

DynDNS Router Betrieb

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Kontrollfragen Firewalltypen

Information über das Virtual Private Networks (VPNs)

WLAN Konfiguration. Michael Bukreus Seite 1

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Anleitung TUS Port Checker 2.0

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

Firewall Implementierung unter Mac OS X

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Connectivity Everywhere

Technische Grundlagen von Internetzugängen

Windows 2008R2 Server im Datennetz der LUH

EchoLink und Windows XP SP2

ISA 2004 Netzwerkerstellung von Marc Grote

3. Workshop des VCC. - Firewall und Videokonferenz- Christoph Fleck TU Dresden

Einrichtungsanleitung Router MX200

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

LAN Schutzkonzepte - Firewalls

IP-COP The bad packets stop here

Technical Note ewon über DSL & VPN mit einander verbinden

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

ICS-Addin. Benutzerhandbuch. Version: 1.0

Anleitung zur Inbetriebnahme einer FHZ2000 mit der homeputer CL-Software

Netzwerke 3 Praktikum

Konfiguration eines DNS-Servers

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Root-Server für anspruchsvolle Lösungen

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

EasyCallX für Internet-Cafe

Installationshandbuch

Kurzanleitung OOVS. Reseller Interface. Allgemein

Zugriffssteuerung - Access Control

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Internetzugang Modul 129 Netzwerk Grundlagen

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Ether S-Net Diagnostik

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Konfigurationsanleitung SIP Phone zum SIP Provider Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

IT-Security Herausforderung für KMU s

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

EDI Connect goes BusinessContact V2.1

Kurzanleitung So geht s

Port-Weiterleitung einrichten

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Transkript:

Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten Zone (DMZ) Zusammenfassung Kars Ohrenberg DV Seminar, 31. Januar 2006 2 1

Adressen, Netzwerke Protokolle und Ports Was ist eine IP-Adresse? Adressiert System im Netzwerk (131.169.40.200) Was ist eine Netzwerkadresse? Bereich von IP-Adressen (z. B. 131.169.0.0/16) Netzwerke werden über Router verbunden Was ist ein Protokoll? IP-Paket speziellen Typs (TCP, UDP, ICMP, RIP, ) Was ist ein TCP/UDP-Port? Adressiert den auf einem Netzwerkgerät verfügbaren Dienst, z.b. Port 80 = http, 22 = ssh Kars Ohrenberg DV Seminar, 31. Januar 2006 3 Sicherheit in Netzwerken Im allgemeinen kann jedes an einem Netzwerk angeschlossene Gerät jedes andere System ohne Einschränkung erreichen Software ist selten fehlerfrei, daher gibt es zahlreiche Bedrohungen die einen reibungslosen Betrieb gefährden: Denial of Service Attacken (DoS), Würmer, Viren, Hacker,... Ein ungepatchtes und ungeschütztes System wird heutzutage innerhalb von Minuten aus dem Internet angegriffen und in weniger als 15 Minuten infiziert oder gehackt Kars Ohrenberg DV Seminar, 31. Januar 2006 4 2

Sicherheit auf Rechnerebene Neben Sicherheitsmechanismen die im Netzwerk realisiert werden können, gibt es eine Vielzahl von Möglichkeiten die Sicherheit auf den Endsystemen selber zu erhöhen: Patches Personal Firewall Virenscanner... Kars Ohrenberg DV Seminar, 31. Januar 2006 5 Probleme mit Sicherheit auf Rechnerebene Das System muss regelmäßig modifiziert werden, dies ist nicht unbedingt erwünscht (Server, Kontrollsysteme, Spezialhardware, ) Es ist vergleichsweise schwer ein zentrales Management zu implementieren, insbesondere bei Beteiligung vieler Interessengruppen Insbesondere mobile Geräte (Laptops, ) sind üblicherweise mit vielen individuellen Einstellungen und Komponenten stark personalisiert Kars Ohrenberg DV Seminar, 31. Januar 2006 6 3

Sicherheitsfunktionen in Netzwerken Paketfilter Router können Verkehr aufgrund von IP- Adressen, Netzwerkadressen, Protokollen oder auch Ports filtern Relativ einfach und günstig einsetzbar da auf jedem Router verfügbar ABER: Keine Unterstützung zustandsbasierender, dynamischer Protokolle (z.b. FTP, H.323, ) Kars Ohrenberg DV Seminar, 31. Januar 2006 7 Welche Adressen, Ports, etc. sind freizuschalten? Ein häufiges Problem beim Einsatz von Paketfiltern ist die Unkenntnis der freizuschaltenden Adressen und Ports Router liefern bei entsprechender Einstellung ausführliches Protokoll der blockierten Pakete Es resultiert ein besseres Verständnis des Dienstes Analyse der Log-Dateien erlaubt Rückschlüsse auf Auffälligkeiten im Netzwerk (z.b. Würmer) Kars Ohrenberg DV Seminar, 31. Januar 2006 8 4

Beispiel eines einfachen Paketfilters RT-197-3#sh access-lists ipt-server-out Extended IP access list ipt-server-out 10 permit tcp any any established (1 match) 20 permit tcp any eq ftp-data any 30 permit icmp any any echo (23 matches) 40 permit icmp any any echo-reply 50 permit icmp any any unreachable (1 match) 60 permit icmp any any time-exceeded 70 permit icmp any any parameter-problem 80 permit udp host 131.169.40.200 eq domain any range 1024 65535 90 permit tcp host 131.169.40.200 eq domain any range 1024 65535 100 permit udp host 131.169.194.200 eq domain any range 1024 65535 110 permit tcp host 131.169.194.200 eq domain any range 1024 65535 120 permit udp host 131.169.40.65 eq ntp any eq ntp (9 matches) 130 permit udp host 131.169.194.85 eq ntp any eq ntp (11 matches) 140 permit udp host 131.169.194.86 eq ntp any eq ntp (27 matches) 150 permit udp host 131.169.56.32 range 1024 65535 any eq snmp 160 permit udp host 131.169.56.46 range 1024 65535 any eq snmp (79 matches) Kars Ohrenberg DV Seminar, 31. Januar 2006 9 Beispiel für Log-Einträge Sep 19 21:41:59 rt-197-3 389240: Sep 19 21:41:58.490 MEST: %SEC-6-IPACCESSLOGP: list 123 permitted tcp 131.169.40.200(50144) (Vlan40 0030.482c.226c) -> 131.169.56.37(53), 1 packet Sep 19 21:42:00 rt-197-3 389241: Sep 19 21:41:59.778 MEST: %SEC-6-IPACCESSLOGP: list 123 permitted tcp 131.169.40.200(50145) (Vlan40 0030.482c.226c) -> 131.169.56.37(53), 1 packet Sep 19 21:42:04 rt-197-3 389242: Sep 19 21:42:03.046 MEST: %SEC-6-IPACCESSLOGP: list 123 denied tcp 131.169.40.77(44836) (Vlan40 0002.5533.7441) -> 131.169.56.33(1757), 1 packet Kars Ohrenberg DV Seminar, 31. Januar 2006 10 5

Paketfilter im DESY-Netz Einige Subnetze sind schon seit vielen Jahren mit Paketfiltern versehen: Büronetze: Gebanis, IP-Phones, V1/V3, V4, V2, SAP- HR Servernetze: SAP, WLAN-Admin, RZ-Admin, 51er, IT- Server (40er und 56er), IPT-Server Freischaltung erfolgt in Absprache zwischen Dienstbetreibern, Segmentadministratoren und NOC Dokumentiert unter http://www-it.desy.de/network/intranet/services/dns/beauftragte.html Kars Ohrenberg DV Seminar, 31. Januar 2006 11 Sicherheitsfunktionen in Netzwerken - Firewalls Führen eine Statustabelle aller aktuell aktiven Verbindungen und erlauben Statefull Inspection Analysieren den Kommunikationstrom der Applikationen: Einhaltung des Applikationsprotokolls Dynamisch benötigte Ports können automatisch geöffnet werden H.323, FTP, ICMP, DNS, Systeminformationen innerhalb der Datenpakete können versteckt werden Kars Ohrenberg DV Seminar, 31. Januar 2006 12 6

Die Internet Firewall am DESY Aktuell über eine Cisco PIX 535 in redundanter Konfiguration realisiert Maximaler möglicher Durchsatz liegt bei 1 GBit/s 10 GBit/s heutzutage noch eine große technische Herausforderung Aktuelle Filterliste enthält z. Zt. ~1500 Einträge Freischaltungen werden von D4 genehmigt und durch NOC technisch realisiert Kars Ohrenberg DV Seminar, 31. Januar 2006 13 Firewalls im DESY-LAN Firewall Service Modul Einschubkarte für zentrale Router Nahtlose Integration in VLAN-Struktur Maximaler Durchsatz 5 GBit/s Erste Tests im VoIP-Umfeld 2 Modi Transparent/Routed Mandantenfähig Kars Ohrenberg DV Seminar, 31. Januar 2006 14 7

Beispielkonfiguration class-map inspection_default match default-inspection-traffic class-map http-map1 match access-list acl-http1!! policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect icmp inspect icmp error class http-map1 set connection advanced-options mss-map! service-policy global_policy global Kars Ohrenberg DV Seminar, 31. Januar 2006 15 Demilitarisierte Zone Demilitarisierte Zone (DMZ): Eine demilitarisierte Zone entspricht einem Rechner oder Rechnerverbund zwischen einem internen und einem externen Netz. In der DMZ werden die Dienste angeboten, die sowohl vom LAN als auch vom Internet zugänglich sein müssen, zum Beispiel ein Mailserver. Die DMZ ist sowohl zum lokalen Netz als auch zum Internet durch eine Firewall geschützt. Kars Ohrenberg DV Seminar, 31. Januar 2006 16 8

DMZ Layout Internet DMZ Intranet Kars Ohrenberg DV Seminar, 31. Januar 2006 17 Vorteil einer DMZ Vorteil einer solchen Lösung ist es, dass im Falle einer Kompromittierung eines Servers in der DMZ das interne Netz trotzdem noch geschützt bleibt. Wären die Server nicht in einer DMZ, sondern direkt im internen Netz, so wäre auch das gesamte interne Netz durch eine Kompromittierung betroffen Kars Ohrenberg DV Seminar, 31. Januar 2006 18 9

DMZ im DESY-LAN Ein Subnetz als DMZ aufgebaut (131.169.5.0), innerhalb der WAN-Firewall realisiert Folgende Server sind bereits in der DMZ angesiedelt: bastion, wof, srm-dcache, h1web01, it-ftp, smtp,.. Generell sollte jeder Rechner der einen externen Dienst anbietet in der DMZ stehen! Freischaltungen des Internet zur DMZ über D4, Freischaltungen von der DMZ ins Intranet über NOC Das Netz für das LHC Computing Grid (131.169.98.0) kann als DMZ-2 betrachtet werden, ist aber über Paketfilter aus WAN-Router realisiert Kars Ohrenberg DV Seminar, 31. Januar 2006 19 Ausblick Die Nachfrage und der Bedarf an geschützten Netzwerkbereichen wächst Die aktuell eingesetzten Paketfilter werden in den kommenden Monaten durch Firewalls ersetzt Bei jedem zum Internet freigeschalteten Dienst sollte der mögliche Einsatz in der DMZ geprüft werden Kars Ohrenberg DV Seminar, 31. Januar 2006 20 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback