zum Thema
Firewalls
1. Einführung
2. Firewall-Typen
3. Praktischer Einsatz 4. Linux-Firewall
5. Grenzen 6. Trends 7. Fazit
1.Einführung
Die Nutzung des Internets bringt viele neue Chancen - birgt aber auch Risiken für eine Organisation
-Unerlaubte Informationsgewinnung
-Zerstörung bzw. Modifikation von Daten
-Kontrollübernahme des EDV-Systems durch externen Angreifer
1. Einführung
Was ist eine Firewall?
- Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B.
dem Internet
- Oft eigenständige Hardwaregeräte
- Zugriffssteuerungsmechanismus; Unbefugten wird der Zugriff auf das interne Netzwerk verweigert
- Schaffung von sicheren Subnetzen (z.B. für die Entwicklungsabteilung) - Alle Verbindungsanfragen müssen hier durch
2. Firewall-Typen
2.1 Paket-Filter Firewalls
Paket-Filter Firewalls sind normalerweise Router, die über Funktionen zur Paketfilterung verfügen.
Bevor die Pakete weitergeleitet werden, werden sie mit den definierten Regeln verglichen.
Bei einem Verstoss gegen eine Regel wird das Paket nicht weitergeleitet.
Überprüft werden:
-IP-Adressen -Portnummern
-Protokollnummern
Die Filterregeln können generell als Gebots- oder Verbotsregeln ausgelegt werden:
- Bei einer Auslegung als Gebotsregel ist alles verboten, was nicht explizit erlaubt ist
-Bei einer Auslegung als Verbotsregel ist alles erlaubt, was nicht explizit verboten ist
2. Firewall-Typen
Vorteile von Paketfiltern :
-Kostengünstig
-Gute Performance
-Leicht erweiterbar
Nachteile von Paketfiltern:
-Filterregeln können sehr umfangreich werden
-Fehlende Kontrolle des Inhaltes der Datagramme
-Unzureichende Integrität, Fälschbarkeit von IP-Adressen
2.2 Proxy oder Application Gateway
Physische Trennung durch zwei Netzwerkanschlüsse
Der Client kontaktiert den Proxy und dieser kontaktiert dann (nach der Analyse) den eigentlichen Server
Es kommt zu keinem direkten Aufbau einer Verbindungsbeziehung.
Für jeden Dienst (z.B. FTP) ist ein spezifischer Proxy notwendig.
2.Firewall-Typen
Vorteile von Proxys:
-Hohes Mass an Sicherheit
-Authentisierung des Benutzers möglich
-Vollständige Entkopplung zwischen den Netzwerken
Nachteile von Proxys:
-Hoher Rechenaufwand (schlechte Performance)
-Verfügbarkeit von spez. Proxys bei neuen Protokollen
-Wenig skalierbar
2.3 Andere Firewall Systeme
2.3.1 Stateful Packet Filter:
SPF basieren auf dem Prinzip der Paketfilterung
Zusätzlich haben sie interne Zustandstabellen, mit denen sie die Sitzungen überwachen (siehe Linux-Firewall)
Beispielsweise können alle Ports > 1024 geschlossen (und nur bei Bedarf geöffnet) werden
2. Firewall-Typen
2.3.2 Stateful Inspection Firewalls
Filterung der eingehenden Pakete wie bei einer Paket Filter Firewall Extrahierung zutandsbezogener Informationen und Speicherung in internen Tabellen
Bewertung nachfolgender Verbindungsversuche
=> Erweiterung des SPF-Ansatzes um die Nutzdatenanalyse, Client- Server-Modell wird nicht durchbrochen
3. Firewalls im praktischen Einsatz
Ausschliesslicher Einsatz von Application Gateways
Externes Netz
Firewall
Internes Netz
3. Praktischer Einsatz
-Verbergen der internen Netzwerkarchitektur - Benutzerauthentifizierung
- Kontrolle der IP-Adresse
- Zugriff nur über erlaubte Ports und Protokolle - Alarmierung
- Verbesserte Protokollierung (Benutzeridentifikation)
- Kontrolle auf der Anwendungsebene (z.B. Anwendungsfilter für bestimmmte Kommandos)
Insgesamt schon eine recht hohe Schutzwirkung
De-Militarized Zone (DMZ)
Externes Netz
Internes Netz Paket Filter
Paket Filter
Application Gateway
3. Praktischer Einsatz
Paketfilters kommuniziert der Application Gateway nur mit dem gekoppelten Netz)
Einsatz von unterschiedlichen Analysekonzepten, unterschiedlichen Betriebssystemen und verschiedenen Herstellern (um die Anzahl der Sicherheitslücken zu verringern)
Ein Firewall-System für höchste Sicherheitsanforderungen, aber Aufwand und Kosten ebenfalls sehr hoch (ca. 3-4 Mal höher)
4. Linux Firewall (ab Kernel 2.4)
Es gibt drei Tabelle:
- Filter: (hauptsächlich) Filtern von eingehenden Datenpaketen - Nat: Adressübersetzung
- Masquerade:Verändern von Paket-Parametern (z.B. TTL)
Jede Tabelle besteht aus mehreren Regelketten (chains), die die einzelnen Regeln definieren.
4. Linux-Firewall
- Input: für den lokalen Prozess bestimmte Pakete - Output: vom lokalen Prozess stammende Pakete - Forward: zu routende Pakete laufen hier durch
- Prerouting: unmittelbar vor der Routingentscheidung laufen die Pakete hier durch
- Postrouting: nach dem Routing laufen alle Pakete hier durch
Es können auch benutzerdefinierte Chains erstellt werden.
Nicht jede Kombination von Tabelle - Chain ist sinnvoll/erlaubt
Paketauswertung
Prerouting
Postrouting
Output Forward
Input Routing
Lokale Prozesse
4. Linux-Firewall
Weiterer Fortschritt gegenüber Vorgängerversion:
Überwachung der Verbindungen mit internen Zustandstabellen
Zuordnung von "new", "established", "related" oder "invalid" zu den entsprechenden Verbindungen
=> Schliessung aller Ports >1024
Es werden nur Pakete hereingelassen, die zu einer von innen aufgebauten Verbindung gehören
5. Grenzen von Firewalls
-Angriffe aus dem internen Netz -Social Engineering
-Viren
5. Grenzen
6.Trends
Post-Firewall-Ära:
Jedes Computersystem schützt sich selbst mit leistungsfähigen Authentifikations- und Verschlüsselungsmechanismen
Datenaustausch über sichere Kommunikationskanäle mit identifizierten Kommunikationspartnern (bisher begrenzt von der Leistungsfähigkeit der Computer)
7. Fazit
Firewalls sind ein MUSS zur Erhöhung der Netzwerksicherheit.
Dennoch absolute Sicherheit nicht möglich.
Es geht darum, möglichst wenig Angriffspunkte zu bieten.
Abwägung - welche Dienste werden benötigt ? (um von dem Nutzen der Vernetzung zu profitieren, bei
gleichzeitiger höchstmöglicher Sicherheit)
7.Fazit