firewalls - · pdf file1. einführung was ist eine firewall? - firewalls koppeln interne...
TRANSCRIPT
![Page 1: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/1.jpg)
Einführungzum Thema
Firewalls
![Page 2: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/2.jpg)
1. Einführung
2. Firewall-Typen
3. Praktischer Einsatz
4. Linux-Firewall
5. Grenzen
6. Trends
7. Fazit
![Page 3: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/3.jpg)
1.Einführung
Die Nutzung des Internets bringt viele neue Chancen - birgt aberauch Risiken für eine Organisation
-Unerlaubte Informationsgewinnung
-Zerstörung bzw. Modifikation von Daten
-Kontrollübernahme des EDV-Systems durch externen Angreifer
1. Einführung
![Page 4: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/4.jpg)
1. Einführung
Was ist eine Firewall?
- Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B.dem Internet
- Oft eigenständige Hardwaregeräte
- Zugriffssteuerungsmechanismus; Unbefugten wird der Zugriff auf dasinterne Netzwerk verweigert
- Schaffung von sicheren Subnetzen (z.B. für die Entwicklungsabteilung)
- Alle Verbindungsanfragen müssen hier durch
![Page 5: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/5.jpg)
2. Firewall-Typen
2.1 Paket-Filter FirewallsPaket-Filter Firewalls sind normalerweise Router, die über Funktionenzur Paketfilterung verfügen.
Bevor die Pakete weitergeleitet werden, werden sie mit den definiertenRegeln verglichen.
Bei einem Verstoss gegen eine Regel wird das Paket nichtweitergeleitet.
2. Firewall-Typen
![Page 6: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/6.jpg)
Überprüft werden:
-IP-Adressen
-Portnummern
-Protokollnummern
Die Filterregeln können generell als Gebots- oder Verbotsregeln ausgelegtwerden:
- Bei einer Auslegung als Gebotsregel ist alles verboten, was nicht expliziterlaubt ist
-Bei einer Auslegung als Verbotsregel ist alles erlaubt, was nicht explizitverboten ist
2. Firewall-Typen
![Page 7: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/7.jpg)
Vorteile von Paketfiltern :-Kostengünstig
-Gute Performance
-Leicht erweiterbar
Nachteile von Paketfiltern:-Filterregeln können sehr umfangreich werden
-Fehlende Kontrolle des Inhaltes der Datagramme
-Unzureichende Integrität, Fälschbarkeit von IP-Adressen
2. Firewall-Typen
![Page 8: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/8.jpg)
2.2 Proxy oder Application Gateway
Physische Trennung durch zwei Netzwerkanschlüsse
Der Client kontaktiert den Proxy und dieser kontaktiert dann (nach derAnalyse) den eigentlichen Server
Es kommt zu keinem direkten Aufbau einer Verbindungsbeziehung.
Für jeden Dienst (z.B. FTP) ist ein spezifischer Proxy notwendig.
2.Firewall-Typen
![Page 9: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/9.jpg)
Vorteile von Proxys:-Hohes Mass an Sicherheit
-Authentisierung des Benutzers möglich
-Vollständige Entkopplung zwischen den Netzwerken
Nachteile von Proxys:-Hoher Rechenaufwand (schlechte Performance)
-Verfügbarkeit von spez. Proxys bei neuen Protokollen
-Wenig skalierbar
2. Firewall-Typen
![Page 10: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/10.jpg)
2.3 Andere Firewall Systeme
2.3.1 Stateful Packet Filter:
SPF basieren auf dem Prinzip der Paketfilterung
Zusätzlich haben sie interne Zustandstabellen, mit denen sie die Sitzungenüberwachen (siehe Linux-Firewall)
Beispielsweise können alle Ports > 1024 geschlossen (und nur bei Bedarfgeöffnet) werden
2. Firewall-Typen
![Page 11: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/11.jpg)
2.3.2 Stateful Inspection Firewalls
Filterung der eingehenden Pakete wie bei einer Paket Filter Firewall
Extrahierung zutandsbezogener Informationen und Speicherung ininternen Tabellen
Bewertung nachfolgender Verbindungsversuche
=> Erweiterung des SPF-Ansatzes um die Nutzdatenanalyse, Client-Server-Modell wird nicht durchbrochen
2. Firewall-Typen
![Page 12: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/12.jpg)
3. Firewalls im praktischen Einsatz
Ausschliesslicher Einsatz von Application Gateways
Externes Netz
Firewall
Internes Netz
3. Praktischer Einsatz
![Page 13: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/13.jpg)
Fähigkeiten:
-Verbergen der internen Netzwerkarchitektur
- Benutzerauthentifizierung
- Kontrolle der IP-Adresse
- Zugriff nur über erlaubte Ports und Protokolle
- Alarmierung
- Verbesserte Protokollierung (Benutzeridentifikation)
- Kontrolle auf der Anwendungsebene (z.B. Anwendungsfilter für bestimmmte Kommandos)
Insgesamt schon eine recht hohe Schutzwirkung
3. Praktischer Einsatz
![Page 14: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/14.jpg)
De-Militarized Zone (DMZ)
Externes Netz
Internes Netz
Paket Filter
Paket Filter
Application Gateway
3. Praktischer Einsatz
![Page 15: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/15.jpg)
3. Praktischer Einsatz
Paketfilter-Regeln sind einfach und überschaubar (aus der Sicht desPaketfilters kommuniziert der Application Gateway nur mit dem gekoppeltenNetz)
Einsatz von unterschiedlichen Analysekonzepten, unterschiedlichenBetriebssystemen und verschiedenen Herstellern (um die Anzahl derSicherheitslücken zu verringern)
Ein Firewall-System für höchste Sicherheitsanforderungen, aber Aufwandund Kosten ebenfalls sehr hoch (ca. 3-4 Mal höher)
![Page 16: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/16.jpg)
4. Linux Firewall (ab Kernel 2.4)
Es gibt drei Tabelle:
- Filter: (hauptsächlich) Filtern von eingehenden Datenpaketen
- Nat: Adressübersetzung
- Masquerade:Verändern von Paket-Parametern (z.B. TTL)
Jede Tabelle besteht aus mehreren Regelketten (chains), die die einzelnen
Regeln definieren.
4. Linux-Firewall
![Page 17: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/17.jpg)
Es gibt weiterhin 5 Chains:
- Input: für den lokalen Prozess bestimmte Pakete
- Output: vom lokalen Prozess stammende Pakete
- Forward: zu routende Pakete laufen hier durch
- Prerouting: unmittelbar vor der Routingentscheidung laufen die Pakete hier
durch
- Postrouting: nach dem Routing laufen alle Pakete hier durch
Es können auch benutzerdefinierte Chains erstellt werden.
Nicht jede Kombination von Tabelle - Chain ist sinnvoll/erlaubt
4. Linux-Firewall
![Page 18: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/18.jpg)
Paketauswertung
Prerouting
Postrouting
Output
Forward
Input
Routing
LokaleProzesse
4. Linux-Firewall
![Page 19: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/19.jpg)
Weiterer Fortschritt gegenüber Vorgängerversion:
Überwachung der Verbindungen mit internen Zustandstabellen
Zuordnung von "new", "established", "related" oder "invalid" zu denentsprechenden Verbindungen
=> Schliessung aller Ports >1024
Es werden nur Pakete hereingelassen, die zu einer von innen aufgebautenVerbindung gehören
4. Linux-Firewall
![Page 20: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/20.jpg)
5. Grenzen von Firewalls
-Angriffe aus dem internen Netz
-Social Engineering
-Viren
5. Grenzen
![Page 21: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/21.jpg)
6.Trends
Post-Firewall-Ära:Jedes Computersystem schützt sich selbst mit leistungsfähigenAuthentifikations- und Verschlüsselungsmechanismen
Datenaustausch über sichere Kommunikationskanäle mit identifiziertenKommunikationspartnern (bisher begrenzt von der Leistungsfähigkeit derComputer)
6. Trends
![Page 22: Firewalls - · PDF file1. Einführung Was ist eine Firewall? - Firewalls koppeln interne Netzwerke mit externen Netzwerken wie z.B. dem Internet - Oft eigenständige Hardwaregeräte](https://reader034.vdocuments.site/reader034/viewer/2022051507/5a78a2ba7f8b9a8c428e6545/html5/thumbnails/22.jpg)
7. Fazit
Firewalls sind ein MUSS zur Erhöhung derNetzwerksicherheit.
Dennoch absolute Sicherheit nicht möglich.
Es geht darum, möglichst wenig Angriffspunkte zu bieten.
Abwägung - welche Dienste werden benötigt ? (um vondem Nutzen der Vernetzung zu profitieren, beigleichzeitiger höchstmöglicher Sicherheit)
7.Fazit