möglichkeiten und grenzen von firewall-systemen dr. norbert pohlmann
TRANSCRIPT
Möglichkeiten und Grenzen von Firewall-Systemen
Dr. Norbert Pohlmann
2 D
r. N
orbe
rt P
ohlm
ann,
200
2
Inhalt
Einstimmung in die Thematik
Bedrohungen
Firewall-Elemente
Möglichkeiten und Grenzen von Firewall-Systemen
Umfassende Firewall-Systeme
Weiterentwicklung von Firewall-Systemen
3 D
r. N
orbe
rt P
ohlm
ann,
200
2
Chance und Risiko - Zwei Seiten einer Medaille
InternetNetwork
to be protected
Fast communication(e-mail, ...)
Powerful services(web, newsgroups, ASPs, ...)
Hacker/cracker
Assets
Risk of threats
Chance
Organization/user
4 D
r. N
orbe
rt P
ohlm
ann,
200
2
Idee eines Firewall-Systems
Chancen nutzen
Risiken minimieren
I2 > I1
Profit /market share
Residual Risk Risks
Opportunities
Risk 1Risk 2
Investment 1Investment 2
I2 > I1
Internetzu schützendes
Netzwerk
Kommunikation(e-mail, ...)
Dienste(Web, Newsgroups, ASPs, ...)
Hacker/Cracker
Daten /Werte
Risiko
Chancen
Firewallsystem Organisation/Anwender
5 D
r. N
orbe
rt P
ohlm
ann,
200
2
Zugangskontrolle auf der Netzebene
Zugangskontrolle auf Benutzerebene
Rechteverwaltung
Kontrolle auf der Applikationsebene
Entkopplung von unsicheren Diensten
Beweissicherung und Protokollauswertung
Alarmierung
Verbergen der internen Netzstruktur
Vertraulichkeit der Nachrichten
Sicherheitsziele eines Firewall-Systems
Internetzu schützendes
Netzwerk
Kommunikation(e-mail, ...)
Dienste(Web, Newsgroups, ASPs, ...)
Hacker/Cracker
Daten /Werte
Risiko
Chancen
Firewallsystem Organisation/Anwender
Bedrohungen - Firewall-Systeme
7 D
r. N
orbe
rt P
ohlm
ann,
200
2
Vereinfachtes logisches Kommunikationsmodell
Assets
entity
Transmitter (TL)
protocol element xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
8 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bedrohungen (1/4)-> Angriffe durch Dritte
Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s)
Einfügen oder Löschen bestimmter Daten in den Protokollelementen
Modifikation der Daten in den Protokollelementen
Boykott des Receivers
Trittbrettfahrer
Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...)
Assets
entity
Transmitter (T) Receiver (R)
entity
Attacks
xixi*
Protocol statemachine
action u
action t+1
action t
action 3
action 1
action 2
action ak
sj
Statemachine
xi
9 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern
Angriffsart Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff)
Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...)
Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung
Assets
Receiver (R)
entity
xi
Protocol statemachine
action u
action t+1
action t
action 3
action 1
action 2
action ak
sj
Statemachine
xi
Attacker
10 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bedrohung (3/4) -> Vorbereitung eines Angriffs
Assets
entity
Transmitter (TL)
Protocol element xi
Receiver (RM)
entity
Protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
Statemachine
Scan analysis
Receiver (RZ)
entity
Internal attacks
Social engineering
Weitere Angriffsarten Social Engineering
Analyse mit Hilfe von Scannerprogrammen
Interne Angriffe
11 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bedrohungen (4/4) -> Angriffe auf das Firewall-System
Assets
entity
Transmitter (TL)
xi
Receiver (RM)
entity
Protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
Statemachine
Angriffsart Manipulation des Firewall-Systems
Einbau einer Trap-Door
Nutzung einer falschen Konfiguration des Firewall-Systems
Nutzung von Implementierungsfehlern des Firewall-Systems
Firewall-Elemente
13 D
r. N
orbe
rt P
ohlm
ann,
200
2
Definition eines Firewall-Elements
Integration andEnforcement Module
Protocolelement
Results ofanalysis
Ruleset Security-relevantevent (ei)
ri
Resultsofdecision
AnalysisModule
DecisionModule
xi
Protocolelement xi
Network tobe protected
Insecurenetwork
Firewall-Elemente Packet Filter Application Gateway
15 D
r. N
orbe
rt P
ohlm
ann,
200
2
Allgemeine Arbeitsweise eines Packet Filters
Analyse
Analysemodul
HeaderNetzwerk
HeaderTransport
Netzzugangsebene Netzzugangsebene
Einbindungsmodul
unsicheresNetz
zu schützendesNetz
DatenHeaderNetzzugang
16 D
r. N
orbe
rt P
ohlm
ann,
200
2
Flags
Fragmentierung unterbinden
Layer 4 Protokolle definieren(TCP, UDP, ICMP, ...)
IP Quell-Adresse definieren
IP Ziel-Adresse definieren
Packet Filter Attribute
VersionHeader-länge
ServiceType
Identifikation
ProtokollTime To Live
Quell-IP-Adresse
IP-Optionen (falls vorhanden) Füllzeichen
IP Daten(UDP-/TCP-Frame)
Header-Prüfsumme
Gesamtlänge(in Bytes)
IP-Frame
Fragment-Offset
Ziel-IP-Adresse Source-Routing
Analysemöglichkeit eines IP-Frames
17 D
r. N
orbe
rt P
ohlm
ann,
200
2
Ziel-Port definieren
Quell-Port definieren
Richtung des Verbindungsaufbaus
Packet Filter
Header-länge
Reser-viert
CodeBits
Quell-Port
Sequenznummer
Prüfsumme Urgent Zeiger
Fenstergröße
Ziel-Port
Optionen (falls vorhanden) Füllzeichen
TCP Daten
Quittungsnummer
TCP-Frame
Analysemöglichkeit eines TCP-Frames
18 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bewertung: Packet Filter
Analyse
Analysemodul
HeaderNetzwerk
HeaderTransport
Netzzugangsebene Netzzugangsebene
Einbindungsmodul
unsicheresNetz
zu schützendesNetz
DatenHeaderNetzzugang
Möglichkeiten transparent, unsichtbar
einfach erweiterungsfähig für neue Protokolle und Dienste
für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...)
hohe Performance
Grenzen
keine Analyse oberhalb der Transportebene
keine Separierung der Netzwerke
die Struktur des Netzes wird nicht verborgen
es werden nur die Ports überprüft, nicht die Anwendungen
19 D
r. N
orbe
rt P
ohlm
ann,
200
2
Analysemodule für Proxies auf demApplication Gateway
Analysemodul für Proxy n
Netzzugang
Einbindungsmodul
unsicheresNetz
zu schützendesNetz
Netzzugang
Netzwerk (IP-X)
Transport
Netzwerk (IP-Y)
Transport
Analysemodul für Proxy X
Zustands-Automat
Anwendungsdaten
Analyse
20 D
r. N
orbe
rt P
ohlm
ann,
200
2
SMTP Proxy-> Analogie zum Sammelbriefkasten
IncomingMail
SMTP-Proxy
SENDMAIL
OutgoingMail
SMTP-Daemon
Port 25
21 D
r. N
orbe
rt P
ohlm
ann,
200
2
FTP Proxy
Logbuch
Application Gateway
FTP Proxy
commands
Daten
Benutzer Profil
(passiver Support)
WS
Server
Datei-Filter
Kommando-Filter
Port 21Port 21
Authentikation
Port 20 Port 20
22 D
r. N
orbe
rt P
ohlm
ann,
200
2
HTTP Proxy
Authentikation
Benutzer Profil
Logbuch
Application Gateway
HTTP Proxy
Reauthentikation (Timeout)
Server
WS
Daten-Filter
Kommando-Filter
Port 80
Port 80
23 D
r. N
orbe
rt P
ohlm
ann,
200
2
Bewertung: Application Gateway
Möglichkeiten
Service-orientierte Kontrolle aller Pakete durch den Proxy
spezielle Sicherheitsfunktionen für jeden Proxy
modulares, klares und überprüfbares Konzept
Verbergen der internen Netzstruktur
Grenzen
geringe Flexibilität
die Kosten sind in der Regel höher
nicht transparent
Analysemodul für Proxy n
Netzzugang
Einbindungsmodul
unsicheresNetz
zu schützendesNetz
Netzzugang
Netzwerk (IP-X)
Transport
Netzwerk (IP-Y)
Transport
Analysemodul für Proxy X
Zustands-Automat
Anwendungsdaten
Analyse
Möglichkeiten und Grenzen von
Firewall-Systemen
25 D
r. N
orbe
rt P
ohlm
ann,
200
2
Das Kommunikationsmodell mit integriertem Firewall-System
Assets
protocol statemachine
entity
Transmitter (T) Receiver (R)
entity
action u
action t+1
action t
action 3
action 1
action 2
action ak
sj
integration andenforcement module
protocolelement
result ofanalysis
set of rules security relevantevent (ei)
ri
resultofdecision
analysismodul
decisionmodul
xi
protocolelement
statemachine
Firewall Systems
SecurityManagement
xixi
ak = action-select( protocol-state-machine(xi, sj), authenticity(xi, tl), result-of-decision( analysis(xi), security-management(rules) ), functionality-of-the-firewall-system() )
Anwender: Konfiguration
Hersteller: ImplementierungHersteller: Tiefe der Analyse
Vertrauenswürdigkeit
Authentikation
Hersteller: Vertrauenswürdige Implementierung der Sicherheitsdienste
Anwender: Sicherheitspolitik
26 D
r. N
orbe
rt P
ohlm
ann,
200
2
Protokolle, die nicht erlaubt sind
Konzeptionelle Möglichkeiten (1/2)-> Reduzierung des Schadensrisikos
Einschränkung der erlaubten Protokolle
Einschränkung der erlaubten Rechnersysteme
Kommunikations-Profile
spezielle Anwendungen, wie z.B. SMTP
zeitliche Einschrängung
27 D
r. N
orbe
rt P
ohlm
ann,
200
2
Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept
Kosten
Umsetzung der Sicherheitspolitik
Sicherheitsinfrastruktur
Sicherheit durch Abschottung
Überprüfbarkeit
Internetzu schützendes
Netzwerk
Kommunikation(e-mail, ...)
Dienste(Web, Newsgroups, ASPs, ...)
Hacker/Cracker
Daten /Werte
Risiko
Chancen
Firewallsystem Organisation/Anwender
28 D
r. N
orbe
rt P
ohlm
ann,
200
2
Konzeptionelle Grenzen eineszentralen Firewall-Systems (1/2)
Hintertüren (Back Door)
Mobile workstation
Mobilephone
GSM
Organisation 2
Organisation n
analogue network
ISDN
Teleworkstation
central office
Router
centralFirewall-system
Back Door
Organisation 1
Router
Server
Router
Server
Router
Server
IntranetInternet
Attack on assets
Attack on assets
Internalattacks
Malwareattacks
Router
Interne Angriffe
Angriffe auf Datenebene
29 D
r. N
orbe
rt P
ohlm
ann,
200
2
Konzeptionelle Grenzen eineszentralen Firewall-Systems (2/2)
Security versus connectivity <-> Risiko versus Chance
Sicherheit
0
0
100%
Anzahl der erlaubten (Teilnehmer, Kommunikations-
protokolle, Kommunikationsdienste, ...) Aktionen
Umfassende Firewall-Systeme
31 D
r. N
orbe
rt P
ohlm
ann,
200
2
Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems
Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren
Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird
Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren
Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann
32 D
r. N
orbe
rt P
ohlm
ann,
200
2
Zentrales Firewall-System
Ziel:
analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik
protokolliert sicherheitsrelevante Ereignisse
alarmiert bei erheblichen Verstößen
entity
Transmitter (TL)
xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
33 D
r. N
orbe
rt P
ohlm
ann,
200
2
Verschlüsselung - VPNs oder SSL-> Analogie zum Sicherheitstransporter
Ziel:
Vertraulichkeit der Protokollelemente
Verhinderung von Trittbrettfahrern
Verhinderung einer gezielten Manipulation von Protokollelementen
Assets
entity
Transmitter (TL)
xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
VPN
34 D
r. N
orbe
rt P
ohlm
ann,
200
2
Zentraler Virenscanner-> Analogie zur zentralen Poststelle
Ziel: Erkennen von Viren an zentraler Stelle
Verhindern, dass Viren in die Organisation übertragen werden
Protokollieren der gefundenen Viren und Alarmierung
Assets
entity
Transmitter (TL)
xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
35 D
r. N
orbe
rt P
ohlm
ann,
200
2
Intrusion Detection-> Analogie zur Videoüberwachung
Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung
Sicherheitsmechanismen
Mißbrauchserkennung (Fehler-Signaturen)
Erkennung von Anomalien
Protokollierung und Berichtserstattung
Assets
Intrusion Detection
entity
Transmitter (TL)
xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
36 D
r. N
orbe
rt P
ohlm
ann,
200
2
Personal Firewall
Ziel: Schaden verhindern
Sicherheitsmechanismen:
Firewall-Funktionalitäten
Advanced Sandboxing
entity
Transmitter (TL)
xi
Receiver (RM)
entity
protocol statemachine
action v
action u+1
action u
action 3
action 1
action 2
xi
action ak
sj
statemachine
Firewall
AdvancedSandboxing
Assets
Die Wirkung von umfassenden von Firewall-Systemen
38 D
r. N
orbe
rt P
ohlm
ann,
200
2
Definition der verwendeten Symbole
Symbol Kurzbeschreibung Definition
● sehr große Wirkung
Der entsprechende Sicherheitsmechanismus wirkt so stark gegen den definierten Angriff, dass praktisch kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch“
◕ große Wirkung
Der entsprechende Sicherheitsmechanismus wirkt stark gegen den definierten Angriff, dass normalerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch/mittel“
◑ Wirkung
Der entsprechende Sicherheitsmechanismus wirkt gegen den definierten Angriff, dass typischerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „mittel“
◔ gering Wirkung
Der entsprechende Sicherheitsmechanismus wirkt gering gegen den definierten Angriff, dass unbeabsichtigt kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „niedrig“
○ keine Wirkung
Der entsprechende Sicherheitsmechanismus hat gegen den definierten Angriff keine Wirkung, so dass ein Schaden auftreten kann.
♦ Grundlage für die WirkungDer entsprechende Sicherheitsmechanismus ist eine Grundlage damit das Firewall-System überhaupt gegen Angriffe wirken kann.
39 D
r. N
orbe
rt P
ohlm
ann,
200
2
Umfassendes Firewallsystem 1/3
● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung
An
gri
ffs
art
Sicherheitsaspekte eines umfassenden Firewallsystems
Hig
h-l
eve
l Se
curi
ty F
ire
wa
ll-S
yste
m
Ve
rsch
lüss
elu
ng
An
ti-M
alw
are
-Sys
tem
Intr
usi
on
De
tect
ion
Sys
tem
e
Pe
rso
na
l Fir
ew
all
nic
htte
chn
isch
e S
ich
erh
eits
ma
ßn
ah
me
n
Ve
rtra
ue
nsw
ürd
igke
it
Au
dits
Sic
he
rhe
itsp
olit
ik
sich
ere
r B
etr
ieb
Wiederholen o. Verzögern von Protokollelementen ◕ ◕ ○ ○ ◔ ○ ♦ ♦ ♦ ♦Einfügen o. Löschen von Daten in den Protokollelementen ◕ ● ○ ○ ◔ ○ ♦ ♦ ♦ ♦Modif ikation der Daten in den Protokollelementen ◕ ● ○ ○ ○ ○ ♦ ♦ ♦ ♦Boykott des Receivers ◕ ○ ○ ◑ ◔ ◕ ♦ ♦ ♦ ♦Trittbrettfahrer ◑ ● ○ ○ ◔ ○ ♦ ♦ ♦ ♦Empfangen von Malw are (Viren, Würmer, Trojanische Pferde,...)◕ ○ ◕ ○ ● ◕ ♦ ♦ ♦ ♦
Angriffe
durch
einen
Dritten
40 D
r. N
orbe
rt P
ohlm
ann,
200
2
Umfassendes Firewallsystem 2/3
An
gri
ffs
art
Sicherheitsaspekte eines umfassenden Firewallsystems
Hig
h-l
eve
l Se
curi
ty F
ire
wa
ll-S
yste
m
Ve
rsch
lüss
elu
ng
An
ti-M
alw
are
-Sys
tem
Intr
usi
on
De
tect
ion
Sys
tem
e
Pe
rso
na
l Fir
ew
all
nic
htte
chn
isch
e S
ich
erh
eits
ma
ßn
ah
me
n
Ve
rtra
ue
nsw
ürd
igke
it
Au
dits
Sic
he
rhe
itsp
olit
ik
sich
ere
r B
etr
ieb
Aufbau u. Nutzung von Kommunikationsverbindungen ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Nutzung von Kommunikationsprotollen und –diensten ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Vortäuschen einer falschen Identität (Maskerade-Angrif f ) ● ○ ○ ◑ ◔ ○ ♦ ♦ ♦ ♦Java, ActiveX, ... Angrif fe ◕ ○ ○ ◑ ● ◕ ♦ ♦ ♦ ♦falsche Konf iguration/Implementierungsfehler ● ○ ○ ○ ◔ ○ ♦ ♦ ♦ ♦Leugnen der Kommunikationsbeziehung ◑ ○ ○ ○ ○ ◕ ♦ ♦ ♦ ♦
Angriffe
durch den
Trans-
mitter
● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung
41 D
r. N
orbe
rt P
ohlm
ann,
200
2
Umfassendes Firewallsystem 3/3
● sehr große Wirkung ◕ große Wirkung ◑ Wirkung◔ wenig Wirkung ○ keine Wirkung ♦ Grundlage f.d. Wirkung
Bei diesem Angriff haben die nichttechnischen Sicherheits-mechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung.
An
gri
ffs
art
Sicherheitsaspekte eines umfassenden Firewallsystems
Hig
h-l
eve
l Se
curi
ty F
ire
wa
ll-S
yste
m
Ve
rsch
lüss
elu
ng
An
ti-M
alw
are
-Sys
tem
Intr
usi
on
De
tect
ion
Sys
tem
e
Pe
rso
na
l Fir
ew
all
nic
htte
chn
isch
e S
ich
erh
eits
ma
ßn
ah
me
n
Ve
rtra
ue
nsw
ürd
igke
it
Au
dits
Sic
he
rhe
itsp
olit
ik
sich
ere
r B
etr
ieb
Social Engieering ○ ○ ○ ○ ○ ● ○ ♦ ♦ ♦Analyse mit Hilfe von Scannerprogrammen ● ○ ○ ◑ ○ ○ ♦ ♦ ♦ ♦Manipulation des Firew all-Systems ● ○ ○ ◑ ○ ◕ ♦ ● ♦ ♦Einbau einer Trap-Door ○ ○ ○ ◔ ○ ○ ● ○ ○ ○Nutzung einer falschen Konf iguration des Firew all-Systems ● ○ ○ ◑ ○ ◕ ○ ● ♦ ♦Nutzung von Implementierungsfehlers des Firew all-Systems ● ○ ○ ◑ ○ ◕ ♦ ● ♦ ♦interne Angrif fe ○ ○ ○ ◕ ● ◕ ○ ◔ ♦ ♦
Vorbe-
reitung für
Angriffe
42 D
r. N
orbe
rt P
ohlm
ann,
200
2
Weiterentwicklung von umfassenden Firewall-Systemen
Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen
Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf
Zunehmende Innovationen
Universelle Authentisierung
Einheitliche Darstellung der Angriffe und Sicherheitsdienste/-mechanismen
Intrusion Detection Systems
Möglichkeiten und Grenzen von Firewall-Systemen
Vielen Dank für Ihre Aufmerksamkeit
Fragen ?