Schutz kleiner Netze mit einer virtuellen DMZ - DFN-CERT
Werbung
Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda q Das BSI - Kurzvorstellung q Demilitarisierte Zonen q Virtuelle Maschinen q Aufbau einer virtuellen DMZ q Beispielkonfiguration Das BSI auf einen Blick q Unabhängige und neutrale Stelle für IT-Sicherheit q Bundesoberbehörde im Geschäftsbereich des Bundesministerium des Innern q 1991 gegründet - als Behörde im Vergleich zu sonstigen europäischen Einrichtungen einzigartig q 387 Mitarbeiter, davon 289 Hochschulabsolventen (>60% Fachrichtungen Elektro- und Nachrichtentechnik) Zielgruppen Regierung und Verwaltung Bürger r Unterstützung r Sensibilisierungskampagnen der E-Government Initiative (BundOnline2005) r IT-Sicherheitsberatung r Entwicklung von Kryptosystemen r Lauschabwehr r Betrieb des Regierungsnetzes Info - CDs BSI - Internetangebot www.bsi.bund.de www.bsi-fuer-buerger.de r Fachbeiträge in Zeitschriften Wissenschaft Wirtschaft r Kooperation mit r Trendanalysen r Vergabe von r Nationales CERT r IT-Grundschutz r Zertifizierung Universitäten Forschungsaufträgen r r r Sicherheitspartnerschaften Sicherheitszonen q Gruppieren von Ressourcen mit ähnlichen sicherheitsrelevanten Eigenschaften in Sicherheitszonen q Strikte Trennung der einzelnen Zonen voneinander q Datenaustausch zwischen Zonen ausschließlich über wohldefinierte Schnittstellen q Anwendung des Zonenmodells auf unterschiedlichen Ebenen, zum Beispiel Netz, Betriebssystem, Anwendung, … Demilitarisierte Zone q Komplexer Sicherheitsgateway zum Schutz eines Netzes oder Einzelsystems mit besonderen Sicherheitsanforderungen q Ressourcentrennung durch Schaffung unabhängiger Zonen auf Netzebene q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne und externe Firewall, dazwischen zusätzliche Komponenten Beispielarchitektur http http ext. FW IDS dns ssh IDS int. FW zu zu schützendes schützendes Netz Netz Virtuelle Maschinen q Simulation vollständiger Betriebssysteme q Ideal für den Einsatz in Sicherheitsgateways: Kapselung von Funktionen einzelner Komponenten q Sicherheit durch Schaffung unabhängiger Systemen mit unterschiedlichen Aufgaben q Kostenreduktion durch Virtualisierung q Begriffe: Hostsystem, Gastsystem User Mode Linux q Virtuelles Linux-Gastsystem auf Linux-Hostsystem q Seit Version 2.6 vom offiziellen Linux-Kernel als eigene HW-Architektur unterstützt q UML-Kernel läuft als Prozess im Userspace q Betrieb mehrerer Instanzen auf einem Host möglich q Administration der UML-Instanzen über Management-Konsole vom Host aus möglich Einsatz von UML in einer virtuellen DMZ q Linux-Hostsystem mit UML-Instanzen als DMZ-Komponenten q Monolithisches, gehärtetes Hostsystem q UML-Systeme sind minimalistisch konfiguriert und für die jeweiligen Aufgaben optimiert q DMZ-Komponenten können ausschließlich mit Open-Source-Software aufgebaut werden Netzkonfiguration q Hostsystem besitzt keine IP-Adressen q Netzpakete werden über virtuelle Bridges an DMZ-Firewalls weitergeleitet q IP-Routing auf dem Hostsystem ist ausgeschaltet q DMZ verwendet intern eigene IP-Netze nach RFC 1918 q VM sind ebenfalls über Bridges miteinander verbunden Virtuelle Ethernet Bridges http http ext. FW IDS dns tcp IDS int. FW Virtuelle DMZ-Komponenten – Firewalls q Gateways an den Übergängen vermitteln zwischen den angeschlossenen Netzen q Stateful Firewalls auf der Basis von netfilter/iptables q Policy-based Routing - erlaubte Protokolle werden zum jeweiligen ALG geroutet q SNAT für ausgehenden Verkehr (Maskieren der internen Netzstruktur) Virtuelle DMZ-Komponenten – IDS q Snort als Intrusion Detection System – signatur- und anomaliebasierte Angriffserkennung q IDS arbeiten im Bridged Mode zwischen Firewall und Proxies – völlige Transparenz auf IP-Ebene q Protokollierung kann auf zentralem System stattfinden – Korrelation der Log-Daten von externem und internem Netzanschluss Virtuelle DMZ-Komponenten – Proxies q Kein IP-Routing durch die DMZ möglich q DMZ lässt nur Daten von Verbindungen passieren, für deren Protokoll ein Proxy existiert q Problem: Proxies gibt es nur für wenige Standard-Protokolle q Lösung: Generischer Proxy kann alle Protokolle vermitteln, die auf Internet Protocol aufsetzen Virtuelle DMZ-Komponenten – Server q Server, die aus Sicht des zu schützenden Netzes nicht vertrauenswürdig sind q Server, die einen Dienst ausschließlich für Systeme innerhalb der DMZ anbieten q Für solche Systeme sollte innerhalb der DMZ ein dediziertes Netz konfiguriert werden Testinstallation q Standard-PC ist in der Regel als Hardware-Plattform für das Hostsystem ausreichend q Performance hängt im wesentlichen vom verfügbaren RAM auf dem Hostsystem ab q Eine Testinstallation auf einem PIII, 866 MHz, hat einen Durchsatz von mindestens 100MBit/s bei Proxies für mehrere Protokolle Beispielkonfiguration – http(s) Zorp http-Proxy netfilter SNAT netfilter snort snort iproute2 Fazit q Virtuelle DMZ kann Sicherheitszonen auf Netzebene schaffen q Keine Alternative zu zentralen Sicherheits-Gateways in Hardware q Flexible Architekturen für individuelle Anforderungen q Kostengünstige Komponenten, im wesentlichen Open-Source-Software q Einfache, auch nachträgliche Einbindung in bestehende Netze