Firewall-Systeme
Werbung
Möglichkeiten und Grenzen von Firewall-Systemen Dr. Norbert Pohlmann Dr. Norbert Pohlmann, 2002 Inhalt Einstimmung in die Thematik Bedrohungen Firewall-Elemente Möglichkeiten und Grenzen von Firewall-Systemen Umfassende Firewall-Systeme Weiterentwicklung von Firewall-Systemen 2 Chance und Risiko Zwei Seiten einer Medaille Risk of threats Hacker/cracker Organization/user Internet Assets Fast communication (e-mail, ...) Dr. Norbert Pohlmann, 2002 Network to be protected Powerful services (web, newsgroups, ASPs, ...) Chance 3 Idee eines Firewall-Systems Risiko Hacker/Cracker Chancen nutzen Risiken minimieren Organisation/ Anwender Firewallsystem Internet zu schützendes Netzwerk Daten / Werte Kommunikation (e-mail, ...) I2 > I1 Opportunities Investment 2 Dr. Norbert Pohlmann, 2002 Investment 1 Profit / market share Dienste (Web, Newsgroups, ASPs, ...) Chancen Residual Risk Risk 2 Risk 1 Risks 4 Sicherheitsziele eines Firewall-Systems Risiko Zugangskontrolle auf Benutzerebene Rechteverwaltung Kontrolle auf der Applikationsebene Dr. Norbert Pohlmann, 2002 Zugangskontrolle auf der Netzebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten Hacker/Cracker Firewallsystem Internet Organisation/ Anwender zu schützendes Netzwerk Daten / Werte Kommunikation (e-mail, ...) Dienste (Web, Newsgroups, ASPs, ...) Chancen 5 Bedrohungen - Firewall-Systeme Vereinfachtes logisches Kommunikationsmodell action 1 action 2 protocol state machine Receiver (RM) Transmitter (TL) protocol element xi entity entity action 3 action ak xi action u sj action u+1 Assets state machine Dr. Norbert Pohlmann, 2002 action v 7 Bedrohungen (1/4) -> Angriffe durch Dritte action 1 action 2 Attacks Protocol state machine Transmitter (T) entity Receiver (R) xi * xi action 3 action ak xi entity action t sj action t+1 Assets State machine action u Dr. Norbert Pohlmann, 2002 Angriffsart Wiederholen oder Verzögern der/des Protokollelemente(s) Einfügen oder Löschen bestimmter Daten in den Protokollelementen Modifikation der Daten in den Protokollelementen Boykott des Receivers Trittbrettfahrer Empfangen von Malware (Viren, Würmer, Trojanische Pferde, ...) 8 Bedrohungen (2/4) -> Angriffe von Kommunikationspartnern action 1 action 2 Protocol state machine Attacker Receiver (R) xi action 3 action ak xi entity action t sj action t+1 Assets State machine Dr. Norbert Pohlmann, 2002 Angriffsart action u Unberechtigter Aufbau und Nutzung einer Kommunikationsverbindung Unberechtigte Nutzung von Kommunikationsprotokollen und -diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Nutzung der Kommunikationsverbindung zum Receiver für gezielte Angriffe (z.B. Java-Applets, ActiveX-Control, Cookies, ...) Nutzung einer falschen Konfiguration Nutzung von Implementierungsfehlern Leugnen der Kommunikationsbeziehung 9 Bedrohung (3/4) -> Vorbereitung eines Angriffs Social engineering action 1 action 2 Protocol state machine Receiver (RM) Transmitter (TL) Protocol element xi entity entity action ak xi action u sj Scan analysis action 3 action u+1 Assets State machine action v Receiver (RZ) Dr. Norbert Pohlmann, 2002 entity Weitere Angriffsarten Internal attacks Social Engineering Analyse mit Hilfe von Scannerprogrammen Interne Angriffe 10 Bedrohungen (4/4) -> Angriffe auf das Firewall-System action 1 action 2 Protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 action ak xi action u sj action u+1 Assets State machine action v Dr. Norbert Pohlmann, 2002 Angriffsart Manipulation des Firewall-Systems Einbau einer Trap-Door Nutzung einer falschen Konfiguration des Firewall-Systems Nutzung von Implementierungsfehlern des Firewall-Systems 11 Firewall-Elemente Definition eines Firewall-Elements Integration and Enforcement Module Insecure network Protocol element xi Network to be protected xi Protocol element Analysis Module Results of analysis ri Results of decision Dr. Norbert Pohlmann, 2002 Decision Module Ruleset Security-relevant event (ei) 13 Firewall-Elemente Packet Filter Application Gateway Allgemeine Arbeitsweise eines Packet Filters Analysemodul Analyse Header Netzzugang Header Netzwerk Header Transport Daten Einbindungsmodul Dr. Norbert Pohlmann, 2002 Netzzugangsebene unsicheres Netz Netzzugangsebene zu schützendes Netz 15 Analysemöglichkeit eines IP-Frames IP-Frame Packet Filter Attribute Version Headerlänge Service Type Identifikation Time To Live Gesamtlänge (in Bytes) FragmentOffset Flags Protokoll HeaderPrüfsumme Quell-IP-Adresse Dr. Norbert Pohlmann, 2002 Layer 4 Protokolle definieren (TCP, UDP, ICMP, ...) IP Quell-Adresse definieren IP Ziel-Adresse definieren Ziel-IP-Adresse IP-Optionen (falls vorhanden) Fragmentierung unterbinden Source-Routing Füllzeichen IP Daten (UDP-/TCP-Frame) 16 Analysemöglichkeit eines TCP-Frames TCP-Frame Packet Filter Quell-Port Headerlänge Ziel-Port Sequenznummer Quell-Port definieren Quittungsnummer Richtung des Verbindungsaufbaus Reserviert Code Bits Prüfsumme Fenstergröße Urgent Zeiger Optionen (falls vorhanden) Dr. Norbert Pohlmann, 2002 Ziel-Port definieren Füllzeichen TCP Daten 17 Bewertung: Packet Filter Möglichkeiten Analysemodul Analyse Header Netzzugang Header Netzwerk Header Transport transparent, unsichtbar einfach erweiterungsfähig für neue Protokolle und Dienste für andere Protokollfamilien verwendbar (IPX, OSI, DECNET, SNA, ...) hohe Performance Daten Einbindungsmodul Netzzugangsebene Netzzugangsebene Dr. Norbert Pohlmann, 2002 Grenzen unsicheres Netz zu schützendes Netz keine Analyse oberhalb der Transportebene keine Separierung der Netzwerke die Struktur des Netzes wird nicht verborgen es werden nur die Ports überprüft, nicht die Anwendungen 18 Analysemodule für Proxies auf dem Application Gateway Analysemodul für Proxy n Analysemodul für Proxy X Analyse Zustands -Automat Anwendungsdaten Dr. Norbert Pohlmann, 2002 Einbindungsmodul Transport Transport Netzwerk (IP-X) Netzwerk (IP-Y) Netzzugang Netzzugang unsicheres Netz zu schützendes Netz 19 SMTP Proxy -> Analogie zum Sammelbriefkasten SMTPProxy Incoming Mail SMTPDaemon SENDMAIL Outgoing Mail Dr. Norbert Pohlmann, 2002 Port 25 20 FTP Proxy Application Gateway Authentikation Benutzer Profil Datei-Filter Kommando-Filter WS Logbuch Server Dr. Norbert Pohlmann, 2002 Port 21 Port 21 commands Port 20 Daten (passiver Support) Port 20 FTP Proxy 21 HTTP Proxy Application Gateway Authentikation Benutzer Profil Daten-Filter Kommando-Filter Logbuch WS Reauthentikation (Timeout) Server Port 80 Dr. Norbert Pohlmann, 2002 Port 80 HTTP Proxy 22 Bewertung: Application Gateway Analysemodul für Proxy n Möglichkeiten Analysemodul für Proxy X Analyse Service-orientierte Kontrolle aller Pakete durch den Proxy spezielle Sicherheitsfunktionen für jeden Proxy modulares, klares und überprüfbares Konzept Verbergen der internen Netzstruktur Zustands -Automat Anwendungsdaten Dr. Norbert Pohlmann, 2002 Einbindungsmodul Transport Transport Netzwerk (IP-X) Netzwerk (IP-Y) Netzzugang Netzzugang unsicheres Netz zu schützendes Netz Grenzen geringe Flexibilität die Kosten sind in der Regel höher nicht transparent 23 Möglichkeiten und Grenzen von Firewall-Systemen Das Kommunikationsmodell mit integriertem Firewall-System Hersteller: Vertrauenswürdige Vertrauenswürdigkeit Implementierung der Sicherheitsdienste Anwender: Konfiguration action 2 protocol state machine Transmitter (T) entity integration and enforcement module Receiver (R) protocol element xi entity xi analysis modul result of analysis action ak action t action t+1 Assets state machine ri result of decision Authentikation Hersteller: Tiefe der Analyse decision modul set of rules action 3 xi sj protocol element action 1 security relevant event (ei) Hersteller: Implementierung action u Security Management Dr. Norbert Pohlmann, 2002 Firewall Systems Anwender: Sicherheitspolitik ak = action-select( protocol-state-machine(xi, sj), authenticity(xi, tl), result-of-decision( analysis(xi), security-management(rules) ), functionality-of-the-firewall-system() ) 25 Konzeptionelle Möglichkeiten (1/2) -> Reduzierung des Schadensrisikos Einschränkung der erlaubten Protokolle Protokolle, die nicht erlaubt sind zeitliche Einschrängung Dr. Norbert Pohlmann, 2002 KommunikationsProfile spezielle Anwendungen, wie z.B. SMTP Einschränkung der erlaubten Rechnersysteme 26 Konzeptionelle Möglichkeiten (2/2) -> Common Point of Trust-Konzept Kosten Risiko Hacker/Cracker Umsetzung der Sicherheitspolitik Firewallsystem Sicherheitsinfrastruktur Internet Dr. Norbert Pohlmann, 2002 Sicherheit durch Abschottung Überprüfbarkeit zu schützendes Netzwerk Daten / Werte Kommunikation (e-mail, ...) Organisation/ Anwender Dienste (Web, Newsgroups, ASPs, ...) Chancen 27 Konzeptionelle Grenzen eines zentralen Firewall-Systems (1/2) Hintertüren (Back Door) Interne Angriffe Organisation n R outer Angriffe auf Datenebene Malware attacks Server Teleworkstation central office Attack on assets R outer central Firewall-system analogue network ISDN Organisation 2 Router Internal attacks Router Intranet Internet Server GSM Dr. Norbert Pohlmann, 2002 Organisation 1 Mobile phone R outer Attack on assets Server Mobile workstation Back Door 28 Konzeptionelle Grenzen eines zentralen Firewall-Systems (2/2) Security versus connectivity <-> Risiko versus Chance Sicherheit Dr. Norbert Pohlmann, 2002 100% 0 Anzahl der erlaubten (Teilnehmer, Kommunikations0 protokolle, Kommunikationsdienste, ...) Aktionen 29 Umfassende Firewall-Systeme Dr. Norbert Pohlmann, 2002 Sicherheitsziele bei der Umsetzung eines umfassenden Firewall-Systems Alle Unsicherheiten mit größtmöglicher Wahrscheinlichkeit vollständig zu eliminieren Möglichst vielen Unsicherheiten mit passenden Sicherheitsmechanismen entgegen zu wirken, damit die Wahrscheinlichkeit eines Schadens auf eine praktisch nicht vorkommende Größe minimiert wird Unsicherheiten, die nicht verhindert werden können, zu erkennen, um im Angriffsfall angemessen zu reagieren Angriffe im Vorfeld zu erkennen, damit erst kein Schaden auftreten kann 31 Zentrales Firewall-System action 1 action 2 protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 action ak xi action u sj action u+1 state machine action v Dr. Norbert Pohlmann, 2002 Ziel: analysiert, kontrolliert und reglementiert die Kommunikation entsprechend einer Sicherheitspolitik protokolliert sicherheitsrelevante Ereignisse alarmiert bei erheblichen Verstößen 32 Verschlüsselung - VPNs oder SSL -> Analogie zum Sicherheitstransporter action 1 action 2 protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 action ak xi action u VPN sj action u+1 Assets state machine action v Dr. Norbert Pohlmann, 2002 Ziel: Vertraulichkeit der Protokollelemente Verhinderung von Trittbrettfahrern Verhinderung einer gezielten Manipulation von Protokollelementen 33 Zentraler Virenscanner -> Analogie zur zentralen Poststelle action 1 action 2 protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 action ak xi action u sj action u+1 Assets state machine action v Dr. Norbert Pohlmann, 2002 Ziel: Erkennen von Viren an zentraler Stelle Verhindern, dass Viren in die Organisation übertragen werden Protokollieren der gefundenen Viren und Alarmierung 34 Intrusion Detection -> Analogie zur Videoüberwachung action 1 action 2 protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 action ak xi action u sj action u+1 Assets state machine Intrusion Detection Dr. Norbert Pohlmann, 2002 action v Ziel: frühzeitige Erkennung von Angriffen im Sinne der Schadensverhinderung Sicherheitsmechanismen Mißbrauchserkennung (Fehler-Signaturen) Erkennung von Anomalien Protokollierung und Berichtserstattung 35 Personal Firewall action 1 action 2 protocol state machine Transmitter (TL) Receiver (RM) xi entity entity action 3 Advanced Sandboxing action ak xi action u sj Firewall action u+1 Assets state machine Dr. Norbert Pohlmann, 2002 action v Ziel: Schaden verhindern Sicherheitsmechanismen: Firewall-Funktionalitäten Advanced Sandboxing 36 Die Wirkung von umfassenden von Firewall-Systemen Definition der verwendeten Symbole Dr. Norbert Pohlmann, 2002 Symb o l Kurzbeschreibung ● sehr große Wirkung ◕ große Wirkung ◑ Wirkung ◔ gering Wirkung ○ keine Wirkung ♦ Grundlage für die Wirkung Definition Der entsprechende Sicherheitsmechanismus wirkt so stark gegen den definierten Angriff, dass praktisch kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch“ Der entsprechende Sicherheitsmechanismus wirkt stark gegen den definierten Angriff, dass normalerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „hoch/mittel“ Der entsprechende Sicherheitsmechanismus wirkt gegen den definierten Angriff, dass typischerweise kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „mittel“ Der entsprechende Sicherheitsmechanismus wirkt gering gegen den definierten Angriff, dass unbeabsichtigt kein Schaden auftreten kann. Stärke des Sicherheitsmechanismus: „niedrig“ Der entsprechende Sicherheitsmechanismus hat gegen den definierten Angriff keine Wirkung, so dass ein Schaden auftreten kann. Der entsprechende Sicherheitsmechanismus ist eine Grundlage damit das Firewall-System überhaupt gegen Angriffe wirken kann. 38 Umfassendes Firewallsystem 1/3 Verschlüsselung Anti-Malware-System Intrusion Detection Systeme Personal Firewall nichttechnische Sicherheitsmaßnahmen Vertrauenswürdigkeit Audits Sicherheitspolitik sicherer Betrieb Wiederholen o. Verzögern von Protokollelementen ◕ Einfügen o. Löschen von Daten in den Protokollelementen ◕ Modifikation der Daten in den Protokollelementen ◕ Boykott des Receivers ◕ Trittbrettfahrer ◑ Empfangen von Malw are (Viren, Würmer, Trojanische Pferde,...)◕ ◕ ● ● ○ ● ○ ○ ○ ○ ○ ○ ◕ ○ ○ ○ ◑ ○ ○ ◔ ◔ ○ ◔ ◔ ● ○ ○ ○ ◕ ○ ◕ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Angriffsart High-level Security Firewall-System Sicherheitsaspekte eines umfassenden Firewallsystems Dr. Norbert Pohlmann, 2002 Angriffe durch einen Dritten ● sehr große Wirkung ◔ wenig Wirkung ◕ große Wirkung ○ keine Wirkung ◑ Wirkung ♦ Grundlage f.d. Wirkung 39 Dr. Norbert Pohlmann, 2002 ● sehr große Wirkung ◔ wenig Wirkung ◕ große Wirkung ○ keine Wirkung Intrusion Detection Systeme Personal Firewall nichttechnische Sicherheitsmaßnahmen Vertrauenswürdigkeit Audits Sicherheitspolitik sicherer Betrieb Aufbau u. Nutzung von Kommunikationsverbindungen Nutzung von Kommunikationsprotollen und –diensten Vortäuschen einer falschen Identität (Maskerade-Angriff) Java, ActiveX, ... Angriffe falsche Konfiguration/Implementierungsfehler Leugnen der Kommunikationsbeziehung Anti-Malware-System Angriffe durch den Transmitter Verschlüsselung Angriffsart Sicherheitsaspekte eines umfassenden Firewallsystems High-level Security Firewall-System Umfassendes Firewallsystem 2/3 ● ● ● ◕ ● ◑ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ◑ ◑ ◑ ◑ ○ ○ ◔ ◔ ◔ ● ◔ ○ ○ ○ ○ ◕ ○ ◕ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ◑ Wirkung ♦ Grundlage f.d. Wirkung 40 ● sehr große Wirkung ◔ wenig Wirkung ◕ große Wirkung ○ keine Wirkung nichttechnische Sicherheitsmaßnahmen Vertrauenswürdigkeit Audits Sicherheitspolitik sicherer Betrieb Nutzung einer falschen Konfiguration des Firew all-Systems Nutzung von Implementierungsfehlers des Firew all-Systems interne Angriffe Personal Firewall Dr. Norbert Pohlmann, 2002 Vorbereitung für Einbau einer Trap-Door Angriffe Intrusion Detection Systeme Social Engieering Analyse mit Hilfe von Scannerprogrammen Manipulation des Firew all-Systems Anti-Malware-System Bei diesem Angriff haben die nichttechnischen Sicherheitsmechanismen wie Aufklärung und Schulung eine sehr hohe Wirkung. Angriffsart Verschlüsselung Sicherheitsaspekte eines umfassenden Firewallsystems High-level Security Firewall-System Umfassendes Firewallsystem 3/3 ○ ● ● ○ ● ● ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ◑ ◑ ◔ ◑ ◑ ◕ ○ ○ ○ ○ ○ ○ ● ● ○ ◕ ○ ◕ ◕ ◕ ○ ♦ ♦ ● ○ ♦ ○ ♦ ♦ ● ○ ● ● ◔ ♦ ♦ ♦ ○ ♦ ♦ ♦ ♦ ♦ ♦ ○ ♦ ♦ ♦ ◑ Wirkung ♦ Grundlage f.d. Wirkung 41 Dr. Norbert Pohlmann, 2002 Weiterentwicklung von umfassenden Firewall-Systemen Integratives, zentrales Sicherheitsmanagement aller Sicherheitsmechanismen Immer höhere Geschwindigkeit bei immer höherem Schutzbedarf Zunehmende Innovationen Universelle Authentisierung Einheitliche Darstellung der Angriffe und Sicherheitsdienste/mechanismen Intrusion Detection Systems 42 Möglichkeiten und Grenzen von Firewall-Systemen Vielen Dank für Ihre Aufmerksamkeit Fragen ? [email protected]