Firewalls
Werbung
Proseminar Electronic Banking und Digitale Unterschriften Firewalls Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg Übersicht ➲ Einleitung ➲ Grundlagen ➲ Firewall – Bestandteile ● Paketfilter ● Bastion Host Firewall – Architekturen ➲ ➲ ● Dual – Homed Host ● Screened Host ● Screened Subnet Personal Firewalls Einleitung ➲ Was ist eine Firewall? ➲ Wozu werden Firewalls gebraucht? Einleitung Was ist eine Firewall? ➲ Ein System, das den Datenverkehr zwischen einem zu schützenden Netz (z.B. LAN) und einem unsicheren Netz (z.B. Internet) gemäß festgelegter Sicherheitsregeln überwacht, kontrolliert und protokolliert. Einleitung Wozu werden Firewalls gebraucht? ➲ Schutz vor Ausspionieren sicherheitsrelevanter, firmeninterner Daten (Industriespionage) ➲ Schutz vor Abhören von Fremdnetzen bzw. Fremdpersonen mit dem Zweck an persönliche Daten und Passwörter zu gelangen Grundlagen ➲ OSI/ISO – Schichtmodell ➲ OSI/ISO vs TCP/IP – Schichtmodell ➲ Protokollverteilung ➲ TCP – Segment ➲ 3-Wege-Handshake ➲ UDP – Segment ➲ TCP/ UDP – Portnummern ➲ IP – Segment ➲ IP – Adressen ➲ Kapselung von Daten Grundlagen OSI/ISO - Schichtmodell Das, was der Anwender sieht,Explorer, Dateimanager usw. Fast jeder Rechner hat sein eigenes Datei format.Die Darstellung schicht wandelt diese Daten in ein einheitliches Format um. Steuert die An- u. Abmeldung von Benutzern eines Systems Organisation der Auslieferung / Sicherung des Datentransportes mit TCP/UDP Hier werden IP - Adressen festgelegt (Weg findung der Datenpakete (Routing)) Die Daten, die zwischen 2 Stationen ausgetauscht werden, werden mit einem fehlerkorrigierenden Protokoll übertragen. Hier sind beispielsweise festgelegt: Kabeldicken, Kabellängen, Spannung oder auch die Distrubition der Bit - Übertragung sowie die "MAC" Adresse (12-stellig) OSI – Open System Interconnect ISO – International Standard Organisation Grundlagen OSI/ISO vs TCP/IP - Schichtmodell Grundlagen Protokollverteilung Telnet – Network Termination Protocol FTP – File Transfer Protocol SMTP – Simple Mail Transfer Protocol HTTP – Hyper Text Transfer Protocol TCP – Transmission Control Protocol UDP – User Datagramm Protocol IP – Internet Protocol ICMP – Internet Control Message Protocol ARP – Address Resolution Protocol PPP – Point-to-Point Protocol Grundlagen TCP - Segment Transmission Control Protokoll ➲ Ist für den ordnungsgemäßen Austasch der Daten zwischen Sender und Empfänger zuständig ➲ Ist ein zuverlässiges verbindungsorientiertes Byte-Stream-Protokoll ➲ Arbeitet mit 3-Wege-Handshake ➲ Durch die Quell- / Zielportnummer werden die Daten an die richtige Anwendung in der Anwendungsschicht weitergeleitet Grundlagen 3-Wege-Handshake Grundlagen UDP - Segment User Datagramm Protokoll ➲ Ist ein „unzuverlässiges“ verbindungloses Datagramm-Protokoll ➲ Quell- und Zielportnummer sind wieder für die richtige Übergabe an die richtige Anwendung zuständig ➲ Ist für kleine Datenmengen und für Frage-Antwort-Nachrichen geeignet ➲ Ist bei kleinen Datenmengen zeitmäßig und verwaltungstechnisch effizienter als TCP weil kein Verbindungsaufbau etabliert werden muß Grundlagen TCP/ UDP - Portnummern 7 TCP/UDP ECHO 20 TCP FTP-DATA - File Tranfer Protocol (Datenverbindung) 21 TCP FTP - File Transfer Protocol (Kontrollverbindung) 23 TCP TELNET - Rechnerfernsteuerung (Unix-Welt) 25 TCP SMTP - Simple Mail Transfer Protocol (E-Mail versenden) 53 TCP/UDP DNS - Domain Name System 79 TCP finger - Abfrage von Informationen 80 TCP HTTP - Hyper Text Transfer Protocol (World Wide Web) 110 TCP POP3 - Post Office Protocol 3 (E-Mail abholen) 137 TCP/UDP NETBIOS Name Service 138 UDP NETBIOS Datagram Service 139 TCP NETBIOS Session Service 389 TCP LDAP - Lightweight Directory Acess Protokoll 443 TCP HTTPS - HTTP über gesicherte Verbindung (SSL) 500 UDP ISAKMP - IKE Internet Key Exchange Grundlagen IP - Segment Internet Protokoll ➲ „unzuverlässiges“ verbindungsloses Protokoll ➲ Definition des Datagramms, der kleinsten Übertragungseinheit im Internet ➲ Festlegung des Adressierungsschemas im Internet ➲ Datentransport zwichen Netz- und Transportschicht ➲ Routing von Datagrammen zu fernen Rechnern ➲ Fragmentierung und Defragmentierung von Datagrammen Grundlagen IP - Adressen Klasse Bits im 1.Byte A B C D&E 0xxxxxxx 10xxxxxx 110xxxxx 111xxxxx Netzadreßbereich 0.0.0.0 – 127.0.0.0 128.0.0.0 – 191.255.0.0 192.0.0.0 – 223.255.255.0 224.0.0.0 – 255.255.255.0 Netzanteil Rechneranteil Anzal der Anzahl der Rechner Netze pro Netz 1 Byte 3 Byte 128 16777216 2 Byte 2 Byte 16128 65536 3 Byte 1 Byte 20977152 256 speziell / für Multicasting reserviert ➲ Jeder Rechner bekommt eindeutige IP-Adresse von seinem Netzbetreiber zugewiesen ➲ Bei Netzen können ganze Adressräume zugewiesen werden ➲ Der Administrator kann dann die einzelnen Adressen des Adressraums auf die einzelnen Rechner des Netz verteilen Grundlagen Kapselung der Daten Firewall - Bestandteile ➲ Paketfilter ● Was ist ein Paketfilter? ● Selektionskriterien ● Beispiel: SMTP - Versand ● Vor- und Nachteile Bastion Host ➲ ● Was ist ein Bastion Host? ● Proxy – Dienste Paketfilter Was ist ein Paketfilter? ➲ Steuert selektiv den Datenfluß von und zu einem Netz ➲ Läßt Pakete zwischen zwei Netzen (meißt Internet und einem internen Netzwerk) passieren oder blockiert sie ➲ Ein vorher aufgestelltes Regelwerk, die sogenannte Access Control List (ACL) selektiert die Pakete ➲ Wird mit Hilfe von Routern oder auch Hosts realisiert Paketfilter Selektionskriterien ➲ IP Quell- / Zieladresse ➲ Protokoll (ob es TCP- / UDP- oder ICMP-Paket ist) ➲ TCP- oder UDP- Quell- / Zielport ➲ Kontrollbits im TCP - Segment ➲ ICMP Nachrichtentyp ➲ In- / Out- Schnittstelle eines Pakets ➲ Es gibt 2 verschiedene Herangehensweisen (Politik) ● Es ist alles erlaubt, was nicht ausdrücklich verboten ist ● Es ist alles verboten, was nicht ausdrüchlich erlaubt ist Paketfilter Paketfilter Paketfilter Paketfilter Paketfilter Paketfilter Paketfilter Vor- und Nachteile Vorteile: ➲ ● ● ● ● Durch einen Paketfilter kann man sehr einfach selektiv bestimmte Dienste, Rechner oder ganze Teilnetze freischalten. Die Kosten für eine solche Lösung sind sehr gering, da fast alle Router derartige Filterfunktionen schon eingebaut haben. Der technische Aufwand, der für diese Lösung betrieben werden muss ist ebenfalls im unteren Bereich anzusiedeln. Für den Benutzer stellt sich ein Paketfilter meist völlig transparent dar. Nachteile: ➲ ● ● ● Die Filterregeln können bei größeren Netzen sehr schnell unübersichtlich werden, was der Sicherheit wiederum abträglich ist. Eine Überprüfung der Regeln ist meist sehr aufwendig. Es stellt sich dem potentiellen Angreifer nur eine Sicherheitsbarriere (Paketfilter) in den Weg, danach ist das ganze lokale Netz ungeschützt. Es kann keine Kontrolle der Nutzdaten erfolgen. Bastion Host Was ist ein Bastion Host? ➲ Erster oder einziger Rechner der aus dem Internet erreichbar ist ➲ Höchste Hostsicherheit ist erforderlich ➲ Softwareausstattung sollte so einfach wie möglich gehalten werden (Minimalsystem/Least Privilege) ➲ Erbringt und leitet Internetdienste weiter ➲ Benutzeraccounts sollten nicht eingerichtet werden ➲ Darf nicht die Funktionalität eines Routers erfüllen ➲ Übernimmt oftmals die Protokollfunktionen (Logging/Auditing) Bastion Host Proxy / Gateway Dienste ➲ Es könnten Proxy-Dienste auf dem Bastion Host eingerichtet werden: ● E-Mail, Http, Ftp oder ahnliche Dienste ➲ Circuit-Level-Gateways: ● überwacht 3-Wege-Handshake des TCP ➲ Aplikation-Level-Gateway: ● spezielle Anwendungen können Dateninhalte und Authentisierung von Benutzern überwachen Firewall – Architekturen ➲ Dual - Homed Host ● ● ➲ Screened Host ● ● ➲ Was ist Dual - Homed Host? Vor- und Nachteile Was ist Screened Host? Vor- und Nachteile Screened Subnet ● ● Was ist Screened Subnet? Vor- und Nachteile Dual - Homed Host Was ist Dual - Homed Host? ➲ Vereinigt Gateway und Paketfilter ➲ Es darf allerdings kein Routing stattfinden ➲ Arbeitet auf Anwendungsebene Dual - Homed Host Vor- und Nachteile Vorteile: ➲ ● ● ● ● Es kann hierbei eine vollständige Kontrolle der Verbindungen erfolgen, da auf Anwendungsebene gearbeitet wird. Der Konfigurationsaufwand hält sich in Grenzen, da nur ein Rechner die Firewall bildet. Die Kontrolle der Verbindungen kann hierbei inhaltsbezogen durchgeführt werden. Es kann die Identität der dahinterliegenden Rechner verborgen werden. Nachteile: ➲ ● ● ● ● ● Es entsteht ein Mehraufwand, da für jeden Internetdienst, evtl. ein eigener Proxy-Server installiert werden muss. Die Firewall verhält sich dem Benutzer gegenüber nicht mehr transparent. Die Clientprogramme müssen dafür ausgelegt sein. Nur der Dual-Homed Host trennt das lokale Netz vom Internet, so ist beispielsweise ein Abhören der internen Kommunikation möglich, falls der Host durch einen Angreifer eingenommen wurde. Es müssen evtl. Leistungseinbußen durch den potentiellen Engpass DualHomed Host in Kauf genommen werden. Screened Host Was ist Screened Host? ➲ ➲ ➲ Besteht aus Paketfilter und im internen Netz liegenden Bastion Host Der Paketfilter leitet nur Pakete an den Bastion Host weiter und läßt auch nur Pakete aus dem internen Netz vom Bastion Host passieren Keine direkte Kommunikation zwischen lokalem Client und Internet möglich Screened Host Vor- und Nachteile Vorteile: ➲ ● ● ● ● ● Bastion-Host und Paketfilter sind verschiedene Maschinen. Es entsteht hier ein geringer zusätzlicher Routingaufwand, um die Daten zusätzlich durch den Bastion-Host zu schicken. Der Bastion-Host selbst wird gegenüber dem Internet vom Paketfilter geschützt. Es können auch mehrere Bastion-Hosts eingesetzt werden, falls die Last zu groß werden sollte. Der Router verteilt die Pakete dann dienstabhängig. Ein Router ist wesentlich leichter zu verteidigen, da er nur eine überschaubare Funktionalität besitzt. Nachteile: ➲ ● ● ● Der Bastion-Host ist immer noch absolut entscheidend für die Sicherheit des lokalen Netzes. Das Anbieten von Diensten an das Internet stellt eine potentielle Gefahr dar, da der Server sich im lokalen Netz befinden würde. Auch vom lokalen Netz aus sind Angriffe auf die Firewall denkbar, da versucht werden könnte, den Bastion-Host zu umgehen. Screened Subnet Was ist Screened Subnet? ➲ Es kommen zwei Paketfilter zum Einsatz (intern/extern), der Bastion Host befindet sich zwischen den beiden Paketfiltern ➲ Der externe Router läßt nur Pakete vom Bastion Host nach außen und der interne nach innen und umkehrt lassen die Router nur Pakete vom Bastion Host passieren Screened Subnet Vor- und Nachteile Vorteile: ➲ ● ● ● ● ● ● Durch die beiden Router wird eine sehr hohe Sicherheit erreicht. Es gibt hier Logging-Möglichkeiten für nahezu jeden Angriff. Die Rechner des lokalen Netzes können nur mit dem Bastion-Host kommunizieren Die potentiellen Angriffsmöglichkeiten werden auf den Bastion-Host eingeschränkt. Es kann kein Abhören des lokalen Datenverkehrs stattfinden, da dies der interne Router verhindert. Es werden eine Reihe von Abwehrmaßnahmen möglich. Nachteile: ➲ ● ● Es wird ein hoher materieller Aufwand benötigt, da zwei Router und eine DMZ benötigt werden. Auch der wartungstechnische Aufwand steigt. DMZ – Demilitarized Zone: ist der Netzstrang zwischen den beiden Routern Personal Firewalls ➲ Ist eine softwaremäßige Lösung der Firewalls, die bei Einzelrechnern, wie z.B.: private Anwender oder bei nichtzentralen Internetzugang bei Firmen ➲ Meißt bedienerfreundliche Benutzeroberfläche und typische Standardeinstellungen, da die Anwender nicht unbedingt etwas von Protokollen usw. verstehen müssen ➲ Man kann den Datenverkehr ähnlich wie beim Paketfilter selektiv beeinflussen ➲ Bekannte Produkte sind z.B.: ● ● ● ● McAffee Desktop Firewall Norton / Symantec Personal Firewall Tiny Personal Firewall ZoneAlarm Literatur Bücher: ➲ ● ● ● Building Internet Firewalls; D. Brent Chapman & Elizabeth D. Zwicky; O’Reilly 1995 Firewalls und Sicherheit im Internet; William R. Cheswick, Steven M. Bellovin; Addison-Wesley 1996 Sicherheitskonzepte für des Internet; Martin Raepple; dpunkt.verlag 2001 ➲ Script Rechnernetze Prof. Hübner ➲ Internet: ● ● ● ● ● ● http://danae.uni-muenster.de/~lembeck/lehre/ws02/seminar/13_krimpmann.pdf http://www.informatik.uni-hamburg.de/RZ/lehre/18.415/Seminararbeit/7_Firewalls.pdf http://www.computec.ch/dokumente/unsortiert/netzwerksicherheit_durch_Firewalls.pdf http://www.ifi.unizh.ch/ikm/Vorlesungen/KommSeminar00/KommSeminar00/Dokuments/firewalls.pdf http://www.gi-ev.de/praxis/hit/firewalls.zip http://www.at-mix.de/iso_osi.htm
