In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Rechnernetze

Firewalls - Institut für Informatik

Werbung 
Firewalls und
Virtuelle Private Netze
Jürgen Quittek
Institut für Informatik
Freie Universität Berlin
Vorlesung Datensicherheit
C&C Research Laboratories
NEC Europe Ltd., Berlin
Institut für Informatik
Freie Universität Berlin
1-1
Firewalls
o
Eine Firewall ist ein Vermittlungsrechner zwischen dem
Internet und einem geschützten Bereich
o
Die Firewall beschränkt den Datenverkehr zwischen dem
Internet und dem geschützten Bereich
o
Zwei Arten
å Paketfilter
å Proxies
o
Firewalls arbeiten richtungsabhängig
å Firewalls für in den geschützten Bereich eingehenden Verkehr
å Firewalls für aus dem geschützten Bereich ausgehenden Verkehr
o
Oft mehrere Firewalls für verschachtelte geschützte Bereiche
Vorlesung Datensicherheit
Institut für Informatik
1
Freie Universität Berlin
1-2
Paketfilter
o
Die Aufgabe des Paketfilterns wird meist von einem Router
übernommen.
o
Filtert eingehende und ausgehende Pakete
o
Er verwirft Pakete abhängig von
å IP Adresse des Senders
å IP-Adresse des Empfängers
å Protokoll (TCP, UDP, ICMP)
å TCP/UDP Port des Senders
å TCP/UDP Port des Empfängers
å ICMP-Typ
å Eingangsnetzwerkkarte
å Ausgangsnetzwerkkarte
Vorlesung Datensicherheit
Internet
Filternder Router
Internes Netz
Institut für Informatik
Freie Universität Berlin
1-3
Proxy
o
Wird zwischen Client und Server eingefügt
o
Arbeitet als Server und als Client
o
Ist protokollspezifisch
o
Ist weitgehend transparent
o
Ist (sicherheitstechnisch)
nur dann sinnvoll, wenn er
nicht umgangen werden kann
o
o
Server
Internet
Proxy-Server
Für jeden Dienst ist ein
eigener Proxy erforderlich,
z.B. http, SMTP, NNTP
Internes Netz
Auch TCP-Proxies
Vorlesung Datensicherheit
Institut für Informatik
2
Freie Universität Berlin
1-4
Firewall-Entwurf 1:
Zweiarmige Firewall
o
Sparversion
o
Nicht sehr sicher:
Nach Einbruch in
Firewall-Rechner
sind alle Tore
Firewall
offen
Internet
Filternder Router
und Proxy-Server
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-5
Firewall-Entwurf 2: Router und
geschützter Rechner im internen Netz
o
Sparversion II
Internet
Firewall
Filternder Router
und Proxy-Server
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
3
Freie Universität Berlin
1-6
Firewall-Entwurf 3:
Entmilitarisierte Zone (DMZ)
o
Standardentwurf
o
Externer Web-Server und ftp-Server in DMZ
o
Internes Netz mit privaten Adressen
Internet
Firewall
WebServer
ProxyServer
Externer
Router
DMZ
Interner
Router
ftpServer
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-7
Firewall-Entwurf 4:
DMZ mit mehreren Proxies
o
Sicherer als Standardentwurf
Firewall
Internet
SMTP DNS WWW
Server Server Proxy
WebServer
Externer
Router
DMZ
Interner
Router
ftpServer
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
4
Freie Universität Berlin
1-8
Firewall-Entwurf 5:
DMZ mit nur einem Router
o
Etwas unhandlicher als Standardentwurf,
aber kaum weniger sicher
Internet
Firewall
WebServer
ProxyServer
Interner/
Externer
Router
DMZ
ftpServer
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-9
Firewall-Entwurf 6:
Externer Router mit Proxy-Server
o
Nicht ganz so sicher wie
Standardentwurf, aber
akzeptabel
WebServer
Internet
Firewall
DMZ
Externer
Router und
Proxy-Server
Interner
Router
ftpServer
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
5
Freie Universität Berlin
1-10
Firewall-Entwurf 7:
Interner Router mit Proxy-Server
o
Etwas unsicherer als Standard
o
Manchmal jedoch sinnvoll
Internet
WebServer
Firewall
DMZ
Externer
Router
Interner
Router und
Proxy-Server
ftpServer
Internes Netz
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-11
Firewall-Entwurf 8:
2 interne Netze mit 2 internen Routern
o
Ungeschickt, nicht zu empfehlen
Internet
Firewall
WebServer
ProxyServer
DMZ
ftpServer
Interner
Router 2
Interner
Router 1
Internes Netz 1
Vorlesung Datensicherheit
Externer
Router
Institut für Informatik
6
Internes Netz 2
Freie Universität Berlin
1-12
Firewall-Entwurf 9:
2 interne Netze mit 1 internen Router
o
Deutlich sicherer als Entwurf 8
Internet
Firewall
WebServer
ProxyServer
Externer
Router
DMZ
Interner
Router
ftpServer
Internes Netz 1
Vorlesung Datensicherheit
Institut für Informatik
Internes Netz 2
Freie Universität Berlin
1-13
Wrapper-Programme
o
Ein Wrapper-Programm kontrolliert den Zugang zu einem
oder mehreren anderen Programmen.
o
Es kann benutzt werden, um die Sicherheit des eingehüllten
Programms zu erhöhen.
o
Gründe für den Einsatz von Wrapper-Programmen
å Zugeschnittene Erhöhung der Sicherheit ohne Veränderung des
originalen Programms
å Konzeptionelle Trennung von Zugriffskontrolle und Funktion
å Konfiguration und Update von Wrapper-Programm und eingehülltem
Programm sind unabhängig voneinander
å Dasselbe Wrapper-Programm kann mehrere verschiedene andere
Programme einhüllen
Vorlesung Datensicherheit
Institut für Informatik
7
Freie Universität Berlin
1-14
Sendmail wrapper smap und smapd
o
smap arbeitet als SMTP server und schreibt alle empfangenen
E-mails als Dateien in ein Verzeichnis
o
smapd scannt regelmäig dieses Verzeichnis und filtert neu
eingetroffene E-mails bevor es sie an den echten SMTP Server
weiterleitet
o
Die Programme verhindern die direkte Verbindung zwischen
externem Client und SMTP Server
o
Die Zugriffskontrolle kann unabhängig von der Konfiguration
des SMTP Servers erfolgen
o
SMTP-Befehle VRFY und EXPN sind nicht mehr verfügbar
o
Keine Benutzung des ident-Dienstes
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-15
Nachtrag: ident-Dienst
(TCP Port 113)
o
Liefert auf Anfrage einen Verweis auf den Benutzer, der einen
bestimmten TCP oder UDP Port benutzt
o
Keine wirkliche Authentisierung
o
Der Verweis kann der Name des Benutzers sein, aber auch
verschlüsselt, um nur bei Bedarf entschlüsselt zu werden
o
Der Verweis kann richtig sein, aber auch falsch oder nicht
aussagekräftig (“Hillary Clinton”, “Bill Gates”)
o
Konflikt zwischen Authentisierung/Protokollierung und
Vertraulichkeit
o
Wird hauptsächlich innerhalb eines Systems von
vertrauenswürdigen Rechnern benutzt, um den Eintrittspunkt
eines Eindringlings zurückverfolgen zu können
Vorlesung Datensicherheit
Institut für Informatik
8
Freie Universität Berlin
1-16
tcpwrapper
o
Umhüllt TCP Serverprogramme
o
Anstelle der Serverprogramme wird bei einem
Verbindungsaufbau der tcpwrapper aufgerufen.
å sendet eine Meldung an den Client,
å führt rückwärts- und vorwärts-DNS Anfragen durch,
å vergleicht den Client-Rechner und den gewünschten Dienst mit
Zugangskontrolllisten (/etc/hosts.allow, /etc/hosts.deny),
å versucht den anfragenden Benutzer mit dem ident-Dienst zu bestimmen,
å schreibt einen Eintrag in die Logdateien des Systems,
å benachrichtigt den Systemadministrator
å ruft den eigentlich gewünschten Server auf oder eine Labor für die
Verhaltensforschung
o
Je nach Ergebnis der Tests schließt tcpwrapper die Verbindung
ohne den gewünschten Server aufzurufen.
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-17
SOCKS (TCP Port 1080)
o
SOCKS gibt Rechnern auf einer Seite eines SOCKS servers Zugang zu
Rechnern auf der anderen Seite ohne dass direkte IP Erreichbarkeit vorliegt.
o
Der SOCKS Server verbindet zwei Netzwerke, z.B. agiert er als Firewall.
o
Socks Clients nehmen Verbindungen mit dem Server auf, um mit Rechnern
auf der anderen Seite zu kommunizieren.
o
SOCKS arbeitet mit TCP-Verbindungen und UDP-Datagrammen.
o
SOCKS clients ersetzen die Systemaufrufe zur Socket-Bibliothek. Die
Ersatzaufrufe stellen eine Verbindung zum Server her, der dann die
gewünschte Verbindung mit dem Rechner auf der anderen Seite herstellt.
o
Bei der Anmeldung des Clienten kann eine Authentisierung verlangt werden.
o
“Socksifying” von Anwendungen durch Austausch gemeinsam genutzter
Bibliotheken.
Vorlesung Datensicherheit
Institut für Informatik
9
Freie Universität Berlin
1-18
Virtuelle Private Netze
Virtual Private Networks (VPN)
o
Begriffsbestimmungen
å privates Netz
å öffentliches Netz
å virtuelles privates Netz
å Intranet
å Extranet
å Access VPN (virtuelles
privates Zugangsnetz)
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-19
Begriffsbestimmung
Privates Netz
(WAN)
Virtuelles
Privates Netz
Hauptniederlassung
Hauptniederlassung
Standleitungen
Zweigstelle
Vorlesung Datensicherheit
Öffentl.
Netz
Zweigstelle
Zweigstelle
Institut für Informatik
10
Zweigstelle
Freie Universität Berlin
1-20
Ausgangspunkt:
Privates Netz mit Internetanbindung
Remote Office
ISP
Gateway
Firewall
Home Office
Internet
Security NAS
Server
Dialup
Users
DMZ
© 1999, Cisco Systems, Inc.
Corporate Intranet
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-21
VPN Grundlagen: Adressen
o
Öffentliches Netz (Internet)
å großer gemeinsamer Adressraum
o
(Virtuelles) Privates Netz
å eigener unabhängiger Adressraum
Privates Netz
A
C
Vorlesung Datensicherheit
Internet
B A
C
D
J
G
F H
Institut für Informatik
11
Privates
Netz
E F
D
Freie Universität Berlin
1-22
VPN Grundlagen: Tunnel
o
Private Adressen werden durch öffentliches Netz getunnelt.
o
Komplettes Paket des privaten Netzes (inklusive Kopf) wird als
Nutzlast eines IP-Pakets durch das öffentliche Netz
transportiert.
o
Transport beliebiger privater Netzprotokolle über das Protokoll
des öffentlichen Netzes.
priv.
Netz
Nutzlast Kopf
Nutzlast Kopf
priv.
Netz
Internet
Nutzlast Kopf Kopf
Nutzlast Kopf Kopf
neue Nutzlast
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-23
VPN Grundlagen: Verschlüsselung
o
Inhalt der getunnelten Pakete soll im Internet geschützt sein.
⇒
Verschlüsselung von Nutzlast und privatem Kopf
priv.
Netz
Nutzlast Kopf
priv.
Netz
Nutzlast Kopf
Internet
Nutzlast
Kopf
Nutzlast
Kopf
neue Nutzlast
Vorlesung Datensicherheit
Institut für Informatik
12
Freie Universität Berlin
1-24
Intranet:
VPN zur Anbindung von Zweigstellen
Remote
Office
ISP
Gateway
Firewall
Security
Server
Remote
Office
© 1999, Cisco Systems, Inc.
ISP Network
Vorlesung Datensicherheit
DMZ
Corporate Intranet
Institut für Informatik
Freie Universität Berlin
1-25
Extranet: VPN zur Anbindung
von Geschäftspartnern
Supplier
ISP
Gateway
Firewall
Security
Server
Supplier
© 1999, Cisco Systems, Inc.
ISP Network
Vorlesung Datensicherheit
DMZ
Institut für Informatik
13
Corporate Intranet
Freie Universität Berlin
1-26
Access VPN:
Einwahldienst in’s Intranet
Home Office: Dial
ISDN, xDSL, Cable
ISP
Gateway
Firewall
POP
Security
Server
© 1999, Cisco Systems, Inc.
ISP Network
Vorlesung Datensicherheit
DMZ
Institut für Informatik
Corporate Intranet
Freie Universität Berlin
1-27
Privates WAN contra VPN:
Kosten
WAN
o
VPN
Festes WAN
o
å Standleitungen:
entferungsabhängiger Preis
o
Feste VPN-Anbindung
+ ISDN: Ortstarif
+ Kurze Standleitung zum nächsten
POP
Mobiler Zugang
å Ferngespräche zur
Hauptniederlassung
Vorlesung Datensicherheit
o
Mobiler Zugang
+ Ortspräche zum ISP
Institut für Informatik
14
Freie Universität Berlin
1-28
Privates WAN contra VPN:
Sicherheit
WAN
VPN
–
+
Weitgehend gewährleistet durch
Standleitungs- und TelefonDienstanbieter
Vorlesung Datensicherheit
Zahlreiche potentielle
Sicherheitslücken
• Beobachtung des
Datenverkehrs (sniffing)
• Lesen von Paketen (snooping)
• Abfangen von Paketen
• Ermitteln von Adressen
• Datenfälschung
• Session hijacking
• Einbruch in’s Intranet
Institut für Informatik
Freie Universität Berlin
1-29
Privates WAN contra VPN:
Erweiterbarkeit
WAN
VPN
–
Aufwendig
–
Skalierbarkeit begrenzt
Vorlesung Datensicherheit
+
Institut für Informatik
15
Problemlos
Freie Universität Berlin
1-30
Privates WAN contra VPN:
Weitere Unterschiede
WAN
VPN
+
Fehleranfälligkeit gering
–
Fehleranfälligkeit hoch
–
Fehlertoleranz gering
+
Fehlertoleranz hoch
+
Kontrolle vollständig bis auf
Stand- und Telefonleitungen
–
Kontrolle vollständig bis auf
Internet-Tunnel
·
+
·
weitgehend Unkritisch
QoS Gewährleistung zwischen
Benutzerpaaren
Vorlesung Datensicherheit
–
Kontrolle des kritischsten Teils
nicht gegeben
bei IP: QoS Gewährleistung nur
in Ausnahmen und nur sehr
beschränkt (zumindest bisher)
Institut für Informatik
Freie Universität Berlin
1-31
Sicherheit
o
Verschlüsselung
å symmetrisch (private key)
å asymmetrisch (public key)
o
Authentisierung
å digitale Unterschrift
å Password Authentication Protocol (PAP)
å Challenge Handshake Authentication Protocol (CHAP)
Vorlesung Datensicherheit
Institut für Informatik
16
Freie Universität Berlin
1-32
Authentisierung für
VPN-Zugangskontrolle
o
Verfahren
å PAP (Password Authentication Protocol)
å CHAP (Challenge Handshake Authentication Protocol)
o
Systeme
å RADIUS (Remote Authentication and Dial-In User Service)
• RADIUS client handles encrypted PAP,
• optional CHAP directly with RADIUS server
å TACACS (proprietary to Cisco)
å Kerberos
• also key manager, passes ‘tickets’ to users
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-33
Password Authentication Protocol
(PAP)
o
Authentisierung durch Benutzername und Passwort
Anna
ISP NAS
ISP Benutzername,
Passwort
Datenbank
für Benutzer
und
Zugangsberechtigungen
Zugang
ISP Benutzername,
Passwort
Internet
Zugang
Vorlesung Datensicherheit
VPN
Server
(Firewall)
Institut für Informatik
17
Datenbank
für Benutzer
und
Zugangsberechtigungen
Freie Universität Berlin
1-34
Challenge Handshake Authentication
Protocol (CHAP)
o
Überprüfung durch zusätzliche Abfrage geheimen Wissens
Anna
ISP NAS /
VPN Server
ISP Benutzername,
Passwort
Datenbank
für Benutzer
und
Zugangsberechtigungen
Challenge
Response
Zugang
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-35
Tunnel
o
ISP realisiert Tunnel (meist paketorientiert)
Anna
ISP1 NAS
Tunnel
Protokoll
o
VPN Server
Tunnel
Protokoll
Internet
Benutzer realisiert Tunnel (meist anwendungsorientiert)
Anna
ISP1 NAS
Internet
Vorlesung Datensicherheit
Institut für Informatik
18
VPN Server
Tunnel
Protokoll
Freie Universität Berlin
1-36
Tunnel-Protokolle
(Protokollpakete)
o
Paketorientiert
å PPTP (Point-to-Point Tunneling Protocol)
å L2TP (Layer 2 Tunneling Protocol)
å AltaVista Tunneling Protocol
å IPSec
o
Anwendungsorientiert
å SSH - Secure SHell
å SOCKS
å Sun.NET
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-37
PPTP
(Point-to-Point Tunneling Protocol)
o
PPTP setzt auf PPP (Point-to-Point Protocol) auf.
o
PPP ist ein Standard für Einwählverbindungen.
o
PPTP realisiert ein PPP vom Einwählenden direkt zum VPN
Server.
Anna
PPTP
/ PPP
ISP1 NAS
PPTP
Anna
PPTP
VPN Server
PPP
Vorlesung Datensicherheit
VPN Server
Internet
erscheint wie
Institut für Informatik
19
PPP
Freie Universität Berlin
1-38
PPTP
(Point-to-Point Tunneling Protocol)
o
PPTP verschlüsselt PPP-Pakete (keine IP Pakete).
o
Dadurch auch für IPX, AppleTalk, u.a. geeignet.
priv.
Netz
Nutzlast Kopf
priv.
Netz
Nutzlast Kopf
Internet
Nutzlast
Kopf
Nutzlast
Kopf
neue Nutzlast
o
Verschlüsselung mit DES (Microsoft) oder RC4
o
Produkte: Windows 95/98, NT4.0, . . .
o
Probleme
å AOL und Compuserve filtern PPTP-Pakete heraus
å Sicherheitsbedenken bei Microsoft-Version
å hohe Rechenlast für Ver- und Entschlüsselung
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-39
L2TP und AltaVista TP
o
L2TP (Layer 2 Tunneling Protocol) ersetzt PPTP.
å L2TP ist standardisiert.
å Arbeitet nicht nur über IP-Netze, sondern auch über ATM, SONET/SDH, und
Frame Relay.
å Akzeptiert von Microsoft.
å Die Kombination mit IPSec wird in Zukunft vermutlich der dominierende
Standard.
o
AltaVista Tunneling Protocol
å Proprietäres System von Digital Equipment Corporation
å Vergleichbar mit L2TP, PPTP, aber komplett spezifiziert
å Verschlüsselung mit RSA für Authentisierung und RC4 für Datenübertragung
Vorlesung Datensicherheit
Institut für Informatik
20
Freie Universität Berlin
1-40
IPSec
o
Großes Bündel von Standards und Protokollen
o
Erweiterung von IPv4, integriert in IPv6
Encapsulating Security
Payload (ESP)
o
Authentication
Header (AH)
IP Header
Authentication Header (kann entfallen)
å enthält digitale Unterschrift
å gibt dafür Schlüssel und Methode an
o
Encapsulating Security Payload
å enthält verschlüsselte Daten
å gibt dafür Schlüssel und Methode an
å enthält Authentisierung fuer Daten (kann entfallen)
Vorlesung Datensicherheit
Institut für Informatik
Freie Universität Berlin
1-41
Anwendungsorientierte
Tunnel-Protokolle
o
SSH (Secure SHell)
å Kein Tunnel, nur Verschlüsselung
å RSA für Authentisierung Schlüsselübertragung
und digitale Unterschrift,
å Triple-DES und andere für Daten
o
SOCKS
å
å
å
å
o
Tunnel auf Socket-Ebene (Sitzungsschicht)
verhandelbare Verschlüsselung
im Unterschied zu IPSec auch ohne Verschlüsselung
Auch als Firewall nutzbar
Sun.NET
å Access VPN
å Java-basiert, plattformunabhängig
Vorlesung Datensicherheit
Institut für Informatik
21
Freie Universität Berlin
1-42
Herunterladen
Werbung