ro Con InformationsTechnologie Next Generation Firewalls Moderner Schutz sensitiver Netzwerkbereiche Christian Rost ro Con InformationsTechnologie Warum Netzwerksicherheit? ● Schutz der Unternehmenswerte wie Daten und Hardware ● Kontrolle des Datenflusses ● Priorisierung von Diensten/ Anwendungen ● Erfüllung rechtlicher Vorgaben ● Erfüllung der Vorgaben von Partnern ● Erfüllung des Datenschutzes ● ... Christian Rost ro Con InformationsTechnologie Warum besteht Handlungsbedarf? ● Die Bedrohungslage verändert sich [Mandiant Report] ● Angriffe werden komplexer/ vielschichtiger/ gezielter [APT] ● Der klassische Perimeter ist nicht mehr eindeutig bestimmbar ● Angriffe erfolgen nicht mehr ausschließlich außen ● Netzwerke mit unterschiedlichen Sicherheitsanforderungen ● ... Christian Rost ro Con InformationsTechnologie Evolution der Firewall-Systeme 3.0 Next Generation Firewall [NGFW] 2.2 Unified Threat Management [UTM] 2.1 Application Level Gateway [ALG] 2.0 Stateful Packet Inspection [SPI] 1.0 Paketfilter [PF] Christian Rost ro Con InformationsTechnologie Evolution der Firewall-Systeme TCP/IP 1.0 2.0 2.1/ 2.2 3.0 Applikationserkennung Protokollvalidierung 4 Anwendungsschicht 3 Transportschicht 2 Vermittlungsschicht 1 Paketfilter Einige Applikationen Deep-PaketInspection AV, IDS/ ISD/ IPS, Webfilter AV, IDS/ ISD/ IPS, Webfilter Stateful Inspection Stateful Inspection Stateful Inspection Paketfilter Paketfilter Paketfilter Sicherungsschicht Christian Rost ro Con InformationsTechnologie Evolution der TCP/IP Paketfilter 1995 1999 2001 2014 Ipfw ipchains iptables nftables Christian Rost ro Con InformationsTechnologie Firewalls Beispiele zur Einsatzumgebung Christian Rost ro Con InformationsTechnologie Einsatzumgebung von Firewalls ● Schutz des Perimeters ● Steuerung des Datenflusses/ Priorisierung von Diensten ● Zugriffsregelung mobiler Benutzer ● Schutz der Produktion/ der Unternehmenswerte ● Segmentierung des internen Netzwerks ● Schutz des Management-Netzwerks ● ... Christian Rost ro Con InformationsTechnologie Firewall - einstufig Internet Christian Rost ro Con InformationsTechnologie Firewall – einstufig mit DMZ Internet Christian Rost ro Con InformationsTechnologie Firewall - zweistufig Internet Firewall Firewall Christian Rost ro Con InformationsTechnologie Firewall – zweistufig mit DMZ Internet Firewall Firewall Christian Rost ro Con InformationsTechnologie Firewall – Netzwerksegmentierung Firewall Internet Firewall Firewall Christian Rost ro Con InformationsTechnologie Der Paketfilter Funktionsweise der klassischen Firewall Christian Rost ro Con InformationsTechnologie Aufbau des TCP/IP-Protokolls 4 Anwendungsschicht 3 Transportschicht 2 Vermittlungsschicht 1 Sicherungsschicht HTTP, FTP, SMTP, ... Daten TCP, UDP, ICMP Header, Daten IP Header x2, Daten Ethernet, PPP, ... Header x3, Daten Christian Rost ro Con InformationsTechnologie Teile eines TCP/IP-Pakets Sicherungsschicht Vermittlungsschicht Transportschicht Anwendungsschicht Ziel-MAC Quell-MAC Ziel-IP Quell-IP Ziel-Port Quell-Port Daten Christian Rost ro Con InformationsTechnologie Iptables Beispielregeln ## setzen der standard Policy iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ## Definition der CHAINS iptables -N input-intern ... ## Verzweigen in die CHAINS iptables -A INPUT -s $GREEN_NET -d $GREEN_IP -i $GREEN_NIC ... iptables -A INPUT -j input-intern -j DROP ## CHAIN in-int iptables -A input-intern -p tcp --dport $HTTP -m state --state NEW -j ACCEPT iptables -A input-intern -p tcp --dport $HTTPS -m state --state NEW -j ACCEPT ... iptables -A input-intern -j LOG --log-prefix "[fwlog:in-int] Ende: " iptables -A input-intern -j REJECT Christian Rost ro Con InformationsTechnologie Auslaufmodell: Der reine Paketfilter ● Kontrolle nur über TCP/IP Header (MAC, IP, Port, Status, Protokoll) ● Anwendungsdaten sind nicht kontrollierbar (Web 2.0, Skype, ...) ● Aktuelle Angriffe erfolgen über Anwendungsdaten (Mail, Web, ...) ● Aktuelle Angriffe erfolgen über einen langen Zeitraum ● Keine Erkennung von Angriffsmustern ● ... Christian Rost ro Con InformationsTechnologie Christian Rost ro Con InformationsTechnologie Die Zukunft Next Generation Firewall [NGFW] Christian Rost ro Con InformationsTechnologie Wie entwickelte sich die NGFW? ● 2009 berichtet Gartner über die Zukunft der Firewall-Systeme ● 2010 wurden NGFW zu einem Hype-Thema ● 2010 und später - alle bekannten Hersteller bieten NGFW an ● NGFW basieren meist auf bestehenden Produkten ● NGFW werden von jedem Hersteller anders ausgelegt ● NGFW Neuentwicklungen bieten nur 2 Hersteller an ● Der Begriff „Next Generation Firewall“ ist nicht geschützt Christian Rost ro Con InformationsTechnologie NGFW – eine Definition ● Identifikation der Anwendung, unabhängig vom Port, Protokoll, … ● Klassische Firewall-Funktionen (Paketfilter, VPN, …) sind integriert ● Applikationen und individuelle Funktionen werden erfasst ● Benutzer und -gruppen sind integrierter Bestandteil der Firewall-Regeln ● Erkennung von Angriffen und Einleitung von Gegenmaßnahmen ● Integration sämtlicher Sicherheitsfunktionen in die Firewall-Regeln ● Ausreichend Bandbreite zur Kontrolle von Gigabit-Verbindungen Christian Rost ro Con InformationsTechnologie Unified Threat Mangement [UTM] ● Eine UTM ist die Weiterentwicklung des Applikation-Level-Gateway ● UTM sind bewährt und ausgereift ● Ein Paket durchläuft mehrere eigenständige Filter ● Sicherheitsfunktionen sind teilweise in Firewall-Regeln integriert ● Die Anwendungskontrolle erfolgt in eigenständigen Modulen ● Die Malware-Analyse erfolgt offline/ mit der vollständigen Datei Christian Rost ro Con InformationsTechnologie Magic Quadrant for Enterprise Firewalls As the firewall market evolves from stateful firewalls to NGFWs, other security functions (such as network IPSs) and full-stack inspection, including applications, will also be provided within an NGFW. The NGFW market will eventually subsume the majority of the stand-alone network IPS appliance market at the enterprise edge. This will not be immediate, however, because many enterprise firewall vendors have IPSs within their firewall products that are competitive with standalone IPS appliances, and are resisting truly integrating the functions and instead colocate them within the appliance. …. (Quelle: Gartner - Magic Quadrant for Enterprise Firewalls, December 14, 2011) Christian Rost ro Con InformationsTechnologie NGFW – Single-Pass Engine Bild: Adyton Systems Christian Rost ro Con InformationsTechnologie UTM – Multi-Pass Engine Bild: Adyton Systems Christian Rost ro Con InformationsTechnologie NGFW vs. UTM Funktion NGFW UTM Firewall/ VPN IPS AV Webfilter Application Detection Email Security DLP Stream Based Malware-Scanning Proxy/ File Based Malware-Scanning Protocol Decoder Christian Rost ro Con InformationsTechnologie Stream vs. File Based Detection Eigenschaft Stream Proxy Geringe Latenz (Datei-Download) Erkennungsrate Prüfung ohne maximale Dateigröße Prüfung komprimierter Daten Prüfung von HTML, JavaScript, … Prüfung von PDF, Office, … Prüfung verschlüsselter Dateien Prüfung von SSL-Verbindungen [MITM] ... Christian Rost ro Con InformationsTechnologie Protocol Decoder Funktion HTTP FTP DNS ICMP SIP IMAP SMTP SSL ... Option payload, request, response argument, command, file payload, answer, query payload, data, type, ... payload, body, toURI, ... payload, user, imf-... payload, from, to, imf-... payload, commenName, ... NGFW UTM Christian Rost ro Con InformationsTechnologie Detecting the user ● Anwender werden auf eine IP-Adresse umgesetzt ● Direkte Authentifizierung an einem Captive-Portal (HTTP) ● Auswertung von Anmeldungen (Exchange, AD, eDirectory, …) ● Auswertung von Syslogeinträgen (Linux, diverse Appliances, …) ● Auswertung sonstiger Quellen per XML, … ● Überwachung von Terminaldiensten/ von Clients ● Integration von Verzeichnisdiensten (AD, LDAP, ...) Christian Rost ro Con InformationsTechnologie IPv6 ● IPv6 wird bereits (unbewusst) produktiv eingesetzt ● Firewalls/ UTM unterstützen IPv6 uneinheitlich ● Im ungünstigsten Fall ist IPv6 aktiv und wird nicht gefiltert ● Filterregeln müssen für IPv4 und IPv6 erstellt werden ● 6[in|over|to]4 Tunnel sollten gefiltert werden/ blockiert werden ● IPv6 Wissen ist notwendig Christian Rost ro Con InformationsTechnologie Betriebsmodus - Bridge ● Transparent im Netzwerk ● Broadcasts bleiben erhalten ● Keine zusätzliche Verwaltungssysteme in Netzwerksegmenten ● Keine Umstellung der Netzwerk-Infrastruktur ● Nachträglich integrierbar ● Routing ist nicht erforderlich Christian Rost ro Con InformationsTechnologie Betriebsmodus - Router ● Wird im Netzwerk als Router eingesetzt ● Broadcasts bleiben nicht erhalten ● zusätzliche Verwaltungssysteme in Netzwerksegmenten ● Umstellung der Netzwerk-Infrastruktur erforderlich ● Routing ist erforderlich Christian Rost ro Con InformationsTechnologie NGFW oder UTM? ● Eine UTM ist keine NGFW, enthält aber einige NGFW Eigenschaften ● NGFW und UTM verfolgen unterschiedliche Ziele ● UTM werden bevorzugt am Perimeter/ in erster Reihe eingesetzt ● NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt ● NGFW bieten eine weitere Option für die Netzwerksicherheit ● NGFW ermöglichen UTM Sicherheitsfunktionen im LAN ● UTM und NGFW werden koexistieren und sich ergänzen Christian Rost ro Con InformationsTechnologie Anwendungsbeispiele Next Generation Firewall [NGFW] Christian Rost ro Con InformationsTechnologie Mobile Mitarbeiter – fast richtig Internet UTM/ NGFW Christian Rost ro Con InformationsTechnologie Mobile Mitarbeiter - richtig Internet Firewall/ UTM NGFW Christian Rost ro Con InformationsTechnologie Netzwerksegmentierung - Konzept NGFW NGFW NGFW Internet NGFW NGFW VPN-Gateway/ UTM Christian Rost ro Con InformationsTechnologie Netzwerksegmentierung - Praxis Produktion Server Internet NGFW VPN-Gateway/ UTM Server-Cluster Christian Rost ro Con InformationsTechnologie Perimeterschutz Internet UTM/ (NGFW) Christian Rost ro Con InformationsTechnologie Mail-Server/ CAS-Server in der DMZ CAS Exchange Internet Firewall/ UTM NGFW Christian Rost ro Con InformationsTechnologie Mail-Server/ CAS-Server im LAN WAF/ Reverse Proxy CAS Internet Firewall/ UTM NGFW Christian Rost ro Con InformationsTechnologie NGFW – was nun? ● NGFW ermöglichen TCP/IP Layer-4 Sicherheitsfunktionen im LAN ● NGFW ermöglichen UTM Sicherheitsfunktionen im LAN ● NGFW ergänzen die vorhandenen Paketfilter/ UTM-Systeme ● NGFW sind eine Option zur Erhöhung der Netzwerksicherheit ● NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt ● Paketfilter/ UTM-Syteme werden bevorzugt am Perimeter eingesetzt Christian Rost ro Con InformationsTechnologie roCon - Informationstechnologie Dipl.-Ing. Christian Rost [T.I.S.P.] Am Wasserturm 10 59379 Selm – Cappenberg Tel: +49 2306 910 658 Fax: +49 2306 910 664 Email: [email protected] Web: www.rocon-it.de Christian Rost