ro Con - nrw.uniTS

Werbung
ro Con
InformationsTechnologie
Next Generation Firewalls Moderner Schutz sensitiver Netzwerkbereiche
Christian Rost
ro Con
InformationsTechnologie
Warum Netzwerksicherheit?
●
Schutz der Unternehmenswerte wie Daten und Hardware
●
Kontrolle des Datenflusses
●
Priorisierung von Diensten/ Anwendungen
●
Erfüllung rechtlicher Vorgaben
●
Erfüllung der Vorgaben von Partnern
●
Erfüllung des Datenschutzes
●
...
Christian Rost
ro Con
InformationsTechnologie
Warum besteht Handlungsbedarf?
●
Die Bedrohungslage verändert sich [Mandiant Report]
●
Angriffe werden komplexer/ vielschichtiger/ gezielter [APT]
●
Der klassische Perimeter ist nicht mehr eindeutig bestimmbar
●
Angriffe erfolgen nicht mehr ausschließlich außen
●
Netzwerke mit unterschiedlichen Sicherheitsanforderungen
●
...
Christian Rost
ro Con
InformationsTechnologie
Evolution der Firewall-Systeme
3.0 Next Generation Firewall [NGFW]
2.2 Unified Threat Management [UTM]
2.1 Application Level Gateway [ALG]
2.0 Stateful Packet Inspection [SPI]
1.0 Paketfilter [PF]
Christian Rost
ro Con
InformationsTechnologie
Evolution der Firewall-Systeme
TCP/IP
1.0
2.0
2.1/ 2.2
3.0
Applikationserkennung
Protokollvalidierung
4 Anwendungsschicht
3
Transportschicht
2 Vermittlungsschicht
1
Paketfilter
Einige
Applikationen
Deep-PaketInspection
AV, IDS/
ISD/ IPS,
Webfilter
AV, IDS/
ISD/ IPS,
Webfilter
Stateful
Inspection
Stateful
Inspection
Stateful
Inspection
Paketfilter
Paketfilter
Paketfilter
Sicherungsschicht
Christian Rost
ro Con
InformationsTechnologie
Evolution der TCP/IP Paketfilter
1995
1999
2001
2014
Ipfw
ipchains
iptables
nftables
Christian Rost
ro Con
InformationsTechnologie
Firewalls Beispiele zur Einsatzumgebung
Christian Rost
ro Con
InformationsTechnologie
Einsatzumgebung von Firewalls
●
Schutz des Perimeters
●
Steuerung des Datenflusses/ Priorisierung von Diensten
●
Zugriffsregelung mobiler Benutzer
●
Schutz der Produktion/ der Unternehmenswerte
●
Segmentierung des internen Netzwerks
●
Schutz des Management-Netzwerks
●
...
Christian Rost
ro Con
InformationsTechnologie
Firewall - einstufig
Internet
Christian Rost
ro Con
InformationsTechnologie
Firewall – einstufig mit DMZ
Internet
Christian Rost
ro Con
InformationsTechnologie
Firewall - zweistufig
Internet
Firewall
Firewall
Christian Rost
ro Con
InformationsTechnologie
Firewall – zweistufig mit DMZ
Internet
Firewall
Firewall
Christian Rost
ro Con
InformationsTechnologie
Firewall – Netzwerksegmentierung
Firewall
Internet
Firewall
Firewall
Christian Rost
ro Con
InformationsTechnologie
Der Paketfilter Funktionsweise der klassischen Firewall
Christian Rost
ro Con
InformationsTechnologie
Aufbau des TCP/IP-Protokolls
4 Anwendungsschicht
3
Transportschicht
2 Vermittlungsschicht
1
Sicherungsschicht
HTTP, FTP, SMTP, ...
Daten
TCP, UDP, ICMP
Header, Daten
IP
Header x2, Daten
Ethernet, PPP, ...
Header x3, Daten
Christian Rost
ro Con
InformationsTechnologie
Teile eines TCP/IP-Pakets
Sicherungsschicht
Vermittlungsschicht
Transportschicht
Anwendungsschicht
Ziel-MAC Quell-MAC
Ziel-IP
Quell-IP
Ziel-Port Quell-Port
Daten
Christian Rost
ro Con
InformationsTechnologie
Iptables Beispielregeln
## setzen der standard Policy
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
## Definition der CHAINS
iptables -N input-intern
...
## Verzweigen in die CHAINS
iptables -A INPUT -s $GREEN_NET -d $GREEN_IP -i $GREEN_NIC
...
iptables -A INPUT
-j input-intern
-j DROP
## CHAIN in-int
iptables -A input-intern -p tcp --dport $HTTP -m state --state NEW
-j ACCEPT
iptables -A input-intern -p tcp --dport $HTTPS -m state --state NEW
-j ACCEPT
...
iptables -A input-intern
-j LOG --log-prefix "[fwlog:in-int] Ende: "
iptables -A input-intern
-j REJECT
Christian Rost
ro Con
InformationsTechnologie
Auslaufmodell: Der reine Paketfilter
●
Kontrolle nur über TCP/IP Header (MAC, IP, Port, Status, Protokoll)
●
Anwendungsdaten sind nicht kontrollierbar (Web 2.0, Skype, ...)
●
Aktuelle Angriffe erfolgen über Anwendungsdaten (Mail, Web, ...)
●
Aktuelle Angriffe erfolgen über einen langen Zeitraum
●
Keine Erkennung von Angriffsmustern
●
...
Christian Rost
ro Con
InformationsTechnologie
Christian Rost
ro Con
InformationsTechnologie
Die Zukunft Next Generation Firewall [NGFW]
Christian Rost
ro Con
InformationsTechnologie
Wie entwickelte sich die NGFW?
●
2009 berichtet Gartner über die Zukunft der Firewall-Systeme
●
2010 wurden NGFW zu einem Hype-Thema
●
2010 und später - alle bekannten Hersteller bieten NGFW an
●
NGFW basieren meist auf bestehenden Produkten
●
NGFW werden von jedem Hersteller anders ausgelegt
●
NGFW Neuentwicklungen bieten nur 2 Hersteller an
●
Der Begriff „Next Generation Firewall“ ist nicht geschützt
Christian Rost
ro Con
InformationsTechnologie
NGFW – eine Definition
●
Identifikation der Anwendung, unabhängig vom Port, Protokoll, …
●
Klassische Firewall-Funktionen (Paketfilter, VPN, …) sind integriert
●
Applikationen und individuelle Funktionen werden erfasst
●
Benutzer und -gruppen sind integrierter Bestandteil der Firewall-Regeln
●
Erkennung von Angriffen und Einleitung von Gegenmaßnahmen
●
Integration sämtlicher Sicherheitsfunktionen in die Firewall-Regeln
●
Ausreichend Bandbreite zur Kontrolle von Gigabit-Verbindungen
Christian Rost
ro Con
InformationsTechnologie
Unified Threat Mangement [UTM]
●
Eine UTM ist die Weiterentwicklung des Applikation-Level-Gateway
●
UTM sind bewährt und ausgereift
●
Ein Paket durchläuft mehrere eigenständige Filter
●
Sicherheitsfunktionen sind teilweise in Firewall-Regeln integriert
●
Die Anwendungskontrolle erfolgt in eigenständigen Modulen
●
Die Malware-Analyse erfolgt offline/ mit der vollständigen Datei
Christian Rost
ro Con
InformationsTechnologie
Magic Quadrant for Enterprise Firewalls
As the firewall market evolves from stateful firewalls to NGFWs,
other security functions (such as network IPSs) and full-stack
inspection, including applications, will also be provided within an
NGFW. The NGFW market will eventually subsume the majority of
the stand-alone network IPS appliance market at the enterprise edge.
This will not be immediate, however, because many enterprise firewall
vendors have IPSs within their firewall products that are competitive
with standalone IPS appliances, and are resisting truly integrating the
functions and instead colocate them within the appliance. ….
(Quelle: Gartner - Magic Quadrant for Enterprise Firewalls, December 14, 2011)
Christian Rost
ro Con
InformationsTechnologie
NGFW – Single-Pass Engine
Bild: Adyton Systems
Christian Rost
ro Con
InformationsTechnologie
UTM – Multi-Pass Engine
Bild: Adyton Systems
Christian Rost
ro Con
InformationsTechnologie
NGFW vs. UTM
Funktion
NGFW
UTM
Firewall/ VPN
IPS
AV
Webfilter
Application Detection
Email Security
DLP
Stream Based Malware-Scanning
Proxy/ File Based Malware-Scanning
Protocol Decoder
Christian Rost
ro Con
InformationsTechnologie
Stream vs. File Based Detection
Eigenschaft
Stream Proxy
Geringe Latenz (Datei-Download)
Erkennungsrate
Prüfung ohne maximale Dateigröße
Prüfung komprimierter Daten
Prüfung von HTML, JavaScript, …
Prüfung von PDF, Office, …
Prüfung verschlüsselter Dateien
Prüfung von SSL-Verbindungen [MITM]
...
Christian Rost
ro Con
InformationsTechnologie
Protocol Decoder
Funktion
HTTP
FTP
DNS
ICMP
SIP
IMAP
SMTP
SSL
...
Option
payload, request, response
argument, command, file
payload, answer, query
payload, data, type, ...
payload, body, toURI, ...
payload, user, imf-...
payload, from, to, imf-...
payload, commenName, ...
NGFW
UTM
Christian Rost
ro Con
InformationsTechnologie
Detecting the user
●
Anwender werden auf eine IP-Adresse umgesetzt
●
Direkte Authentifizierung an einem Captive-Portal (HTTP)
●
Auswertung von Anmeldungen (Exchange, AD, eDirectory, …)
●
Auswertung von Syslogeinträgen (Linux, diverse Appliances, …)
●
Auswertung sonstiger Quellen per XML, …
●
Überwachung von Terminaldiensten/ von Clients
●
Integration von Verzeichnisdiensten (AD, LDAP, ...)
Christian Rost
ro Con
InformationsTechnologie
IPv6
●
IPv6 wird bereits (unbewusst) produktiv eingesetzt
●
Firewalls/ UTM unterstützen IPv6 uneinheitlich
●
Im ungünstigsten Fall ist IPv6 aktiv und wird nicht gefiltert
●
Filterregeln müssen für IPv4 und IPv6 erstellt werden
●
6[in|over|to]4 Tunnel sollten gefiltert werden/ blockiert werden
●
IPv6 Wissen ist notwendig
Christian Rost
ro Con
InformationsTechnologie
Betriebsmodus - Bridge
●
Transparent im Netzwerk
●
Broadcasts bleiben erhalten
●
Keine zusätzliche Verwaltungssysteme in Netzwerksegmenten
●
Keine Umstellung der Netzwerk-Infrastruktur
●
Nachträglich integrierbar
●
Routing ist nicht erforderlich
Christian Rost
ro Con
InformationsTechnologie
Betriebsmodus - Router
●
Wird im Netzwerk als Router eingesetzt
●
Broadcasts bleiben nicht erhalten
●
zusätzliche Verwaltungssysteme in Netzwerksegmenten
●
Umstellung der Netzwerk-Infrastruktur erforderlich
●
Routing ist erforderlich
Christian Rost
ro Con
InformationsTechnologie
NGFW oder UTM?
●
Eine UTM ist keine NGFW, enthält aber einige NGFW Eigenschaften
●
NGFW und UTM verfolgen unterschiedliche Ziele
●
UTM werden bevorzugt am Perimeter/ in erster Reihe eingesetzt
●
NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt
●
NGFW bieten eine weitere Option für die Netzwerksicherheit
●
NGFW ermöglichen UTM Sicherheitsfunktionen im LAN
●
UTM und NGFW werden koexistieren und sich ergänzen
Christian Rost
ro Con
InformationsTechnologie
Anwendungsbeispiele
Next Generation Firewall [NGFW]
Christian Rost
ro Con
InformationsTechnologie
Mobile Mitarbeiter – fast richtig
Internet
UTM/
NGFW
Christian Rost
ro Con
InformationsTechnologie
Mobile Mitarbeiter - richtig
Internet
Firewall/
UTM
NGFW
Christian Rost
ro Con
InformationsTechnologie
Netzwerksegmentierung - Konzept
NGFW
NGFW
NGFW
Internet
NGFW
NGFW
VPN-Gateway/
UTM
Christian Rost
ro Con
InformationsTechnologie
Netzwerksegmentierung - Praxis
Produktion
Server
Internet
NGFW
VPN-Gateway/
UTM
Server-Cluster
Christian Rost
ro Con
InformationsTechnologie
Perimeterschutz
Internet
UTM/
(NGFW)
Christian Rost
ro Con
InformationsTechnologie
Mail-Server/ CAS-Server in der DMZ
CAS
Exchange
Internet
Firewall/
UTM
NGFW
Christian Rost
ro Con
InformationsTechnologie
Mail-Server/ CAS-Server im LAN
WAF/
Reverse Proxy
CAS
Internet
Firewall/
UTM
NGFW
Christian Rost
ro Con
InformationsTechnologie
NGFW – was nun?
●
NGFW ermöglichen TCP/IP Layer-4 Sicherheitsfunktionen im LAN
●
NGFW ermöglichen UTM Sicherheitsfunktionen im LAN
●
NGFW ergänzen die vorhandenen Paketfilter/ UTM-Systeme
●
NGFW sind eine Option zur Erhöhung der Netzwerksicherheit
●
NGFW werden bevorzugt im LAN/ in zweiter Reihe eingesetzt
●
Paketfilter/ UTM-Syteme werden bevorzugt am Perimeter eingesetzt
Christian Rost
ro Con
InformationsTechnologie
roCon - Informationstechnologie
Dipl.-Ing. Christian Rost [T.I.S.P.]
Am Wasserturm 10
59379 Selm – Cappenberg
Tel: +49 2306 910 658
Fax: +49 2306 910 664
Email: [email protected]
Web: www.rocon-it.de
Christian Rost
Herunterladen