1 / 27

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?). Andreas Ißleiber. Firewallkonzept der GWDG (Notwendigkeiten). Dienstleistungsangebot der GWDG für Institute Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen von Aussen

grace
Download Presentation

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Firewallkonzept der GWDG(Einsatz auch für Max-Planck-Institute !?) Andreas Ißleiber

  2. Firewallkonzept der GWDG (Notwendigkeiten) • Dienstleistungsangebot der GWDG für Institute • Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen von Aussen • Absicherung der Institutsnetze untereinander • Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet • Ablösung der bestehenden ACLs der zentralen Router • Vereinfachung der ACLs (statefull inspection FW) • Ausfallsicherheit: Aufbau von redundanten Systemen

  3. Firewallkonzept der GWDG (Auswahlkriterien) • Einheitliches Management • Mehrmandantenfähigkeit • Fähigkeit zur Redundanz, Loadbalacing • Hoher Durchsatz • Einfache Regelstruktur (leicht erlernbar) • Transparenter Mode (Stealth Mode) • Einfache Integration in bestehende Netzwerkstruktur • Logging (syslog) • Kombination mit Viruserkennung • Erweiterbarkeit • Preis Fett = Muß-Kriterien Normal = Kann-Kriterien

  4. Firewallkonzept der GWDG (Firewallanbieter) • CISCO FWSM (Firewall Service Modul) gute Integration • CISCO PIX zu wenig Interfaces(VLANs) • Checkpoint Firewall-I sehr hoher Preis • Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis • Fortigate (Fortinet) Probleme im Testbetrieb (GWDG) • Sonicwall zu geringe Performance

  5. Firewallkonzept der GWDG (Auswahl) Ergebnis: Entscheidung für CISCO FWSM (FireWall Service Modul) Begründung: • Gute Integration in bestehenden Struktur • Mehrmandantenfähigkeit • Redundanz • Transparenz (Stealth Mode) • (bereits bekanntes) Management Was ist mit der Grundregel, möglichst zwei unterschiedliche Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO FWSM) Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da unterschiedliches Management, mangelnde Integration in Netzumgebung, zu hoher Preis es nicht rechtfertigen ? !

  6. Firewallkonzept der GWDG (Ein zweistufiger Ansatz) • Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen • Absicherung der Institutsnetze untereinander • Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus dem Intra- und Internet Ziel Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus … 1.) Zentrale Firewall (First Level Firewall, CISCO Firewall Service Modul) • Diese Firewall befindet sich am Übergabepunkt zwischen G-WIN und GÖNET • Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an zentraler Stelle für alle Institute durch Basisregeln aufgebaut werden • Die Basisregeln haben für das gesamte GÖNET Gültigkeit Realisierung

  7. Firewallkonzept der GWDG (Ein zweistufiger Ansatz) 2.) Dezentrale Firewalls (Second Level Firewall, CISCO Firewall Service Modul) • Die dezentralen Firewalls befinden sich an den entscheidenden vier Knotenpunkten des GÖNET • Die Firewalls sind als Zusatzmodule direkt in die GÖNET-Router integriert • Die Module können werden an netzwerktechnisch entscheidenden Orten eingesetzt • Vorhandene Infrastruktur der Router (redundante Anbindung, redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar • Institutseigene Firewall ist nicht mehr erforderlich Realisierung

  8. 3 4 5 1 6 7 4 6 5 3 2 2 1 7 Firewallkonzept der GWDG (Integration im GÖNET) Legende … Internet Zentrale, schnelle Firewall für den grundlegenden Schutz des gesamten GÖNET (first Level Firewall) Dezentrale Firewalls sind in die Backbone-Router integriert (second Level Firewall) zentrales Firewall-Management bei der GWDG Internet-Router GÖNET-Backbone-Router Durch zusätzliche, dezentrale Firewall geschütztesInstitut. Hohe Sicherheitsstufe bestehend aus Kombination von First level & second Level Firewall GÖNET Institut ist durch die zentrale Firewall mit einem Basisregelsatz geschützt ist. Zentrale Administration der Firewalls, integriert in ein bestehendes Netzwerkmanagement Institut Institut Bereich mit mittlerem Schutz (first Level) Bereich mit hohem Schutz (second Level)

  9. Firewallkonzept der GWDG (Virtuelle Firewall & Administration) Realisierung durch CISCO FWSM (FireWallServiceModul), integriert in allen GÖNET CISCO Routern (6509) Internet Zentrale Firewall mit Basisregeln Jede institutsspezifische Firewall ist durch eine „virtuelle“ Firewall auf dem FWSM abgebildet FWSMFireWall Service Modulemit virtuellen Firewalls (FW) Virtuelle FW´s erlauben eine getrennte, autonome Administration der Firewallregeln für das jeweilige Institut GÖNET RouterCISCO 6509 Die GWDG kann zusätzlich alle virtuellen Instituts-Firewalls zentral administrieren Die GWDG stellt vordefinierte Regelsätze für die virtuellen FWs zur Verfügung: FirewallAdministrationdes Instituts A FirewallAdministrationdes Instituts B • Komplettschutz • Alles von Innen nach Außen ist erlaubt • Alles von Außen nach Innen ist verboten • Zugriff auf interne Server • Alles von Innen nach Außen ist erlaubt • Zugriffe auf interne Dienste von Außen sind erlaubt • Alles Andere ist verboten • … Weitere Regelsätze … Institut A Institut B Virtuelle Firewall mit Regelsatz B Virtuelle Firewall mit Regelsatz A Zzgl.Basisregeln

  10. 1 2 A B A B B A 1 2 Firewallkonzept der GWDG (Failover & Redundanz) Legende … Internet Kommunikationsweg zwischen Institut und im störungsfreien Betrieb Kommunikationsweg bei einer logischen oder physischen Unterbrechung der Strecke zwischen Institut und Die Verbindung läuft hierbei über die redundanten Backbone-Router des GÖNET, wobei der Schutz der Institutedurch die Firewall(s) bestehen bleibt Institut Institut

  11. Firewallkonzept der GWDG(CISCO FWSM, Features) • Als Modul in bestehende CISCO Router integrierbar • Nahezu gleiche Konfiguration wie PIX-Firewalls • Variable, große Anzahl an Interfaces (VLANs) • Hoher Durchsatz <= 6 GBps • Management IOS- sowie webbasiert durch PDM • Betrieb im transparenten, oder Routed-Mode • Multiple security contexts (Mehrmandantenfähig) • Special Features: • ARP Inspection • DNS Guard • Flood Guard • Frag Guard • ICMP Filtering • Mail Guard • TCP Intercept • Unicast Reverse • Path Forwarding

  12. Firewallkonzept der GWDG(FWSM, Funktionsprinzip) Internet Switch (65xx) VLAN1: Kommunikation zwischen FWSM und Switch Switching-engine VLAN10,20,30: Interne Netze durch VLANs getrennt VLAN10,20,30: VLANs können, … müssen aber nicht an physikalische Interfaces gebunden sein VLAN1 … FWSM VLANxx VLAN30 VLAN10 Intern2 VLAN20 Intern DMZ

  13. Firewallkonzept der GWDG(FWSM, Funktionsprinzip) • Position des FWSM und der MSFC (Multilayer Switch Feature Card) Routing zwischen VLANs 301,302,303 ohne Nutzung des FWSM ACLs zwischen VLANs 201,202,203 bestimmen den Verkehr

  14. Firewallkonzept der GWDG(FWSM, Modes) • Zwei grundlegend unterschiedliche Modi für das FWSM möglich 1.) Routed Mode • FWSM übernimmt das Routing • ACLs zwischen VLANs • FWSM-Interfaces bekommen IP-Adresse • VLAN1=SVI (Switched VLAN Interfaces) • i.d.R. NAT nach Außen Internet 192.168.30.254 Default route des FWSM 192.168.30.254 VLAN1 192.168.30.253 FWSM 192.168.20.254 (VLAN 3) 192.168.10.254 (VLAN 2) IP: 192.168.20.1 Mask: 255.255.255.0 Default GW: 192.168.20.254 192.168.10.0/24 IP: 192.168.10.1 Mask: 255.255.255.0 Default GW: 192.168.10.254 192.168.20.0/24

  15. Firewallkonzept der GWDG(FWSM, Modes) 2.) Transparent Mode • Stealth mode • Gleiches Netz hinter und! vor der Firewall • Vorteil: wenig Änderungen anbestehender Struktur • IP-Adressen werden nichtverändert (kein NAT) • Eine IP für das Managementder Firewall • Nur ein inside & ein outsideInterface Internet outside 192.168.10.254 (VLAN 2) 192.168.20.254 (VLAN 3) VLAN1 FWSM 192.168.20.253 (Management IP) inside VLAN 3 VLAN 2 IP: 192.168.20.1 Mask: 255.255.255.0 Default GW: 192.168.20.254 192.168.10.0/24 IP: 192.168.10.1 Mask: 255.255.255.0 Default GW: 192.168.10.254 192.168.20.0/24

  16. Firewallkonzept der GWDG(FWSM, Context) • Context erlaubt die Unterteilung in virtuelle Firewalls • Jeder Context kann eigenständig administriert werden • Voneinander getrennte, eigene Konfigurationsdatei pro Context • Jeder Context bekommteigenes VLAN • Zuweisung von Ressourcen proContext möglich • per default, zweiContexts verfügbar

  17. Firewallkonzept der GWDG(FWSM, NAT) Unterschiedliche NAT/PAT Verfahren: • Dynamic NAT • PAT • Static NAT • Static PAT • Bypassing NAT, Exemption

  18. Firewallkonzept der GWDG(FWSM, Dynamic NAT) • Dynamisches NAT • IP Pool mit ext. Adressen • local pool  global pool 134.76.20.55 Internet 134.76.10.1 134.76.10.2 dyn. NAT NAT Pool: 134.76.10.1-20 192.168.20.1 192.168.20.254 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2

  19. Firewallkonzept der GWDG(FWSM, PAT) • PAT • n  1 • Lokaler IP-Pool (n)nach Außen mit z.B.einer externen IP-Adressesichtbar 134.76.20.55 Internet 134.76.10.1 Single IP 134.76.10.1 134.76.10.1 PAT 192.168.20.1 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2

  20. Firewallkonzept der GWDG(FWSM, Static NAT) • Statisches NAT • n  n, 11 • Jede lokale Adresse mit exakt einer globalen Adresse sichtbar 134.76.20.55 Internet 134.76.30.56 134.76.30.78 Static NAT NAT Tabelle: 192.168.20.1  134.76.30.56 192.168.20.2  134.76.30.78 … 192.168.20.1 192.168.20.2 192.168.20.0/24 192.168.20.1 192.168.20.2

  21. Firewallkonzept der GWDG(FWSM, Port Redirect) • Port Redirection • Bsp: Umleitungzu einem Web-Proxy 134.76.20.55 Internet redirect Verbindung zu 192.168.20.2 redirect zu 192.168.20.2 WWW zu 134.76.20.55 192.168.20.0/24 192.168.20.1 192.168.20.2 WWW Proxy Server

  22. Firewallkonzept der GWDG(FWSM, bypassing NAT) • Kein NAT • Quell- & Zieladressebleiben unverändert • Quell- & Zielportbleiben unverändert • Bsp.: PC baut direkte Verbindung zu PC aufACLs bleiben aktiv 134.76.20.55 Internet 1 2 192.168.30.50 255.255.0.0 NAT DMZ192.168.30.0/24 2 Inside192.168.20.0/24 192.168.20.1 255.255.0.0 1

  23. Firewallkonzept der GWDG(FWSM, Management) Management der Firewall durch: • IOS • commandline • ssh • telnet (nur inside) • console (seriell) • Über den Catalyst (Switch) • Web-basiert • PDMPix Device Manager • mittlerweile gute Alternative zur Commandline

  24. http,80 http,80 SMTP(25) RDP (3389) deny DNS,53(udp) Firewallkonzept der GWDG(FWSM, Beispielkonfig.) 134.76.10.47 (www.gwdg.de) Konfigurationsbeispiele: 1) Server (1) soll vom Servernetz viaRDP erreichbar sein (ext.IP:134.76.106.1) 2) Server (1) soll von überall als Webservererreichbar sein Servernetz Internet 3) Server (1) soll lediglich eMails verschicken könnensowie den Webserver (www.gwdg.de, Port 80) erreichen 134.76.20.0/24 4) Server (2) soll Server (1) als DNS Server„befragen“ können 134.76.105.253(outside) 134.76.105.254 5) Server (1) soll sonst keine weiteren Verbindungen nach Außen aufbauen können 192.168.200.254(DMZ) NAT (DMZ)192.168.200.0/24 192.168.100.254(inside) (Inside)192.168.100.0/24 192.168.100.1 255.255.0.0 (2) 192.168.200.1 255.255.0.0 • RDP-Server • WebServer (1)

  25. 2) Server (1) soll von überall als Webservererreichbar sein 3) Server (1) soll lediglich eMails verschicken können sowie den Webserver (www.gwdg.de, Port 80) erreichen 4) Server (2) soll Server (1) als DNS Server„befragen“ können 5) Server (1) soll sonst keine weiteren Verbindungen nach Außen aufbauen können Firewallkonzept der GWDG(FWSM, Beispielkonfig.) • names • name 134.76.20.0 Servernetz • name 192.168.100.1 server1 • name 134.76.10.47 webserver • name 192.168.200.1 Server2 • pdm location server1 255.255.255.255 inside • pdm location Servernetz 255.255.255.0 outside • pdm location webserver 255.255.255.255 outside • pdm location Server2 255.255.255.255 dmz • nat (dmz) 0 access-list dmz_nat0_inbound outside • nat (inside) 0 access-list inside_nat0_outbound • static (inside,outside) 134.76.106.1 server1 netmask 255.255.255.255 • access-group dmz_access_in in interface dmz • access-group inside_access_in in interface inside • access-group outside_access_in in interface outside • access-list inside_access_in extended permit tcp host server1 Servernetz 255.255.255.0 eq 3389 • access-list inside_access_in extended permit tcp host server1 any eq smtp • access-list inside_access_in extended permit tcp host server1 host webserver eq www • access-list outside_access_in extended permit tcp any host 134.76.106.1 eq www • access-list dmz_nat0_inbound extended permit ip host Server2 host server1 • access-list inside_nat0_outbound extended permit ip host server1 host Server2 • access-list dmz_access_in extended permit udp host Server2 host server1 Konfigurationsbeispiele: 1) Server (1) soll vom Servernetz viaRDP erreichbar sein (ext.IP:134.76.106.1)

  26. Firewallkonzept der GWDG(Erfahrungen) Erfahrungen: • Teilweise unterschiedliche Sichtweise einer Firewall im Vgl. zu anderen Herstellern • Längere Einarbeitungszeit erforderlich • Bei Vorhandensein von CISCO Routern, fast keine Alternative zum FWSM auf dem Markt • Sehr gutes Commandline Interface (… klar => IOS) • schwerwiegender Fehler in Firmware (SMTP Fixup „bug“) Fazit: • Trotz einiger „Contra“ ist das FWSM als Firewall die richtige Wahl • Bei größeren MPIs kann das CISCO FWSM eine geeignete Firewall sein • GWDG kann hierbei entsprechende Dienstleitung geben (Planung, Installation)

  27. ? Vielen Dank! S C S I O C S Y T E M S S C I S C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: … http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2004/index.html… zu finden

More Related