1 / 14

Firewalls

Firewalls. Holger Stengel Vortrag am 1999-12-20. Gliederung. Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen. Definition. System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter-schiedlichen Sicherheitsansprüchen

yon
Download Presentation

Firewalls

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Firewalls Holger Stengel Vortrag am 1999-12-20

  2. Gliederung • Definition: Firewall • Grundlage: TCP/IP-Modell • Angriffe • Elemente und Konzepte • Grenzen

  3. Definition • System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter-schiedlichen Sicherheitsansprüchen • Analogien: Brandschutzmauer, Pförtner • Vollständige Kontrolle durch Konzept des Common Point of Trust • Ziel: Angriffe sollen sich nicht lohnen

  4. Grundlage: TCP/IP-Modell • Anwendungsebene (HTTP, SMTP, FTP) • Anw. & Prozesse die auf das Netz zugreifen • Transportebene (TCP, UDP) • Stellt end-to-end Datendienste zur Verfügung • Netzwerkebene (IP, ICMP, RIP, OSPF) • Definiert Aufbau von Datagrammen, Routing • Netzzugangsebene (Ethernet, ATM) • Routinen für Zugriff auf physikalische Netze

  5. Angriffe • Ziele • Ausnutzung fremder Ressourcen • Zugriff auf fremde Daten • Motive • Vandalismus • Spieltrieb / Langeweile • Finanzielle Interessen

  6. Möglichkeiten eines Angreifers • Analyse des Netzes (ping, finger, portscan) • Password-Snooping / IP-Maskerade • Ausnutzung von Softwarefehlern • Hopping (Telnet) • IP-Adressen-Spoofing • ICMP-Angriffe (z.B. redirect, source quench) • Strict Source Routing

  7. Elemente • Aktive Komponenten (Filter) • Packet Filter • Application Gateway • Security Management • Designanforderungen • Minimale Software auf aktiven Komponenten • Sichere Einbindung ins Kommunikationssystem • Getrenntes Security Management

  8. Packet Filter • Analyse und Kontrolle der unteren Schichten • Interpretiert & vergleicht Inhalt der Pakete mit dem Regelwerk • Richtung des Verbindungsaufbaus • Quell- / Zieladressen, Protokolle, Ports • Optionen, Kommandos • Zeitraum • Transparent, da adressorientiert

  9. Application Gateway • Einziger erreichbarer Rechner (Bastion) • Nach Identifikation & Authentikation transparent • Dual-Homed Gateway (2 Netzschnittstellen) • Paketübermittlung durch Proxy (indirekt) • Für jeden Dienst ein Proxy (Stellvertreter) • User kommuniziert scheinbar mit Zielsystem • Sehr tiefe Analyse, da Proxies spezialisiert

  10. Security Management • Verkörpert Sicherheitspolitik der Organisation in Form eines Regelwerkes • Separat realisiert (Rechner / Wechselplatte) • Positive Filterregeln (Fail Safety) • Regeln nur durch berechtigte Personen veränderbar (evtl. 4 Augen Prinzip) • Garantiert Widerspruchsfreiheit der Regeln

  11. Konzepte • Aktive Elemente auch einzeln als eigen-ständige Firewall einsetzbar • Durch Kombination von verschiedenen Elementen und Herstellern höhere Sicher-heitsleistung (Diversity of Defense) • Begriffsklärung: Screened Subnet • Realisiert durch 2 serielle Packet Filter • Entkoppeltes, isoliertes Teilnetz (DMZ)

  12. High-level Security Firewall • Dual-homed Application Gateway in Screened Subnet • Durch enge Verknüpfung der Elemente kann Firewall nicht umgangen werden • Redundantes und sehr mächtiges System • Kosten: • Produkt: ca. 90.000-600.000 DM • Lfd. Kosten: 150.000 DM p.a. (1000 Nutzer)

  13. Grenzen • Unlogische / falsch umgesetzte Sicherheitspolitik • Anwendungsdatenorientierte Angriffe (z.B. Java) • Geringer Einfluß auf interne Angriffe • Abweichungen vom Konzept des Common Point of Trust (Backdoors) • Trittbrettfahrer bei unverschlüsseltem Zugriff • Um eine hohe Gesamtsicherheit zu erreichen, sind neben einem Firewallsystem auch personelle und organisatorische Maßnahmen notwendig.

  14. Quellenangaben • Bücher: • Norbert Pohlmann, Firewall-Systeme, Bonn, MITP-Verlag, 1998 • Chapman / Zwicky, Building Internet Firewalls, USA, O´Reilly & Associates, 1995 • WWW: • Ranum / Curtin, Internet Firewall FAQ, 1998 http://www.clark.net/pub/mjr/pubs/fwfaq/index.html • Grennan, Firewall & Proxy Server HOWTO, 1999 http://okcforum.org/~markg/Secure_Linux/Firewall-HOWTO.html

More Related