SlideShare a Scribd company logo

Firewalls

Download as PPTX, PDF
G
guest9012e3f
Technology
1 of 16
Firewalls, Paketfilter, StatefulInspection, Application Layer Gatway 01.12.2008 1 Referent: Daniel Linden Klasse: FIS06a Fach: LF10 – IT Security Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway
Inhaltsverzeichnis Grundsätzliches Typen Netzwerk / Hardware Firewalls Personal Firewalls Technologien Paketfilter StatefulInspection Application Layer / Proxy Firewall Architekturen Dual Homed Host Screened Host ScreenedSubnet (DMZ) Vor- und Nachteile Fazit 01.12.2008 2 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Grundsätzliches kontrollierende Netzwerkverbindungskomponente privates <-> öffentliches (LAN <-> WAN) privates <-> privates (LAN <-> LAN) Schutz vor Angriffen von außen Schutz vor Fahrlässigkeit eigener Mitarbeiter Netzwerkverkehr wird nach Regelwerk festgelegt Firewall ist kein Produkt sondern ein Konzept Faktoren u.a.: Was muss geschützt werden? Wovor soll geschützt werden? Sicherheitsziele u.a.: Schutz vor unbefugten Zugriffen Verbergen der internen Netzstruktur Voraussetzungen u.a.: Ausnahmslose Kommunikation über die Firewall Qualifiziertes Personal für Verwaltung der Firewall 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 3 Grundsätzliches | Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Hardware / Netzwerk Firewalls 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 4 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit dediziertes System für Firewallaufgaben vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer/Proxy FW Firewall-Appliance aufeinander abgestimmte Kombination aus Hardware „gehärtetes“ Betriebssystem -> weniger Angriffsfläche Reduzierung der laufenden Dienste maximale Authentifizierung Verschlüsselung der Verbindungen Unterscheidung der drei Netzwerkzonen Internes Netz (LAN )= vertrauenswürdiges Netzwerk Externes Netz (WAN) = nicht vertrauenswürdiges Netzwerk Demiliarisierte Zone (DMZ) = wenig vertrauenswürdiges Netzwerk
Personal Firewalls wird auf dem zu schützenden Computer installiert bietet keinen zentralen Firewall-Schutz vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer FW sollte nicht als alleiniger Schutz dienen bietet „sinnlose“ Features Stealth-Modus ICMP-Request gibt keine Antwort zurück -> heißt soviel wie das der Rechner existiert Nur ausgewählten Programmen den Internetzugriff gestatten freigegebene Programme (z.B. IE) können als Wirtsprogramm zur Kommunikation nach außen missbraucht werden 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 5 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit
Paketfilter arbeitet auf OSI-Schicht 3 + 4 Filterung anhand Quell-/Ziel-Port Quell-/Ziel-IP keine Filterung von Inhalten sehr aufwendig und unsicher jede Verbindung zu einem Server und Dienst muss konfiguriert werden Gegenstelle kann unangeforderte Kommunikation herstellen Beispiel: Anfrage auf Webseite Folgende Regeln müssen konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete von www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 6 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
StatefulInspection erweiterte Form des Paketfilters wird als dynamischer Paketfilter bezeichnet merkt sich die Kommunikation in Statustabelle geringerer Aufwand bei Regelerstellung keine unangefordertenVerbindungen der Gegenstelle Beispiel: Anfrage auf Webseite Folgende Regel muss konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 7 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Application Layer / Proxy Firewall arbeitet auf OSI-Schicht 7 Contentfilter Herausfiltern von potentiell Gefährlichen Inhalten auf Webseiten Active X-Steuerelementen, Java Script Internetseiten anhand von URL´s oder Schlüsselwörtern in Webseiten sperren Filtern von sensiblen Unternehmensdaten Speeren unerwünschte Anwendungsprotokolle, z.B.: ICQ, MSN, Skype, Bittrorrent Proxy baut stellvertretende Verbindung auf verbergen der interne Struktur durch Network Adress Translation 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 8 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Dual Homed Host besteht aus Dual Homed Host mit zwei Netzwerkschnittstellen Routingfunktion ist deaktiviert keine direkte Verbindung zwischen den Netzen privates Netz kommuniziert mit inneren Netzwerkschnittstelle des Routers öffentl. Netz kommuniziert mit äußeren Netzwerkschnittstelle des Routers relativ unsicher -> Single Point ofFailure 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 9 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
ScreenedHost besteht aus Bastion-Host und vorgeschalteter Screening-Router Screening-Router übernimmt Paketfilter Aufgaben alle Anfragen laufen über den Bastion Host,dieser leitet Anfragen zum Screening-Router sicherer als Dual Homed Host 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 10 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
ScreenedSubnet (DMZ) erweiterte Form von ScreenedHost besteht aus Bastion-Host und vor- undnachgeschalteten Screening-Routern sicherer als ScreenedSubnet 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 11 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Vor- und Nachteile Vorteile von Firewalls Sicherung des eigenen Netzes / PC´s Erschwerung von unberechtigtem Zugriff Protokollierung von Datenverkehr Zentralisierung des Sicherheitsmanagements Nachteile von Firewalls Administrativer Mehraufwand Anpassung von Software Personal Aus- / und Fortbildung Einfluss durch Mitarbeiter kannst du grad mal Port x,y freischalten können wir nicht grad mal... 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 12 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Fazit nicht wegzudenkende Sicherheitskomponente Gründe: (Wirtschafts)Spionage Fahrlässigkeit von eigenen Mitarbeitern bessere Firewall-Produkte nötig aktuelles Beispiel: Hacker verschafften sich Zugang zu den Teams von Barack Obama und John McCain Die beste Software nützt nichts wenn das Firewall-Konzept Sicherheitslücken aufweist 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 13 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
Quellen Internet:http://de.wikipedia.org/wiki/Firewall (Stand: 02.11.2008)http://www.ifi.uzh.ch/ikm/Vorlesungen/Sem_Sich01/Maag.pdfhttp://www.bsi.bund.de/gshb/deutsch/m/m02075.htmhttp://www.grin.com/e-book/109558/einfuehrung-in-firewall-systemehttp://www.improve-mtc.de/Veroffentlichungen/Firewall/firewall.htmlhttp://www.ztt.fh worms.de/en/others/sem/ss96/firewall/firewall.htmlhttp://www.lan-ks.de/~jochen/firewall/foil03.html Sonstiges:Das IT-Kompendium für Fachinformatiker 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 14
Fragen 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 15
Vielen Dankfür EureAufmerksamkeit 01.12.2008 16 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway

Recommended

Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimagBelsoft
 
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1Peter Blönnigen
 
NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitNTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitSalesforce Deutschland
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Cen xchange crm trends 2013
Cen xchange crm trends 2013Cen xchange crm trends 2013
Cen xchange crm trends 2013Nils Hafner
 
Deutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldDeutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldErwin Buettner
 
Agil wachsen
Agil wachsenAgil wachsen
Agil wachsenBERATUNG JUDITH ANDRESEN
 

Recommended

Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
Pa next generationfirewallhapimag
Pa next generationfirewallhapimagPa next generationfirewallhapimag
Pa next generationfirewallhapimagBelsoft
 
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1
G1 integrierte fach und ressourcensteuerung-ntt data_blönnigen_v1.1Peter Blönnigen
 
NTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitNTT Data - Social Media in Greater China - Chance oder Notwendigkeit
NTT Data - Social Media in Greater China - Chance oder NotwendigkeitSalesforce Deutschland
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Cen xchange crm trends 2013
Cen xchange crm trends 2013Cen xchange crm trends 2013
Cen xchange crm trends 2013Nils Hafner
 
Deutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldDeutsch - Business Plan - YouniverseWorld
Deutsch - Business Plan - YouniverseWorldErwin Buettner
 
Agil wachsen
Agil wachsenAgil wachsen
Agil wachsenBERATUNG JUDITH ANDRESEN
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Andreas Schulte
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
Astaro IT-Security-Lösungen
Astaro IT-Security-LösungenAstaro IT-Security-Lösungen
Astaro IT-Security-Lösungennetlogix
 
E Security
E SecurityE Security
E SecurityUdo Ornik
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdfWestermo Network Technologies
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingDigicomp Academy AG
 
VIT 5-2014
VIT 5-2014VIT 5-2014
VIT 5-2014Volkmar Langer
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?Swiss IPv6 Council
 
Banking portal
Banking portalBanking portal
Banking portalJoeyNbg
 
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...Nikolaos Kaintantzis
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basisnetmedianer GmbH
 
Top 10 Internet Trends 2003
Top 10 Internet Trends 2003Top 10 Internet Trends 2003
Top 10 Internet Trends 2003Jürg Stuker
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräteteam-WIBU
 
Bachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtetBachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtetStefan Bürger
 
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)kaftanenko
 
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014Werner Keil
 

More Related Content

Similar to Firewalls

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Andreas Schulte
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011jamescv31
 
Astaro IT-Security-Lösungen
Astaro IT-Security-LösungenAstaro IT-Security-Lösungen
Astaro IT-Security-Lösungennetlogix
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingDigicomp Academy AG
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?Swiss IPv6 Council
 
Banking portal
Banking portalBanking portal
Banking portalJoeyNbg
 
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...Nikolaos Kaintantzis
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basisnetmedianer GmbH
 
Top 10 Internet Trends 2003
Top 10 Internet Trends 2003Top 10 Internet Trends 2003
Top 10 Internet Trends 2003Jürg Stuker
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräteteam-WIBU
 
Bachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtetBachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtetStefan Bürger
 
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)kaftanenko
 
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014Werner Keil
 

Similar to Firewalls (20)

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1Lotus Foundations Workshop Teil1
Lotus Foundations Workshop Teil1
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
Vergleichstest 2011
Vergleichstest 2011Vergleichstest 2011
Vergleichstest 2011
 
Astaro IT-Security-Lösungen
Astaro IT-Security-LösungenAstaro IT-Security-Lösungen
Astaro IT-Security-Lösungen
 
E Security
E SecurityE Security
E Security
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx Networking
 
VIT 5-2014
VIT 5-2014VIT 5-2014
VIT 5-2014
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
 
Banking portal
Banking portalBanking portal
Banking portal
 
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
Thin, Rich und RIA Clients entwirrt -- und Faktoren, die Sie zum geeigneten C...
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
 
Top 10 Internet Trends 2003
Top 10 Internet Trends 2003Top 10 Internet Trends 2003
Top 10 Internet Trends 2003
 
Schutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-GeräteSchutz und Lizenzierung für Embedded-Geräte
Schutz und Lizenzierung für Embedded-Geräte
 
Bachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtetBachelorarbeit - Androidsicherheit kritisch betrachtet
Bachelorarbeit - Androidsicherheit kritisch betrachtet
 
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
Einführung in die Java-Webentwicklung - Part I - Einführung, HTTP (in german)
 
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
Apache DeviceMap - Mobile Geräteerkennung für Java EE - JavaLand 2014
 

Firewalls

  • 1. Firewalls, Paketfilter, StatefulInspection, Application Layer Gatway 01.12.2008 1 Referent: Daniel Linden Klasse: FIS06a Fach: LF10 – IT Security Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway
  • 2. Inhaltsverzeichnis Grundsätzliches Typen Netzwerk / Hardware Firewalls Personal Firewalls Technologien Paketfilter StatefulInspection Application Layer / Proxy Firewall Architekturen Dual Homed Host Screened Host ScreenedSubnet (DMZ) Vor- und Nachteile Fazit 01.12.2008 2 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 3. Grundsätzliches kontrollierende Netzwerkverbindungskomponente privates <-> öffentliches (LAN <-> WAN) privates <-> privates (LAN <-> LAN) Schutz vor Angriffen von außen Schutz vor Fahrlässigkeit eigener Mitarbeiter Netzwerkverkehr wird nach Regelwerk festgelegt Firewall ist kein Produkt sondern ein Konzept Faktoren u.a.: Was muss geschützt werden? Wovor soll geschützt werden? Sicherheitsziele u.a.: Schutz vor unbefugten Zugriffen Verbergen der internen Netzstruktur Voraussetzungen u.a.: Ausnahmslose Kommunikation über die Firewall Qualifiziertes Personal für Verwaltung der Firewall 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 3 Grundsätzliches | Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 4. Hardware / Netzwerk Firewalls 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 4 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit dediziertes System für Firewallaufgaben vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer/Proxy FW Firewall-Appliance aufeinander abgestimmte Kombination aus Hardware „gehärtetes“ Betriebssystem -> weniger Angriffsfläche Reduzierung der laufenden Dienste maximale Authentifizierung Verschlüsselung der Verbindungen Unterscheidung der drei Netzwerkzonen Internes Netz (LAN )= vertrauenswürdiges Netzwerk Externes Netz (WAN) = nicht vertrauenswürdiges Netzwerk Demiliarisierte Zone (DMZ) = wenig vertrauenswürdiges Netzwerk
  • 5. Personal Firewalls wird auf dem zu schützenden Computer installiert bietet keinen zentralen Firewall-Schutz vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer FW sollte nicht als alleiniger Schutz dienen bietet „sinnlose“ Features Stealth-Modus ICMP-Request gibt keine Antwort zurück -> heißt soviel wie das der Rechner existiert Nur ausgewählten Programmen den Internetzugriff gestatten freigegebene Programme (z.B. IE) können als Wirtsprogramm zur Kommunikation nach außen missbraucht werden 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 5 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 6. Paketfilter arbeitet auf OSI-Schicht 3 + 4 Filterung anhand Quell-/Ziel-Port Quell-/Ziel-IP keine Filterung von Inhalten sehr aufwendig und unsicher jede Verbindung zu einem Server und Dienst muss konfiguriert werden Gegenstelle kann unangeforderte Kommunikation herstellen Beispiel: Anfrage auf Webseite Folgende Regeln müssen konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete von www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 6 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 7. StatefulInspection erweiterte Form des Paketfilters wird als dynamischer Paketfilter bezeichnet merkt sich die Kommunikation in Statustabelle geringerer Aufwand bei Regelerstellung keine unangefordertenVerbindungen der Gegenstelle Beispiel: Anfrage auf Webseite Folgende Regel muss konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 7 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 8. Application Layer / Proxy Firewall arbeitet auf OSI-Schicht 7 Contentfilter Herausfiltern von potentiell Gefährlichen Inhalten auf Webseiten Active X-Steuerelementen, Java Script Internetseiten anhand von URL´s oder Schlüsselwörtern in Webseiten sperren Filtern von sensiblen Unternehmensdaten Speeren unerwünschte Anwendungsprotokolle, z.B.: ICQ, MSN, Skype, Bittrorrent Proxy baut stellvertretende Verbindung auf verbergen der interne Struktur durch Network Adress Translation 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 8 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 9. Dual Homed Host besteht aus Dual Homed Host mit zwei Netzwerkschnittstellen Routingfunktion ist deaktiviert keine direkte Verbindung zwischen den Netzen privates Netz kommuniziert mit inneren Netzwerkschnittstelle des Routers öffentl. Netz kommuniziert mit äußeren Netzwerkschnittstelle des Routers relativ unsicher -> Single Point ofFailure 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 9 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 10. ScreenedHost besteht aus Bastion-Host und vorgeschalteter Screening-Router Screening-Router übernimmt Paketfilter Aufgaben alle Anfragen laufen über den Bastion Host,dieser leitet Anfragen zum Screening-Router sicherer als Dual Homed Host 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 10 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 11. ScreenedSubnet (DMZ) erweiterte Form von ScreenedHost besteht aus Bastion-Host und vor- undnachgeschalteten Screening-Routern sicherer als ScreenedSubnet 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 11 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 12. Vor- und Nachteile Vorteile von Firewalls Sicherung des eigenen Netzes / PC´s Erschwerung von unberechtigtem Zugriff Protokollierung von Datenverkehr Zentralisierung des Sicherheitsmanagements Nachteile von Firewalls Administrativer Mehraufwand Anpassung von Software Personal Aus- / und Fortbildung Einfluss durch Mitarbeiter kannst du grad mal Port x,y freischalten können wir nicht grad mal... 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 12 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 13. Fazit nicht wegzudenkende Sicherheitskomponente Gründe: (Wirtschafts)Spionage Fahrlässigkeit von eigenen Mitarbeitern bessere Firewall-Produkte nötig aktuelles Beispiel: Hacker verschafften sich Zugang zu den Teams von Barack Obama und John McCain Die beste Software nützt nichts wenn das Firewall-Konzept Sicherheitslücken aufweist 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 13 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
  • 14. Quellen Internet:http://de.wikipedia.org/wiki/Firewall (Stand: 02.11.2008)http://www.ifi.uzh.ch/ikm/Vorlesungen/Sem_Sich01/Maag.pdfhttp://www.bsi.bund.de/gshb/deutsch/m/m02075.htmhttp://www.grin.com/e-book/109558/einfuehrung-in-firewall-systemehttp://www.improve-mtc.de/Veroffentlichungen/Firewall/firewall.htmlhttp://www.ztt.fh worms.de/en/others/sem/ss96/firewall/firewall.htmlhttp://www.lan-ks.de/~jochen/firewall/foil03.html Sonstiges:Das IT-Kompendium für Fachinformatiker 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 14
  • 15. Fragen 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 15
  • 16. Vielen Dankfür EureAufmerksamkeit 01.12.2008 16 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway