3. Grundsätzliches kontrollierende Netzwerkverbindungskomponente privates <-> öffentliches (LAN <-> WAN) privates <-> privates (LAN <-> LAN) Schutz vor Angriffen von außen Schutz vor Fahrlässigkeit eigener Mitarbeiter Netzwerkverkehr wird nach Regelwerk festgelegt Firewall ist kein Produkt sondern ein Konzept Faktoren u.a.: Was muss geschützt werden? Wovor soll geschützt werden? Sicherheitsziele u.a.: Schutz vor unbefugten Zugriffen Verbergen der internen Netzstruktur Voraussetzungen u.a.: Ausnahmslose Kommunikation über die Firewall Qualifiziertes Personal für Verwaltung der Firewall 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 3 Grundsätzliches | Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
4. Hardware / Netzwerk Firewalls 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 4 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit dediziertes System für Firewallaufgaben vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer/Proxy FW Firewall-Appliance aufeinander abgestimmte Kombination aus Hardware „gehärtetes“ Betriebssystem -> weniger Angriffsfläche Reduzierung der laufenden Dienste maximale Authentifizierung Verschlüsselung der Verbindungen Unterscheidung der drei Netzwerkzonen Internes Netz (LAN )= vertrauenswürdiges Netzwerk Externes Netz (WAN) = nicht vertrauenswürdiges Netzwerk Demiliarisierte Zone (DMZ) = wenig vertrauenswürdiges Netzwerk
5. Personal Firewalls wird auf dem zu schützenden Computer installiert bietet keinen zentralen Firewall-Schutz vereint meist mehrere Firewall-Technologien Paketfilter, SatefulInspection, Application Layer FW sollte nicht als alleiniger Schutz dienen bietet „sinnlose“ Features Stealth-Modus ICMP-Request gibt keine Antwort zurück -> heißt soviel wie das der Rechner existiert Nur ausgewählten Programmen den Internetzugriff gestatten freigegebene Programme (z.B. IE) können als Wirtsprogramm zur Kommunikation nach außen missbraucht werden 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 5 Grundsätzliches| Typen| Technologien | Architekturen | Vor- und Nachteile | Fazit
6. Paketfilter arbeitet auf OSI-Schicht 3 + 4 Filterung anhand Quell-/Ziel-Port Quell-/Ziel-IP keine Filterung von Inhalten sehr aufwendig und unsicher jede Verbindung zu einem Server und Dienst muss konfiguriert werden Gegenstelle kann unangeforderte Kommunikation herstellen Beispiel: Anfrage auf Webseite Folgende Regeln müssen konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete von www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 6 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
7. StatefulInspection erweiterte Form des Paketfilters wird als dynamischer Paketfilter bezeichnet merkt sich die Kommunikation in Statustabelle geringerer Aufwand bei Regelerstellung keine unangefordertenVerbindungen der Gegenstelle Beispiel: Anfrage auf Webseite Folgende Regel muss konfiguriert werden Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage zu www.xyz.de) 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 7 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
8. Application Layer / Proxy Firewall arbeitet auf OSI-Schicht 7 Contentfilter Herausfiltern von potentiell Gefährlichen Inhalten auf Webseiten Active X-Steuerelementen, Java Script Internetseiten anhand von URL´s oder Schlüsselwörtern in Webseiten sperren Filtern von sensiblen Unternehmensdaten Speeren unerwünschte Anwendungsprotokolle, z.B.: ICQ, MSN, Skype, Bittrorrent Proxy baut stellvertretende Verbindung auf verbergen der interne Struktur durch Network Adress Translation 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 8 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
9. Dual Homed Host besteht aus Dual Homed Host mit zwei Netzwerkschnittstellen Routingfunktion ist deaktiviert keine direkte Verbindung zwischen den Netzen privates Netz kommuniziert mit inneren Netzwerkschnittstelle des Routers öffentl. Netz kommuniziert mit äußeren Netzwerkschnittstelle des Routers relativ unsicher -> Single Point ofFailure 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 9 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
10. ScreenedHost besteht aus Bastion-Host und vorgeschalteter Screening-Router Screening-Router übernimmt Paketfilter Aufgaben alle Anfragen laufen über den Bastion Host,dieser leitet Anfragen zum Screening-Router sicherer als Dual Homed Host 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 10 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
11. ScreenedSubnet (DMZ) erweiterte Form von ScreenedHost besteht aus Bastion-Host und vor- undnachgeschalteten Screening-Routern sicherer als ScreenedSubnet 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 11 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
12. Vor- und Nachteile Vorteile von Firewalls Sicherung des eigenen Netzes / PC´s Erschwerung von unberechtigtem Zugriff Protokollierung von Datenverkehr Zentralisierung des Sicherheitsmanagements Nachteile von Firewalls Administrativer Mehraufwand Anpassung von Software Personal Aus- / und Fortbildung Einfluss durch Mitarbeiter kannst du grad mal Port x,y freischalten können wir nicht grad mal... 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 12 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit
13. Fazit nicht wegzudenkende Sicherheitskomponente Gründe: (Wirtschafts)Spionage Fahrlässigkeit von eigenen Mitarbeitern bessere Firewall-Produkte nötig aktuelles Beispiel: Hacker verschafften sich Zugang zu den Teams von Barack Obama und John McCain Die beste Software nützt nichts wenn das Firewall-Konzept Sicherheitslücken aufweist 01.12.2008 Firewalls, Paktefilter, Stateful Inspection, Application Layer Gateway 13 Grundsätzliches| Typen | Technologien | Architekturen | Vor- und Nachteile | Fazit