Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

26
Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp

Transcript of Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Page 1: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme

Internet-Grundlangen

Dennis Rösner & Sandro Damp

Page 2: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Index

1. Netzwerkgrundlagen 1.1 LAN / MAN / WAN1.2 Zugriffsformen1.3 Verkabelungsstrukturen1.4 OSI Referenzmodel1.5 TCP / IP

2. Firewall-Systeme 2.1 Definition2.2 Unterscheidungsmerkmale2.3 Bsp. Aufbau2.4 Angriffsarten2.5 IDS & IPS

3. VPN 3.1 Definition3.2 Typen3.3 Tunneling3.4 Protokolle3.5 Angriffsarten

4. Fazit 4.1 konzeptionelle Problem4.2 Lösung

Page 3: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.1 LAN / MAN / WAN

LAN = Local Area NetworkMAN = Metropolitan Area NetworkWAN = Wide Area Network

- Sind räumlich abgegrenzte Datennetze

- Nutzen gemeinsame Übertragungsmedien

- Topologie: RING, BUS, BAUM und STERN

Page 4: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.2 Zugriffsformen

Zentral Dezentral

Server - Client Client - Client

Der Server bestimmt die Richtlinien des Netzes welche für alle Clients

bindend sind

Clients bestimmen ihr eigenes Verhalten im

Netz

Page 5: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.3 Verkabelungsstruktur

MAN / WAN

LANGV

EV 1 EV 2 EV n

TA n TA n TA n

Page 6: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.4 OSI Referenzmodel

• Entwicklung 1977

• 1983 Int. Telecommunication Union (ITU)

• 1984 Int. Organization for Standardization (ISO)

• Referenzmodell für Netzwerkprotokolle

• Schichtenarchitektur

• Kommunikation zw. Unters. Techn. Systeme

• 7.Layers mit eng begrenzten Aufgaben

• Netzwerkprotokolle in Schicht untereinander austauschbar

Page 7: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.4 OSI Referenzmodel

Schichten Einordnung DoD-Schicht

Einordnung ProtokollBsp.

Einheiten Kopplungselemente

7 Anwendungen (Application)

Anwendungs-orientert

Anwendung

End-to-End(Multihop)

HTTPFTPHTTPSSMTPLDAPNCP

Daten Gateway,Content-Switch,Layer-4-7-Switch

6 Darstellung(Presentation)

5 Sitzung (Session)

4 Transport (Transport)

Transport-orientiert

TransportTCPUDPSCTPSPX

TCP =SegmenteUDP =Datagramme

3 Vermittlung (Network)Vermittlung

Point-to-Point

ICMP/IGMPIP/IpsecIPX

EthernetToken ringFDDIARCNET

Pakete

Rahmen (Frames)

Router,Layer-3-Switch

Bridge,Switch

2 Sicherung (Data Link)

Netzzugriff1 Bitübertragung (Physical) Bits,

Symbole,Pakete

Repeater,Hub

Page 8: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Netzwerkgrundlagen1.5 TCP / IP

Transmission Control Protocol / Internet Protocol

TCP

Verbindungsorientiertes, paketvermittelndes Transportprotokoll

Ende-zu-Ende Verbindung

Übertragung in beide Richtungen gleichzeitig

Wird durch Software verwertet

Standardisiert: RFC 793 & RFC1323IP

Grundlage des Internets

Adressiert alle Teilnehmer

Standardisiert: RFC 791 & RFC 2460

Page 9: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme1.1 Definition

Als Firewall-Systeme werden alle Schutzmaßnahmen bezeichnet die einen unerlaubten Zugriff von Außen auf ein privates Datennetz oder PC verhindern

Die Grundsätzliche Funktion ist das Blockieren von Kommunikationsdaten zwischen verschiedenen Netzen und Usern

Die Richtlinien müssen festgelegt und administriert werden!

Page 10: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme1.2 Unterscheidungsmerkmale

nach Art Hardware Firewall

Software Firewall

Kombinierte Firewall

nach Funktion Paketfilter

Softwarebasiert

Wertet Inhalte der Pakete aus

Proxy (Application Gateway)

Hardwarebasiert

Protokolliert Daten Ein- und Ausgang

Stellt Nutzerprofile bereit (Rechteverwaltung)

NAT-Funktion

Netze werden physikalisch getrennt

Etherchannel

Page 11: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme1.2 Bsp. Aufbau

Internet

Fw A Fw B

SwitchNAT

ftp mail web

DMZ

Geschützte Zone

Page 12: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme2.4 Angriffsarten

• TCP-Portscan / UDP-Portscan– Vorbereitende Aktion um Schwachstellen des Host zu entdecken

• Denial of Service– Host wird gezielt zum Absturz gebracht

• Smurf-Attack– Ausspähen von Hostinformationen

• Trojanische Pferde– Paket wird nicht als gefährlich eingestuft und darf passieren

• IP-Spoofing– Vortäuschen einer IP-Adresse

• Uvm.

Page 13: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

Firewall-Systeme2.5 IDS & IPS

Intrusion Detection Systeme & Intrusion Prevention Systeme

• Als Hostanwendung oder Hardwaredevice (Module)

• Zeichnet vollständigen Netzverkehr auf

• Wertet IP Protokoll aus nach Mustern bekannter Angriffe

• Zusätzlicher Schutz!

Page 14: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.1 Definition

• Privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur

• Nur zugehörige Kommunikationspartner können kommunizieren/Daten austauschen

• Sicherheit von:

Authentizität: Identifizierung Überprüfung der Daten

Vertraulichkeit Verschlüsselung

Integrität Keine Veränderung durch Dritte

Page 15: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.1 Typen & Protokolle

Host Lan Router Inet Router Lan Host

End-to-Site-VPN / Remote-Acces-VPN

• Heimarbeitsplatz/ Mobile Benutzer

– VPN-Tunnel > öffentliches Netzwerk > lokales Netzwerk

• VPN-Client

• Minimaler finanzieller & technischer Aufwand

Page 16: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.1 Typen & Protokolle

Site-to-Site VPN/ LAN-to-LAN VPN/ Branch-Office VPN

Mehrere lokale Netzwerke

• Angemietete Standleitungen- Frame Relay/ ATM- hohe Kosten

• Site-to-Site (global) / LAN2LAN Kopplung (lokal)- vorhandenes WWW nutzen- weniger Kosten

Main-LANSub-LAN

Host LAN Router WWW Router LAN Host

Page 17: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.1 Typen & Protokolle

End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN

Host Lan Router Inet Router Lan Host

• Client < entferntes Netzwerk > Client

• Gesamte Strecke getunnelt

• VPN-Software auf beiden Seiten

• Verbindungsaufbau über Gateway (Verlängerung)

• Remote-Desktop: Teamviewer /GotoMyPC

Page 18: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.3 Tunneling

• Unbekannte Infrastruktur• Weg nicht :

– nachvollziehbar – vorhersagbar – Kontrollierbar

• An Jedem Knotenpunkt können Datenpakete: – Gespeichert– Verändert– Gelöscht

PC LANDatenpakete

Internet

• Tunneling-Protokoll = verschlüsselte Verbindung

• Zwischen beliebigen Endpunkten

• Endpunkt (Anfang & Ende)

– Einhaltung der 3 Sicherheitspunkte v. VPN‘s

– Router, Gateway oder Software-Client

Page 19: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.4 Protokolle

Ipsec (im Tunnelmodus)

• Erweiterung des IP Protokolls

– Gateway to Gateway

– Netzwerkschicht 3

– Gewährleistet 3 VPN-Sicherheitspunkte

– Gehört fest zum IPv6 Standard

– Für IPv4 nachträglich spezifiziert

Page 20: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.4 Protokolle

L2TP – Layer-2-Tunneling-Protocol

• PTP-Verbindungen über IP-Netzwerke

• Eigenen Netzwerken oder Netzwerk-Stationen

– Bsp.: Außendienstler – getunnelt durchs Internet zum Firmennetzwerk mit Standleitung zu diesem.

• 2 logische Systeme

– L2TP Acces Concentrator (LAC)

• Verwaltet Verbindung zum LAC

– L2TP Network Server (LNS)

• Routing & Kontrolle der empfangenen Pakete

• 2 Kanäle im Tunnel

– Kontrollnachricht (gesichert)

– Nutzdaten (ungesichert)

Page 21: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.4 Protokolle

MPLS – Multiprotocol Label Switching

• Verbindungsorientierte Übertragung

• Verbindungslosen Netz

• Aufgebauten Pfad

• Sprach & Datendienste auf IP Basis (Internetprovider)

• Ohne feste VerbindungDazwischen liegende Netzwerkknoten ( Router) wissen eigenständig,wie Daten weiterzuleiten sind vom Endgerät bis zum Empfänger

• Mit fester VerbindungEs wird erst ein Pfad vom Endgerät durch das Netz bis zum Empfänger signalisiert

Page 22: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.4 Protokolle

IPSec L2TP PPTP MPLS

OSI-Schicht Schicht 3 Schicht 2 Schicht 2 Schicht 2

Standard Ja Ja Nein Ja

Paket-Authentisierung

Ja Nein Nein Nein

Benutzer-Authentisierung

Ja Ja Ja Nein

Daten-verschlüsselung

Ja Nein Ja Nein

Schlüssel-management

Ja Nein Nein Nein

Quality of Service Ja Nein Nein Ja

IP-Tunneling Ja Ja Ja Ja

IPX-Tunneling Nein Ja Ja Ja

Hauptanwendung End-to-End Provider End-to-End Netzbetreiber

Page 23: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

VPN3.5 Angriffsarten

• Man-in-the-Middle Angriff

• Wiretapping

• Spoofing

• ICMP/ARP Angriff

• Denial of Service

• TCP Sequenznummer

• Replay

• Smurf Attack

• Uvm.

Page 24: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

FAZIT4.1 konzeptionelle Probleme

• Häufig ungeahnte Probleme

– Firewall verhindert gekapselten Datenverkehr

– Offene Tür im Sicherheitskonzept

• Platzierung des VPN-Endpunktes = wichtige Entscheidung

• Vor oder hinter die Firewall??

Page 25: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

FAZIT4.1 konzeptionelle Probleme

• Firewall kann nicht in die verschlüsselten Pakete zu gucken• Pakete werden über Port500 an das VPN-Gateway durchgelassen• Unkontrolliertes eindringen durch VPN-Teilnehmer

WAN LANFirewall VPN-Gateway

WAN LANFirewallVPN-Gateway

• Vor der Firewall

• Erst entschlüsseln der Datenpakete

• Danach Prüfung auf ungewollte Daten durch Firewall

Page 26: Firewall-Systeme Internet-Grundlangen Dennis Rösner & Sandro Damp.

FAZIT4.2 Bsp. Aufbau

• Demilitarisierte Zone• Zwischen Router und Firewall• Zweite Filterstufe• Sicherheits- /Verbindungsprobleme vermeiden

– Router als VPN-Endpunkt mit integrierter Firewall

Demilitarisierte Zone (DMZ)

WAN LANFirewallRouter

VPN-Gateway

Port-Forwarding auf Router