Firewall-Systeme
Internet-Grundlangen
Dennis Rösner & Sandro Damp
Index
1. Netzwerkgrundlagen 1.1 LAN / MAN / WAN1.2 Zugriffsformen1.3 Verkabelungsstrukturen1.4 OSI Referenzmodel1.5 TCP / IP
2. Firewall-Systeme 2.1 Definition2.2 Unterscheidungsmerkmale2.3 Bsp. Aufbau2.4 Angriffsarten2.5 IDS & IPS
3. VPN 3.1 Definition3.2 Typen3.3 Tunneling3.4 Protokolle3.5 Angriffsarten
4. Fazit 4.1 konzeptionelle Problem4.2 Lösung
Netzwerkgrundlagen1.1 LAN / MAN / WAN
LAN = Local Area NetworkMAN = Metropolitan Area NetworkWAN = Wide Area Network
- Sind räumlich abgegrenzte Datennetze
- Nutzen gemeinsame Übertragungsmedien
- Topologie: RING, BUS, BAUM und STERN
Netzwerkgrundlagen1.2 Zugriffsformen
Zentral Dezentral
Server - Client Client - Client
Der Server bestimmt die Richtlinien des Netzes welche für alle Clients
bindend sind
Clients bestimmen ihr eigenes Verhalten im
Netz
Netzwerkgrundlagen1.3 Verkabelungsstruktur
MAN / WAN
LANGV
EV 1 EV 2 EV n
TA n TA n TA n
Netzwerkgrundlagen1.4 OSI Referenzmodel
• Entwicklung 1977
• 1983 Int. Telecommunication Union (ITU)
• 1984 Int. Organization for Standardization (ISO)
• Referenzmodell für Netzwerkprotokolle
• Schichtenarchitektur
• Kommunikation zw. Unters. Techn. Systeme
• 7.Layers mit eng begrenzten Aufgaben
• Netzwerkprotokolle in Schicht untereinander austauschbar
Netzwerkgrundlagen1.4 OSI Referenzmodel
Schichten Einordnung DoD-Schicht
Einordnung ProtokollBsp.
Einheiten Kopplungselemente
7 Anwendungen (Application)
Anwendungs-orientert
Anwendung
End-to-End(Multihop)
HTTPFTPHTTPSSMTPLDAPNCP
Daten Gateway,Content-Switch,Layer-4-7-Switch
6 Darstellung(Presentation)
5 Sitzung (Session)
4 Transport (Transport)
Transport-orientiert
TransportTCPUDPSCTPSPX
TCP =SegmenteUDP =Datagramme
3 Vermittlung (Network)Vermittlung
Point-to-Point
ICMP/IGMPIP/IpsecIPX
EthernetToken ringFDDIARCNET
Pakete
Rahmen (Frames)
Router,Layer-3-Switch
Bridge,Switch
2 Sicherung (Data Link)
Netzzugriff1 Bitübertragung (Physical) Bits,
Symbole,Pakete
Repeater,Hub
Netzwerkgrundlagen1.5 TCP / IP
Transmission Control Protocol / Internet Protocol
TCP
Verbindungsorientiertes, paketvermittelndes Transportprotokoll
Ende-zu-Ende Verbindung
Übertragung in beide Richtungen gleichzeitig
Wird durch Software verwertet
Standardisiert: RFC 793 & RFC1323IP
Grundlage des Internets
Adressiert alle Teilnehmer
Standardisiert: RFC 791 & RFC 2460
Firewall-Systeme1.1 Definition
Als Firewall-Systeme werden alle Schutzmaßnahmen bezeichnet die einen unerlaubten Zugriff von Außen auf ein privates Datennetz oder PC verhindern
Die Grundsätzliche Funktion ist das Blockieren von Kommunikationsdaten zwischen verschiedenen Netzen und Usern
Die Richtlinien müssen festgelegt und administriert werden!
Firewall-Systeme1.2 Unterscheidungsmerkmale
nach Art Hardware Firewall
Software Firewall
Kombinierte Firewall
nach Funktion Paketfilter
Softwarebasiert
Wertet Inhalte der Pakete aus
Proxy (Application Gateway)
Hardwarebasiert
Protokolliert Daten Ein- und Ausgang
Stellt Nutzerprofile bereit (Rechteverwaltung)
NAT-Funktion
Netze werden physikalisch getrennt
Etherchannel
Firewall-Systeme1.2 Bsp. Aufbau
Internet
Fw A Fw B
SwitchNAT
ftp mail web
DMZ
Geschützte Zone
Firewall-Systeme2.4 Angriffsarten
• TCP-Portscan / UDP-Portscan– Vorbereitende Aktion um Schwachstellen des Host zu entdecken
• Denial of Service– Host wird gezielt zum Absturz gebracht
• Smurf-Attack– Ausspähen von Hostinformationen
• Trojanische Pferde– Paket wird nicht als gefährlich eingestuft und darf passieren
• IP-Spoofing– Vortäuschen einer IP-Adresse
• Uvm.
Firewall-Systeme2.5 IDS & IPS
Intrusion Detection Systeme & Intrusion Prevention Systeme
• Als Hostanwendung oder Hardwaredevice (Module)
• Zeichnet vollständigen Netzverkehr auf
• Wertet IP Protokoll aus nach Mustern bekannter Angriffe
• Zusätzlicher Schutz!
VPN3.1 Definition
• Privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur
• Nur zugehörige Kommunikationspartner können kommunizieren/Daten austauschen
• Sicherheit von:
Authentizität: Identifizierung Überprüfung der Daten
Vertraulichkeit Verschlüsselung
Integrität Keine Veränderung durch Dritte
VPN3.1 Typen & Protokolle
Host Lan Router Inet Router Lan Host
End-to-Site-VPN / Remote-Acces-VPN
• Heimarbeitsplatz/ Mobile Benutzer
– VPN-Tunnel > öffentliches Netzwerk > lokales Netzwerk
• VPN-Client
• Minimaler finanzieller & technischer Aufwand
VPN3.1 Typen & Protokolle
Site-to-Site VPN/ LAN-to-LAN VPN/ Branch-Office VPN
Mehrere lokale Netzwerke
• Angemietete Standleitungen- Frame Relay/ ATM- hohe Kosten
• Site-to-Site (global) / LAN2LAN Kopplung (lokal)- vorhandenes WWW nutzen- weniger Kosten
Main-LANSub-LAN
Host LAN Router WWW Router LAN Host
VPN3.1 Typen & Protokolle
End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN
Host Lan Router Inet Router Lan Host
• Client < entferntes Netzwerk > Client
• Gesamte Strecke getunnelt
• VPN-Software auf beiden Seiten
• Verbindungsaufbau über Gateway (Verlängerung)
• Remote-Desktop: Teamviewer /GotoMyPC
VPN3.3 Tunneling
• Unbekannte Infrastruktur• Weg nicht :
– nachvollziehbar – vorhersagbar – Kontrollierbar
• An Jedem Knotenpunkt können Datenpakete: – Gespeichert– Verändert– Gelöscht
PC LANDatenpakete
Internet
• Tunneling-Protokoll = verschlüsselte Verbindung
• Zwischen beliebigen Endpunkten
• Endpunkt (Anfang & Ende)
– Einhaltung der 3 Sicherheitspunkte v. VPN‘s
– Router, Gateway oder Software-Client
VPN3.4 Protokolle
Ipsec (im Tunnelmodus)
• Erweiterung des IP Protokolls
– Gateway to Gateway
– Netzwerkschicht 3
– Gewährleistet 3 VPN-Sicherheitspunkte
– Gehört fest zum IPv6 Standard
– Für IPv4 nachträglich spezifiziert
VPN3.4 Protokolle
L2TP – Layer-2-Tunneling-Protocol
• PTP-Verbindungen über IP-Netzwerke
• Eigenen Netzwerken oder Netzwerk-Stationen
– Bsp.: Außendienstler – getunnelt durchs Internet zum Firmennetzwerk mit Standleitung zu diesem.
• 2 logische Systeme
– L2TP Acces Concentrator (LAC)
• Verwaltet Verbindung zum LAC
– L2TP Network Server (LNS)
• Routing & Kontrolle der empfangenen Pakete
• 2 Kanäle im Tunnel
– Kontrollnachricht (gesichert)
– Nutzdaten (ungesichert)
VPN3.4 Protokolle
MPLS – Multiprotocol Label Switching
• Verbindungsorientierte Übertragung
• Verbindungslosen Netz
• Aufgebauten Pfad
• Sprach & Datendienste auf IP Basis (Internetprovider)
• Ohne feste VerbindungDazwischen liegende Netzwerkknoten ( Router) wissen eigenständig,wie Daten weiterzuleiten sind vom Endgerät bis zum Empfänger
• Mit fester VerbindungEs wird erst ein Pfad vom Endgerät durch das Netz bis zum Empfänger signalisiert
VPN3.4 Protokolle
IPSec L2TP PPTP MPLS
OSI-Schicht Schicht 3 Schicht 2 Schicht 2 Schicht 2
Standard Ja Ja Nein Ja
Paket-Authentisierung
Ja Nein Nein Nein
Benutzer-Authentisierung
Ja Ja Ja Nein
Daten-verschlüsselung
Ja Nein Ja Nein
Schlüssel-management
Ja Nein Nein Nein
Quality of Service Ja Nein Nein Ja
IP-Tunneling Ja Ja Ja Ja
IPX-Tunneling Nein Ja Ja Ja
Hauptanwendung End-to-End Provider End-to-End Netzbetreiber
VPN3.5 Angriffsarten
• Man-in-the-Middle Angriff
• Wiretapping
• Spoofing
• ICMP/ARP Angriff
• Denial of Service
• TCP Sequenznummer
• Replay
• Smurf Attack
• Uvm.
FAZIT4.1 konzeptionelle Probleme
• Häufig ungeahnte Probleme
– Firewall verhindert gekapselten Datenverkehr
– Offene Tür im Sicherheitskonzept
• Platzierung des VPN-Endpunktes = wichtige Entscheidung
• Vor oder hinter die Firewall??
FAZIT4.1 konzeptionelle Probleme
• Firewall kann nicht in die verschlüsselten Pakete zu gucken• Pakete werden über Port500 an das VPN-Gateway durchgelassen• Unkontrolliertes eindringen durch VPN-Teilnehmer
WAN LANFirewall VPN-Gateway
WAN LANFirewallVPN-Gateway
• Vor der Firewall
• Erst entschlüsseln der Datenpakete
• Danach Prüfung auf ungewollte Daten durch Firewall
FAZIT4.2 Bsp. Aufbau
• Demilitarisierte Zone• Zwischen Router und Firewall• Zweite Filterstufe• Sicherheits- /Verbindungsprobleme vermeiden
– Router als VPN-Endpunkt mit integrierter Firewall
Demilitarisierte Zone (DMZ)
WAN LANFirewallRouter
VPN-Gateway
Port-Forwarding auf Router