Firewalls
Saskia Schild, Manuel Grbac & Nerma Taletovic
2
Inhaltsverzeichnis• Was ist eine Firewall?
• Aufgaben einer Firewall
• Was eine Firewall nicht kann
• Fernzugriff
• Sichtbarkeit für Anwender
• Regelwerk
• Firewall-Arten
– Personal Firewall
– Externe Firewall
• Filtertechnologien
• Netfilter/IPtables
• Sicherheit und Kostenfrage
3
Was ist eine Firewall?
• engl. Brandschutzmauer
• dient dazu, nur bestimmte Anwendungen Zugriff zu gewähren
• Trennt sozusagen den privaten vom öffentlichen Bereich
4
Aufgaben einer Firewall
• Paketfilter und -analyse
• Protokoll- und Inhaltsblockierung
• Benutzer-, Verbindungs- und Sitzungsauthentifizierung und Verschlüsselung
• ...
5
Was eine Firewall nicht kann
• Fremde Verbindungen schützen:
Eine Firewall schützt nur Verbindungen, die über sie laufen
• Angriffe erkennen:Eine Firewall soll grundsätzlich die Regeln für die Netzwerkkommunikation umsetzen und so den Datenverkehr voninnen nach außen unterstützen.
6
Fernzugriff
• Zugriff auf den Netzwerkdienst (Unsichere Netzwerkdienste, ...)
• Rückschluss vom Netzwerkdienst auf den Client
• Netzwerkimplementierung des Betriebssystems (fehlerhafte Treiber, falsche Implementierung, ...)
7
Sichtbarkeit für Anwender
Es gibt 4 Erscheinungsformen einer externen Firewall:
– SichtbarFirewall stellt sich sichtbar zwischen das Quell- und Zielsystem
– einer Seite gegenüber transparenteinseitig direkte Verbindung
– beiden Seiten gegenüber transparentbeidseitig durchgehende Verbindung
– UnsichtbarUnterschied zu beidseitiger Transparenz: Systeme können sich gegenseitig nicht erkennen
8
Regelwerk
Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.
Eine Regel setzt sich aus folgenden Komponenten zusammen:
• Absender IP-Adresse
• Ziel IP-Adresse
• Netzwerkprotokoll
• Port Nummer
• Aktion:
– DROP: ein Paket wird verworfen
– REJECT/DENY: es wird aktiv abgelehnt
– ACCEPT/ALLOW/PASS: es wird angenommen
• Loggen
9
Firewall-Arten Personal Firewalls
• Ist eine Software, die auf dem Rechner des Endnutzers installiert ist
• Sie ist keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert, sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz
• Sie wird auf Einzelcomputern eingesetzt
• Überwacht auch welche Programme versuchen ausgehende Netzwerk- oder Internet-Kommunikationen zu starten
10
Firewall-Arten Personal Firewalls
Funktionsweise
• Der Paketfilter filtert und blockiert Datenpakete nach den Regeln des Regelwerk
• Über die Adressierungsinformation die ein Datenpaket enthält wird es zum Ziel weitergeleitet
• Der Anwendungsfilter kann einzelne Programme von der Netzkommunikation ausschließen
• Mit Hilfe des grafischen Frontends kann der Benutzer die Filter selbst konfigurieren
11
Firewall-Arten Personal Firewalls
• Ein Lernmodus einer Firewall ermöglicht es, das durch die Interaktion mit dem Benutzer die Filterkriterien festgelegt werden.
• Web Shields oder Web Application Firewalls filtern ActiveX und JavaScript Inhalte
• Firewalls können auch über ein Einbrucherkennungs- und -Abwehrsystem verfügen (auch Intrusion Detection System - IDS genannt)
• Sandboxing kann ein Programm daran hindern, auf Systemressourcen zuzugreifen – dadurch können Schäden am System verhindert werden.
• Dynamische Paketfilterung
12
Vorteile einer Personal Firewall
• Kennen lernen des paketorientierten Datenverkehrs im Internet
• Softwarelösungen sind günstiger als Hardwarelösungen
• Der Schutz einer Softwarelösung ist oft aktueller als der einer Hardwarevariante
• schneller und komfortabler Schutz
• ausgehender Verkehr wird auch kontrolliert
13
Nachteile einer Personal Firewall
• Installation einer weiteren komplizierten Software
• Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen
• verbrauchen Systemressourcen
• Manipulationsgefahr
• Lernphase nötig
• Höhere Komplexität → mehr Angriffsfläche
• Je komplexer eine Firewall ist, desto größer ist die Wahrscheinlichkeit, dass Softwarefehler auftreten
14
Grenzen einer Personal Firewall
• Antivirensoftware und Viren-und Spywarescanner sind unerlässlich
• Regelmäßige Datensicherung
• Akutalisierung der Software
• Sichere Konfiguration von Webbrowser,..
• Vorsichtiger Umgang mit dem Internet
15
Firewall-Arten Externe Firewalls
Allgemein
• kontrolliert die Verbindung zweier Netze
• Läuft auf einem eigenständigen System
• Durch die physische Trennung der Firewall und der zu
schützenden PCs ist eine Manipulation nicht einfach durchzuführen
16
Typen einer Externen Firewall
Man unterscheidet folgende Arten:
» Bridging-Firewall» Routing-Firewall» Proxy-Firewall
17
Topologie
• Dual-homed Firewall
InternetHub
Workstation
Firewall
18
Topologie
• Two-legged Network
Internet
Firewall
Hub oder Switch
DMZZone
Public Webserver
Public Mailserver
Workstation
Hub oder Switch
19
Topologie
• Three-legged Network
Internet
DMZZone
Firewall
Public Webserver
Public Mailserver
Hub oder Switch
Hub oder Switch
Workstation
20
Vorteile einer Externen Firewall
• Konfiguration nur einmal notwendig
• Trennung von internem und öffentlichem Netz
• Optimiert für Arbeitsabläufe und entlastet PC
• Schützt auch andere Geräte im internen Netz
• Betriebssystemunabhängiger Schutz
• Möglichkeit des Kaufs eines Zusatzpaketes
• Black- und Whitelist
21
Nachteile einer Externen Firewall
• Wehrt nur Angriffe von außen ab
• kostenspielig
• Kein „Rundum-Schutz“
22
Grenzen einer Externen Firewall
• Workflow evtl. gestört durch oftmaliges „nachfragen“ beim Benutzer
• Verwendung von Proxies eine gute Alternative, aber kein garantierter Schutz
23
Filtertechnologien
• Paketfilter
• Stateful Inspection
• Proxyfilter
• Contentfilter
24
Netfilter
• Netfilter: stellt Werkzeuge für Linux-Firewall zur Verfügung
• Gruppen von Firewall-Regeln = Tabellen
• Tabelle enthält verschiedene Ketten/Chains
• Beispiel: filter table mit ihren drei Standardchains:
Linux-Netfilter Firewall
INPUTOUTPUT
FORWARD
25
IPTables
• Chains sind Listen von Regeln
• IPTables dient dem Anlegen und Löschen von Regeln/Chains
• Regel = mehrere Bedingungen und eine Aktion/Target
• Syntax einer Regel:iptables name_of_table name_of_chain -p protokoll -s source -p destination -j jump_target
• Beispiele:
Alle Pakete die der von IP-Adresse 127.0.0.1 kommen, verwerfen:iptables -A INPUT -s 127.0.0.1 -j DROP
Alle TCP Pakete von der IP-Adresse 1.2.3.4 an benutzerdefinierte Chain test leiten:
iptables -A INPUT -p TCP -s 1.2.3.4 -j test
26
Sicherheit und Kostenfrage
• Kostenspielig (zw. 50€ und 150.000€)
• Monatliche Wartungskosten
• Oftmals nur von großen Betrieben genutzt
• Personal Firewall + Antivirenprogramm statt externe Firewall
27
Quellen
• Building Internet Firewalls, Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman, Second Edition, June 2000
• http://www.nm.ifi.lmu.de/~sicherheitsbuch/Paketfilter.pdf
• wikipedia.org
• http://subs.emis.de/LNI/Proceedings/Proceedings17/GI-Proceedings.17-9.pdf
• firewall.cx/networking-topics/firewalls/209-firewall-topologies.html
• linuxreport.org/content/view/26/23/
• centos.org/docs/4/4.5/System_Administration_Guide/iptables-command-syntax.html
• help.ubuntu.com/community/IptablesHowTo
28
Danke für die Aufmerksamkeit
Top Related