© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von...

Firewallprüfung

Am Beispiel von Checkpoint FW1

Oliver Karow03/2002

TOPICS

Was ist eine Firewall?

Firewalltypen

Was ist eine Checkpoint FW1?

Was wird geprüft?

Was ist eine Firewall

Eine Firewall ist ein Filtermechanismus zwischen zwei oder mehr Netzwerken.

Die Firewall regelt welcher Verkehr zwischen den Netzen durchgelassen

Firewall-Typ: Paketfilter

CLIENT

SERVER

Filterkriterien:

Quell-/Ziel-IP Quell-/Ziel-Port FLAG‘s (Syn/Ack..) State-Table

OSI-Layer: <5

IP-Forwarding

Firewall-Typ: Proxy

CLIENT

SERVER

Filterkriterien:

Siehe Paketfilter Features der

Proxysoftware- FTP-PUT/GET...- HTTP-GET/POST...- .....

OSI-Layer: <=7

Kein IP-Forwarding im reinen Proxy-Betrieb

Was ist eine Checkpoint FW1?

Statefull Inspection OSI-Layer 3-7

Secure Services (Proxy) HTTP SMTP TELNET FTP

Malicious Activity Detection Portscan

VPN-Endpunkt Site-Site Client-Site

CVP Antivirus (TrendMicro usw.) Active Code (MimeSweeper)

Checkpoint Client-Server Architektur

Management Modul

FW-Modul

Was wird geprüft?

Firewalldesign

Betriebssystemsicherheit

Firewalleinstellungen

Regelwerk

Prozesse

Firewalldesign

Platzierung der Komponenten Proxy vs. Paketfilter

Einstufiges vs. Mehrstufiges Design

FW-Produkt und Betriebssystem

Einstufiges Firewallmodell

EXCHANGE ORACLE

Firewall

WEBSERVER DNS MAIL SQUID ANTIVIRUS

USER USER USER

Router

Mehrstufiges Firewallmodell

EXCHANGE ORACLE

WEBSERVER DNS MAIL

SQUID ANTIVIRUS

USER USER USER

Router

Betriebssystemsicherheit

Patchlevel

Accounts

Auditing

Logging

Monitoring

Hardening

Firewallkonfiguration

Patch-Level

Existenz bekannter

Verwundbarkeiten

Verzeichnisberechtigungen

Berechtigungen / Accounts

Sicherheitsrelevante Einstellungen

der Software

Check Point Configuration Tool

Check Point Policy Editor

Security Policy

Log & Alert

SYNDefender

Security Servers

ACCESS LISTS

Desktop Security

Authentication

Anti-Spoofing

Regelwerk

Implied Rules

BASIC RULES

STEALTH RULESchützt die Firewall selbst vor AngriffenMöglichst zu Beginn des Regelwerks

Verhindert aber auch Management-Verbindungen, daher folgende Regel zusätzlich:

BASIC RULES

CLEAN-UP RULESteht am Ende des RegelwerksLoggt alle Pakete für die keine gültige

Regel gefunden wurdeBlockt alle Pakete für die keine gültige

Regel gefunden wurde (ist in FW-Software hardgecodet)

Beliebte Fehler im Regelwerk

Unübersichtliches Regelwerk Keine Zusammenfassung in Gruppen

Keine bzw. unzureichende Dokumentierung der einzelnen Regeln

Verwendung der Implied-Rules

Großzügige Verwendung von ANY

Kein Logging wichtiger Regelverstöße Regeln die nie zutreffen können (z.B. weil Pakete die Firewall nie erreichen )

Prozesse rund um die Firewall

Change- und Updatemanagement

Administration

Zentrales Logging Wohin wird geloggt? UDP-Syslog vs. SecureSyslog SNMP-Traps

Monitoring

Alarming

© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von...

Documents

1 Kapitel 14: Recovery Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück 49069 Osnabrück oliver@uos.de

OLIVER MARK · NATURA MORTA OLIVER MARK „NIEMAND IM LEBEN LEBT ALLEIN.“ OLIVER MARK ISBN 978-3-86828-759-2 NATURA MORTA OLIVER MARK Platzhalter SC_162070_Natura_Morta_Buch_Titel_675x418_tn.indd

1 Kapitel 11: Relationale Entwurfstheorie Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück 49069 Osnabrück oliver@uos.de

Oliver Furniture

Heilpraxis Oliver Wiedemer | Einheit von Körper, Geist und ...oliver-wiedemer.de/wp-content/uploads/2016/12/Flyer-Oliver-Wiedemer.pdfReiki alle Grade in trad. System nach Dr Usui

Www.attac.de Oliver Moldenhauer, oliver@attac.de 2005: Schwerpunkt WTO

Vorlesung: Analysis II f¨ur Ingenieure - Private Homepagespage.math.tu-berlin.de/~karow/lehre/folien_ana2/taylor_und_extrema.pdf · Taylor-Entwicklung f¨ur eine Funktion von einer

WPL 7-31 A HMC20 - documents.buderus.comdocuments.buderus.com/download/pdf/file/6720646217.pdf · 8 737 701 633 2 ; 8 737 701 627 ... Druckwächter AE: Druckwächter HD FW1: Druckwächter

Holzschnitte Oliver Borner

Oliver Geisselhart - Gedächnistraining

Linden Nils Oliver - LMU

6z fW1 - staufen.de€¦ · pro Textzeile 7silbige Come viver mii posSO ist eine sogenannte chia vette, d. h. eine am Text entlang geschriebene Komposition, bei der sich verschiedene

Verkehrliche Untersuchung Stadtraum Nord-Ost (Karow-Buch ...€¦ · Bürgerinformation 27. November 2012 Berlin Verkehrsuntersuchung Karow-Buch Seite 2 •Grundlage StEP-Prognosemodell

Oliver Kroppen Stefan Kortus

Vorlesung: Numerik 1 f¨ur Ingenieure - page.math.tu-berlin.depage.math.tu-berlin.de/~karow/ala_padua/Teach/numerik_1_fuer_ing/vorlesung5.pdfSatz von der Cholesky-Zerlegung Sei A ∈Rn×n

KLasse Programm - · PDF fileKammersolisten XXI - Kammerkonzerte Isabelle van Keulen, Violine; ... Blackbird - Schauspiel von David Harrower Regie: Reinhard Karow,

Schutz einer imaginären Biermarke Lizenz- und Pantentvertragsrecht 14.11.2011 Oliver Schlatter und Oliver Fröhli

Oliver Mau Leitprojekt „Regionale Erreichbarkeitsanalysen“€¦ · Fachkongress Daseinsvorsorge Oliver Mau Leitprojekt „Regionale Erreichbarkeitsanalysen“ 13. November 2017

1 Datenbanksysteme Oliver Vornberger Fachbereich Mathematik/Informatik Universität Osnabrück 49069 Osnabrück oliver@uos.de

FAU UNIVERSITY PRESS 2017 Oliver von Flotow...Erlanger Migrations- und Integrationsstudien 4 UNIVERSITY PRESS Oliver von Flotow Krieg ist immer dumm Oliver von Flotow Kindheit. Flucht