27
08.05.2006 (c) Christian Watzke 1 Firewall und Tunneling

08.05.2006(c) Christian Watzke1 Firewall und Tunneling

Embed Size (px)

Citation preview

Page 1: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 1

Firewall und Tunneling

Page 2: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 2

Inhalt

Grundlagen

Firewall-Systeme

Netzwerk-Firewall

Host-Firewall (Personal Firewall)

Komponenten einer Firewall

Paketfilter (Content-Filter)

Proxy

DMZ

Page 3: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 3

Inhalt

Tunnelklassen

PPP

VPN

HTTP

DNS, SMTP

TCP/IP

Gegenmaßnahmen

Empfehlungen

Page 4: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 4

Grundlagen

Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen

kontrollieren den Datenverkehr zwischen den Teilbereichen

verhindern ungewünschten Verkehr

Häufiger Einsatz zwischen LANs und WANs

Unterbinden von Datenverkehr von extern zum

geschützten Bereich und umgekehrt

Page 5: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 5

Grundlagen

Hardware

für Senden und Empfange der Datenpakete zuständig

kein sicherndes Element

häufige Netzelemente: Router, Gateways

Software

regelt den Datenverkehr (wer darf, wer nicht?)

läuft oft auf spezieller Hardware

Page 6: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 6

Netzwerk-Firewall

Gerät mit mehreren Netzwerkschnittstellen

darauf laufende Software dient hauptsächlich als Firewall

In der Regel wird zwischen drei Netzwerkzonen unterschieden

das externe Netz (WAN), nicht vertrauenswürdig => Untrusted

demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server

interne Netz (LAN), vertrauenswürdig => Trustet

Page 7: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 7

Host-Firewall

Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird

( PC mit Windows oder Linux )

„Personal Firewalls“ werden als Software-Firewall bezeichnet

Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells

Page 8: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 8

Personal Firewall

lokale Installation auf dem zu schützenden Rechner

Regelt nur Verkehr vom und zum Rechner

Keine Überwachung zwischen verschiedenen Netzen

Einfache Konfiguration

Application Control

Stealth-Modus

Eher geringe Schutzwirkung

Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2)

Page 9: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 9

Paketfilter

Vergleich von Quell –und/oder Zieladresse der Pakete

nimmt Filterungen das erstellten Regeln vor

Ebene der Ports

FTP – Port 21 sperren

Ebene der IP-Adressen

Paket von 87.92.100.100 nicht druchlassen

Sichere Kommunikation über VPN – Virtual Private Network

Page 10: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 10

Paketfilter

NAT – Network Address Translation

PAT – Port Address Translation

Umsetzung von privaten IP – Adressen auf eine öffentliche

z.B. DSL – Anschluss mit dynamischer IP

Netzwerk nach Außen nicht sichtbar

Produkte: iptables (Linux 2.4 + 2.6)

Page 11: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 11

Paketfilter

BASIC NAT

lokales Netz (LAN) öffentliches Netz (WAN)

Quell-IP Ziel-IPRouter

===========>

NAT

Quell-IP Ziel-IP

192.168.0.2 170.0.0.1 205.0.0.2 170.0.0.1

192.168.0.3 170.0.0.1 205.0.0.4 170.0.0.1

192.168.0.4 170.0.0.1 205.0.0.3 170.0.0.1

Page 12: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 12

Paketfilter

HIDING NAT bzw. Masquerading

lokales Netz (LAN) öffentliches Netz (WAN)

Quell-IP Ziel-IP Quell-IP Ziel-IP

192.168.0.2:1050 170.0.0.1:80Router

===========>NAT

210.1.1.2:1050 170.0.0.1:80

192.168.0.3:6425 170.0.0.1:80 210.1.1.2:6425 170.0.0.1:80

192.168.0.4:8080 170.0.0.1:80 210.1.1.2:9000 170.0.0.1:80

192.168.0.5:8080 170.0.0.1:80 210.1.1.2:9010 170.0.0.1:80

Page 13: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 13

Paketfilter

Kritik

Keine saubere Einhaltung der Netzwerkschichten

Netzwerkprotokolle der Schicht 4 funktionieren oft nur

wenn sie explizit vom Paketfilter unterstützt werden

Erschwert die Entwicklung neuer Protokolle

besonders betroffen (FTP, VoIP)

deshalb auch zügige Einführung von IPv6, da NAT

aufgrund des ausreichend großen Adressraums unnötig wird

Page 14: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 14

Content-Filter – Stateful Inspection

Filter höherer Ebenen (nicht Meta Daten)

Aufgaben

Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten

Filtern/Kennzeichnen von Spam-Mails

Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite)

Pakete werden zusammengesetzt

Überprüfung

Pakete werden wieder in ursprünglichen Datenstrom zerlegt

Page 15: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 15

Proxy

ist mehrfach in Firewall-Systemen einsetzbar

für Clients und Server weitgehend unbemerkbar

nimmt Protokollvalidierung und Anpassung vor

Sperrung bestimmter Protokolltransaktionen

Zugriffssteuerung

Protokollierung der Zugriffe

Unterstützt

FTP, DNS, HTTP, SMTP, POP3

Page 16: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 16

DMZ

Demilitarized Zone

Zone zwischen geschützten Netz und Internet

Wird von zwei Firewallsystemen abgeschirmt

Internetdienste wie z.B. E-Mail oder WWW werden durch die erste Firewall

durchgelassen

Die zweite Firewall besitzt engere Vorschriften

Page 17: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 17

DMZ

Page 18: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 18

Tunnelklassen

einfachste Verbindung PPP „Point to Point Protocol“

Page 19: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 19

Tunnelklassen

VPN – Virtual Private Network

Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567

diese Verbindungen laufen durch den VPN-Tunnel

anderer Datenverkehr geht über gewohnte Verbindungen

einfache Skripte, IProute2, IPtables

Page 20: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 20

Tunnelklassen

HTTP – TunnelGET http://hier.darf/was/rein.html HTTP/1.1

Host: auch.der.Rechnername.eignet.sich

X-Data: Im Datenfeld ist es sehr einfach

Page 21: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 21

Tunnelklassen

DNS und SMTP

nicht effektiv, da nur kleine Datenmengen übertragen werden können

kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist

auffällig wenn DNS – Traffic extrem zunimmt

weniger auffällig ist SMTP (Bilder, Dokumente)

SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet

Page 22: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 22

Tunnelklassen

Untere Schichten (TCP/IP)

TCP - Sequenznummern

0

100

200

300

400

500

600

700

800

0 50 100 150 200 250 300 350

Paketanzahl

Sequenznummer

Sequenznummer imNormalen Verkehr

Sequenznummer alsDatenfeldSequenznummernfeld wird als Datenfeld

verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte.

Page 23: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 23

Tunnelklassen

Untere Schichten (TCP/IP)

Verzögerungszeit

0

2

4

6

8

10

12

14

16

18

20

0,1 0,14 0,18 0,22 0,26 0,3 0,34 0,38 0,42 0,46 0,5

Verzögerungszeit (Sekunden)

Fehlerrate(Prozent)

Mit Fehlerkorrektur

Ohne Fehlerkorrektur

Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen.

Page 24: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 24

Gegenmaßnahmen

HTTPS - Verbindung (normal)

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

10000

11000

12000

13000

14000

15000

0 20 40 60 80 100 120 140 160 180 200 220 240 260 280 300

Paketanzahl

Vom Server zum Client

Vom Client zum Server

Paketgröße

Tunnel sind nur schwer aufzuspüren

Verschlüsselung durch SSL

Die Charakteristik des Verkehrs analysieren

Page 25: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 25

HTTPS - Verbindung (Datenkanal)

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

10000

11000

12000

13000

14000

15000

0 20 40 60 80 100 120 140 160 180 200 220 240 260 280 300

Paketanzahl

Vom Server zum Client

Vom Client zum Server

Paketgröße

Gegenmaßnahmen

Client sendet mehr Daten

Dauer der Verbindung

Verbindung zu ein und demselben Host

Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen

Page 26: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 26

Empfehlungen

nicht benötigte Ports sperren

Firewall mit Statefull-Filter verwenden

lange Timeouts vermeiden

<CONNECT> Befehl deaktivieren (HTTP)

HTTP/HTTPS – Proxy mit Authentifizierung und Logging

Standardkonformität der Protokolle überwachen

Virenschutz

Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen

Page 27: 08.05.2006(c) Christian Watzke1 Firewall und Tunneling

08.05.2006 (c) Christian Watzke 27

Quellen

http://de.wikipedia.org

http://www.heise.de

http://www.linux-magazin.de