Upload
ishild-schiel
View
118
Download
5
Embed Size (px)
Citation preview
08.05.2006 (c) Christian Watzke 1
Firewall und Tunneling
08.05.2006 (c) Christian Watzke 2
Inhalt
Grundlagen
Firewall-Systeme
Netzwerk-Firewall
Host-Firewall (Personal Firewall)
Komponenten einer Firewall
Paketfilter (Content-Filter)
Proxy
DMZ
08.05.2006 (c) Christian Watzke 3
Inhalt
Tunnelklassen
PPP
VPN
HTTP
DNS, SMTP
TCP/IP
Gegenmaßnahmen
Empfehlungen
08.05.2006 (c) Christian Watzke 4
Grundlagen
Firewalls sitzen an Schnittstellen zwischen einzelnen Netzen
kontrollieren den Datenverkehr zwischen den Teilbereichen
verhindern ungewünschten Verkehr
Häufiger Einsatz zwischen LANs und WANs
Unterbinden von Datenverkehr von extern zum
geschützten Bereich und umgekehrt
08.05.2006 (c) Christian Watzke 5
Grundlagen
Hardware
für Senden und Empfange der Datenpakete zuständig
kein sicherndes Element
häufige Netzelemente: Router, Gateways
Software
regelt den Datenverkehr (wer darf, wer nicht?)
läuft oft auf spezieller Hardware
08.05.2006 (c) Christian Watzke 6
Netzwerk-Firewall
Gerät mit mehreren Netzwerkschnittstellen
darauf laufende Software dient hauptsächlich als Firewall
In der Regel wird zwischen drei Netzwerkzonen unterschieden
das externe Netz (WAN), nicht vertrauenswürdig => Untrusted
demilitarisierte Zone (DMZ), vom externen Netz aus erreichbare Server
interne Netz (LAN), vertrauenswürdig => Trustet
08.05.2006 (c) Christian Watzke 7
Host-Firewall
Software arbeitet auf Hardware die auch für andere Zwecke verwendet wird
( PC mit Windows oder Linux )
„Personal Firewalls“ werden als Software-Firewall bezeichnet
Software arbeitet auf den Schichten 2-7 des OSI-Referenzmodells
08.05.2006 (c) Christian Watzke 8
Personal Firewall
lokale Installation auf dem zu schützenden Rechner
Regelt nur Verkehr vom und zum Rechner
Keine Überwachung zwischen verschiedenen Netzen
Einfache Konfiguration
Application Control
Stealth-Modus
Eher geringe Schutzwirkung
Produkte: ZoneAlarm, Windows-Firewall (XP, SP 2)
08.05.2006 (c) Christian Watzke 9
Paketfilter
Vergleich von Quell –und/oder Zieladresse der Pakete
nimmt Filterungen das erstellten Regeln vor
Ebene der Ports
FTP – Port 21 sperren
Ebene der IP-Adressen
Paket von 87.92.100.100 nicht druchlassen
Sichere Kommunikation über VPN – Virtual Private Network
08.05.2006 (c) Christian Watzke 10
Paketfilter
NAT – Network Address Translation
PAT – Port Address Translation
Umsetzung von privaten IP – Adressen auf eine öffentliche
z.B. DSL – Anschluss mit dynamischer IP
Netzwerk nach Außen nicht sichtbar
Produkte: iptables (Linux 2.4 + 2.6)
08.05.2006 (c) Christian Watzke 11
Paketfilter
BASIC NAT
lokales Netz (LAN) öffentliches Netz (WAN)
Quell-IP Ziel-IPRouter
===========>
NAT
Quell-IP Ziel-IP
192.168.0.2 170.0.0.1 205.0.0.2 170.0.0.1
192.168.0.3 170.0.0.1 205.0.0.4 170.0.0.1
192.168.0.4 170.0.0.1 205.0.0.3 170.0.0.1
08.05.2006 (c) Christian Watzke 12
Paketfilter
HIDING NAT bzw. Masquerading
lokales Netz (LAN) öffentliches Netz (WAN)
Quell-IP Ziel-IP Quell-IP Ziel-IP
192.168.0.2:1050 170.0.0.1:80Router
===========>NAT
210.1.1.2:1050 170.0.0.1:80
192.168.0.3:6425 170.0.0.1:80 210.1.1.2:6425 170.0.0.1:80
192.168.0.4:8080 170.0.0.1:80 210.1.1.2:9000 170.0.0.1:80
192.168.0.5:8080 170.0.0.1:80 210.1.1.2:9010 170.0.0.1:80
08.05.2006 (c) Christian Watzke 13
Paketfilter
Kritik
Keine saubere Einhaltung der Netzwerkschichten
Netzwerkprotokolle der Schicht 4 funktionieren oft nur
wenn sie explizit vom Paketfilter unterstützt werden
Erschwert die Entwicklung neuer Protokolle
besonders betroffen (FTP, VoIP)
deshalb auch zügige Einführung von IPv6, da NAT
aufgrund des ausreichend großen Adressraums unnötig wird
08.05.2006 (c) Christian Watzke 14
Content-Filter – Stateful Inspection
Filter höherer Ebenen (nicht Meta Daten)
Aufgaben
Herausfiltern von ActiveX oder JavaScript in angeforderten HTML-Seiten
Filtern/Kennzeichnen von Spam-Mails
Informationen herausfiltern (vertrauliche Bilanzen) betrachtet wird der ganze Datenverkehr (z.B. HTML-Seite)
Pakete werden zusammengesetzt
Überprüfung
Pakete werden wieder in ursprünglichen Datenstrom zerlegt
08.05.2006 (c) Christian Watzke 15
Proxy
ist mehrfach in Firewall-Systemen einsetzbar
für Clients und Server weitgehend unbemerkbar
nimmt Protokollvalidierung und Anpassung vor
Sperrung bestimmter Protokolltransaktionen
Zugriffssteuerung
Protokollierung der Zugriffe
Unterstützt
FTP, DNS, HTTP, SMTP, POP3
08.05.2006 (c) Christian Watzke 16
DMZ
Demilitarized Zone
Zone zwischen geschützten Netz und Internet
Wird von zwei Firewallsystemen abgeschirmt
Internetdienste wie z.B. E-Mail oder WWW werden durch die erste Firewall
durchgelassen
Die zweite Firewall besitzt engere Vorschriften
08.05.2006 (c) Christian Watzke 17
DMZ
08.05.2006 (c) Christian Watzke 18
Tunnelklassen
einfachste Verbindung PPP „Point to Point Protocol“
08.05.2006 (c) Christian Watzke 19
Tunnelklassen
VPN – Virtual Private Network
Sicherheitspolicy verbietet Zugriffe auf Port 258 und 7567
diese Verbindungen laufen durch den VPN-Tunnel
anderer Datenverkehr geht über gewohnte Verbindungen
einfache Skripte, IProute2, IPtables
08.05.2006 (c) Christian Watzke 20
Tunnelklassen
HTTP – TunnelGET http://hier.darf/was/rein.html HTTP/1.1
Host: auch.der.Rechnername.eignet.sich
X-Data: Im Datenfeld ist es sehr einfach
08.05.2006 (c) Christian Watzke 21
Tunnelklassen
DNS und SMTP
nicht effektiv, da nur kleine Datenmengen übertragen werden können
kommt durch eine Firewall durch, auch wenn diese extreme Sicherheitsrichtlinien aufweist
auffällig wenn DNS – Traffic extrem zunimmt
weniger auffällig ist SMTP (Bilder, Dokumente)
SMPT – Verbindungen zu nur einem Server wird als Anomalie betrachtet
08.05.2006 (c) Christian Watzke 22
Tunnelklassen
Untere Schichten (TCP/IP)
TCP - Sequenznummern
0
100
200
300
400
500
600
700
800
0 50 100 150 200 250 300 350
Paketanzahl
Sequenznummer
Sequenznummer imNormalen Verkehr
Sequenznummer alsDatenfeldSequenznummernfeld wird als Datenfeld
verwendet. Normalerweise steigen die Sequenznummern an. Bei Sequenznummern die als Datenfeld verwendet werden, entstehen verschiedene Werte.
08.05.2006 (c) Christian Watzke 23
Tunnelklassen
Untere Schichten (TCP/IP)
Verzögerungszeit
0
2
4
6
8
10
12
14
16
18
20
0,1 0,14 0,18 0,22 0,26 0,3 0,34 0,38 0,42 0,46 0,5
Verzögerungszeit (Sekunden)
Fehlerrate(Prozent)
Mit Fehlerkorrektur
Ohne Fehlerkorrektur
Die Pakete werden absichtlich verzögert. Keine Verzögerung bedeutet z.B. binär „0“, eine Verzögerung die „1“. Somit braucht der Empfänger diese nur noch auswerten, um an die Informationen zu kommen.
08.05.2006 (c) Christian Watzke 24
Gegenmaßnahmen
HTTPS - Verbindung (normal)
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
11000
12000
13000
14000
15000
0 20 40 60 80 100 120 140 160 180 200 220 240 260 280 300
Paketanzahl
Vom Server zum Client
Vom Client zum Server
Paketgröße
Tunnel sind nur schwer aufzuspüren
Verschlüsselung durch SSL
Die Charakteristik des Verkehrs analysieren
08.05.2006 (c) Christian Watzke 25
HTTPS - Verbindung (Datenkanal)
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
11000
12000
13000
14000
15000
0 20 40 60 80 100 120 140 160 180 200 220 240 260 280 300
Paketanzahl
Vom Server zum Client
Vom Client zum Server
Paketgröße
Gegenmaßnahmen
Client sendet mehr Daten
Dauer der Verbindung
Verbindung zu ein und demselben Host
Netzwerk – Administrator sollte Tunnelvarianten selbst durchspielen und deren Spuren aufzeichnen
08.05.2006 (c) Christian Watzke 26
Empfehlungen
nicht benötigte Ports sperren
Firewall mit Statefull-Filter verwenden
lange Timeouts vermeiden
<CONNECT> Befehl deaktivieren (HTTP)
HTTP/HTTPS – Proxy mit Authentifizierung und Logging
Standardkonformität der Protokolle überwachen
Virenschutz
Logdateien, Statistiken erstellen, verdächtige Vorfälle detailliert untersuchen
08.05.2006 (c) Christian Watzke 27
Quellen
http://de.wikipedia.org
http://www.heise.de
http://www.linux-magazin.de