Der Einsatz einer „Firewall“ in einem Firmennetzwerk

Referat zum Thema:

von:

Daniel Kanis und Daniel Schüßler

am 17.11.2004

Kanis,D.Schüßler, D.

Gliederung:

Teil I - Theorie

Begriffe, Gründe, Aufgaben/Ziele,Datenverkehr, Funktion, Aufbau,Einsatzorte, Unterteilung, Elemente,

Kosten-Nutzen-AnalysePersonal Firewalls, Fazit

Firewall

von:

Teil II – Praxis

Installation und Verwaltungeiner Personal Firewall

Literaturverzeichnis

Kanis,D.Schüßler, D.

Teil I - Begriff

Ein Firewall-System sichert und kontrolliert den Übergang von einem zu schützenden Netz zu einem (unsicheren) öffentlichen Netz.

Firewall

Quelle: Firewall-Systeme, Seite 43

Definition:

zu schützendes Netz

unsicheres, öffentliches Netz

Firewall-System

Kanis,D.Schüßler, D.

Teil I - Gründe

Firewall

Gefahren: a) Eindringen von Außen

b) illegaler Informationsfluss nach Außen

Beispiele im Privatbereich ...

manipuliertes Onlinebanking zur Erlangung von PIN‘s und Kreditkartennummern persönliche Informationen / Daten

Beispiele im Geschäftsbereich ...

Spionage von Forschungs – oder Kundendaten

Installation von Hintertüren (Backdoors) „Denial of Service Attacken“

Kanis,D.Schüßler, D.

Teil I – Aufgaben/Ziele

Firewall

Zugangskontrolle auf Netzwerk-, Benutzer-, und Datenebene

Rechteverwaltung (welche Protokolle/Dienste und Zeiten)

Beweissicherung und Protokollauswertung

Alarmierung

Verbergen der internen Netzstruktur

Kontrolle auf Anwendungsebene

Kanis,D.Schüßler, D.

Teil I – Datenverkehr

Firewall

Datenaustausch zwischen Computern mittels Protokollen

wichtigsten Transportprotokolle im Inter- bzw. Intranet sind TCP/IP

TCP/IP zerlegen die Daten in einzelne kleine Pakete, welche beim Empfänger wieder zusammengesetzt werden Aufbau der Verbindung erfolgt über Ports

Definition bestimmter Portnummern, die standardmäßig für best. Dienste zur Verfügung stehen = well-known-ports

Dienst Portnummer

ftp – Dateiübertragung auf Server 20

smtp – Emai Abholung 25

www / http – Internetseiten 80

pop3 – Email Versendung 110

z.B.:

bestimmt den Aufbau und Transportweg von

Datenpaketen

Kanis,D.Schüßler, D.

Teil I - Datenverkehr

Firewall

Internet Protocol

IP

Quelle: Firewall-Systeme, Seite 63

He

ad

er

ein

es

IP-D

ate

np

ak e

t es

stellt Verbindung zwischen zwei Endpunkten oder

Rechnersystemen her

Transmission Control Protocol

TCP

He

ad

er

ein

es

TC

P-D

ate

np

ak e

t es

Quelle: Firewall-Systeme, Seite 70

regelkonform

Datenpakete dürfen

passieren

Regelverstoß

Datenpakete dürfen nicht

passieren

Kanis,D.Schüßler, D.

Teil I - Funktion

Firewall

* Sicherheitskonzept für den Datenverkehr

* hieraus werden Regeln abgeleitet und definiert(wer darf was zu welcher Zeit)

* Firewall prüft die Datenpakete auf diese Regeln, vor dem Zusammensetzen der einzelnen Datenpakete

Grundprinzip: was nicht erlaubt ist, wird nicht zugelassen

vergleichbar mit Pförtnerfunktion

Kanis,D.Schüßler, D.

Teil I - Aufbau

Firewall

Quelle: Firewall-Systeme, Seite 116

Aufbau eines aktiven Firewall-Elementes

Schützt die Firewall selbst vor Angriffen

• B

enu

tzer

xy

dar

f n

ur

Die

nst

ag i

ns

Net

z

• S

erve

r fh

tw-b

erli

n.d

e zu

läss

ig

• P

ort

80

nu

r F

reit

ag 2

0-22

Uh

r zu

läss

ig

Achtung:

Prüfung von ein- und ausgehenden

Daten !!!

Kanis,D.Schüßler, D.

Teil I – Einsatzorte

Firewall

an der Verbindung zwischen Intranet (geschäftlich) und dem Internet ( = Gateway)

die Verbindung mit dem Internet sollte nur über einen Rechner laufen, auf welchem dann die Firewall installiert wird

innerhalb eines Netzwerkes um bestimmte kritische Bereiche (z.B. F&E) separat abzusichern

und / oder

Kanis,D.Schüßler, D.

Teil I - Unterteilung

Firewall

Materialität Einsatzbereich

Hardeware-Firewall

Softeware-Firewall

Unternehmens-Firewall

Personal-Firewall

Eingriff

Aktive Firewall-Elemente

Passiv bzw.Element Security

Management

Unterscheidungsmerkmale

Kanis,D.Schüßler, D.

Teil I - Elemente

Firewall

Packet Filter

prüft nur die Adressen des Datenpaketes

zustandsorientierte Packet Filter

(stateful inspection)

prüft Adressen und den angegebenen Inhalt

Application Gateway/Proxies

Adressen + angegebene Inhalt+ Öffnung und Prüfung des kompletten Inhaltes, keine

direkte Weiterleitung des Paketes Quelle: Firewall-Systeme, Seite 144

Quelle: Firewall-Systeme, Seite 142

Quelle: Firewall-Systeme, Seite 120

Adaptive Proxies

wie Application Gateway, jedoch bei Kenntnis des Absenders direkte

Weiterleitung des Paketes

Quelle: Firewall-Systeme, Seite 180

Die vier Grundelemente eines aktiven Firewall-Systems – gruppiert nach Prüfungstiefe

Kanis,D.Schüßler, D.

Teil I - Elemente

Firewall

Die vier Grundelemente eines Firewall-Systems - Verhältnis Geschwindigkeit zu Sicherheit

Sicherheitgering hoch

Ge

sch

win

dig

ke

it

langsam

schnell

StatefulInspections

Packet Filters

Adaptive Proxies

Applications Proxies

Magische Firewall Dreieck

Geschwindigkeit

Sicherheit

Benutzbarkeit

Kanis,D.Schüßler, D. Firewall

Teil I – Kosten Nutzen Analyse

Kosten für: Beschaffung, Installation, Pflege

Beispiel: Bank – 1000 Mitarbeiter – 25 Mio EUR Gewinn

Firewall * AK : 250 TEUR (= 1 % des Gewinns) * Betriebskosten: 80 TEUR p.a.

+++ Investition in Firewall schien sich für den zuständigen BWL‘er nicht zu rechnen +++ Angriff über das Internet +++

Namen und Kontostände der besten Kunden werden kopiert +++ am nächsten Tag in der BILD veröffentlicht +++

Kanis,D.Schüßler, D. Firewall

Teil I – Kosten Nutzen Analyse

Folgen des Hackerangriffs:

Kunden ziehen Ihre Gelder ab

Gewinn bricht sofort auf 12,5 Mio EUR (- 50 %) ein

mittelfristiger erheblicher Gewinnrückgang

1 % des Gewinns für eine gute Firewallhätte der Bank einen Schaden erspart, der sich auf das 50fache der Investition für die Firewall beläuft.

Quelle: Firewall-Systeme, Seite 393

Kanis,D.Schüßler, D. Firewall

Teil I – Personal Firewalls

• keine zentrale Installation und Konfiguration mehr

• Installation auf jedem Rechner

• Faustformel: bis 10 EDV-Arbeitsplätze

• Kosten und Pflegeaufwand niedrig, wenig Funktionen

• Benutzer kann um Entscheidung für Verbindung gebeten werden (Port 80: http, Office-Programme, troj. Pferde)

• Absicherung auf Applikationsebene (Content-Security) meist schon eingebunden

• Systeme zur Überwachung und Alarmierung bei verdächtigen Aktivitäten auf dem Rechner selbst (Intrusion-Detection-Systeme)

Kanis,D.Schüßler, D. Firewall

Teil I – Fazit

• Firewall filtert ein- und ausgehende Datenpakete nach bestimmten, festzusetzenden Regeln

• Firewall ist kein Virenschutz

• Firewall kann aufgrund der Aufzeichnung der Filtervorgänge z.B. auch dazu benutzt werden, die Internetnutzung der Mitarbeiter zu überwachen

• Personal Firewall nur bis max. 10 Rechner (oft kostenlos)

• prof. Firewall zwar teuer, aber kann vielfachen Schaden ersparen

Jeder Privatrechner mit Internetzugang braucht eine Personal Firewall !!!

Jedes Firmennetzwerk / Intranet mit oder ohne Internetzugang braucht eine Firewall !!!

Kanis,D.Schüßler, D. Firewall

Teil II

Installation und Verwaltung einer Personal Firewall

Teil II – Die Praxis

am Beispiel der kostenlosen Firewall: ZoneAlarm

von:

http://www.zonelabs.de

Nerven- &

Kostenfa

lle

einfache Version

1. Schritt der Einführung zur Handhabung von ZoneAlarm

„Internet“ immer als unsicher ansehen, und daher immer als Einstellung (Regel) für alle Programme & Verbindungen die mit dem Internet Kommunizieren.

„Sicher“ wird für alle internen Netzwerkelemente als „Zone“ definiert.

Not – Schalter

Warnmeldung erscheint so bald Aktualisierung auf „ Manuell “ gestellt wird

Der „ Stealth-Modus “ ermöglicht es, das der Häcker keine Antwort auf sein „ an Pingen “ erhält, und weiß so mit nicht einmal das ein Computer mit dieser IP-Adresse im Netz ist.

Direkt anklicken und zwischen „Internet“ & „Sicher“ entscheiden.

„Internet“ sollte für alle unsicheren Leitungen und Verbindungen gewählt werden die irgend wann mit dem Internet kommunizieren oder in fremde Netzwerke eingebunden werden.„Sicher“ kann dann gewählt werden wenn das Netzwerk mit dem die Schnittstelle verbunden werden soll vertrauenswürdig ist.

„Zugriff“ bedeutet das dass Programm von außen Daten empfangen kann und anderen Personen / Programme der Zugriff auf den Computer über diese Programme möglich ist.

„Server“ bedeutet das diese Programme in das Internet senden, wie www-Seiten aufrufe oder upload‘s. Aber auch ungewollte Daten können übermittelt werden, wie Spams oder MS-Fehler-Nachrichten.

Es kann immer nur ein Anti-Virus-Programm aktiv sein.

Dann muss der User die Entscheidung treffen ob dieses Programm die generelle Erlaubnis bzw. Verweigerung oder eine einmalige Erlaubnis bzw. Verweigerung erhält.

Diese Meldung entsteht sobald ein neues oder ein auf Fragezeichen gesetztes Programm versucht mit dem Internet zu kommunizieren.

User die glauben Sie brauchen keine Firewall, es ging doch bisher auch immer ohne!

10 versuche diesen Computer „an zu Pingen“ innerhalb 30 Sekunden

Kanis,D.Schüßler, D. Firewall

Literaturverzeichnis

Dr. Pohlmann, Norbert (2003): Firewall-Systeme, 5. Auflage, mitp-Verlag / Bonn 2003 - 39,95 EUR

a campo, Markus (2002): Mehr Sicherheit mit Firewalls, 1. Auflage, verlag moderne industrie Buch AG & Co. KG, Bonn 2002 – 9,95 EUR

Wetter, Jörg u.a.(2002): Firewalls für Dummies, 1. Auflage, mitp-Verlag / Bonn 2003 – 24,95 EUR

1.

Kanis,D.Schüßler, D. Firewall

Vielen Dank !

Wir hoffen, das wir euch ein Grundverständnis der Arbeitsweise von Firewalls vermitteln konnten und das Ihr euch eine Firewall umgehend installiert,

wenn Ihr noch keine habt.