Firewall Thema: Firewall Einleitung Angriffe Firewall- Architekturen Auditing Schlussteil Kommunikationssysteme
FirewallThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
SchlussteilKommunikationssysteme
EinleitungThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil• Internet: Wachstum 50-200% pro Jahr• Firmen wollen internes Netz ans Internet
hängen• Dank Kabel, xDSL, WLL: auch Private• Internet als Ganzes unsicher
Firewalls
Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Einleitung
• Einleitung– Firewalls, IDS, Sicherheit allgemein
• Angriffe– Hacker vs. Cracker– Hilfsmittel und tools– Angriffe
• Firewall-Architekturen und -Typen– Firewall-Architekturen– Firewall-Typen
• Auditing
Firewalls: Definition (1)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Eine Firewall ist eine Schutzmassnahme bzw. Grenzschicht, bestehend aus einem oder mehreren Komponenten, welche zwischen einem zu schützenden Netz und dem Internet (oder einem anderen Netz) den Zugriff überwacht resp. beschränkt.
Firewalls: Definition (2)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
SchlussteilKombination von:
• Hardware• Software• Protokolle und Regeln
Firewalls: SchutzmassnahmenThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil• unerwünschten Verkehr blockieren• eingehenden Verkehr weiterleiten• verwundbare Systeme verstecken• Verkehr protokollieren• Informationen vor dem Internet verstecken.• bieten robustere Authentifizierung an
IDSThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
IDS = Intrusion Detection System
Durch Überwachen einer Vielzahl von Netzaktivitäten in der Lage, mögliche Systemeinbrüche zu erkennen
Sicherheit Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Bruce Schneier(Guru der IT-security Szene):
"Um die Sicherheit im Internet ist es schlecht bestellt. Jahr für Jahr tauchen immer
raffiniertere Hackmethoden auf. Damit kann die Netzgemeinde nicht Schritt halten:
Wir verlieren den Kampf!"
Sicherheit Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Authentizität• Integrität• Vertraulichkeit• Verbindlichkeit • Verfügbarkeit• Betriebssicherheit/Zuverlässigkeit
Sicherheit: AuthentizitätThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Authentizität (authenticity)
• "Ist der am anderen Ende wirklich jener, für den ich ihn halte?"
Zertifizierung (Certification)
Sicherheit: IntegritätThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Integrität (integrity)
• "Stimmen diese Daten wirklich?"
checksums (Prüfsummen) constraints (Einschränkungen, Auflagen)
Sicherheit: Vertraulichkeit Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Vertraulichkeit (confidentiality)
• "Kann ich sicher sein, dass kein Unbefugter meine Daten einsehen kann?"
Verschlüsselung (Kryptographie)
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.0i for non-commercial use
MessageID: VU5rCu6cHK8JH26mvsZ4+ugMXZl1JCdX
iQCVAwUBOuN8YO3dx9aqIeKpAQFkAwQAmJRuvoDC/hj0JPk3H2H6mui92zE0uChT
LmmoNsJCDJW6uXFGrWTt0/qo0csuWEgmjmZoy6aQWZmgUvyguGU5p4+PEP7TDpdp
xKJxgV+myvgg9qF24z0ZVlDFufasyMukv5jpsFwMn/QW4fDoqSIfxh6sMOTwgu9w
4qc2MK1/Bu8=
=BL0n
-----END PGP SIGNATURE-----
Sicherheit: VerbindlichkeitThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Verbindlichkeit (binding force, accountability, non-repudiation)
• "Kann ich davon ausgehen, dass unterschriebenes auch wirklich verbindlich ist?"
Zertifizierung Digitale Signatur
Sicherheit: VerfügbarkeitThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Verfügbarkeit (availability)
• "Sind die Dienste auch wirklich da, wenn ich sie brauche?"
Redundanzen USV
Sicherheit: Zuverlässigkeit/ BetriebssicherheitThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Zuverlässigkeit/Betriebssicherheit (reliabilty)
• "Ist überhaupt Sicherheit gewährleistet?"
Qualitätsmanagement
ÜbersichtThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Hacker vs. Cracker• Geschichtlicher Abriss über das Hacken
und Cracken• Destruktive Programme/Angriffe• Scanner• Passwort-Knacker• Trojanisches Pferd• Sniffer• Attacke
Hacker vs. CrackerThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Wo liegt der Unterschied zwischen einem Hacker und einem Cracker?
Geschichtlicher Abriss Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Phreaking• Aufkommen des Internets• Morris-Wurm• Zukünftige Entwicklung
Destruktive Programme/Angriffe Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• E-Mail-Bomben• DoS• Computerviren
ScannerThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Scanner sind Programme, mit denen ein Angreifer einen Ziel-Host nach fehlerhaften
Diensten und Schwachstellen abtasten kann.
ScannerThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Beispiel Nmap
auditor@host:~$ nmap www.unizh.ch
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on rzuds5.unizh.ch (130.60.68.45):
Port State Protocol Service
7 open tcp echo
9 open tcp discard
13 open tcp daytime
19 open tcp chargen
21 open tcp ftp
22 open tcp ssh
23 open tcp telnet
37 open tcp time
79 open tcp finger
80 open tcp http
111 open tcp sunrpc
113 open tcp auth
199 open tcp smux
443 open tcp https
512 open tcp exec
513 open tcp login
514 open tcp shell
543 open tcp klogin
544 open tcp kshell
732 open tcp unknown
733 open tcp unknown
746 open tcp unknown
794 open tcp unknown
2049 open tcp nfs
2401 open tcp cvspserver
2784 open tcp www-dev
3128 open tcp squid-http
3306 open tcp mysql
6001 open tcp X11:1
6002 open tcp X11:2
6003 open tcp X11:3
8080 open tcp http-proxy
Passwort-KnackerThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Passwort-Knacker sind Programme, die Passwörter aufdecken, welche verschlüsselt
worden sind.
Trojanisches PferdThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
SchlussteilEin Trojanisches Pferd ist ein eigenständiges Programm, das versteckte Prozesse ausführt,
die der Benutzer nicht erwartet oder es erweitert ein bestehendes Programm auf einem Rechner
um weitere vom Benutzer unerwünschte, versteckte Funktionen.
SnifferThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Sniffer hören den gesamten Datenverkehr über ein Netz ab.
AttackeThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
SchlussteilZiel:
1. Rechner X lahm legen
2. Mit Spoofing Zugriff auf Y erlangen
AttackeThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
AttackeThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Firewall Architekturen (1)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Single Layer Architecture
Multiple Layer Architecture
Firewall Architekturen (2)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Basic Border Firewall
Firewall Architekturen (3)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Untrustworthy Host
• Server befindet sich vor der Firewall• Server wird nicht von der Firewall gesichert
Firewall Architekturen (4)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
DMZ Network
• Server ist in einem eigenen Netz• Firewall verbindet 3 Netze
Firewall Architekturen (4)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Dual Firewall
• 2 Firewallhosts• Server befindet sich in der DMZ
OSI- und TCP/IP-ModellThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Typen von FirewallsThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Firewalls können in vier Kategorien eingeteilt
werden:
• Packet Filtering Firewalls• Circuit Level Gateways• Application Level Gateways• Statefull Inspection Firewalls
Packet Filtering FirewallsThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
+ tiefer Preis
+ in den meisten Routern eingebaut
+ kleine Auswirkung auf das Netz
- tiefe Sicherheit
- schnell komplexe Regeln
- schlecht skalierbar
- anfällig auf IP-Spoofing
1 Physical
2 Data Link
3 Internet Protocol (IP)
5 Application
4 Transport Control Protocol (TCP)
Curcuit Level FirewallsThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
+ günstiger Preis
+ NAT
-filtern keine individuellen Pakete
- anfällig auf SYN/ACK-Spoofing
1 Physical
2 Data Link
3 Internet Protocol (IP)
5 Application
4 Transport Control Protocol (TCP)
Application Level FirewallThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
+ hohes Mass an Sicherheit
+ alle Pakete werden analysiert
- starke Auswirkung auf die Netzwerkauslastung
1 Physical
2 Data Link
3 Internet Protocol (IP)
5 Application
4 Transport Control Protocol (TCP)
Stateful Inspection FirewallsThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
+ hohes Mass an Sicherheit
+ wenig Auswirkung auf die Netzauslastung
+ hohe Transparenz
+ Algorithmen, an Stelle von Anwendungsspezifische Proxies
- eher anfällig auf Sicherheitslöcher
1 Physical
2 Data Link
3 Internet Protocol (IP)
5 Application
4 Transport Control Protocol (TCP)
Security AuditingThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
“In today's world, there's no way to eliminate the total threat because there will always be people who can get behind the walls. But people are the weakest link. Make sure they understand security is a dynamic process.“
“It's naïve to assume that just installing a firewall is going to protect you from all potential security threat. That assumption creates a false sense of security, and having a false sense of security is worse than having no security at all.”
Kevin Mitnick
Querschnittsaufgabe SicherheitsmanagementThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Sicherheit betrifft Menschen
Sicherheit betrifft alle Ebenen
Strategische Ebene Sicherheitspolitik und Sicherheitskultur
Taktische Ebene Sicherheitsdispositiv und Sicherheitskonzeption
Operative Ebene Umsetzung
Sicherheit als Ziel (1)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Vereinbartes Rendite(Kosten/Nutzen)-/Risiko-Niveau
0%
R
isik
o
10
0%
0%
Sich
erh
eit 1
00
%
Risiko = Eintrittswahrscheinlichkeit * Schadenspotential
Sicherheit als Ziel (2)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Gesamtrisiko
Überwälzen Vermindern Vermeiden Selbst tragen
- Versicherung - Krisenstäbe- Kata-Plan- Ausbildung- Training
- Laufende Überprüfung des Sicherheits-dispositivs
- Restrisiko
Sicherheit als ProzessThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
Einfluss auf Sicherheit:
• Vorgaben seitens der Sicherheitspolitik• Umsetzung der Vorgaben• Umfeld
Diese Faktoren ändern sich im Laufe der Zeit
Sicherheit ist ein dynamischer ProzessTeil dieses Prozesses: Security Auditings
SicherheitsmassnahmenThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil• Personelle Massnahmen• Organisatorische Massnahmen• Technische Massnahmen• Bauliche Massnahmen
Überprüfen der Massnahmen Aufzeigen von Massnahmen
Security Auditing
Security AuditingThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Was ist Security Auditing?– Teilbereich personelle/organisatorische
Massnahmen des Sicherheitsmanagements– Überprüfung/Vorschlagen von Massnahmen– Durch externe/interne Sicherheitsspezialisten
• Ablauf von Security Audits?
Ablauf eines Angriffs Ablauf des Auditings
1. Erkundung 1. Bestandesaufnahme
2. Auswertung der Informationen
2. Auswertung der Informationen
3. Überschreitung von Privilegien
3. Aufzeigen von notwendigen Änderungen
SA - Bestandesaufnahme(1)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Klassen sicherheitsrelevanter Objekte– Transportknoten– Filter an den Grenzen der Domänen– Application Level Gateways– Application Servers
• 4-Schichten-Modell– Applikation– Netzwerk– Betriebssystem– Hardware
SA - Bestandesaufnahme(2)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Beispiel: Abfragen eines Applikationsservers (Webserver) auf Netzwerk-/Applikationsebene (HTTP-Protokoll) mittels Telnet
auditor@host:~$ telnet www.unizh.ch 80
Trying 130.60.68.45...
Connected to rzuds5.unizh.ch.
Escape character is '^]'.
GET /doesnotexist/ HTTP/1.1
Host: www.unizh.ch
HTTP/1.1 404 Not Found
Date: Tue, 24 Apr 2001 22:14:48 GMT
Server: Apache/1.3.14 (Unix) PHP/4.0.4pl1 mod_ssl/2.7.1 OpenSSL/0.9.5a
Transfer-Encoding: chunked
Content-Type: text/html
SA- Bestandesaufnahme(3)Thema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Beispiel Applikationsserver – Applikationsschicht
Schwachstellenbibliotheken:
Securityfocus (http://www.securityfocus.org/vdb/)
SA – InformationsauswertungThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Übergang Bestandesaufnahme – Informationsauswertung fliessend
• Gesamtbild/Überblick verschaffen• Übers Grobe ins Detail• Rangfolge der Schwachstellen
• Eintrittswahrscheinlichkeit• Schadenspotential
Gesamtrisiko
SA – Aufzeigen von ÄnderungenThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Grundprinzipien:– Least Privilege– Defense in Depth– Choke Point– Weakest Link– Fail-Safe Stance– Universal Participation– Diversity of Defense– Simplicity („KISS – Keep it simple and small“)
• Neu auch:– Closed vs. Open Source Software
Fazit und AusblickThema: Firewall
Einleitung
Angriffe
Firewall-Architekturen
Auditing
Schlussteil
• Sicherheitsfragen gewinnen an Bedeutung• Sicherheitsfragen werden zunehmend
komplexer
Ausbildung und Sensibilisierung enorm wichtig