Sie sind auf Seite 1von 31
Firewalls

Firewalls

Firewalls

Hager Björn Wegenast Jakob Zagovic Vahid

Firewalls Hager Björn Wegenast Jakob Zagovic Vahid PS Einführung Kryptographie und IT-Sicherheit SS2016 1

PS Einführung Kryptographie und IT-Sicherheit

SS2016

1

Überblick

Was sind Firewalls?

Firewall-Arten

Filtertechnologien - Überblick

Paketfilter

Statefull Packet Inspection

Deep Packet Inspection (DPI)

statischer vs. dynamischer Filter

Proxyfilter

Contentfilter

Demilitarized Zone(DMZ)

Bastion Host

Topologien

Praxisbeispiel

PS Einführung Kryptographie und IT-Sicherheit

SS2016

2

Was sind Firewalls?

Definition:

“Eine Firewall ist eine Software oder Hardware, welche die aus dem Internet oder einem Netzwerk eingehenden Daten überprüft und dann je nach den gewählten Einstellungen blockiert oder zum Computer gelangen lässt.”

Einstellungen blockiert oder zum Computer gelangen lässt.” PS Einführung Kryptographie und IT-Sicherheit SS2016 3

PS Einführung Kryptographie und IT-Sicherheit

SS2016

3

Was macht eigentlich eine Firewall?

Austausch von Datenpaketen, die mit einer Quell-Portnummer kommen und eine Ziel-Portnummer ansteuern

Oft eigenständige Hardwaregeräte

Zugriffssteuerungsmechanismus; Unbefugten wird der Zugriff auf das interne Netzwerk verweigert

Schaffung von sicheren Subnetzen (z.B. für die Entwicklungsabteilung)

Anwendungen, denen kein Zugriff gestattet werden soll, stehen auf der schwarzen Liste (Blacklisting)

PS Einführung Kryptographie und IT-Sicherheit

SS2016

4

Aufgaben

Umfassende Kontrolle des Internet-Verkehrs

Alarm bei unzulässigen Aktionen

Schutz der Privatsphäre

Bidirektionale Absicherung aller Verbindungen

PS Einführung Kryptographie und IT-Sicherheit

SS2016

5

Firewall-Arten

Firewalls werden in zwei Arten eingeteilt:

Personal Firewall (Desktop Firewall)

Externe Firewall (Hardware Firewall)

PS Einführung Kryptographie und IT-Sicherheit

SS2016

6

Personal Firewall

eine lokal auf dem Computer installierte Firewallsoftware

Verhindern von ungewolltem Netzwerkzugriff nach außen und auf den eigenen Rechner

Verfügen oft über einen Content-Filter

meist automatische Updates

Bieten einen Stealth-Modus

PS Einführung Kryptographie und IT-Sicherheit

SS2016

7

Personal Firewall als Schutzmaßnahme

Schutz vor Angriffen von außen

Schutz vor Angriffen von innen

Stealth-Modus

PS Einführung Kryptographie und IT-Sicherheit

SS2016

8

Externe Firewall

Wird auch als Hardwarefirewall bezeichnet

Haben keine Befugnisse auf den lokalen PC

Beispielhaft: Firewall in einem Router

PS Einführung Kryptographie und IT-Sicherheit

SS2016

9

Firewall Grenzen

Eine Firewall bietet keinen 100%-igen Schutz

Angriffe aus dem internen Netz

Social Engineering

Viren

Eine Firewall sollte immer in Kombination mit weiterer Sicherheits- Hardware und -Software verwendet werden

PS Einführung Kryptographie und IT-Sicherheit

SS2016

10

Filtertechnologien - Überblick

Paketfilter

Statefull Packet Inspection

Proxyfilter

Contentfilter

PS Einführung Kryptographie und IT-Sicherheit

SS2016

11

Paketfilter

Typ des Pakets

IP-Adresse des Absenders

IP-Adresse des Ziels

Portnummer Absender

Portnummer Ziel

Flags im TCP-Header

Regelwerk

PS Einführung Kryptographie und IT-Sicherheit

SS2016

12

Konfiguration von Paketfiltern

Strategie

- Verbiete alles, was nicht explizit erlaubt ist

PS Einführung Kryptographie und IT-Sicherheit

SS2016

13

Statefull Packet Inspection

dynamische Filtertechnik

Funktionsweise

Statefull Inspection bei UDP

Statefull Inspection bei FTP

3. Schicht des OSI-Modells

PS Einführung Kryptographie und IT-Sicherheit

SS2016

14

statischer vs. dynamischer Filter 1

Merkmal

statischer Filter

dynamischer Filter

Charakteristik

zustandslos

zustandsbehaftet

Möglichkeiten UDP

Richtung erstes Paket nicht unterscheidbar

Richtung erstes Paket unterscheidbar

Möglichkeiten TCP

gefälschte TCP-Segmente nicht erkannt

gefälschte TCP-Segmente erkannt

PS Einführung Kryptographie und IT-Sicherheit

SS2016

15

statischer vs. dynamischer Filter 2

Merkmal

statischer Filter

dynamischer Filter

Umsetzung

einfach

kompliziert

Hardware

Anforderungen gering

Anforderungen höher

Redundanz

einfach realisierbar

schwierig realisierbar

PS Einführung Kryptographie und IT-Sicherheit

SS2016

16

Grenzen von Paketfiltern

keine benutzer- oder anwendungsspezifische Filterung

Verwendung von Transportprotokollinformation zur Applikationsidentifikation

Applikationen mit variablen Portnummern

Protocol Tunneling und Verschlüsselung

PS Einführung Kryptographie und IT-Sicherheit

SS2016

17

Deep Packet Inspection (DPI)

zusätzlich wird auf content zugegriffen

hilfreich gegen Spam, DOS, Viren, zur Kontrolle allgemein

Firewall erkennt etwa Dateityp

Application Layer(OSI-Schicht 7)

Zensur

PS Einführung Kryptographie und IT-Sicherheit

SS2016

18

Proxyfilter

auch Application Gateway

auf Applikationsebene(OSI-Schicht: 7)

verbirgt Adressen der Kommunikationspartner

PS Einführung Kryptographie und IT-Sicherheit

SS2016

19

Funktionsweise Proxy allgemein 1

Kommunikationsschnittstelle in Netzwerk

Vermittler, der Anfragen entgegennimmt, um dann über eigene Adresse Verbindung herzustellen

Verbindungsglied zwischen unterschiedlichen Netzwerken

Verbindung selbst dann, wenn eine direkte Verbindung nicht möglich ist

Unterschied zu NAT: führt und beeinflusst Kommunikation

PS Einführung Kryptographie und IT-Sicherheit

SS2016

20

Funktionsweise Proxy allgemein 2

Zweck manchmal: Zwischenspeicher zur Geschwindigkeitsoptimierung

kann auf ein bestimmtes Kommunikationsprotokoll spezialisiert sein wie z. B. HTTP oder FTP

kann die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen

kann entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht werden

PS Einführung Kryptographie und IT-Sicherheit

SS2016

21

Proxy als Firewall

Applikation-Level-Gateway(ALG)

OSI-Schicht 7

Beschränkung der Kommunikationspartner und der Applikationsfunktionen

Benutzerspezifische Regeln

Überprüfen von Inhalten

keine direkten Verbindungen von Sender u. Empfänger

Logging auf Applikationsebene

PS Einführung Kryptographie und IT-Sicherheit

SS2016

22

Proxy als Firewall - Nachteile

ALGs stark anwendungsspezifisch

Größere Exposition für Angriffe

PS Einführung Kryptographie und IT-Sicherheit

SS2016

23

Contentfilter

Form eines Proxyfilters

wertet Nutzdaten einer Verbindung aus

z.B. um ActiveX oder JavaScript zu filtern

sperren von unerwünschten Websiten auf Grund von Schlüsselworten

einfache Contentfilter vs. intelligente Contentfilter

PS Einführung Kryptographie und IT-Sicherheit

SS2016

24

Demilitarized Zone(DMZ)

physische oder logisches Subnetzwerk

beinhaltet Information, die öffentlich erreicht werden muss

Sinn: auf sicherer Basis Infos dem WAN und LAN zur Verfügung zu stellen

Isolation gegenüber LAN und WAN

Verbindungsaufbau nur von LAN zu DMZ, nicht umgekehrt

PS Einführung Kryptographie und IT-Sicherheit

SS2016

25

Bastion Host

exponierter Rechner

gut abgesichert

kann verschieden Aufgaben übernehmen(z.B. Proxy)

PS Einführung Kryptographie und IT-Sicherheit

SS2016

26

Screened Subnet Firewall(DMZ - mehrstufiger Aufbau)

Aufbau mit zweistufigem Firewall-Konzept

2 Paketfilter

Bastion Host dazwischen

DMZ

➢ 2 Paketfilter ➢ Bastion Host dazwischen ➢ DMZ PS Einführung Kryptographie und IT-Sicherheit SS2016 27

PS Einführung Kryptographie und IT-Sicherheit

SS2016

27

Screened host firewalls(Single-homed bastion host)

➢ Datenverkehr aus dem Internet nur über Bastion Host ➢ Datenverkehr aus dem internen Netz
➢ Datenverkehr aus dem Internet nur
über Bastion Host
➢ Datenverkehr aus dem internen Netz
mit der IP des Bastion Host nur ins
Internet
➢ Kein Traffic aus dem Internen Netz
direkt ins Internet

PS Einführung Kryptographie und IT-Sicherheit

SS2016

28

Screened host firewalls(Dual-homed bastion host)

➢ Bastion Host hat 2 Netzwerkkarten: 1 x intern, 1 x extern ➢ bei erfolgreichem
➢ Bastion Host hat 2 Netzwerkkarten:
1 x intern, 1 x extern
➢ bei erfolgreichem Angriff auf Router
bleibt internes Netzwerk erhalten

PS Einführung Kryptographie und IT-Sicherheit

SS2016

29

Literatur

Martin Kappes (2013): Netzwerk- und Datensicherheit;

Ralf Spenneberg (2011): Linux-Firewalls;

Peter B. Kraft (2014): Network Hacking;

Harald Zisler (2012): Computer-Netzwerke;

Rüdiger Schreiner (2014): Computernetzwerke;

Andreas G. Lessig (2006) Linux-Firewalls: ein praktischer Einstieg ;

Stefan Strobel (1999): Firewalls : Einführung, Praxis, Produkte;

Andrew S. Tanenbaum (2003): Computernetzwerke;

PS Einführung Kryptographie und IT-Sicherheit

SS2016

30

PS Einführung Kryptographie und IT-Sicherheit SS2016 31

PS Einführung Kryptographie und IT-Sicherheit

SS2016

31