Buffl
Buffl
Grundlagen der Sicherheit

Firewall

ib
by ite B.

Firewall

  • Sicherheitsgateway

  • kommende und gehende Datenverkehr kontrollieren, protokollieren, sperren und freigeben

  • Single point of entry zwischen zwei Netzen - Abschottung eines IT-Bereichs

  • Schutz des Netzes gegen Gefahren aus unsicheren Netz(en)

  • Besteht aus mehreren Hard- und Softwarekomponenten



Firewall prüft



  • Wer auf zu schützende Netz zugreifen darf.

  • auf welche Protokolle und Dienste zugegriffen werden darf

  • Mit welchen IT-Systemen kommuniziert werden darf


Strategien


Strategien:

Standardmäßiges Gewährenlassen:

  • Alles ist freigegeben

  • Bekannte unsichere und unerwünschte Vorgänge werden gesperrt

Standardmäßiges Blockieren:

  • Alles ist gesperrt

  • Bekannte Sichere und erwünschte Vorgänge werden freigegeben



konbkrete Einsatzmöglichkeiten


konkrete Einsatzmöglichkeiten:

  • gezieltes Blockieren bestimmter Internet-Adressen

  • beliebig detailliertes Protokollieren der externen Kommunikation

  • Aufbau von Virtual Private Networks


Bestandteile Firewall


Einbindungs- und Durchsetzungsmodul

  • Stellt sicher, dass sämtliche Verkehre der Prüfung durch die Firewall unterzogen werden und setzt Regelwerk durch

Analysemodul

  • Analyse der Kommunikationsdaten

Entscheidungsmodul

  • Auswertung der Analyseergebnisse und Vergleich mit Regelwerk (mittels Access-Listen)

Verarbeitungsmodul

  • Verarbeitung sämtlicher SRE mittels Persistierung (Log-Datei) und/oder Alarmierung (SecMgmt)

Regelwerk

  • Technische Umsetzung der Sicherheitspolitik

Authentisierungsmodul

  • Identifikation und Authentisierung von Instanzen

Firewall-Schutzmodul

  • Schutz Firewall gegen Angriffe

Logfile

  • Gesamtheit der Protokolldaten zu allen Ereignissen

Security Management

  • Festlegung der Regelwerke

  • Analyse der Protokolldaten


Paketfilter

  • Sicherheitsgateways auf Transport- und Netzwerkebene

  • analysiert ein-/ ausgehende Pakete auf Netzzugangs-, Netzwerk- und Transportebene

    • Einrichtung von Filterregeln auf einem Router

    • Verwendung einer Appliance


Kernfunktionen anhand Regeln/ Sicherheitsbedingungen:

  • Permit/Pass

  • Deny/Drop

  • Report/Log: Abgewiesene Pakete müssen protokolliert werden: IDS (Intrusion Detection)

anhand

  • IP Adressen, Ports, TCP-Flags, ..


  • Filterregeln getrennt für jede Schnittstelle des Paketfilters

  • Getrennte Filterung kommender und gehender Pakete

  • Unveränderbare Festlegung der Reihenfolge zur Abarbeitung der Filterregeln

  • Protokollierung von IP-Adresse, Dienst, Zeit und Datum für jedes Paket, aber auch eingeschränkt auf bestimmte Pakete


Überblick:

  • Physikalische Entkopplung der Netze

  • verifiziert, ob Daten der Header den Regeln entsprechen


Vorteile:

  • transparent

  • erweiterungsfähig für neue Protokolle

  • flexibel für neue Dienste

  • leicht realisierbar, geringere Komplexität


Schwachstellen:

  • Paketfilter nur als Vorfilter für andere Schutzmaßnahmen geeignet

  • Probleme bei Protokollen, die mehr als eine TCP-Verbindung nutzen

  • Umgehung durch Manipulation von IP-Fragmenten möglich

  • Für einige Protokolle keine festen Port-Nummern — mit einfachen Filtern nicht zu schaffen

  • Generell: fehlende Kenntnis der inneren Vorgänge im Protokoll bzw. des Status

  • Keine Sicherheit für die Anwendungen


Zustandsorientierte Packet Filter

  • nur die Regeln für den ausgehenden Verkehrt definiert werden

  • Regeln für eingehende Pakete werden dynamisch erzeugt

  • Einfacher und übersichtlicher für Nutzer

  • Nach Timeout werden Regeln automatisch gelöscht


Potentiale / Vorteile

  • Transparent für Nutzer

  • Erweiterungsfähig (neue Protokolle)

  • Flexibel (neue Dienste)


Grenzen und Nachteile

  • Komplexität

  • Fehlkonfigurationen berechtigter Programme können von außen ausgenutzt werden

  • Interne Netzstruktur nicht verborgen


Application Level Gateways

Application-Level-Gateways/Proxies

  • Funktionen eines Sicherheitsgateways auf Anwendungsebene

    • unterbrechen den direkten Datenstrom zwischen Quelle und Ziel

    • Informationsaustausch bestimmter Protokolle auf Anwendungsebene werden kontrolliert


Arbeitsweise:

  • Client kommuniziert nicht direkt mit Zielsystem sondern mit ALG („Proxy“) – für den Nutzer jedoch transparent

  • zuvor Identifizierung / Authentisierung am ALG


Vorteile:

  • Filterung einzelner Protokollbefehle in Abhängigkeit von:

    • Benutzeridentifikation, IP-Adresse, Portnummern, Zeit und Datum

  • Verborgene Netzwerkstruktur

  • Netze werden logisch und physikalisch entkoppelt

  • Abwehr von Angriffen, die auf fehlerhaften Header-Daten beruhen


Nachteile:

  • Verringerung Datendurchsatzes

  • Längere Antwortzeiten

  • Eventuell Einschränkung der Funktionalität der Clientprogramme (z. B. durch Filterung aktiver Inhalte)

  • teuer

  • unflexibel - neuer Proxy je Dienst







Next Generation Firewalls

  • Analyse von Anwendungsdaten unabhängig von Port-Nummer

  • Faktischer Schwerpunkt: HTTP

  • Wesentliche Funktion Benutzer- und Anwendungserkennung:

    • Welche Anwendung erzeugt den Datenstrom?

    • Rollen- und Gruppenzugehörigkeiten


Fazit Firewalls

  • Überwachung und Kontrolle von Netzwerkaktivitäten

    • ein und ausgehender Datenströme

    • Kaum Kontrolle der übertragenen Daten, Content-Filtering

  • Filterung verschlüsselter Nachrichten nicht möglich

  • Einschränkung von Angriffsmöglichkeiten, keine Verbesserung bestehender Sicherheitsmängel

  • Nachträgliches, selektives Stopfen von Sicherheitslöchern, meist unsystematisch, nur ad-hoc Lösungen

  • Kontrolle der Übergänge

    • Interne Bedrohungen bleiben - nur bei kleinen Netzen ausreichend

  • Schwierig: große Netze, mobile Benutzer

  • Problem:

    • z.B. IP- und SSL-Tunneling: Einkapseln von Paketen und Durchschleusen durch Firewall


Join Course
Preview

Author

ite B.

Information

Last changed

Report course
© 2023 Buffl GmbH