lan-switch

Firewall_DMZ.PPTArmin Dagenbach 13.12.2007

Seite 1Unterrichtsvorlage

Quelle: Fachbuch Net IT, Verlag Handwerk und Technik

LAN-Switch

Router

PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung

File-Server

Drucker

Beispiel-Netzwerkeines vernetzten IT-Systems:

Drucker

Internet

Web-Server 1

Web-Server 2

Auftrag:Eine Firma die über einen Internet-Shop Produkte verkauft, möchte ihr internes Netz vor Bedrohungen aus dem Internet schützen.Es sollen keine Programme mit schädigender Wirkung aus dem Internet eingeschleust werden können und es darf keine unbefugten Zugriffe über das Internet auf das lokale Netzwerk geben.

LAN-Switch




Bedrohungen aus dem Internet:

Aus der Anbindung eines Rechners oder lokalen Netzes an das öffentliche Internet ergeben sich vielfältige Bedrohungen:

Siehe www.sicherheit-im-netz.de oder Videos!

Address Spoofing:

Unter einer gefälschten Indendität wird eine Kommunikationsverbindung aufgebaut. Hierbei erzeugt der Angreifer IP-Pakete mit gefälschter IP-Absenderadresse.

Denial-of-Service-Angriff:

Ziel ist es, einen bestimmten Server „lahmzulegen“ und ihn so daran zu hindern, Antworten auf Anfragen zu erzeugen. Dies geschieht meist in der Form, dass die Ressourcen des Servers vollbelegt werden und so für weitere Anfragen keine Ressourcenmehr zur Verfügung stehen.

Abhören fremder Zugangsdaten während des Netzverkehrs.

Eine Schutzmaßnahme gegen diese Bedrohungen ist die Verwendung von Firewall-Systemen: Firewalls




LAN-Switch

NAT/PAT-Router


File-Server

Drucker

Beispiel-Netzwerk eines vernetzten IT-Systems mit einer Firewall:

Drucker

Internet

Web-Server 1 Web-Server 2

Platzierung der Firewall!

LAN-Switch

Eine Firewall ist ein System, das zwei Netzwerke koppelt und sicherstellt, dass jeglicher Verkehr zwischen den beiden Netzen ausschließlich durch die Firewall geleitet wird. Dabei wird die Weiterleitung von Paketen verhindert, die eine mögliche Bedrohung des internen Netzes bedeuten können.




Aufgaben einer Firewall: Schutz vor unbefugten Netzzugriffen Zugangskontrolle:

Steuerung, welche Nutzer in welcher Form auf welche Netzressourcen zugreifen dürfen.

Protokollierung der Netzwerkaktivitäten:Aufzeichnung des Netzwerkverkehrs, um hieraus Rückschlüsse auf erfolgte Angriffe ziehen zu können.

Alarmierung bei sicherheitsrelevanten Ereignissen:Werden sicherheitsrelevante Aktionenvon hierzu nicht befugten Nutzern ausgeführt, so wird durch die Firewall ein Alarm ausgelöst.

Verbergen der internen Netzstruktur:Angreifern werden mögliche Angriffspunkte des internen Netzes dadurch vorenthalten, dass die Firewall die interne Netzstruktur verbirgt.

Sicherstellung der Vertraulichkeit der Daten:Sicherstellen, das der interne Verkehr nicht abgehört werden kann.




Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden:

Paketfilter-Firewall Layer 3 (und 4)

Proxy-Firewall Layer 4

Applikationsfilter-Firewall Layer 7





Paketfilter-Firewall Layer 3 (und 4)

Paketfilter sind IP-Router mit der zusätzlichen Fähigkeit, ankommende Datenpakte entsprechend eines Regelwerks weiterzuleiten oder zu sperren.

Die Filterung der Datenpakte nach Regeln wird vom Administrator eingerichtet und konfiguriert.Eine Regel kann das Passieren oder das Zurückweisen der Pakete durch die Firewall bewirken.

Beispiele:

Sperre alle Datenpakete mit der Quell-IP-Adresse: 135.52.127.24

Leite alle Daten des PC 192.169.0.5 an den PC 152.128.64.60 weiter, verwerfe jedoch alle Pakete, die in umgekehrter Richtung die Firewall passieren möchten.

Sperre alle Datenpakete, die den Dienst FTP verwenden.

Vorteile:- Hohe Geschwindigkeit- Kostengünstig (vielfach implementiert)

Nachteile:- Kein umfassender Schutz- Nur einfache Protokollierungsmöglichkeit






Unter einem Proxy versteht man eine Software, die bestimmte dienste stellvertretend für eine Rechner ausführt.

Ein großes Problem besteht darin, dass einzelne PC des internen Netzes oftmals nicht ausreichend gegen Angriffe aus z.B. dem Internet geschützt sind. So können unbedarfte Nutzer Programme für den Aufbau von Internetverbindungen verwenden, die einen unbefugten Zugriff über das Internet auf diese PC zulassen.

Der Proxy befindet sich zwischen den beiden Netzwerken und vermittelt z.B. zwischen einem Client und einem Server. Soll ein Zugriff auf das jeweilige andere Netz erfolgen, so kann das nicht direkt durch den Client oder Server erfolgen. Dies muss über den Proxy erfolgen. Dieser bietet hierfür einen entsprechenden Dienst (z.B. Web , Print, ....) an, den der Client und der Server verwenden müssen.

So wird sichergestellt, das die eigentliche Netzverbindung nur über die sichere Software des Proxy-Server erfolgen kann.






Neben der Funktion als Firewall dient ein Proxy-Server häufig auch der Zwischenspeicherung von Webseiten. Hierbei speichert der Proxy die oft angeforderten Webseiten zwischen.Dadurch ist es möglich Anfragen schneller zu beantworten und die Netzlast zu reduzieren.

Bevor der Proxy die Daten aus dem internen Netz an das externe Netz weiterleitet, ersetzt er die IP-Absendeadressen jeweils durch seine eigene IP-Adresse (NAT). Werden nicht nur die IP-Adressen sondern auch die Portnummern ersetzt wird dies als Masquerading, PAT oder NAPT bezeichnet. Die Rechner des externen Netzes kommunizieren dann nur direkt mit dem Proxy und erlangen keine Kenntnis der internen Netzstruktur.

Vorteile:- Für viele Dienste einsetzbar: Web, Mail, Print,...- Direkte Verbindungen zwischen Client und Server werden verhindert- Die interner Netzstruktur wird verborgen

Nachteile:- Kein umfassender Schutz- Konfiguration der Clients erforderlich, sich für bestimmte Dienste an den Proxy zu wenden





Applikationsfilter-Firewall Layer 7

Applikationsfilter arbeiten auf der Anwendungsschicht des ISO/OSI-Referenzmodells und stellen im Prinzip eine Proxy-Firewall dar.

Vorteile:- Durchführen von Kontrollen in Abhängigkeit der versendeten Nachricht- Hohe Sicherheit

Nachteile:- Langsamer als Paketfilter- Langsamer als einfache auf der Transportschicht arbeitende Proxy-Firewalls

Sie besitzen jedoch die Fähigkeit die einzelnen Datenpakete zu entpacken und bzgl. des Inhalts zu untersuchen.

Ein Applikationsfilter für den FTP-Dienst kann so z.B. erkennen, welche FTP-Befehle übertragen werden und behandelt diese dann gemäß der festgelegten Sicherheitsstrategie unterschiedlich. So können z.B. Schreibzugriffe aus dem externen Netz auf den FTP-Server untersagt und nur Lesezugriffe erlaubt werden.

Es können mehrere Dienste gleichzeitig unterstützt werden wie z.B. HTTP, FTP, SMTP, Telnet,....




Firewall-Architekturen

Um einen höheren Sicherheitsgrad zu erzielen werden oft kombinierte Firewalls mit Paketfiltern und Applikationsfiltern verwendet.

Einige typische Kombinationsmöglichkeiten sind:

Dual-Homed-Firewall:PC mit zwei Netzwerkschnittstellen und einer implementierten Applikationsfilter-Firewall. Hohe Sicherheit, da ein Datenpaket die Firewall nicht durchqueren kann, wenn kein Proxy für den Dienst zur Verfügung steht.

Screened-Host-Firewall:Diese Kombination enthält eine Applikationsfilter-Firewall, die durch eine Paketfilter-Firewall geschützt wird. Die Applikationsfilter-Firewall hat nur einen Netzwerkanschluss und ist nur mit dem internen LAN verbunden.Die Paketfilter-Firewall (Screening Router) hat zwei Schnittstellen und trennt das interne LAN vom Internet.

Screened-Subnet-Firewall:Hier wird um eine höhere Sicherheit zu erreichen ein zusätzliches Netzsegment als Isolierung zwischen das interne und das externe Netz eingefügt. Diese Firewall wird auch als „Demilitarisierte Zone (DMZ)“ bezeichnet.




Demilitarisierte Zone (Pufferzone [zwischen Nord- und Südkorea])

DMZ = Demilitarisierte Zone

Um einen höheren Sicherheitsgrad zu erzielen, wird bei der DMZ ein zusätzliches Netzsegment als Isolierung zwischen dem internen Netz und dem externen Netz eingefügt (Screened-Subnet-Firewall).

Zur Realisierung der DMZ ist dem Applikationsfilter je ein Screening Router (Paketfilter) vor- und nachgeschaltet.

Neben dem Applikationsfilter können innerhalb der DMZ noch Server enthalten sein, die „Kontakt“ mit dem Internet haben, wie z.B. ein Web-, Mail- oder FTP-Server.

Durch die Einbettung der Server in die isolierte Zone (DMZ) wird erreicht, dass Angreifer, die es geschafft haben, einen dieser Server zu knacken und unter ihre Kontrolle zubringen, trotzdem keinen Zugriff auf das interne Netz haben, da sie zunächst einen weiteren Paketfilter überwinden müssen.

Zur Nutzung vertrauenswürdiger Dienste kann der Applikationsfilter gezielt umgangen werden, so dass Datenpakete direkt an die Server in der DMZ zugestellt werden können (Sicherheitsrisiko!). Auf Grund der DMZ ist es aber nicht möglich, dass Datenpakete direkt zwischen dem internen und dem externen Netz ausgetauscht werden.




LAN-Switch

NAT/PAT-Router


File-Server

Drucker

Beispiel-Netzwerk eines vernetzten IT-Systems mit DMZ:

Drucker

Internet


UnterschiedlicheFirewalls (Paketfilter) erhöhen die Sicherheit!

DMZ-Switch

Ressourcentrennung im Firmen-Netz durchSchaffung unabhängiger Zonen auf Netzebene!

ApplikationsfilterDer Paketfilter leitet den Datenverkehr an den Applikationsfilter weiter!

z.B. Checkpoint- Firewall oder ein PC mit einer Firewall-Software und zwei Netzwerkkarten!

Hinweis: Da das Firmennetz vom Internet aus nicht erreichbar ist muss für Außendienstmitarbeiter ein Zugang mittels eines VPN eingerichtet werden.

DMZ




LAN-Switch


File-Server

Drucker

Beispiel für eine DMZ mit nur einem PC und z.B. der Software IPCop:

Drucker

Internet


Eine echte DMZ einzurichten ist aufwändig und teuer!

Es ist möglich die Paketfilter und dieDMZ (sowie das VPN-Gateway) auchnur auf einem Rechner einzurichten(-> Achtung: geringerer Schutz!)

Zur Umsetzung dieser kostengünstigenVariante eignet sich z.B. die auf einer Linux-Umgebung aufgesetzten Open-Source-Software IPCop. Diese wurde speziell für den Einsatz als Router und Firewall konzipiert

DSL DMZPaketfilter Paketfilter

DMZ




Beispiel für eine DMZ mit nur einem PV und z.B. der Software IPCop:

DMZ mit einem IPCop-PC:

Mindestvoraussetzung/Gegebenheiten für den IPCop-PC:

- Pentium-1-Prozessor mit 90 MHz- 32 MByte Arbeitsspeicher- 500 MByte Festplatte- ca. 50 Clients

Weiterhin erforderlich für den PC: -> 3 Netzwerkkarten:- 1. Netzwerkkarte: Internet- 2. Netzwerkkarte: Demilitarisierte Zone- 3. Netzwerkkarte: LAN

Regeln zur Umsetzung der Firewall mit IPCop:- Definition von Regeln für die Paketfilter (und ggf. Von Schlupflöchern)- ggf. Einrichtung des VPN-Zugangs für z.B. Außendienstmitarbeiter- Realisierung einer möglichst automatischen Erkennung von Angriffen




LAN-Switch

NAT/PAT-Router


File-Server

Drucker

Beispiele für eine „schlechte“ DMZ mit z.B. einem DSL-Router:

Drucker

Internet


Eine echte DMZ einzurichten ist aufwändig!

LAN-Switch

Soho-Router bieten deshalb eine Sparversion an, indem ein PC eingerichtet wird, an den aller Internet-Traffic ungefiltert weitergeleitet wird.

DMZ-PC

Gelingt es einem Hacker diesen PC zu übernehmen steht ihm das gesamte interne Netz offen!

DSL

DMZ !?!

lan-switch

Documents