Firewall Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Kommunikationssysteme

FirewallThema: Firewall

Einleitung

Angriffe

Firewall-Architekturen

Auditing

SchlussteilKommunikationssysteme

EinleitungThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil• Internet: Wachstum 50-200% pro Jahr• Firmen wollen internes Netz ans Internet

hängen• Dank Kabel, xDSL, WLL: auch Private• Internet als Ganzes unsicher

Firewalls

Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Einleitung

• Einleitung– Firewalls, IDS, Sicherheit allgemein

• Angriffe– Hacker vs. Cracker– Hilfsmittel und tools– Angriffe

• Firewall-Architekturen und -Typen– Firewall-Architekturen– Firewall-Typen

• Auditing

Firewalls: Definition (1)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Eine Firewall ist eine Schutzmassnahme bzw. Grenzschicht, bestehend aus einem oder mehreren Komponenten, welche zwischen einem zu schützenden Netz und dem Internet (oder einem anderen Netz) den Zugriff überwacht resp. beschränkt.

Firewalls: Definition (2)Thema: Firewall

Einleitung

Angriffe


Auditing

SchlussteilKombination von:

• Hardware• Software• Protokolle und Regeln

Firewalls: SchutzmassnahmenThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil• unerwünschten Verkehr blockieren• eingehenden Verkehr weiterleiten• verwundbare Systeme verstecken• Verkehr protokollieren• Informationen vor dem Internet verstecken.• bieten robustere Authentifizierung an

IDSThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

IDS = Intrusion Detection System

Durch Überwachen einer Vielzahl von Netzaktivitäten in der Lage, mögliche Systemeinbrüche zu erkennen

Sicherheit Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Bruce Schneier(Guru der IT-security Szene):

"Um die Sicherheit im Internet ist es schlecht bestellt. Jahr für Jahr tauchen immer

raffiniertere Hackmethoden auf. Damit kann die Netzgemeinde nicht Schritt halten:

Wir verlieren den Kampf!"

Sicherheit Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Authentizität• Integrität• Vertraulichkeit• Verbindlichkeit • Verfügbarkeit• Betriebssicherheit/Zuverlässigkeit

Sicherheit: AuthentizitätThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Authentizität (authenticity)

• "Ist der am anderen Ende wirklich jener, für den ich ihn halte?"

Zertifizierung (Certification)

Sicherheit: IntegritätThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Integrität (integrity)

• "Stimmen diese Daten wirklich?"

checksums (Prüfsummen) constraints (Einschränkungen, Auflagen)

Sicherheit: Vertraulichkeit Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Vertraulichkeit (confidentiality)

• "Kann ich sicher sein, dass kein Unbefugter meine Daten einsehen kann?"

Verschlüsselung (Kryptographie)

-----BEGIN PGP SIGNATURE-----

Version: PGPfreeware 5.0i for non-commercial use

MessageID: VU5rCu6cHK8JH26mvsZ4+ugMXZl1JCdX

iQCVAwUBOuN8YO3dx9aqIeKpAQFkAwQAmJRuvoDC/hj0JPk3H2H6mui92zE0uChT

LmmoNsJCDJW6uXFGrWTt0/qo0csuWEgmjmZoy6aQWZmgUvyguGU5p4+PEP7TDpdp

xKJxgV+myvgg9qF24z0ZVlDFufasyMukv5jpsFwMn/QW4fDoqSIfxh6sMOTwgu9w

4qc2MK1/Bu8=

=BL0n

-----END PGP SIGNATURE-----

Sicherheit: VerbindlichkeitThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Verbindlichkeit (binding force, accountability, non-repudiation)

• "Kann ich davon ausgehen, dass unterschriebenes auch wirklich verbindlich ist?"

Zertifizierung Digitale Signatur

Sicherheit: VerfügbarkeitThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Verfügbarkeit (availability)

• "Sind die Dienste auch wirklich da, wenn ich sie brauche?"

Redundanzen USV

Sicherheit: Zuverlässigkeit/ BetriebssicherheitThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Zuverlässigkeit/Betriebssicherheit (reliabilty)

• "Ist überhaupt Sicherheit gewährleistet?"

Qualitätsmanagement

ÜbersichtThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Hacker vs. Cracker• Geschichtlicher Abriss über das Hacken

und Cracken• Destruktive Programme/Angriffe• Scanner• Passwort-Knacker• Trojanisches Pferd• Sniffer• Attacke

Hacker vs. CrackerThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Wo liegt der Unterschied zwischen einem Hacker und einem Cracker?

Geschichtlicher Abriss Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Phreaking• Aufkommen des Internets• Morris-Wurm• Zukünftige Entwicklung

Destruktive Programme/Angriffe Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• E-Mail-Bomben• DoS• Computerviren

ScannerThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Scanner sind Programme, mit denen ein Angreifer einen Ziel-Host nach fehlerhaften

Diensten und Schwachstellen abtasten kann.

ScannerThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Beispiel Nmap

auditor@host:~$ nmap www.unizh.ch

Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)

Interesting ports on rzuds5.unizh.ch (130.60.68.45):

Port State Protocol Service

7 open tcp echo

9 open tcp discard

13 open tcp daytime

19 open tcp chargen

21 open tcp ftp

22 open tcp ssh

23 open tcp telnet

37 open tcp time

79 open tcp finger

80 open tcp http

111 open tcp sunrpc

113 open tcp auth

199 open tcp smux

443 open tcp https

512 open tcp exec

513 open tcp login

514 open tcp shell

543 open tcp klogin

544 open tcp kshell

732 open tcp unknown




2049 open tcp nfs

2401 open tcp cvspserver

2784 open tcp www-dev

3128 open tcp squid-http

3306 open tcp mysql

6001 open tcp X11:1

6002 open tcp X11:2

6003 open tcp X11:3

8080 open tcp http-proxy

Passwort-KnackerThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Passwort-Knacker sind Programme, die Passwörter aufdecken, welche verschlüsselt

worden sind.

Trojanisches PferdThema: Firewall

Einleitung

Angriffe


Auditing

SchlussteilEin Trojanisches Pferd ist ein eigenständiges Programm, das versteckte Prozesse ausführt,

die der Benutzer nicht erwartet oder es erweitert ein bestehendes Programm auf einem Rechner

um weitere vom Benutzer unerwünschte, versteckte Funktionen.

SnifferThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Sniffer hören den gesamten Datenverkehr über ein Netz ab.

AttackeThema: Firewall

Einleitung

Angriffe


Auditing

SchlussteilZiel:

1. Rechner X lahm legen

2. Mit Spoofing Zugriff auf Y erlangen


Einleitung

Angriffe


Auditing

Schlussteil


Einleitung

Angriffe


Auditing

Schlussteil

Firewall Architekturen (1)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Single Layer Architecture

Multiple Layer Architecture


Einleitung

Angriffe


Auditing

Schlussteil

Basic Border Firewall


Einleitung

Angriffe


Auditing

Schlussteil

Untrustworthy Host

• Server befindet sich vor der Firewall• Server wird nicht von der Firewall gesichert


Einleitung

Angriffe


Auditing

Schlussteil

DMZ Network

• Server ist in einem eigenen Netz• Firewall verbindet 3 Netze


Einleitung

Angriffe


Auditing

Schlussteil

Dual Firewall

• 2 Firewallhosts• Server befindet sich in der DMZ

OSI- und TCP/IP-ModellThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Typen von FirewallsThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Firewalls können in vier Kategorien eingeteilt

werden:

• Packet Filtering Firewalls• Circuit Level Gateways• Application Level Gateways• Statefull Inspection Firewalls

Packet Filtering FirewallsThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

+ tiefer Preis

+ in den meisten Routern eingebaut

+ kleine Auswirkung auf das Netz

- tiefe Sicherheit

- schnell komplexe Regeln

- schlecht skalierbar

- anfällig auf IP-Spoofing

1 Physical

2 Data Link

3 Internet Protocol (IP)

5 Application

4 Transport Control Protocol (TCP)

Curcuit Level FirewallsThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

+ günstiger Preis

+ NAT

-filtern keine individuellen Pakete

- anfällig auf SYN/ACK-Spoofing

1 Physical

2 Data Link


5 Application


Application Level FirewallThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

+ hohes Mass an Sicherheit

+ alle Pakete werden analysiert

- starke Auswirkung auf die Netzwerkauslastung

1 Physical

2 Data Link


5 Application


Stateful Inspection FirewallsThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

+ hohes Mass an Sicherheit

+ wenig Auswirkung auf die Netzauslastung

+ hohe Transparenz

+ Algorithmen, an Stelle von Anwendungsspezifische Proxies

- eher anfällig auf Sicherheitslöcher

1 Physical

2 Data Link


5 Application


Security AuditingThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

“In today's world, there's no way to eliminate the total threat because there will always be people who can get behind the walls. But people are the weakest link. Make sure they understand security is a dynamic process.“

“It's naïve to assume that just installing a firewall is going to protect you from all potential security threat. That assumption creates a false sense of security, and having a false sense of security is worse than having no security at all.”

Kevin Mitnick

Querschnittsaufgabe SicherheitsmanagementThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Sicherheit betrifft Menschen

Sicherheit betrifft alle Ebenen

Strategische Ebene Sicherheitspolitik und Sicherheitskultur

Taktische Ebene Sicherheitsdispositiv und Sicherheitskonzeption

Operative Ebene Umsetzung

Sicherheit als Ziel (1)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Vereinbartes Rendite(Kosten/Nutzen)-/Risiko-Niveau

0%

R

isik

o

10

0%

0%

Sich

erh

eit 1

00

%

Risiko = Eintrittswahrscheinlichkeit * Schadenspotential

Sicherheit als Ziel (2)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Gesamtrisiko

Überwälzen Vermindern Vermeiden Selbst tragen

- Versicherung - Krisenstäbe- Kata-Plan- Ausbildung- Training

- Laufende Überprüfung des Sicherheits-dispositivs

- Restrisiko

Sicherheit als ProzessThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

Einfluss auf Sicherheit:

• Vorgaben seitens der Sicherheitspolitik• Umsetzung der Vorgaben• Umfeld

Diese Faktoren ändern sich im Laufe der Zeit

Sicherheit ist ein dynamischer ProzessTeil dieses Prozesses: Security Auditings

SicherheitsmassnahmenThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil• Personelle Massnahmen• Organisatorische Massnahmen• Technische Massnahmen• Bauliche Massnahmen

Überprüfen der Massnahmen Aufzeigen von Massnahmen

Security Auditing

Security AuditingThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Was ist Security Auditing?– Teilbereich personelle/organisatorische

Massnahmen des Sicherheitsmanagements– Überprüfung/Vorschlagen von Massnahmen– Durch externe/interne Sicherheitsspezialisten

• Ablauf von Security Audits?

Ablauf eines Angriffs Ablauf des Auditings

1. Erkundung 1. Bestandesaufnahme

2. Auswertung der Informationen

2. Auswertung der Informationen

3. Überschreitung von Privilegien

3. Aufzeigen von notwendigen Änderungen

SA - Bestandesaufnahme(1)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Klassen sicherheitsrelevanter Objekte– Transportknoten– Filter an den Grenzen der Domänen– Application Level Gateways– Application Servers

• 4-Schichten-Modell– Applikation– Netzwerk– Betriebssystem– Hardware

SA - Bestandesaufnahme(2)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Beispiel: Abfragen eines Applikationsservers (Webserver) auf Netzwerk-/Applikationsebene (HTTP-Protokoll) mittels Telnet

auditor@host:~$ telnet www.unizh.ch 80

Trying 130.60.68.45...

Connected to rzuds5.unizh.ch.

Escape character is '^]'.

GET /doesnotexist/ HTTP/1.1

Host: www.unizh.ch

HTTP/1.1 404 Not Found

Date: Tue, 24 Apr 2001 22:14:48 GMT

Server: Apache/1.3.14 (Unix) PHP/4.0.4pl1 mod_ssl/2.7.1 OpenSSL/0.9.5a

Transfer-Encoding: chunked

Content-Type: text/html

SA- Bestandesaufnahme(3)Thema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Beispiel Applikationsserver – Applikationsschicht

Schwachstellenbibliotheken:

Securityfocus (http://www.securityfocus.org/vdb/)

SA – InformationsauswertungThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Übergang Bestandesaufnahme – Informationsauswertung fliessend

• Gesamtbild/Überblick verschaffen• Übers Grobe ins Detail• Rangfolge der Schwachstellen

• Eintrittswahrscheinlichkeit• Schadenspotential

Gesamtrisiko

SA – Aufzeigen von ÄnderungenThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Grundprinzipien:– Least Privilege– Defense in Depth– Choke Point– Weakest Link– Fail-Safe Stance– Universal Participation– Diversity of Defense– Simplicity („KISS – Keep it simple and small“)

• Neu auch:– Closed vs. Open Source Software

Fazit und AusblickThema: Firewall

Einleitung

Angriffe


Auditing

Schlussteil

• Sicherheitsfragen gewinnen an Bedeutung• Sicherheitsfragen werden zunehmend

komplexer

Ausbildung und Sensibilisierung enorm wichtig

Documents

Firewall Thema: Firewall Einleitung Angriffe Firewall-Architekturen Auditing Schlussteil Kommunikationssysteme