Business template designs

1
Firewalls
Saskia Schild, Manuel Grbac Nerma Taletovic
2
Inhaltsverzeichnis

• Was ist eine Firewall?
• Aufgaben einer Firewall
• Was eine Firewall nicht kann
• Fernzugriff
• Sichtbarkeit für Anwender
• Regelwerk
• Firewall-Arten
• Personal Firewall
• Externe Firewall
• Filtertechnologien
• Netfilter/IPtables
• Sicherheit und Kostenfrage

3
Was ist eine Firewall?

• engl. Brandschutzmauer
• dient dazu, nur bestimmte Anwendungen Zugriff zu
  gewähren
• Trennt sozusagen den privaten vom öffentlichen
  Bereich

4
Aufgaben einer Firewall

• Paketfilter und -analyse
• Protokoll- und Inhaltsblockierung
• Benutzer-, Verbindungs- und Sitzungsauthentifizier
  ung und Verschlüsselung
• ...

5
Was eine Firewall nicht kann

• Fremde Verbindungen schützen
• Eine Firewall schützt nur Verbindungen, die über
  sie laufen
• Angriffe erkennen Eine Firewall soll
  grundsätzlich die Regeln für die
  Netzwerkkommunikation umsetzen und so den
  Datenverkehr von innen nach außen unterstützen.

6
Fernzugriff

• Zugriff auf den Netzwerkdienst (Unsichere
  Netzwerkdienste, ...)
• Rückschluss vom Netzwerkdienst auf den Client
• Netzwerkimplementierung des Betriebssystems
  (fehlerhafte Treiber, falsche Implementierung,
  ...)

7
Sichtbarkeit für Anwender

• Es gibt 4 Erscheinungsformen einer externen
  Firewall
• SichtbarFirewall stellt sich sichtbar zwischen
  das Quell- und Zielsystem
• einer Seite gegenüber transparenteinseitig
  direkte Verbindung
• beiden Seiten gegenüber transparentbeidseitig
  durchgehende Verbindung
• UnsichtbarUnterschied zu beidseitiger
  Transparenz Systeme können sich gegenseitig
  nicht erkennen

8
Regelwerk

• Die Regeln einer Firewall legen fest, was mit
  einem Netzwerkpaket passieren soll, welches in
  das Muster eines Filters passt.
• Eine Regel setzt sich aus folgenden Komponenten
  zusammen
• Absender IP-Adresse
• Ziel IP-Adresse
• Netzwerkprotokoll
• Port Nummer
• Aktion
• DROP ein Paket wird verworfen
• REJECT/DENY es wird aktiv abgelehnt
• ACCEPT/ALLOW/PASS es wird angenommen
• Loggen

9
Firewall-Arten Personal Firewalls

• Ist eine Software, die auf dem Rechner des
  Endnutzers installiert ist
• Sie ist keine eigenständige Netzwerkeinheit, die
  den Verkehr zwischen zwei Netzwerken filtert, sie
  filtert nur zwischen dem Rechner, auf dem sie
  läuft, und dem Netz
• Sie wird auf Einzelcomputern eingesetzt
• Überwacht auch welche Programme versuchen
  ausgehende Netzwerk- oder Internet-Kommunikationen
  zu starten

10
Firewall-Arten Personal Firewalls

• Funktionsweise
• Der Paketfilter filtert und blockiert Datenpakete
  nach den Regeln des Regelwerk
• Über die Adressierungsinformation die ein
  Datenpaket enthält wird es zum Ziel
  weitergeleitet
• Der Anwendungsfilter kann einzelne Programme von
  der Netzkommunikation ausschließen
• Mit Hilfe des grafischen Frontends kann der
  Benutzer die Filter selbst konfigurieren

11
Firewall-Arten Personal Firewalls

• Ein Lernmodus einer Firewall ermöglicht es, das
  durch die Interaktion mit dem Benutzer die
  Filterkriterien festgelegt werden.
• Web Shields oder Web Application Firewalls
  filtern ActiveX und JavaScript Inhalte
• Firewalls können auch über ein Einbrucherkennungs-
  und -Abwehrsystem verfügen (auch Intrusion
  Detection System - IDS genannt)
• Sandboxing kann ein Programm daran hindern, auf
  Systemressourcen zuzugreifen dadurch können
  Schäden am System verhindert werden.
• Dynamische Paketfilterung

12
Vorteile einer Personal Firewall

• Kennen lernen des paketorientierten Datenverkehrs
  im Internet
• Softwarelösungen sind günstiger als
  Hardwarelösungen
• Der Schutz einer Softwarelösung ist oft aktueller
  als der einer Hardwarevariante
• schneller und komfortabler Schutz
• ausgehender Verkehr wird auch kontrolliert

13
Nachteile einer Personal Firewall

• Installation einer weiteren komplizierten
  Software
• Zukünftige "Malware" wird die Existenz von PFWs
  berücksichtigen
• verbrauchen Systemressourcen
• Manipulationsgefahr
• Lernphase nötig
• Höhere Komplexität ? mehr Angriffsfläche
• Je komplexer eine Firewall ist, desto größer ist
  die Wahrscheinlichkeit, dass Softwarefehler
  auftreten

14
Grenzen einer Personal Firewall

• Antivirensoftware und Viren-und Spywarescanner
  sind unerlässlich
• Regelmäßige Datensicherung
• Akutalisierung der Software
• Sichere Konfiguration von Webbrowser,..
• Vorsichtiger Umgang mit dem Internet

15
Firewall-Arten Externe Firewalls

• Allgemein
• kontrolliert die Verbindung zweier Netze
• Läuft auf einem eigenständigen System
• Durch die physische Trennung der Firewall und der
  zu
• schützenden PCs ist eine Manipulation nicht
  einfach durchzuführen

16
Typen einer Externen Firewall

• Man unterscheidet folgende Arten
• Bridging-Firewall
• Routing-Firewall
• Proxy-Firewall

17
Topologie

• Dual-homed Firewall

Internet
18
Topologie

• Two-legged Network

Internet
DMZ Zone
19
Topologie

• Three-legged Network

Internet
DMZ Zone
20
Vorteile einer Externen Firewall

• Konfiguration nur einmal notwendig
• Trennung von internem und öffentlichem Netz
• Optimiert für Arbeitsabläufe und entlastet PC
• Schützt auch andere Geräte im internen Netz
• Betriebssystemunabhängiger Schutz
• Möglichkeit des Kaufs eines Zusatzpaketes
• Black- und Whitelist

21
Nachteile einer Externen Firewall

• Wehrt nur Angriffe von außen ab
• kostenspielig
• Kein Rundum-Schutz

22
Grenzen einer Externen Firewall

• Workflow evtl. gestört durch oftmaliges
  nachfragen beim Benutzer
• Verwendung von Proxies eine gute Alternative,
  aber kein garantierter Schutz

23
Filtertechnologien

• Paketfilter
• Stateful Inspection
• Proxyfilter
• Contentfilter

24
Netfilter

• Netfilter stellt Werkzeuge für Linux-Firewall
  zur Verfügung
• Gruppen von Firewall-Regeln Tabellen
• Tabelle enthält verschiedene Ketten/Chains
• Beispiel filter table mit ihren drei
  Standardchains

INPUT
Linux-Netfilter Firewall
OUTPUT
FORWARD
25
IPTables

• Chains sind Listen von Regeln
• IPTables dient dem Anlegen und Löschen von
  Regeln/Chains
• Regel mehrere Bedingungen und eine
  Aktion/Target
• Syntax einer Regel
• iptables name_of_table name_of_chain -p
  protokoll -s source -p destination -j
  jump_target
• Beispiele
• Alle Pakete die der von IP-Adresse 127.0.0.1
  kommen, verwerfen iptables -A INPUT -s
  127.0.0.1 -j DROP
• Alle TCP Pakete von der IP-Adresse 1.2.3.4 an
  benutzerdefinierte Chain test leiten
• iptables -A INPUT -p TCP -s 1.2.3.4 -j test

26
Sicherheit und Kostenfrage

• Kostenspielig (zw. 50 und 150.000)
• Monatliche Wartungskosten
• Oftmals nur von großen Betrieben genutzt
• Personal Firewall Antivirenprogramm statt
  externe Firewall

27
Quellen

• Building Internet Firewalls, Elizabeth D.
  Zwicky, Simon Cooper D. Brent Chapman, Second
  Edition, June 2000
• http//www.nm.ifi.lmu.de/sicherheitsbuch/Paketfil
  ter.pdf
• wikipedia.org
• http//subs.emis.de/LNI/Proceedings/Proceedings17/
  GI-Proceedings.17-9.pdf
• firewall.cx/networking-topics/firewalls/209-firewa
  ll-topologies.html
• linuxreport.org/content/view/26/23/
• centos.org/docs/4/4.5/System_Administration_Guide/
  iptables-command-syntax.html
• help.ubuntu.com/community/IptablesHowTo

28
Danke für die Aufmerksamkeit