der einsatz einer firewall in einem firmennetzwerk referat zum thema: von: daniel kanis und daniel...
Post on 05-Apr-2015
111 Views
Preview:
TRANSCRIPT
Der Einsatz einer „Firewall“ in einem Firmennetzwerk
Referat zum Thema:
von:
Daniel Kanis und Daniel Schüßler
am 17.11.2004
Kanis,D.Schüßler, D.
Gliederung:
Teil I - Theorie
Begriffe, Gründe, Aufgaben/Ziele,Datenverkehr, Funktion, Aufbau,Einsatzorte, Unterteilung, Elemente,
Kosten-Nutzen-AnalysePersonal Firewalls, Fazit
Firewall
von:
Teil II – Praxis
Installation und Verwaltungeiner Personal Firewall
Literaturverzeichnis
Kanis,D.Schüßler, D.
Teil I - Begriff
Ein Firewall-System sichert und kontrolliert den Übergang von einem zu schützenden Netz zu einem (unsicheren) öffentlichen Netz.
Firewall
Quelle: Firewall-Systeme, Seite 43
Definition:
zu schützendes Netz
unsicheres, öffentliches Netz
Firewall-System
Kanis,D.Schüßler, D.
Teil I - Gründe
Firewall
Gefahren: a) Eindringen von Außen
b) illegaler Informationsfluss nach Außen
Beispiele im Privatbereich ...
manipuliertes Onlinebanking zur Erlangung von PIN‘s und Kreditkartennummern persönliche Informationen / Daten
Beispiele im Geschäftsbereich ...
Spionage von Forschungs – oder Kundendaten
Installation von Hintertüren (Backdoors) „Denial of Service Attacken“
Kanis,D.Schüßler, D.
Teil I – Aufgaben/Ziele
Firewall
Zugangskontrolle auf Netzwerk-, Benutzer-, und Datenebene
Rechteverwaltung (welche Protokolle/Dienste und Zeiten)
Beweissicherung und Protokollauswertung
Alarmierung
Verbergen der internen Netzstruktur
Kontrolle auf Anwendungsebene
Kanis,D.Schüßler, D.
Teil I – Datenverkehr
Firewall
Datenaustausch zwischen Computern mittels Protokollen
wichtigsten Transportprotokolle im Inter- bzw. Intranet sind TCP/IP
TCP/IP zerlegen die Daten in einzelne kleine Pakete, welche beim Empfänger wieder zusammengesetzt werden Aufbau der Verbindung erfolgt über Ports
Definition bestimmter Portnummern, die standardmäßig für best. Dienste zur Verfügung stehen = well-known-ports
Dienst Portnummer
ftp – Dateiübertragung auf Server 20
smtp – Emai Abholung 25
www / http – Internetseiten 80
pop3 – Email Versendung 110
z.B.:
bestimmt den Aufbau und Transportweg von
Datenpaketen
Kanis,D.Schüßler, D.
Teil I - Datenverkehr
Firewall
Internet Protocol
IP
Quelle: Firewall-Systeme, Seite 63
He
ad
er
ein
es
IP-D
ate
np
ak e
t es
stellt Verbindung zwischen zwei Endpunkten oder
Rechnersystemen her
Transmission Control Protocol
TCP
He
ad
er
ein
es
TC
P-D
ate
np
ak e
t es
Quelle: Firewall-Systeme, Seite 70
regelkonform
Datenpakete dürfen
passieren
Regelverstoß
Datenpakete dürfen nicht
passieren
Kanis,D.Schüßler, D.
Teil I - Funktion
Firewall
* Sicherheitskonzept für den Datenverkehr
* hieraus werden Regeln abgeleitet und definiert(wer darf was zu welcher Zeit)
* Firewall prüft die Datenpakete auf diese Regeln, vor dem Zusammensetzen der einzelnen Datenpakete
Grundprinzip: was nicht erlaubt ist, wird nicht zugelassen
vergleichbar mit Pförtnerfunktion
Kanis,D.Schüßler, D.
Teil I - Aufbau
Firewall
Quelle: Firewall-Systeme, Seite 116
Aufbau eines aktiven Firewall-Elementes
Schützt die Firewall selbst vor Angriffen
• B
enu
tzer
xy
dar
f n
ur
Die
nst
ag i
ns
Net
z
• S
erve
r fh
tw-b
erli
n.d
e zu
läss
ig
• P
ort
80
nu
r F
reit
ag 2
0-22
Uh
r zu
läss
ig
Achtung:
Prüfung von ein- und ausgehenden
Daten !!!
Kanis,D.Schüßler, D.
Teil I – Einsatzorte
Firewall
an der Verbindung zwischen Intranet (geschäftlich) und dem Internet ( = Gateway)
die Verbindung mit dem Internet sollte nur über einen Rechner laufen, auf welchem dann die Firewall installiert wird
innerhalb eines Netzwerkes um bestimmte kritische Bereiche (z.B. F&E) separat abzusichern
und / oder
Kanis,D.Schüßler, D.
Teil I - Unterteilung
Firewall
Materialität Einsatzbereich
Hardeware-Firewall
Softeware-Firewall
Unternehmens-Firewall
Personal-Firewall
Eingriff
Aktive Firewall-Elemente
Passiv bzw.Element Security
Management
Unterscheidungsmerkmale
Kanis,D.Schüßler, D.
Teil I - Elemente
Firewall
Packet Filter
prüft nur die Adressen des Datenpaketes
zustandsorientierte Packet Filter
(stateful inspection)
prüft Adressen und den angegebenen Inhalt
Application Gateway/Proxies
Adressen + angegebene Inhalt+ Öffnung und Prüfung des kompletten Inhaltes, keine
direkte Weiterleitung des Paketes Quelle: Firewall-Systeme, Seite 144
Quelle: Firewall-Systeme, Seite 142
Quelle: Firewall-Systeme, Seite 120
Adaptive Proxies
wie Application Gateway, jedoch bei Kenntnis des Absenders direkte
Weiterleitung des Paketes
Quelle: Firewall-Systeme, Seite 180
Die vier Grundelemente eines aktiven Firewall-Systems – gruppiert nach Prüfungstiefe
Kanis,D.Schüßler, D.
Teil I - Elemente
Firewall
Die vier Grundelemente eines Firewall-Systems - Verhältnis Geschwindigkeit zu Sicherheit
Sicherheitgering hoch
Ge
sch
win
dig
ke
it
langsam
schnell
StatefulInspections
Packet Filters
Adaptive Proxies
Applications Proxies
Magische Firewall Dreieck
Geschwindigkeit
Sicherheit
Benutzbarkeit
Kanis,D.Schüßler, D. Firewall
Teil I – Kosten Nutzen Analyse
Kosten für: Beschaffung, Installation, Pflege
Beispiel: Bank – 1000 Mitarbeiter – 25 Mio EUR Gewinn
Firewall * AK : 250 TEUR (= 1 % des Gewinns) * Betriebskosten: 80 TEUR p.a.
+++ Investition in Firewall schien sich für den zuständigen BWL‘er nicht zu rechnen +++ Angriff über das Internet +++
Namen und Kontostände der besten Kunden werden kopiert +++ am nächsten Tag in der BILD veröffentlicht +++
Kanis,D.Schüßler, D. Firewall
Teil I – Kosten Nutzen Analyse
Folgen des Hackerangriffs:
Kunden ziehen Ihre Gelder ab
Gewinn bricht sofort auf 12,5 Mio EUR (- 50 %) ein
mittelfristiger erheblicher Gewinnrückgang
1 % des Gewinns für eine gute Firewallhätte der Bank einen Schaden erspart, der sich auf das 50fache der Investition für die Firewall beläuft.
Quelle: Firewall-Systeme, Seite 393
Kanis,D.Schüßler, D. Firewall
Teil I – Personal Firewalls
• keine zentrale Installation und Konfiguration mehr
• Installation auf jedem Rechner
• Faustformel: bis 10 EDV-Arbeitsplätze
• Kosten und Pflegeaufwand niedrig, wenig Funktionen
• Benutzer kann um Entscheidung für Verbindung gebeten werden (Port 80: http, Office-Programme, troj. Pferde)
• Absicherung auf Applikationsebene (Content-Security) meist schon eingebunden
• Systeme zur Überwachung und Alarmierung bei verdächtigen Aktivitäten auf dem Rechner selbst (Intrusion-Detection-Systeme)
Kanis,D.Schüßler, D. Firewall
Teil I – Fazit
• Firewall filtert ein- und ausgehende Datenpakete nach bestimmten, festzusetzenden Regeln
• Firewall ist kein Virenschutz
• Firewall kann aufgrund der Aufzeichnung der Filtervorgänge z.B. auch dazu benutzt werden, die Internetnutzung der Mitarbeiter zu überwachen
• Personal Firewall nur bis max. 10 Rechner (oft kostenlos)
• prof. Firewall zwar teuer, aber kann vielfachen Schaden ersparen
Jeder Privatrechner mit Internetzugang braucht eine Personal Firewall !!!
Jedes Firmennetzwerk / Intranet mit oder ohne Internetzugang braucht eine Firewall !!!
Kanis,D.Schüßler, D. Firewall
Teil II
Installation und Verwaltung einer Personal Firewall
Teil II – Die Praxis
am Beispiel der kostenlosen Firewall: ZoneAlarm
von:
http://www.zonelabs.de
Nerven- &
Kostenfa
lle
einfache Version
1. Schritt der Einführung zur Handhabung von ZoneAlarm
„Internet“ immer als unsicher ansehen, und daher immer als Einstellung (Regel) für alle Programme & Verbindungen die mit dem Internet Kommunizieren.
„Sicher“ wird für alle internen Netzwerkelemente als „Zone“ definiert.
Not – Schalter
Warnmeldung erscheint so bald Aktualisierung auf „ Manuell “ gestellt wird
Der „ Stealth-Modus “ ermöglicht es, das der Häcker keine Antwort auf sein „ an Pingen “ erhält, und weiß so mit nicht einmal das ein Computer mit dieser IP-Adresse im Netz ist.
Direkt anklicken und zwischen „Internet“ & „Sicher“ entscheiden.
„Internet“ sollte für alle unsicheren Leitungen und Verbindungen gewählt werden die irgend wann mit dem Internet kommunizieren oder in fremde Netzwerke eingebunden werden.„Sicher“ kann dann gewählt werden wenn das Netzwerk mit dem die Schnittstelle verbunden werden soll vertrauenswürdig ist.
„Zugriff“ bedeutet das dass Programm von außen Daten empfangen kann und anderen Personen / Programme der Zugriff auf den Computer über diese Programme möglich ist.
„Server“ bedeutet das diese Programme in das Internet senden, wie www-Seiten aufrufe oder upload‘s. Aber auch ungewollte Daten können übermittelt werden, wie Spams oder MS-Fehler-Nachrichten.
Es kann immer nur ein Anti-Virus-Programm aktiv sein.
Dann muss der User die Entscheidung treffen ob dieses Programm die generelle Erlaubnis bzw. Verweigerung oder eine einmalige Erlaubnis bzw. Verweigerung erhält.
Diese Meldung entsteht sobald ein neues oder ein auf Fragezeichen gesetztes Programm versucht mit dem Internet zu kommunizieren.
User die glauben Sie brauchen keine Firewall, es ging doch bisher auch immer ohne!
10 versuche diesen Computer „an zu Pingen“ innerhalb 30 Sekunden
Kanis,D.Schüßler, D. Firewall
Literaturverzeichnis
Dr. Pohlmann, Norbert (2003): Firewall-Systeme, 5. Auflage, mitp-Verlag / Bonn 2003 - 39,95 EUR
a campo, Markus (2002): Mehr Sicherheit mit Firewalls, 1. Auflage, verlag moderne industrie Buch AG & Co. KG, Bonn 2002 – 9,95 EUR
Wetter, Jörg u.a.(2002): Firewalls für Dummies, 1. Auflage, mitp-Verlag / Bonn 2003 – 24,95 EUR
1.
Kanis,D.Schüßler, D. Firewall
Vielen Dank !
Wir hoffen, das wir euch ein Grundverständnis der Arbeitsweise von Firewalls vermitteln konnten und das Ihr euch eine Firewall umgehend installiert,
wenn Ihr noch keine habt.
top related