sicherheit in netzen angriffsmethoden firewalls vpn erstellt von: holger viehoefer © 1999
TRANSCRIPT
Sicherheit in Netzen
Angriffsmethoden
Firewalls
VPN
Erstellt von: Holger Viehoefer © 1999
Gliederung des Vortrages
1. Bedrohungen aus dem Netz
2. Angriffsmethoden
3. Warum Firewalls ?
4. Welche Firewall-Elemente gibt es ?
5. Moderne Firewallarchitekturen
6. Virtual Private Networks & Firewalls
7. Zukunft der Sicherheitstechnologie
Bedrohungen aus dem Netz
Bedrohungen aus dem Netz
Merkmale des Internets
• Einfacher, kostengünstiger Zugang
• Einheitlicher Standard ( TCP / IP )
• Weltweites Netz, shared infrastructure
• Steigende Akzeptanz (Über 145 Mio Nutzer 8/98)
• Günstig für internationale Geschäftsbeziehung
• Absatzmarkt ( ECommerce )
Bedrohungen aus dem Netz
Gefahren aus dem Internet
• High-Tech-Spione stehlen fremdes Know-how, persönliche Daten oder Strategiepläne und verkaufen sie lukrativ an andere oder verursachen Schaden.
• Cracker brechen in das lokale Netz von Firmen ein und fälschen Daten oder schleusen falsche Informationen ein.
• Cracker können die Rechnersysteme einer Organisation lahmlegen und so wirtschaftlichen Schaden in Millionenhöhe verursachen.
Bedrohungen aus dem Netz
passwordguessing
self-replicatingcode
passwordcracking
exploitingknown
vulnerabilities
disablingaudits
backdoors
hijackingsessions
sniffer /sweepers
stealthdiagnostics
packet forging /spoofing
GUI
Increasingly Sophisticated Tools Reduce Increasingly Sophisticated Tools Reduce Need for Hacking ExpertiseNeed for Hacking Expertise
Increasingly Sophisticated Tools Reduce Increasingly Sophisticated Tools Reduce Need for Hacking ExpertiseNeed for Hacking Expertise
HackingTools
AverageIntruder
1980 1985 1990 19951980 1985 1990 19951980 1985 1990 19951980 1985 1990 1995
Rel
ativ
e R
elat
ive
Tec
hnic
al C
ompl
exit
yT
echn
ical
Com
plex
ity
Rel
ativ
e R
elat
ive
Tec
hnic
al C
ompl
exit
yT
echn
ical
Com
plex
ity
Congress, 1996
Bedrohungen aus dem Netz
Informationen sammeln
Schwachstellen identifizieren
Angriff durchführen
Rechte aneignen
Vorgehensweise beim Angriff
Angriffsmethoden
Angriffsmethoden
Idee eines Angriffes
Ein Angreifer versucht Zugriff zu bekommen, um:
• an bestimmte Informationen zu kommen, die nicht für Ihn bestimmt sind,
• Aktion auszulösen, die er nicht auslösen darf, oder
• Ressourcen zu nutzen, die er nicht nutzen darf.
Angriffsmethoden
Idee eines Angriffes
Dies tut ein Angreifer:
• um mit den Informationen Geld zu verdienen,
• um dem Opfer zu schaden,
• aus reiner Spielleidenschaft
Angriffsmethoden
Analyse des Netzes durch Scanner
• Benutzerinformationen
• Topologie
• aktive Dienste
• Schwachstellenanalyse
Angriffsmethoden
Password-Snooping und IP-Spoofing
• Passwortklau, danach
• Eindringen in das System
• Fälschen der Identität
• Datenklau
Angriffsmethoden
Nutzung falscher Informationen
• Möglichkeit zum Ausnutzen der Schwachstellen, die in der Analyse gefunden worden sind.
• Zugriff auf Filesysteme ( NFS ) und andere Systemdienste ( POP3 )
• DOS-Attacken ( Denial Of Service )
• korrupte Java-Applets, Javascripts, Active X
• Viren durch downloads ( auch MS-Word Makroviren )
• Verkehrflußanalyse
Warum Firewalls ?
Warum Firewalls ?
Analogie zur Firewall
• Brandschutzmauer
Man kann ein elektronisches Firewall-System wie eine Brandschutzmauer betrachten, die dafür zuständig ist, einen bestimmten Bereich abzuschotten, damit Schäden, die auf der einen Seite der Mauer auftreten, nicht auf die andere Übergreifen.
• Pförtner
Ein Pförtner hat wie eine Firewall die Aufgabe zu bestimmen, wer rein und raus darf. Andere Personen müssen sich bei Ihm identifizieren.
Warum Firewalls ?
Allgemeine Ziele von Firewall-SystemenAllgemeine Ziele von Firewall-Systemen
• Zugangskontrolle auf Netzwerkebene
Es wird überprüft, welche Rechnersysteme über den Firewall miteinander kommunizieren dürfen.
• Zugangskontrolle auf Benutzerebene
Das Firewall-System überprüft, welche Benutzer eine Kommunikation zur Firewall durchführen dürfen. Dazu wird die Echtheit (Authentizität) des Benutzer festgestellt.
• Rechteverwaltung
Hier wird festgelegt, mit welchem Protokollen und Diensten und zu welchen Zeiten über die Firewall Kommunikation stattfinden darf.
Warum Firewalls ?
Allgemeine Ziele von Firewall-SystemenAllgemeine Ziele von Firewall-Systemen
• Kontrolle auf der Anwendungesebene
Überprüfung auf korrupte Dateiinhalte oder Virensignaturen
• Entkopplung von Diensten
Implementierungsfehler, Schwachstellen und Konzeptionsfehler der Dienste sollen keine Angriffsmöglichkeiten bieten.
• Beweissicherung und Protokollauswertung
Verbindungsdaten und sicherheitsrelevante Ereignisse werden protokolliert. ( Beweissicherung, Sicherheitsverletzungen )
Warum Firewalls ?
Allgemeine Ziele von Firewall-SystemenAllgemeine Ziele von Firewall-Systemen
• Alarmierung
Besonders sicherheitsrelevante Ereignisse gehen an das Security-Management.
• Verbergen der internen Netzstruktur
Die interne Netzstruktur soll verborgen bleiben, es soll nicht sichtbar sein, ob 10 , 100, 1.000 oder 10.000 Rechner im geschützen Netz vorhanden sind.
• Vertraulichkeit von FW-Nachrichten
Verschlüsselung der Nachrichten an das SM und den Administrator
Welche Firewall-Elemente gibt es ?
Welche Firewall-Elemente gibt es ?
Klassifizierung von Firewall-Elementen
Welche Firewall-Elemente gibt es ?
Architektur von Firewall-Elementen
Welche Firewall-Elemente gibt es ?
Allgemeine Arbeitsweise von Packet Filtern
Ein Packet-Filter prüft:
• Es wird überprüft, von welcher Seite das Packet empfangen wird.
• Auf der Netzzugangsebene werden die Quell- und Ziel-Adresse und der verwendete Protokolltyp kontrolliert.
• Auf der Transportebene werden die Portnummern überprüft.
• Zeitliche Regelungen können implementiert werden.
Welche Firewall-Elemente gibt es ?
Allgemeine Arbeitsweise von Packet Filtern
Welche Firewall-Elemente gibt es ?
Beispiel eines Verbindungsaufbaus
Welche Firewall-Elemente gibt es ?
Beispiel eines Verbindungsaufbaus
Welche Firewall-Elemente gibt es ?
Spezielle Packet Filter
Welche Firewall-Elemente gibt es ?
Regeln für Packet Filter
Grundsätzlich :
• Es muß genau festgelegt werden, was erlaubt sein soll.
• Alles was nicht explizit erlaubt wird, ist automatisch verboten.
• Das Firewall-Element erlaubt nur das, was explizit in den Access-Listen als >>erlaubt<< gekennzeichnet ist.
Welche Firewall-Elemente gibt es ?
Vorteile von Packet Filtern
• Transparent & unsichtbar für die Benutzer ( Ausnahme Authentikation ist notwendig )
• einfach und erweiterungsfähig für andere Protokolle
• flexibel für neue Dienste
• hohe Performance durch optimale Mechanismen ( Eigenes Betriebssystem, abgestimmte Hardware )
• geringe Komplexität, dadurch leicht realisierbar
• geringe Kosten ( im Vergleich Application-Gateway )
Welche Firewall-Elemente gibt es ?
Nachteile von Packet Filtern
• Daten oberhalb der Transportebene werden nicht analysiert.
• Keine direkte Sicherheit bei Anwendungen
• Packet-Filter können die Struktur des Netzes nicht verbergen.
• ( aus Punkt 1 ) Keine Protokolldaten oberhalb der Transportschicht
Allgemeine Arbeitsweise von Application-Gateways
Welche Firewall-Elemente gibt es ?
Welche Firewall-Elemente gibt es ?
Allgemeine Arbeitsweise von Application-Gateways
Welche Firewall-Elemente gibt es ?
Beispiel eines Proxy-Dienstes : TELNET
Welche Firewall-Elemente gibt es ?
Vorteile von Application-Gateways
• Sicheres Designkonzept, da kleine, gut überprüfbare Module (Proxies)
• Alle Pakete müssen über das Application-Gateway übertragen werden, somit höhere Sicherheit.
• Echte Entkopplung der Dienste
• Verbindungsdaten, Applikationsdaten & Anwenderdaten können protokolliert werden
• Verbergen der Internen Netzstruktur
• Sicherheitsfunktionen für Anwendungen ( Kommando-, Datei-, Datenfilter )
Welche Firewall-Elemente gibt es ?
Nachteile von Application-Gateways
• geringe Flexibilität ( Jeder Dienst ein Proxy )
• hohe Kosten
• kompliziertere Administration und Konfiguration
Welche Firewall-Elemente gibt es ?
Kosten ?
ResidualRisk
Cos
t
$0100% 0%
Cost of Controls
Cost ofExploitation
X Spend about this much. Today.
$Lots
ResidualRisk
is directly proportional to Threat, Vulnerability, ValueControl, Countermeasureis inversely proportional to
Fielding a trustworthy capability requires the implementation of a complete program.
NetworkRe-engineering
ProcessRe-engineering
SecurityManagement
Administrationand Testing
Education andAwareness
SecurityPolicy
Welche Firewall-Elemente gibt es ?
Security verstehen:
Welche Firewall-Elemente gibt es ?
Auf dem laufenden bleiben:
Security Policy Development
Preinstallation Site Survey
Site Security Survey
Enterprise AssuranceRisk Assessment
Unprotected
Networks
time
IT advancement
defensive technologiesvulnerability gap
Threat &Vulnerability
Threat &Vulnerability
Security Policy Development
Site Security Survey
Enterprise AssuranceRisk Assessment
time
IT advancement
defensive technologies
process improvement
M A N A G E M E N T B U Y - I N
SECURITYPOLICY
NETWORKREENGINEERING
PROCESSREENGINEERING
L A Y E R E D S E C U R I T Y I N D E PT H
EDUCATION&
AWARENESS
ADMIN.&
TEST
NETWORKMGMT.P
R O
C E
S S
D
R I
V E
N I N V
O L
V E
A L
L
Welche Firewall-Elemente gibt es ?
Investieren, Updaten:
Moderne Firewallarchitekturen
Moderne Firewallarchitekturen
Ausschließlicher Einsatz eines Packet-Filters
Moderne Firewallarchitekturen
Ausschließlicher Einsatz eines Application-Gateways
Moderne Firewallarchitekturen
Packet Filter und dual-homed Application-Gateway
Moderne Firewallarchitekturen
Zwei Packet-Filter & dual-homed Application-GatewayZwei Packet-Filter & dual-homed Application-Gateway
Höchstes Maß an Sicherheit !
Moderne Firewallarchitekturen
Einsatz für Internet-Server
Moderne Firewallarchitekturen
Einsatz für Mail-Server
Zusätzliche Virenscanner ( optional )
Moderne Firewallarchitekturen
Empfehlungen:
VPN & Firewalls
VPN & Firewalls
Grundsätzliches :
Vorteile:
• VPNs erhöhen die Sicherheit durch Verschlüsselung auf verschiedenen Ebenen.
• Dadurch werden einige Angriffsmöglichkeiten abgeschwächt. ( Man-In-The-Middle -Attack )
Nachteile:
• Es muß spezielle Hard- oder ( und ) Software eingesetzt werden.
• Geschwindigkeitsverluste bei der Datenübertragung
VPN & Firewalls
Aufbau mit Hardware :
VPN & Firewalls
Möglichkeiten :
VPN & Firewalls
Besser mit Firewall !
Zukunftstechnologien
Zukunftstechnologien
Interne Sicherheit ? JA !
Zukunftstechnologien
Aussichten:
• Verbesserung der Sicherheitsmechanismen in IPv6
• Zusammenwachsen von Packet-Filter & Application-Gateways, die auch redundante, leistugnsstärkere Systeme bilden ( Clustering ).
• Zusammenwachsen von Netzwerkmanagement mit Sicherheitsmanagement.
• Geplant: Sicherheit in Netzen als Studiengang ( Klagenfurt,Bochum, Bonn, München und Darmstadt )
Quellenangabe :
• Firewall-Systeme / DATACOM / Norbert Pohlmann
• Einrichten von Firewalls / O´Reilly / Chapman, Zwicky
• Intranet Security / SUN / Linda Mc Carthy
• Firewalls / dPunkt / Strobel
• SAFER NET / dPunkt / Schmeh
• Sicherheitskonzepte für das Internet / dPunkt / Raepple
•IPnG / DATACOM / Stainov
• Gateway, Information-Week, Internet