1 / 15

LAN-Switch

Internet. Drucker. Drucker. Beispiel-Netzwerk eines vernetzten IT-Systems:. Web-Server 1. Web-Server 2. File-Server. Router. LAN-Switch. LAN-Switch. PC`s Büro 1. PC`s Büro 2. PC`s Verwaltung.

dorit
Télécharger la présentation

LAN-Switch

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Internet Drucker Drucker Beispiel-Netzwerkeines vernetzten IT-Systems: Web-Server 1 Web-Server 2 File-Server Router LAN-Switch LAN-Switch PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Auftrag:Eine Firma die über einen Internet-Shop Produkte verkauft, möchte ihr internes Netz vor Bedrohungen aus dem Internet schützen.Es sollen keine Programme mit schädigender Wirkung aus dem Internet eingeschleust werden können und es darf keine unbefugten Zugriffe über das Internet auf das lokale Netzwerk geben.

  2. Bedrohungen aus dem Internet: Aus der Anbindung eines Rechners oder lokalen Netzes an das öffentliche Internet ergeben sich vielfältige Bedrohungen: Siehe www.sicherheit-im-netz.de oder Videos! Address Spoofing: Unter einer gefälschten Indendität wird eine Kommunikationsverbindung aufgebaut. Hierbei erzeugt der Angreifer IP-Pakete mit gefälschter IP-Absenderadresse. Denial-of-Service-Angriff: Ziel ist es, einen bestimmten Server „lahmzulegen“ und ihn so daran zu hindern, Antworten auf Anfragen zu erzeugen. Dies geschieht meist in der Form, dass die Ressourcen des Servers vollbelegt werden und so für weitere Anfragen keine Ressourcenmehr zur Verfügung stehen. Abhören fremder Zugangsdaten während des Netzverkehrs. Eine Schutzmaßnahme gegen diese Bedrohungen ist die Verwendung von Firewall-Systemen: Firewalls

  3. Internet Drucker Drucker Beispiel-Netzwerk eines vernetzten IT-Systems mit einer Firewall: Web-Server 1 Web-Server 2 NAT/PAT-Router File-Server LAN-Switch LAN-Switch Platzierung der Firewall! PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Eine Firewall ist ein System, das zwei Netzwerke koppelt und sicherstellt, dass jeglicher Verkehr zwischen den beiden Netzen ausschließlich durch die Firewall geleitet wird. Dabei wird die Weiterleitung von Paketen verhindert, die eine mögliche Bedrohung des internen Netzes bedeuten können.

  4. Aufgaben einer Firewall: • Schutz vor unbefugten Netzzugriffen • Zugangskontrolle:Steuerung, welche Nutzer in welcher Form auf welche Netzressourcen zugreifen dürfen. • Protokollierung der Netzwerkaktivitäten:Aufzeichnung des Netzwerkverkehrs, um hieraus Rückschlüsse auf erfolgte Angriffe ziehen zu können. • Alarmierung bei sicherheitsrelevanten Ereignissen:Werden sicherheitsrelevante Aktionenvon hierzu nicht befugten Nutzern ausgeführt, so wird durch die Firewall ein Alarm ausgelöst. • Verbergen der internen Netzstruktur:Angreifern werden mögliche Angriffspunkte des internen Netzes dadurch vorenthalten, dass die Firewall die interne Netzstruktur verbirgt. • Sicherstellung der Vertraulichkeit der Daten:Sicherstellen, das der interne Verkehr nicht abgehört werden kann.

  5. Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: • Paketfilter-Firewall Layer 3 (und 4) • Proxy-Firewall Layer 4 • Applikationsfilter-Firewall Layer 7

  6. Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: • Paketfilter-Firewall Layer 3 (und 4) Paketfilter sind IP-Router mit der zusätzlichen Fähigkeit, ankommende Datenpakte entsprechend eines Regelwerks weiterzuleiten oder zu sperren. Die Filterung der Datenpakte nach Regeln wird vom Administrator eingerichtet und konfiguriert.Eine Regel kann das Passieren oder das Zurückweisen der Pakete durch die Firewall bewirken. Beispiele: • Sperre alle Datenpakete mit der Quell-IP-Adresse: 135.52.127.24 • Leite alle Daten des PC 192.169.0.5 an den PC 152.128.64.60 weiter, verwerfe jedoch alle Pakete, die in umgekehrter Richtung die Firewall passieren möchten. • Sperre alle Datenpakete, die den Dienst FTP verwenden. Vorteile:- Hohe Geschwindigkeit- Kostengünstig (vielfach implementiert) Nachteile:- Kein umfassender Schutz- Nur einfache Protokollierungsmöglichkeit

  7. Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: • Proxy-Firewall Layer 4 Unter einem Proxy versteht man eine Software, die bestimmte dienste stellvertretend für eine Rechner ausführt. Ein großes Problem besteht darin, dass einzelne PC des internen Netzes oftmals nicht ausreichend gegen Angriffe aus z.B. dem Internet geschützt sind. So können unbedarfte Nutzer Programme für den Aufbau von Internetverbindungen verwenden, die einen unbefugten Zugriff über das Internet auf diese PC zulassen. Der Proxy befindet sich zwischen den beiden Netzwerken und vermittelt z.B. zwischen einem Client und einem Server. Soll ein Zugriff auf das jeweilige andere Netz erfolgen, so kann das nicht direkt durch den Client oder Server erfolgen. Dies muss über den Proxy erfolgen. Dieser bietet hierfür einen entsprechenden Dienst (z.B. Web , Print, ....) an, den der Client und der Server verwenden müssen. So wird sichergestellt, das die eigentliche Netzverbindung nur über die sichere Software des Proxy-Server erfolgen kann.

  8. Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: • Proxy-Firewall Layer 4 Neben der Funktion als Firewall dient ein Proxy-Server häufig auch der Zwischenspeicherung von Webseiten. Hierbei speichert der Proxy die oft angeforderten Webseiten zwischen.Dadurch ist es möglich Anfragen schneller zu beantworten und die Netzlast zu reduzieren. Bevor der Proxy die Daten aus dem internen Netz an das externe Netz weiterleitet, ersetzt er die IP-Absendeadressen jeweils durch seine eigene IP-Adresse (NAT). Werden nicht nur die IP-Adressen sondern auch die Portnummern ersetzt wird dies als Masquerading, PAT oder NAPT bezeichnet. Die Rechner des externen Netzes kommunizieren dann nur direkt mit dem Proxy und erlangen keine Kenntnis der internen Netzstruktur. Vorteile:- Für viele Dienste einsetzbar: Web, Mail, Print,...- Direkte Verbindungen zwischen Client und Server werden verhindert- Die interner Netzstruktur wird verborgen Nachteile:- Kein umfassender Schutz- Konfiguration der Clients erforderlich, sich für bestimmte Dienste an den Proxy zu wenden

  9. Firewalls arbeiten auf verschiedenen OSI-Layern und können dadurch in verschiedene Klassen eingeteilt werden: • Applikationsfilter-Firewall Layer 7 Applikationsfilter arbeiten auf der Anwendungsschicht des ISO/OSI-Referenzmodells und stellen im Prinzip eine Proxy-Firewall dar. Sie besitzen jedoch die Fähigkeit die einzelnen Datenpakete zu entpacken und bzgl. des Inhalts zu untersuchen. Es können mehrere Dienste gleichzeitig unterstützt werden wie z.B. HTTP, FTP, SMTP, Telnet,.... Ein Applikationsfilter für den FTP-Dienst kann so z.B. erkennen, welche FTP-Befehle übertragen werden und behandelt diese dann gemäß der festgelegten Sicherheitsstrategie unterschiedlich. So können z.B. Schreibzugriffe aus dem externen Netz auf den FTP-Server untersagt und nur Lesezugriffe erlaubt werden. Vorteile:- Durchführen von Kontrollen in Abhängigkeit der versendeten Nachricht- Hohe Sicherheit Nachteile:- Langsamer als Paketfilter- Langsamer als einfache auf der Transportschicht arbeitende Proxy-Firewalls

  10. Firewall-Architekturen Um einen höheren Sicherheitsgrad zu erzielen werden oft kombinierte Firewalls mit Paketfiltern und Applikationsfiltern verwendet. Einige typische Kombinationsmöglichkeiten sind: • Dual-Homed-Firewall:PC mit zwei Netzwerkschnittstellen und einer implementierten Applikationsfilter-Firewall. Hohe Sicherheit, da ein Datenpaket die Firewall nicht durchqueren kann, wenn kein Proxy für den Dienst zur Verfügung steht. • Screened-Host-Firewall:Diese Kombination enthält eine Applikationsfilter-Firewall, die durch eine Paketfilter-Firewall geschützt wird. Die Applikationsfilter-Firewall hat nur einen Netzwerkanschluss und ist nur mit dem internen LAN verbunden.Die Paketfilter-Firewall (Screening Router) hat zwei Schnittstellen und trennt das interne LAN vom Internet. • Screened-Subnet-Firewall:Hier wird um eine höhere Sicherheit zu erreichen ein zusätzliches Netzsegment als Isolierung zwischen das interne und das externe Netz eingefügt. Diese Firewall wird auch als „Demilitarisierte Zone (DMZ)“ bezeichnet.

  11. Demilitarisierte Zone (Pufferzone [zwischen Nord- und Südkorea]) • DMZ = Demilitarisierte Zone Um einen höheren Sicherheitsgrad zu erzielen, wird bei der DMZ ein zusätzliches Netzsegment als Isolierung zwischen dem internen Netz und dem externen Netz eingefügt (Screened-Subnet-Firewall). Zur Realisierung der DMZ ist dem Applikationsfilter je ein Screening Router (Paketfilter) vor- und nachgeschaltet. Neben dem Applikationsfilter können innerhalb der DMZ noch Server enthalten sein, die „Kontakt“ mit dem Internet haben, wie z.B. ein Web-, Mail- oder FTP-Server. Durch die Einbettung der Server in die isolierte Zone (DMZ) wird erreicht, dass Angreifer, die es geschafft haben, einen dieser Server zu knacken und unter ihre Kontrolle zubringen, trotzdem keinen Zugriff auf das interne Netz haben, da sie zunächst einen weiteren Paketfilter überwinden müssen. Zur Nutzung vertrauenswürdiger Dienste kann der Applikationsfilter gezielt umgangen werden, so dass Datenpakete direkt an die Server in der DMZ zugestellt werden können (Sicherheitsrisiko!). Auf Grund der DMZ ist es aber nicht möglich, dass Datenpakete direkt zwischen dem internen und dem externen Netz ausgetauscht werden.

  12. Internet Drucker Drucker Beispiel-Netzwerk eines vernetzten IT-Systems mit DMZ: • DMZ Web-Server 1 Web-Server 2 z.B. Checkpoint- Firewall oder ein PC mit einer Firewall-Software und zwei Netzwerkkarten! NAT/PAT-Router File-Server LAN-Switch DMZ-Switch UnterschiedlicheFirewalls (Paketfilter) erhöhen die Sicherheit! Der Paketfilter leitet den Datenverkehr an den Applikationsfilter weiter! PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Applikationsfilter Ressourcentrennung im Firmen-Netz durchSchaffung unabhängiger Zonen auf Netzebene! Hinweis: Da das Firmennetz vom Internet aus nicht erreichbar ist muss für Außendienstmitarbeiter ein Zugang mittels eines VPN eingerichtet werden.

  13. Internet Drucker Drucker Beispiel für eine DMZ mit nur einem PC und z.B. der Software IPCop: • DMZ Web-Server 1 Web-Server 2 File-Server DSL Paketfilter DMZ Paketfilter LAN-Switch Eine echte DMZ einzurichten ist aufwändig und teuer! Es ist möglich die Paketfilter und dieDMZ (sowie das VPN-Gateway) auchnur auf einem Rechner einzurichten(-> Achtung: geringerer Schutz!) PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung Zur Umsetzung dieser kostengünstigenVariante eignet sich z.B. die auf einer Linux-Umgebung aufgesetzten Open-Source-Software IPCop. Diese wurde speziell für den Einsatz als Router und Firewall konzipiert

  14. Beispiel für eine DMZ mit nur einem PV und z.B. der Software IPCop: DMZ mit einem IPCop-PC: Mindestvoraussetzung/Gegebenheiten für den IPCop-PC: - Pentium-1-Prozessor mit 90 MHz- 32 MByte Arbeitsspeicher- 500 MByte Festplatte- ca. 50 Clients Weiterhin erforderlich für den PC: -> 3 Netzwerkkarten:- 1. Netzwerkkarte: Internet- 2. Netzwerkkarte: Demilitarisierte Zone- 3. Netzwerkkarte: LAN Regeln zur Umsetzung der Firewall mit IPCop:- Definition von Regeln für die Paketfilter (und ggf. Von Schlupflöchern)- ggf. Einrichtung des VPN-Zugangs für z.B. Außendienstmitarbeiter- Realisierung einer möglichst automatischen Erkennung von Angriffen

  15. Internet Drucker Drucker Beispiele für eine „schlechte“ DMZ mit z.B. einem DSL-Router: • DMZ !?! Web-Server 1 Web-Server 2 NAT/PAT-Router File-Server DSL LAN-Switch LAN-Switch Eine echte DMZ einzurichten ist aufwändig! PC`s Büro 1 PC`s Büro 2 PC`s Verwaltung DMZ-PC Soho-Router bieten deshalb eine Sparversion an, indem ein PC eingerichtet wird, an den aller Internet-Traffic ungefiltert weitergeleitet wird. Gelingt es einem Hacker diesen PC zu übernehmen steht ihm das gesamte interne Netz offen!

More Related