1 / 14

High-Level Security Firewalls: Concepts and Applications

Understand firewalls defined as security systems controlling network transitions, based on TCP/IP model, to repel attacks and enforce varied defense measures. Dive into elements, motives, and strategies of attackers, including breaches and risks. Study active protective components, security management, and multifaceted application gateways. Delve into packet filtration, comprehensive proxy solutions, and stringent rule management to safeguard network integrity and data confidentiality. Explore screening subnets, diverse defense, and considerations for implementing effective firewalls. Learn about challenges such as data-centric threats, security policy misalignments, and internal vulnerabilities. Discover sources for in-depth guidance on establishing resilient firewall systems. Cost-effective, reliable, and paramount for network protection in modern digital landscapes.

yon
Télécharger la présentation

High-Level Security Firewalls: Concepts and Applications

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Firewalls Holger Stengel Vortrag am 1999-12-20

  2. Gliederung • Definition: Firewall • Grundlage: TCP/IP-Modell • Angriffe • Elemente und Konzepte • Grenzen

  3. Definition • System zur Sicherung und Kontrolle des Übergangs zwischen Netzen mit Unter-schiedlichen Sicherheitsansprüchen • Analogien: Brandschutzmauer, Pförtner • Vollständige Kontrolle durch Konzept des Common Point of Trust • Ziel: Angriffe sollen sich nicht lohnen

  4. Grundlage: TCP/IP-Modell • Anwendungsebene (HTTP, SMTP, FTP) • Anw. & Prozesse die auf das Netz zugreifen • Transportebene (TCP, UDP) • Stellt end-to-end Datendienste zur Verfügung • Netzwerkebene (IP, ICMP, RIP, OSPF) • Definiert Aufbau von Datagrammen, Routing • Netzzugangsebene (Ethernet, ATM) • Routinen für Zugriff auf physikalische Netze

  5. Angriffe • Ziele • Ausnutzung fremder Ressourcen • Zugriff auf fremde Daten • Motive • Vandalismus • Spieltrieb / Langeweile • Finanzielle Interessen

  6. Möglichkeiten eines Angreifers • Analyse des Netzes (ping, finger, portscan) • Password-Snooping / IP-Maskerade • Ausnutzung von Softwarefehlern • Hopping (Telnet) • IP-Adressen-Spoofing • ICMP-Angriffe (z.B. redirect, source quench) • Strict Source Routing

  7. Elemente • Aktive Komponenten (Filter) • Packet Filter • Application Gateway • Security Management • Designanforderungen • Minimale Software auf aktiven Komponenten • Sichere Einbindung ins Kommunikationssystem • Getrenntes Security Management

  8. Packet Filter • Analyse und Kontrolle der unteren Schichten • Interpretiert & vergleicht Inhalt der Pakete mit dem Regelwerk • Richtung des Verbindungsaufbaus • Quell- / Zieladressen, Protokolle, Ports • Optionen, Kommandos • Zeitraum • Transparent, da adressorientiert

  9. Application Gateway • Einziger erreichbarer Rechner (Bastion) • Nach Identifikation & Authentikation transparent • Dual-Homed Gateway (2 Netzschnittstellen) • Paketübermittlung durch Proxy (indirekt) • Für jeden Dienst ein Proxy (Stellvertreter) • User kommuniziert scheinbar mit Zielsystem • Sehr tiefe Analyse, da Proxies spezialisiert

  10. Security Management • Verkörpert Sicherheitspolitik der Organisation in Form eines Regelwerkes • Separat realisiert (Rechner / Wechselplatte) • Positive Filterregeln (Fail Safety) • Regeln nur durch berechtigte Personen veränderbar (evtl. 4 Augen Prinzip) • Garantiert Widerspruchsfreiheit der Regeln

  11. Konzepte • Aktive Elemente auch einzeln als eigen-ständige Firewall einsetzbar • Durch Kombination von verschiedenen Elementen und Herstellern höhere Sicher-heitsleistung (Diversity of Defense) • Begriffsklärung: Screened Subnet • Realisiert durch 2 serielle Packet Filter • Entkoppeltes, isoliertes Teilnetz (DMZ)

  12. High-level Security Firewall • Dual-homed Application Gateway in Screened Subnet • Durch enge Verknüpfung der Elemente kann Firewall nicht umgangen werden • Redundantes und sehr mächtiges System • Kosten: • Produkt: ca. 90.000-600.000 DM • Lfd. Kosten: 150.000 DM p.a. (1000 Nutzer)

  13. Grenzen • Unlogische / falsch umgesetzte Sicherheitspolitik • Anwendungsdatenorientierte Angriffe (z.B. Java) • Geringer Einfluß auf interne Angriffe • Abweichungen vom Konzept des Common Point of Trust (Backdoors) • Trittbrettfahrer bei unverschlüsseltem Zugriff • Um eine hohe Gesamtsicherheit zu erreichen, sind neben einem Firewallsystem auch personelle und organisatorische Maßnahmen notwendig.

  14. Quellenangaben • Bücher: • Norbert Pohlmann, Firewall-Systeme, Bonn, MITP-Verlag, 1998 • Chapman / Zwicky, Building Internet Firewalls, USA, O´Reilly & Associates, 1995 • WWW: • Ranum / Curtin, Internet Firewall FAQ, 1998 http://www.clark.net/pub/mjr/pubs/fwfaq/index.html • Grennan, Firewall & Proxy Server HOWTO, 1999 http://okcforum.org/~markg/Secure_Linux/Firewall-HOWTO.html

More Related