Nenne die Firewall-Elemente
Packet Filter: analysieren & kontrollieren Übertragung von Paketen von der Netzzugangsebene bis zur Transport ebene.
Application Gateway: analysieren & kontrollieren Pakete auf der Anwendungsebene.
Security-Management: steuert & verwaltet die aktiven Firewall-Elemente.
Benötigte Komponenten: Aktive Firewall-Elemente
- Einbindungsmodul: realisiert Einbindung des Elements in das Kommunikationssystem.
- Analysemodul: Kommunikationsdaten werden den Möglichkeiten des aktiven Firewall-Elements entsprechend analysiert.
- Entscheidungsmodul: Analyseergebnisse werden ausgewertet mit der Sicherheitspolitik verglichen.
- Authentikationsmodul: Authentikation & Identifizierung der Instanzen.
- Firewallschutzmodul: Schutz der aktiven Firewall-Elemente.
- Verarbeitungsmodul für sicherheitsrelevante Ereignisse: Verarbeitung aller sicherheitsrelevanten Ereignisse, die im aktiven Firewall-Element erzeugt werden.
- Regelwerk: Technische Umsetzung der Sicherheitspolitik.
- Logbuch: Protokolldaten gespeichert.
- Security Management: legt Regeln fest & analysiert Protokolldaten.
Paket-Filter
analysiert und kontrolliert die ein- und ausgehenden Pakete auf der Netzzugangs-, der Netzwerk- und der Transportebene.
Arbeitsweise von Packet Filter
- überprüft, von welcher Seite das Paket empfangen wird
- Kontrolliert die Quell- und Ziel-Adresse und Protokolltyp
- Netzwerkebene wird überprüft
- Transportebene wird überprüft (TCP/UDP –> Überprüfung der Portnummern)
Vor & Nachteile von Paketfilter
Vorteile:
• Transparent
• leicht realisierbar
• hohe Performance
• flexibel für neue Dienste
• Einfache Erweiterungsfähigkeit für neue Protokolle
• für andere Protokollfamilien verwendbar
Nachteile:
• keine Sicherheit für Anwendungen
• Struktur des Netzes kann nicht verborgen werden
• Daten oberhalb der Transportebene werden nicht analysiert
• Falsch konfigurierte Programme können von außen genutzt werden
Dynamischer Paketfilter
kann die Filterregeln intern dynamisch anpassen und hat Eigenschaft sich die Quellen und das Ziel der IP-Adressen & Ports zu merken.
Logbuch-Modi:
- Free-Run-Modus (älteste Logbucheintrag wird überschrieben)
- Single-Shot-Modus (die neuen Logbucheinträge werden verworfen)
- block it full (keine Pakete mehr durchlasen)
Realisierungsformen für Paketfilter
- Packet Filter Realisierung im Router
- Packet Filter als separate Sicherheitskomponente
- Packet Filter im Microchip
Packet Filter Realisierung im Router
Realisierung im Router: ist nicht sicherheitsrelevant & hat folgende Schwächen:
- schlecht gegen Angriffe gerüstet
- anfälliger für Implementierungsfehler
- ein neuer Router ist teurer
- unzureichende Administration der Sicherheitsfunktionen
Packet Filter als separate Sicherheitskomponente
Vorteile:
- ist flexibler
- können die sicheren Designkriterien von aktiven Firewall-Elementen leichter erfüllen.
- klare Abgrenzung zwischen Kommunikations- & Sicherheitsanforderungen.
Nachteile:
- teurer als Software-Erweiterung im Router
- reduziert die Verfügbarkeit der Netzdienste
Packet Filter im Microchip
- erreichen eine sehr hohe Performance
- können einfach integriert werden.
Allgemeine Arbeitsweise des Application Gateway
- Ein Benutzer, der über das Application Gateway kommunizieren möchte, muss sich zuerst identifizieren und authentisieren.
- Nach der Identifikation und Authentikation arbeitet das Application Gateway transparent, sodass der Benutzer den Eindruck hat, direkt auf dem Ziel-Rechnersystem zu arbeiten.
- Über die Netzzugangs- und TCP/IP-Treiber empfängt das Application Gateway die Pakete an den entsprechenden Ports.
Sicherheitskonzept eines Application Gateway
- So wenig Software wie möglich sind auf dem Application Gateway zu installieren.
- Das Security Management darf aus Sicherheitsgründen nicht auf demselben Rechnersystem laufen.
- Application Gateways sollen aus Sicherheitsgründen keine Routing-Funktionalität haben, damit nicht an den Proxys vorbeigeroutet werden kann.
- Application Gateway hat eine IP-Adresse im unsicheren Netz und eine IP-Adresse im zu schützenden Netz.
HTTP Proxy
- ist für die kontrollierte Kommunikation über HTTP verantwortlich
- stellt spezielle Sicherheitsfunktionen für diesen Dienst zur Verfügung.
Dienste des HTTP Proxy
Reauthentikation: es wird ein Timer gesetzt, der den Beginn der Session festhält. Nach Ablauf des Timers wird der HTTP Proxy automatisch abgeschaltet.
Kommando-Filter: analysiert & überprüft die verwendeten Methoden & Befehle.
Daten-Filter: ermöglicht, dass nur definierte URLs zugelassen werden.
Content Security: Sicherheitsmechanismen, die gegen die Gefährdungen durch aktive Inhalte innerhalb von HTML-Seiten wirken.
Authentication Proxy
- regelt die Identifikation und Authentikation eines Clients auf einem Server über das Application Gateway
- führt die Rechtverwaltung für die unterschiedlichen Dienste durch
Transparent Proxy
sorgen z.B. dafür, dass aus dem zu schützenden Netz direkt Rechnersysteme im unsicheren Netz (z.B. Internet) adressiert werden können.
Circuit Level Proxies
eine Art generische Proxies, die für eine Mehrzahl von Diensten mit verschiedenen Protokollen verwendet werden können.
Vor-& Nachteile von Application Gateways
Vorteile:
- sicheres Design-Konzept
- Konzentration auf das Wesentliche
- Pakete müssen über Proxies übertragen
- echte Entkoppelung der Dienste
Nachteile:
- geringe Flexibilität
- hohe Kosten
- andere Vorgehensweise bei der Kommunikation
- kann kein IP-Spoofing erkennen
