Firewallkonzept der GWDG (Einsatz auch f - PowerPoint PPT Presentation

1 / 27
About This Presentation
Title:

Firewallkonzept der GWDG (Einsatz auch f

Description:

... Checkpoint Firewall-I sehr hoher Preis Checkpoint Appliance (NOKIA,SUN) sehr hoher Preis Fortigate (Fortinet) Probleme im Testbetrieb (GWDG ... – PowerPoint PPT presentation

Number of Views:254
Avg rating:3.0/5.0
Slides: 28
Provided by: mger4
Category:

less

Transcript and Presenter's Notes

Title: Firewallkonzept der GWDG (Einsatz auch f


1
Firewallkonzept der GWDG(Einsatz auch für
Max-Planck-Institute !?)
  • Andreas Ißleiber

2
Firewallkonzept der GWDG (Notwendigkeiten)
  • Dienstleistungsangebot der GWDG für Institute
  • Schutz des gesamten GÖNET sowie aller
    Institutsnetze vor Angriffen von Aussen
  • Absicherung der Institutsnetze untereinander
  • Prävention bei Viren,Trojaner sowie
    Hacker-Angriffen aus dem Intra- und Internet
  • Ablösung der bestehenden ACLs der zentralen
    Router
  • Vereinfachung der ACLs (statefull inspection FW)
  • Ausfallsicherheit Aufbau von redundanten Systemen

3
Firewallkonzept der GWDG (Auswahlkriterien)
  1. Einheitliches Management
  2. Mehrmandantenfähigkeit
  3. Fähigkeit zur Redundanz, Loadbalacing
  4. Hoher Durchsatz
  5. Einfache Regelstruktur (leicht erlernbar)
  6. Transparenter Mode (Stealth Mode)
  7. Einfache Integration in bestehende
    Netzwerkstruktur
  8. Logging (syslog)
  9. Kombination mit Viruserkennung
  10. Erweiterbarkeit
  11. Preis

Fett Muß-Kriterien Normal Kann-Kriterien
4
Firewallkonzept der GWDG (Firewallanbieter)
  • CISCO FWSM (Firewall Service Modul) gute
    Integration
  • CISCO PIX zu wenig Interfaces(VLANs)
  • Checkpoint Firewall-I sehr hoher Preis
  • Checkpoint Appliance (NOKIA,SUN) sehr hoher
    Preis
  • Fortigate (Fortinet) Probleme im
    Testbetrieb (GWDG)
  • Sonicwall zu geringe Performance

5
Firewallkonzept der GWDG (Auswahl)
  • Ergebnis
  • Entscheidung für CISCO FWSM (FireWall Service
    Modul)
  • Begründung
  • Gute Integration in bestehenden Struktur
  • Mehrmandantenfähigkeit
  • Redundanz
  • Transparenz (Stealth Mode)
  • (bereits bekanntes) Management
  • Was ist mit der Grundregel, möglichst zwei
    unterschiedliche Hersteller von FWs einzusetzen ?
    (Beispiel Checkpoint CISCO FWSM)
  • Prinzipiell Ja Im vorliegenden Fall aber nicht
    sinnvoll, da unterschiedliches Management,
    mangelnde Integration in Netzumgebung, zu hoher
    Preis es nicht rechtfertigen

?
!
6
Firewallkonzept der GWDG (Ein zweistufiger
Ansatz)
  • Schutz des gesamten GÖNET sowie aller
    Institutsnetze vor Angriffen
  • Absicherung der Institutsnetze untereinander
  • Prävention bei Viren,Trojaner sowie
    Hacker-Angriffen aus dem Intra- und Internet

Ziel
Die GWDG verfolgt ein zweistufiges, Konzept
bestehend aus 1.) Zentrale Firewall (First
Level Firewall, CISCO Firewall Service Modul)
  • Diese Firewall befindet sich am Übergabepunkt
    zwischen G-WIN und GÖNET
  • Bei neuen Angriffsvarianten, kann ein Schutz sehr
    schnell an zentraler Stelle für alle Institute
    durch Basisregeln aufgebaut werden
  • Die Basisregeln haben für das gesamte GÖNET
    Gültigkeit

Realisierung
7
Firewallkonzept der GWDG (Ein zweistufiger
Ansatz)
2.) Dezentrale Firewalls (Second Level Firewall,
CISCO Firewall Service Modul)
  • Die dezentralen Firewalls befinden sich an den
    entscheidenden vier Knotenpunkten des GÖNET
  • Die Firewalls sind als Zusatzmodule direkt in die
    GÖNET-Router integriert
  • Die Module können werden an netzwerktechnisch
    entscheidenden Orten eingesetzt
  • Vorhandene Infrastruktur der Router (redundante
    Anbindung, redundante Netzteile, USV) ist
    gleichzeitig für die Firewalls nutzbar
  • Institutseigene Firewall ist nicht mehr
    erforderlich

Realisierung
8
Firewallkonzept der GWDG (Integration im GÖNET)
Legende
Internet
Zentrale, schnelle Firewall für den grundlegenden
Schutz des gesamten GÖNET (first Level Firewall)
Dezentrale Firewalls sind in die Backbone-Router
integriert (second Level Firewall)
zentrales Firewall-Management bei der GWDG
Internet-Router
GÖNET-Backbone-Router
Durch zusätzliche, dezentrale Firewall
geschütztesInstitut. Hohe Sicherheitsstufe
bestehend aus Kombination von First level
second Level Firewall
GÖNET
Institut ist durch die zentrale Firewall mit
einem Basisregelsatz geschützt ist.
Zentrale Administration der Firewalls, integriert
in ein bestehendes Netzwerkmanagement
Institut
Institut
Bereich mit mittlerem Schutz (first Level)
Bereich mit hohem Schutz (second Level)
9
Firewallkonzept der GWDG (Virtuelle Firewall
Administration)
Realisierung durch CISCO FWSM (FireWallServiceModu
l), integriert in allen GÖNET CISCO Routern (6509)
Internet
Zentrale Firewall mit Basisregeln
Jede institutsspezifische Firewall ist durch eine
virtuelle Firewall auf dem FWSM abgebildet
FWSMFireWall Service Modulemit virtuellen
Firewalls (FW)
Virtuelle FWs erlauben eine getrennte, autonome
Administration der Firewallregeln für das
jeweilige Institut
GÖNET RouterCISCO 6509
Die GWDG kann zusätzlich alle virtuellen
Instituts-Firewalls zentral administrieren
Die GWDG stellt vordefinierte Regelsätze für die
virtuellen FWs zur Verfügung
FirewallAdministrationdes Instituts A
FirewallAdministrationdes Instituts B
  • Komplettschutz
  • Alles von Innen nach Außen ist erlaubt
  • Alles von Außen nach Innen ist verboten
  • Zugriff auf interne Server
  • Alles von Innen nach Außen ist erlaubt
  • Zugriffe auf interne Dienste von Außen sind
    erlaubt
  • Alles Andere ist verboten
  • Weitere Regelsätze

Institut B
Institut A
Virtuelle Firewall mit Regelsatz B
Virtuelle Firewall mit Regelsatz A
Zzgl.Basisregeln
10
Firewallkonzept der GWDG (Failover Redundanz)
Legende
Internet
Kommunikationsweg zwischen Institut und
im störungsfreien Betrieb
Kommunikationsweg bei einer logischen oder
physischen Unterbrechung der Strecke zwischen
Institut und Die Verbindung läuft
hierbei über die redundanten Backbone-Router des
GÖNET, wobei der Schutz der Institutedurch die
Firewall(s) bestehen bleibt
Institut
Institut
11
Firewallkonzept der GWDG (CISCO FWSM, Features)
  • Als Modul in bestehende CISCO Router integrierbar
  • Nahezu gleiche Konfiguration wie PIX-Firewalls
  • Variable, große Anzahl an Interfaces (VLANs)
  • Hoher Durchsatz lt 6 GBps
  • Management IOS- sowie webbasiert durch PDM
  • Betrieb im transparenten, oder Routed-Mode
  • Multiple security contexts (Mehrmandantenfähig)
  • Special Features
  • ARP Inspection
  • DNS Guard
  • Flood Guard
  • Frag Guard
  • ICMP Filtering
  • Mail Guard
  • TCP Intercept
  • Unicast Reverse
  • Path Forwarding

12
Firewallkonzept der GWDG (FWSM, Funktionsprinzip)
Internet
Switch (65xx)
VLAN1 Kommunikation zwischen FWSM und Switch
Switching-engine
VLAN10,20,30 Interne Netze durch VLANs getrennt
VLAN10,20,30 VLANs können, müssen aber nicht
an physikalische Interfaces gebunden
sein
VLAN1

FWSM
VLANxx
VLAN30
VLAN10
Intern2
VLAN20
Intern
DMZ
13
Firewallkonzept der GWDG (FWSM, Funktionsprinzip)
  • Position des FWSM und der MSFC (Multilayer Switch
    Feature Card)

Routing zwischen VLANs 301,302,303 ohne Nutzung
des FWSM
ACLs zwischen VLANs 201,202,203 bestimmen den
Verkehr
14
Firewallkonzept der GWDG (FWSM, Modes)
  • Zwei grundlegend unterschiedliche Modi für das
    FWSM möglich
  • 1.) Routed Mode
  • FWSM übernimmt das Routing
  • ACLs zwischen VLANs
  • FWSM-Interfaces bekommen IP-Adresse
  • VLAN1SVI (Switched VLAN Interfaces)
  • i.d.R. NAT nach Außen

Internet
192.168.30.254
Default route des FWSM 192.168.30.254
VLAN1
192.168.30.253
FWSM
192.168.20.254 (VLAN 3)
192.168.10.254 (VLAN 2)
IP 192.168.20.1 Mask 255.255.255.0 Default
GW 192.168.20.254
192.168.10.0/24
IP 192.168.10.1 Mask 255.255.255.0 Default
GW 192.168.10.254
192.168.20.0/24
15
Firewallkonzept der GWDG (FWSM, Modes)
  • 2.) Transparent Mode
  • Stealth mode
  • Gleiches Netz hinter und! vor der Firewall
  • Vorteil wenig Änderungen anbestehender Struktur
  • IP-Adressen werden nichtverändert (kein NAT)
  • Eine IP für das Managementder Firewall
  • Nur ein inside ein outside Interface

Internet
outside
192.168.10.254 (VLAN 2)
192.168.20.254 (VLAN 3)
VLAN1
FWSM
192.168.20.253 (Management IP)
inside
VLAN 3
VLAN 2
IP 192.168.20.1 Mask 255.255.255.0 Default
GW 192.168.20.254
192.168.10.0/24
IP 192.168.10.1 Mask 255.255.255.0 Default
GW 192.168.10.254
192.168.20.0/24
16
Firewallkonzept der GWDG (FWSM, Context)
  • Context erlaubt die Unterteilung in virtuelle
    Firewalls
  • Jeder Context kann eigenständig administriert
    werden
  • Voneinander getrennte, eigene Konfigurationsdatei
    pro Context
  • Jeder Context bekommteigenes VLAN
  • Zuweisung von Ressourcen proContext möglich
  • per default, zweiContexts verfügbar

17
Firewallkonzept der GWDG (FWSM, NAT)
  • Unterschiedliche NAT/PAT Verfahren
  • Dynamic NAT
  • PAT
  • Static NAT
  • Static PAT
  • Bypassing NAT, Exemption

18
Firewallkonzept der GWDG (FWSM, Dynamic NAT)
  • Dynamisches NAT
  • IP Pool mit ext. Adressen
  • local pool ? global pool

134.76.20.55
Internet
134.76.10.1
134.76.10.2
dyn. NAT
NAT Pool 134.76.10.1-20
192.168.20.1
192.168.20.254
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
19
Firewallkonzept der GWDG (FWSM, PAT)
  • PAT
  • n ? 1
  • Lokaler IP-Pool (n)nach Außen mit z.B.einer
    externen IP-Adressesichtbar

134.76.20.55
Internet
Single IP 134.76.10.1
134.76.10.1
134.76.10.1
PAT
192.168.20.1
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
20
Firewallkonzept der GWDG (FWSM, Static NAT)
  • Statisches NAT
  • n ? n, 1?1
  • Jede lokale Adresse mit exakt einer globalen
    Adresse sichtbar

134.76.20.55
Internet
134.76.30.56
134.76.30.78
Static NAT
NAT Tabelle 192.168.20.1 ? 134.76.30.56 192.168
.20.2 ? 134.76.30.78
192.168.20.1
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
21
Firewallkonzept der GWDG (FWSM, Port Redirect)
  • Port Redirection
  • Bsp Umleitungzu einem Web-Proxy

134.76.20.55
Internet
redirect
Verbindung zu 192.168.20.2
redirect zu 192.168.20.2
WWW zu 134.76.20.55
192.168.20.0/24
192.168.20.1
192.168.20.2 WWW Proxy Server
22
Firewallkonzept der GWDG (FWSM, bypassing NAT)
  • Kein NAT
  • Quell- Zieladressebleiben unverändert
  • Quell- Zielportbleiben unverändert
  • Bsp. PC baut direkte Verbindung zu PC
    aufACLs bleiben aktiv

134.76.20.55
Internet
1
2
192.168.30.50 255.255.0.0
NAT
DMZ192.168.30.0/24
2
Inside192.168.20.0/24
192.168.20.1 255.255.0.0
1
23
Firewallkonzept der GWDG (FWSM, Management)
  • Management der Firewall durch
  • IOS
  • commandline
  • ssh
  • telnet (nur inside)
  • console (seriell)
  • Über den Catalyst (Switch)
  • Web-basiert
  • PDM Pix Device Manager
  • mittlerweile gute Alternative zur Commandline

24
Firewallkonzept der GWDG (FWSM, Beispielkonfig.)
  • Konfigurationsbeispiele

134.76.10.47 (www.gwdg.de)
1) Server (1) soll vom Servernetz viaRDP
erreichbar sein (ext.IP134.76.106.1)
2) Server (1) soll von überall als
Webservererreichbar sein
Servernetz
Internet
3) Server (1) soll lediglich eMails verschicken
könnensowie den Webserver (www.gwdg.de, Port 80)
erreichen
134.76.20.0/24
4) Server (2) soll Server (1) als DNS
Serverbefragen können
134.76.105.253(outside)
134.76.105.254
5) Server (1) soll sonst keine weiteren
Verbindungen nach Außen aufbauen können
192.168.200.254(DMZ)
NAT
(DMZ)192.168.200.0/24
192.168.100.254(inside)
(Inside)192.168.100.0/24
192.168.100.1 255.255.0.0
(2)
192.168.200.1 255.255.0.0
  • RDP-Server
  • WebServer

(1)
25
Firewallkonzept der GWDG (FWSM, Beispielkonfig.)
  1. names
  2. name 134.76.20.0 Servernetz
  3. name 192.168.100.1 server1
  4. name 134.76.10.47 webserver
  5. name 192.168.200.1 Server2
  6. pdm location server1 255.255.255.255 inside
  7. pdm location Servernetz 255.255.255.0 outside
  8. pdm location webserver 255.255.255.255 outside
  9. pdm location Server2 255.255.255.255 dmz
  10. nat (dmz) 0 access-list dmz_nat0_inbound outside
  11. nat (inside) 0 access-list inside_nat0_outbound
  12. static (inside,outside) 134.76.106.1 server1
    netmask 255.255.255.255
  13. access-group dmz_access_in in interface dmz
  14. access-group inside_access_in in interface inside
  15. access-group outside_access_in in interface
    outside
  16. access-list inside_access_in extended permit tcp
    host server1 Servernetz 255.255.255.0 eq 3389
  • Konfigurationsbeispiele

1) Server (1) soll vom Servernetz viaRDP
erreichbar sein (ext.IP134.76.106.1)
26
Firewallkonzept der GWDG (Erfahrungen)
  • Erfahrungen
  • Teilweise unterschiedliche Sichtweise einer
    Firewall im Vgl. zu anderen Herstellern
  • Längere Einarbeitungszeit erforderlich
  • Bei Vorhandensein von CISCO Routern, fast keine
    Alternative zum FWSM auf dem Markt
  • Sehr gutes Commandline Interface ( klar gt IOS)
  • schwerwiegender Fehler in Firmware (SMTP Fixup
    bug)
  • Fazit
  • Trotz einiger Contra ist das FWSM als Firewall
    die richtige Wahl
  • Bei größeren MPIs kann das CISCO FWSM eine
    geeignete Firewall sein
  • GWDG kann hierbei entsprechende Dienstleitung
    geben (Planung, Installation)

27
?
Vielen Dank!
C
I
S
C
O
S
Y
S
T
E
M
S
S
C
I
S
C
O
Y
S
T
E
M
S
Fragen
CISCO
S
YSTEMS
UPPER
POWER
LOWER
POWER
NORMAL
und Diskussionen!
Vortrag ist unter http//www.gwdg.de/forschung/
veranstaltungen/workshops/security_ws_2004/index.h
tml zu finden
Write a Comment
User Comments (0)
About PowerShow.com