Title: PowerPoint-Pr
1Referat zum Thema
Der Einsatz einer Firewall in einem
Firmennetzwerk
von
Daniel Kanis und Daniel Schüßler
am 17.11.2004
2Kanis,D.Schüßler, D.
Firewall
Gliederung Teil I - Theorie Begriffe,
Gründe, Aufgaben/Ziele, Datenverkehr,
Funktion, Aufbau, Einsatzorte, Unterteilung,
Elemente, Kosten-Nutzen-Analyse Personal
Firewalls, Fazit
3Kanis,D.Schüßler, D.
Firewall
Definition
Ein Firewall-System sichert und kontrolliert den
Übergang von einem zu schützenden Netz zu einem
(unsicheren) öffentlichen Netz.
Quelle Firewall-Systeme, Seite 43
Teil I - Begriff
4Kanis,D.Schüßler, D.
Firewall
Gefahren a) Eindringen von Außen b)
illegaler Informationsfluss nach Außen
Teil I - Gründe
5Kanis,D.Schüßler, D.
Firewall
- Zugangskontrolle auf Netzwerk-, Benutzer-, und
Datenebene
- Rechteverwaltung (welche Protokolle/Dienste und
Zeiten)
- Kontrolle auf Anwendungsebene
- Beweissicherung und Protokollauswertung
- Verbergen der internen Netzstruktur
Teil I Aufgaben/Ziele
6Kanis,D.Schüßler, D.
Firewall
- Datenaustausch zwischen Computern mittels
Protokollen
- wichtigsten Transportprotokolle im Inter- bzw.
Intranet sind TCP/IP
- TCP/IP zerlegen die Daten in einzelne kleine
Pakete, welche beim Empfänger wieder
zusammengesetzt werden
- Aufbau der Verbindung erfolgt über Ports
- Definition bestimmter Portnummern, die
standardmäßig für best. Dienste zur Verfügung
stehen well-known-ports
Dienst Portnummer
ftp Dateiübertragung auf Server 20
smtp Emai Abholung 25
www / http Internetseiten 80
pop3 Email Versendung 110
z.B.
Teil I Datenverkehr
7Kanis,D.Schüßler, D.
Firewall
Internet Protocol IP
bestimmt den Aufbau und Transportweg von
Datenpaketen
Header eines IP-Datenpaketes
Quelle Firewall-Systeme, Seite 63
Teil I - Datenverkehr
8Kanis,D.Schüßler, D.
Firewall
Sicherheitskonzept für den Datenverkehr
hieraus werden Regeln abgeleitet und
definiert (wer darf was zu welcher Zeit)
Grundprinzip was nicht erlaubt ist, wird nicht
zugelassen
Firewall prüft die Datenpakete auf diese
Regeln, vor dem Zusammensetzen der einzelnen
Datenpakete
vergleichbar mit Pförtnerfunktion
Teil I - Funktion
9Kanis,D.Schüßler, D.
Firewall
- Benutzer xy darf nur Dienstag ins Netz
- Server fhtw-berlin.de zulässig
- Port 80 nur Freitag 20-22 Uhr zulässig
Schützt die Firewall selbst vor Angriffen
Aufbau eines aktiven Firewall-Elementes
Quelle Firewall-Systeme, Seite 116
Teil I - Aufbau
10Kanis,D.Schüßler, D.
Firewall
- an der Verbindung zwischen Intranet
(geschäftlich) und dem Internet ( Gateway) - ? die Verbindung mit dem Internet sollte nur
über einen Rechner laufen, auf welchem
dann die Firewall installiert wird
Teil I Einsatzorte
11Kanis,D.Schüßler, D.
Firewall
Unterscheidungsmerkmale
Materialität
Einsatzbereich
Eingriff
Unternehmens-Firewall
Aktive Firewall-Elemente
Hardeware-Firewall
Passiv bzw.Element Security Management
Softeware-Firewall
Personal-Firewall
Teil I - Unterteilung
12Kanis,D.Schüßler, D.
Firewall
Die vier Grundelemente eines aktiven
Firewall-Systems gruppiert nach Prüfungstiefe
Packet Filter prüft nur die Adressen des
Datenpaketes
Application Gateway/Proxies Adressen
angegebene Inhalt Öffnung und Prüfung des
kompletten Inhaltes, keine direkte Weiterleitung
des Paketes
Quelle Firewall-Systeme, Seite 120
Quelle Firewall-Systeme, Seite 144
zustandsorientierte Packet Filter (stateful
inspection) prüft Adressen und den angegebenen
Inhalt
Adaptive Proxies wie Application Gateway,
jedoch bei Kenntnis des Absenders direkte
Weiterleitung des Paketes
Quelle Firewall-Systeme, Seite 180
Quelle Firewall-Systeme, Seite 142
Teil I - Elemente
13Kanis,D.Schüßler, D.
Firewall
Die vier Grundelemente eines Firewall-Systems -
Verhältnis Geschwindigkeit zu Sicherheit
schnell
Packet Filters
StatefulInspections
Geschwindigkeit
Adaptive Proxies
Applications Proxies
langsam
gering
hoch
Sicherheit
Teil I - Elemente
14Kanis,D.Schüßler, D.
Firewall
Kosten für
Beschaffung, Installation, Pflege
Beispiel Bank 1000 Mitarbeiter 25 Mio EUR
Gewinn Firewall AK 250 TEUR (
1 des Gewinns) Betriebskosten 80
TEUR p.a.
Investition in Firewall schien sich für den
zuständigen BWLer nicht zu rechnen Angriff
über das Internet Namen und Kontostände der
besten Kunden werden kopiert am
nächsten Tag in der BILD veröffentlicht
Teil I Kosten Nutzen Analyse
15Kanis,D.Schüßler, D.
Firewall
Folgen des Hackerangriffs
Kunden ziehen Ihre Gelder ab Gewinn bricht
sofort auf 12,5 Mio EUR (- 50 )
ein mittelfristiger erheblicher Gewinnrückgang
Teil I Kosten Nutzen Analyse
16Kanis,D.Schüßler, D.
Firewall
- keine zentrale Installation und Konfiguration
mehr - Installation auf jedem Rechner
- Faustformel bis 10 EDV-Arbeitsplätze
- Kosten und Pflegeaufwand niedrig, wenig
Funktionen
- Benutzer kann um Entscheidung für Verbindung
gebeten werden (Port 80 http, Office-Programme,
troj. Pferde)
- Absicherung auf Applikationsebene
(Content-Security) meist schon eingebunden - Systeme zur Überwachung und Alarmierung bei
verdächtigen Aktivitäten auf dem Rechner selbst
(Intrusion-Detection-Systeme)
Teil I Personal Firewalls
17Kanis,D.Schüßler, D.
Firewall
- Firewall filtert ein- und ausgehende Datenpakete
nach bestimmten, festzusetzenden Regeln - Firewall ist kein Virenschutz
- Firewall kann aufgrund der Aufzeichnung der
Filtervorgänge z.B. auch dazu benutzt werden,
die Internetnutzung der Mitarbeiter zu
überwachen - Personal Firewall nur bis max. 10 Rechner (oft
kostenlos) - prof. Firewall zwar teuer, aber kann vielfachen
Schaden ersparen
Jeder Privatrechner mit Internetzugang braucht
eine Personal Firewall !!! Jedes Firmennetzwerk
/ Intranet mit oder ohne Internetzugang braucht
eine Firewall !!!
Teil I Fazit
18Kanis,D.Schüßler, D.
Firewall
Teil II Die Praxis
Installation und Verwaltung einer Personal
Firewall
am Beispiel der kostenlosen Firewall ZoneAlarm
http//www.zonelabs.de
Teil II
19(No Transcript)
20(No Transcript)
21Nerven- Kostenfalle
22einfache Version
231. Schritt der Einführung zur Handhabung von
ZoneAlarm
24Internet immer als unsicher ansehen, und daher
immer als Einstellung (Regel) für alle Programme
Verbindungen die mit dem Internet
Kommunizieren. Sicher wird für alle internen
Netzwerkelemente als Zone definiert.
25Not Schalter
26Warnmeldung erscheint so bald Aktualisierung auf
Manuell gestellt wird
27Der Stealth-Modus ermöglicht es, das der
Häcker keine Antwort auf sein an Pingen
erhält, und weiß so mit nicht einmal das ein
Computer mit dieser IP-Adresse im Netz ist.
28Direkt anklicken und zwischen Internet
Sicher entscheiden.
Internet sollte für alle unsicheren Leitungen
und Verbindungen gewählt werden die irgend wann
mit dem Internet kommunizieren oder in fremde
Netzwerke eingebunden werden. Sicher kann dann
gewählt werden wenn das Netzwerk mit dem die
Schnittstelle verbunden werden soll
vertrauenswürdig ist.
29Zugriff bedeutet das dass Programm von außen
Daten empfangen kann und anderen Personen /
Programme der Zugriff auf den Computer über diese
Programme möglich ist.
30Server bedeutet das diese Programme in das
Internet senden, wie www-Seiten aufrufe oder
uploads. Aber auch ungewollte Daten können
übermittelt werden, wie Spams oder
MS-Fehler-Nachrichten.
31Es kann immer nur ein Anti-Virus-Programm aktiv
sein.
32Diese Meldung entsteht sobald ein neues oder ein
auf Fragezeichen gesetztes Programm versucht mit
dem Internet zu kommunizieren.
Dann muss der User die Entscheidung treffen ob
dieses Programm die generelle Erlaubnis bzw.
Verweigerung oder eine einmalige Erlaubnis bzw.
Verweigerung erhält.
33User die glauben Sie brauchen keine Firewall, es
ging doch bisher auch immer ohne!
10 versuche diesen Computer an zu Pingen
innerhalb 30 Sekunden
34Kanis,D.Schüßler, D.
Firewall
1.
Dr. Pohlmann, Norbert (2003) Firewall-Systeme,
5. Auflage, mitp-Verlag / Bonn 2003 - 39,95
EUR a campo, Markus (2002) Mehr Sicherheit mit
Firewalls, 1. Auflage, verlag moderne industrie
Buch AG Co. KG, Bonn 2002 9,95 EUR Wetter,
Jörg u.a.(2002) Firewalls für Dummies, 1.
Auflage, mitp-Verlag / Bonn 2003 24,95 EUR
Literaturverzeichnis
35Kanis,D.Schüßler, D.
Firewall
Vielen Dank !
Wir hoffen, das wir euch ein Grundverständnis der
Arbeitsweise von Firewalls vermitteln konnten und
das Ihr euch eine Firewall umgehend installiert,
wenn Ihr noch keine habt.