Netzwerksicherheit - Firewalls

Fast jede mittlere und große Organisation ist im Internet präsent und mit einem Organisationsnetzwerk verbunden. Die Netzwerkpartitionierung an der Grenze zwischen dem externen Internet und dem internen Netzwerk ist für die Netzwerksicherheit von wesentlicher Bedeutung. Manchmal wird das interne Netzwerk (Intranet) als "vertrauenswürdige" Seite und das externe Internet als "nicht vertrauenswürdige" Seite bezeichnet.

Arten von Firewall

Die Firewall ist ein Netzwerkgerät, das das interne Netzwerk des Unternehmens von einem größeren externen Netzwerk / Internet isoliert. Dies kann eine Hardware, Software oder ein kombiniertes System sein, das den unbefugten Zugriff auf oder von einem internen Netzwerk verhindert.

Alle Datenpakete, die in das interne Netzwerk eintreten oder dieses verlassen, durchlaufen die Firewall, die jedes Paket untersucht und diejenigen blockiert, die die angegebenen Sicherheitskriterien nicht erfüllen.

Das Bereitstellen einer Firewall an der Netzwerkgrenze entspricht dem Zusammenfassen der Sicherheit an einem einzigen Punkt. Es ist analog zum Abschließen einer Wohnung am Eingang und nicht unbedingt an jeder Tür.

Die Firewall wird aus folgenden Gründen als wesentliches Element zur Erreichung der Netzwerksicherheit angesehen:

  • Es ist unwahrscheinlich, dass das interne Netzwerk und die Hosts ordnungsgemäß gesichert sind.

  • Das Internet ist ein gefährlicher Ort für Kriminelle, Benutzer konkurrierender Unternehmen, verärgerte ehemalige Mitarbeiter, Spione aus unfreundlichen Ländern, Vandalen usw.

  • Um zu verhindern, dass ein Angreifer Denial-of-Service-Angriffe auf Netzwerkressourcen startet.

  • Verhinderung der illegalen Änderung / des Zugriffs eines externen Angreifers auf interne Daten.

Die Firewall ist in drei Grundtypen unterteilt:

  • Paketfilter (Stateless & Stateful)
  • Gateway auf Anwendungsebene
  • Gateway auf Schaltungsebene

Diese drei Kategorien schließen sich jedoch nicht gegenseitig aus. Moderne Firewalls verfügen über eine Mischung von Fähigkeiten, die sie in mehr als eine der drei Kategorien einordnen können.

Stateless & Stateful Packet Filtering Firewall

Bei dieser Art der Firewall-Bereitstellung ist das interne Netzwerk über eine Router-Firewall mit dem externen Netzwerk / Internet verbunden. Die Firewall überprüft und filtert Daten Paket für Paket.

Packet-filtering firewalls Zulassen oder Blockieren der Pakete hauptsächlich anhand von Kriterien wie Quell- und / oder Ziel-IP-Adressen, Protokoll-, Quell- und / oder Zielportnummern und verschiedenen anderen Parametern im IP-Header.

Die Entscheidung kann auf anderen Faktoren als IP-Header-Feldern wie ICMP-Nachrichtentyp, TCP-SYN- und ACK-Bits usw. basieren.

Die Paketfilterregel besteht aus zwei Teilen -

  • Selection criteria - Es wird als Bedingung und Musterabgleich für die Entscheidungsfindung verwendet.

  • Action field- Dieser Teil gibt die Aktion an, die ausgeführt werden soll, wenn ein IP-Paket die Auswahlkriterien erfüllt. Die Aktion kann entweder das Paket über die Firewall blockieren (verweigern) oder zulassen (zulassen).

Die Paketfilterung erfolgt im Allgemeinen durch Konfigurieren von Zugriffssteuerungslisten (ACL) auf Routern oder Switches. ACL ist eine Tabelle mit Paketfilterregeln.

Wenn Datenverkehr in eine Schnittstelle eintritt oder diese verlässt, wendet die Firewall ACLs von oben nach unten auf jedes eingehende Paket an, findet übereinstimmende Kriterien und lässt die einzelnen Pakete entweder zu oder verweigert sie.

Stateless firewallist eine Art starres Werkzeug. Es prüft das Paket und lässt es zu, wenn es die Kriterien erfüllt, auch wenn es nicht Teil einer etablierten laufenden Kommunikation ist.

Daher werden solche Firewalls durch ersetzt stateful firewallsin modernen Netzwerken. Diese Art von Firewalls bietet eine detailliertere Inspektionsmethode als die einzigen ACL-basierten Paketinspektionsmethoden für zustandslose Firewalls.

Die Stateful Firewall überwacht den Verbindungsaufbau und den Verbindungsabbau, um die Verbindungen auf TCP / IP-Ebene zu überprüfen. Auf diese Weise können sie den Verbindungsstatus verfolgen und feststellen, auf welchen Hosts zu einem bestimmten Zeitpunkt offene, autorisierte Verbindungen bestehen.

Sie verweisen nur dann auf die Regelbasis, wenn eine neue Verbindung angefordert wird. Zu vorhandenen Verbindungen gehörende Pakete werden mit der Statustabelle der Firewall für offene Verbindungen verglichen, und es wird entschieden, ob sie zugelassen oder blockiert werden sollen. Dieser Vorgang spart Zeit und bietet zusätzliche Sicherheit. Kein Paket darf die Firewall betreten, es sei denn, es gehört zu einer bereits hergestellten Verbindung. Inaktive Verbindungen an der Firewall können zeitlich begrenzt werden. Danach werden keine Pakete mehr für diese Verbindung zugelassen.

Anwendungsgateways

Ein Gateway auf Anwendungsebene fungiert als Relay-Knoten für den Datenverkehr auf Anwendungsebene. Sie fangen eingehende und ausgehende Pakete ab, führen Proxys aus, die Informationen über das Gateway kopieren und weiterleiten, und fungieren alsproxy serverDies verhindert jegliche direkte Verbindung zwischen einem vertrauenswürdigen Server oder Client und einem nicht vertrauenswürdigen Host.

Die Proxys sind anwendungsspezifisch. Sie können Pakete auf der Anwendungsschicht des OSI-Modells filtern.

Anwendungsspezifische Proxies

Ein anwendungsspezifischer Proxy akzeptiert Pakete, die nur von einer bestimmten Anwendung generiert wurden, für die sie zum Kopieren, Weiterleiten und Filtern bestimmt sind. Beispielsweise kann nur ein Telnet-Proxy Telnet-Verkehr kopieren, weiterleiten und filtern.

Wenn ein Netzwerk nur auf einem Gateway auf Anwendungsebene basiert, können eingehende und ausgehende Pakete nicht auf Dienste zugreifen, für die keine Proxys konfiguriert sind. Wenn auf einem Gateway beispielsweise FTP- und Telnet-Proxys ausgeführt werden, können nur von diesen Diensten generierte Pakete die Firewall passieren. Alle anderen Dienste sind gesperrt.

Filterung auf Anwendungsebene

Ein Proxy-Gateway auf Anwendungsebene untersucht und filtert einzelne Pakete, anstatt sie einfach zu kopieren und blind über das Gateway weiterzuleiten. Anwendungsspezifische Proxys überprüfen jedes Paket, das das Gateway durchläuft, und überprüfen den Inhalt des Pakets über die Anwendungsschicht. Diese Proxys können bestimmte Arten von Befehlen oder Informationen in den Anwendungsprotokollen filtern.

Anwendungsgateways können die Ausführung bestimmter Aktionen einschränken. Beispielsweise könnte das Gateway so konfiguriert werden, dass Benutzer den Befehl 'FTP put' nicht ausführen können. Dies kann verhindern, dass ein Angreifer die auf dem Server gespeicherten Informationen ändert.

Transparent

Obwohl Gateways auf Anwendungsebene transparent sein können, erfordern viele Implementierungen eine Benutzerauthentifizierung, bevor Benutzer auf ein nicht vertrauenswürdiges Netzwerk zugreifen können. Dieser Prozess verringert die tatsächliche Transparenz. Die Authentifizierung kann unterschiedlich sein, wenn der Benutzer aus dem internen Netzwerk oder aus dem Internet stammt. Für ein internes Netzwerk kann eine einfache Liste von IP-Adressen zugelassen werden, um eine Verbindung zu externen Anwendungen herzustellen. Von der Internetseite sollte jedoch eine starke Authentifizierung implementiert werden.

Ein Anwendungsgateway leitet tatsächlich TCP-Segmente zwischen den beiden TCP-Verbindungen in die beiden Richtungen weiter (Client, Proxy, Server).

Bei ausgehenden Paketen kann das Gateway die Quell-IP-Adresse durch seine eigene IP-Adresse ersetzen. Der Prozess wird als Network Address Translation (NAT) bezeichnet. Es stellt sicher, dass interne IP-Adressen nicht dem Internet ausgesetzt sind.

Gateway auf Schaltungsebene

Das Gateway auf Leitungsebene ist eine Zwischenlösung zwischen dem Paketfilter und dem Anwendungsgateway. Es wird auf der Transportschicht ausgeführt und kann daher als Proxy für jede Anwendung fungieren.

Ähnlich wie bei einem Anwendungs-Gateway erlaubt auch das Gateway auf Leitungsebene keine End-to-End-TCP-Verbindung über das Gateway. Es baut zwei TCP-Verbindungen auf und leitet die TCP-Segmente von einem Netzwerk zum anderen weiter. Die Anwendungsdaten wie das Anwendungsgateway werden jedoch nicht untersucht. Daher wird es manchmal als "Pipe Proxy" bezeichnet.

Socken

SOCKS (RFC 1928) bezieht sich auf ein Gateway auf Schaltungsebene. Es handelt sich um einen Netzwerk-Proxy-Mechanismus, mit dem Hosts auf der einen Seite eines SOCKS-Servers vollen Zugriff auf Hosts auf der anderen Seite erhalten, ohne dass eine direkte IP-Erreichbarkeit erforderlich ist. Der Client stellt an der Firewall eine Verbindung zum SOCKS-Server her. Anschließend gibt der Client eine Aushandlung für die zu verwendende Authentifizierungsmethode ein und authentifiziert sich mit der ausgewählten Methode.

Der Client sendet eine Verbindungsweiterleitungsanforderung an den SOCKS-Server, die die gewünschte Ziel-IP-Adresse und den gewünschten Transportport enthält. Der Server akzeptiert die Anforderung, nachdem er überprüft hat, ob der Client die grundlegenden Filterkriterien erfüllt. Anschließend stellt das Gateway im Namen des Clients eine Verbindung zum angeforderten nicht vertrauenswürdigen Host her und überwacht das folgende TCP-Handshake genau.

Der SOCKS-Server informiert den Client und leitet im Erfolgsfall die Daten zwischen den beiden Verbindungen weiter. Gateways auf Schaltungsebene werden verwendet, wenn die Organisation den internen Benutzern vertraut und die im Internet gesendeten Inhalte oder Anwendungsdaten nicht überprüfen möchte.

Firewall-Bereitstellung mit DMZ

Eine Firewall ist ein Mechanismus, mit dem der Netzwerkverkehr in ein organisationsinternes Netzwerk hinein und aus diesem heraus gesteuert wird. In den meisten Fällen verfügen diese Systeme über zwei Netzwerkschnittstellen, eine für das externe Netzwerk wie das Internet und die andere für die interne Seite.

Der Firewall-Prozess kann genau steuern, was von einer Seite zur anderen durchlaufen darf. Eine Organisation, die externen Zugriff auf ihren Webserver gewähren möchte, kann den gesamten an der Firewall erwarteten Datenverkehr für Port 80 (den Standard-http-Port) einschränken. Der gesamte andere Datenverkehr wie E-Mail-Verkehr, FTP, SNMP usw. ist über die Firewall nicht in das interne Netzwerk zulässig. Ein Beispiel für eine einfache Firewall ist in der folgenden Abbildung dargestellt.

In der obigen einfachen Bereitstellung kann ein Angreifer, obwohl alle anderen Zugriffe von außen blockiert sind, nicht nur einen Webserver, sondern jeden anderen Host im internen Netzwerk kontaktieren, der Port 80 versehentlich oder auf andere Weise offen gelassen hat.

Daher besteht das Problem, mit dem die meisten Unternehmen konfrontiert sind, darin, einen legitimen Zugriff auf öffentliche Dienste wie Web, FTP und E-Mail zu ermöglichen und gleichzeitig die Sicherheit des internen Netzwerks zu gewährleisten. Der typische Ansatz besteht darin, Firewalls bereitzustellen, um eine demilitarisierte Zone (DMZ) im Netzwerk bereitzustellen.

In diesem Setup (in der folgenden Abbildung dargestellt) werden zwei Firewalls bereitgestellt. eine zwischen dem externen Netzwerk und der DMZ und eine andere zwischen der DMZ und dem internen Netzwerk. Alle öffentlichen Server befinden sich in der DMZ.

Mit diesem Setup können Firewall-Regeln festgelegt werden, die den öffentlichen Zugriff auf die öffentlichen Server ermöglichen. Die interne Firewall kann jedoch alle eingehenden Verbindungen einschränken. Durch die DMZ erhalten die öffentlichen Server einen angemessenen Schutz, anstatt sie direkt in einem externen Netzwerk zu platzieren.

Intrusion Detection / Prevention System

Die Paketfilter-Firewalls basieren auf Regeln, die nur TCP / UDP / IP-Header betreffen. Sie versuchen nicht, Korrelationsprüfungen zwischen verschiedenen Sitzungen einzurichten.

Das Intrusion Detection / Prevention System (IDS / IPS) führt eine Deep Packet Inspection (DPI) durch, indem es den Paketinhalt betrachtet. Wenn Sie beispielsweise Zeichenfolgen im Paket mit der Datenbank bekannter Viren vergleichen, greifen Sie Zeichenfolgen an.

Anwendungsgateways überprüfen den Paketinhalt, jedoch nur für bestimmte Anwendungen. Sie suchen nicht nach verdächtigen Daten im Paket. IDS / IPS sucht nach verdächtigen Daten in Paketen und versucht, die Korrelation zwischen mehreren Paketen zu untersuchen, um Angriffe wie Port-Scanning, Netzwerkzuordnung und Denial-of-Service usw. zu identifizieren.

Unterschied zwischen IDS und IPS

IDS und IPS sind bei der Erkennung von Anomalien im Netzwerk ähnlich. IDS ist ein Sichtbarkeitstool, während IPS als Kontrollwerkzeug betrachtet wird.

Intrusion Detection-Systeme sitzen an der Seite des Netzwerks, überwachen den Datenverkehr an vielen verschiedenen Punkten und bieten Einblick in den Sicherheitsstatus des Netzwerks. Bei der Meldung von Anomalien durch IDS werden die Korrekturmaßnahmen vom Netzwerkadministrator oder einem anderen Gerät im Netzwerk eingeleitet.

Intrusion Prevention System ist wie eine Firewall und befindet sich zwischen zwei Netzwerken und steuert den durch sie fließenden Datenverkehr. Es erzwingt eine bestimmte Richtlinie zur Erkennung von Anomalien im Netzwerkverkehr. Im Allgemeinen werden alle Pakete verworfen und der gesamte Netzwerkverkehr blockiert, wenn eine Anomalie festgestellt wird, bis eine Anomalie vom Administrator behoben wird.

Arten von IDS

Es gibt zwei grundlegende Arten von IDS.

  • Signature-based IDS

    • Es benötigt eine Datenbank bekannter Angriffe mit ihren Signaturen.

    • Die Signatur wird durch die Art und Reihenfolge der Pakete definiert, die einen bestimmten Angriff charakterisieren.

    • Die Einschränkung dieses IDS-Typs besteht darin, dass nur bekannte Angriffe erkannt werden können. Dieses IDS kann auch einen Fehlalarm auslösen. Ein Fehlalarm kann auftreten, wenn ein normaler Paketstrom mit der Signatur eines Angriffs übereinstimmt.

    • Ein bekanntes öffentliches Open-Source-IDS-Beispiel ist "Snort" -IDS.

  • Anomaly-based IDS

    • Diese Art von IDS erzeugt ein Verkehrsmuster des normalen Netzwerkbetriebs.

    • Im IDS-Modus werden Verkehrsmuster untersucht, die statistisch ungewöhnlich sind. Zum Beispiel ungewöhnliche ICMP-Belastung, exponentielles Wachstum bei Port-Scans usw.

    • Das Erkennen eines ungewöhnlichen Verkehrsmusters erzeugt den Alarm.

    • Die größte Herausforderung bei dieser Art der IDS-Bereitstellung besteht in der Schwierigkeit, zwischen normalem und ungewöhnlichem Verkehr zu unterscheiden.

Zusammenfassung

In diesem Kapitel haben wir die verschiedenen Mechanismen für die Netzwerkzugriffskontrolle erörtert. Der Ansatz zur Netzwerksicherheit durch Zugriffskontrolle unterscheidet sich technisch von der Implementierung von Sicherheitskontrollen auf verschiedenen Netzwerkebenen, die in den früheren Kapiteln dieses Lernprogramms erläutert wurden. Obwohl die Implementierungsansätze unterschiedlich sind, ergänzen sie sich gegenseitig.

Die Netzwerkzugriffskontrolle besteht aus zwei Hauptkomponenten: Benutzerauthentifizierung und Schutz der Netzwerkgrenzen. RADIUS ist ein beliebter Mechanismus zur Bereitstellung einer zentralen Authentifizierung im Netzwerk.

Die Firewall bietet Netzwerkgrenzenschutz, indem ein internes Netzwerk vom öffentlichen Internet getrennt wird. Die Firewall kann auf verschiedenen Ebenen des Netzwerkprotokolls funktionieren. Mit IDS / IPS können die Anomalien im Netzwerkverkehr überwacht werden, um den Angriff zu erkennen und vorbeugende Maßnahmen gegen diesen zu ergreifen.