© 2002 greyhat.de – oliver karow – [email protected] – firewallprüfung am beispiel von...
TRANSCRIPT
![Page 1: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/1.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewallprüfung
Am Beispiel von Checkpoint FW1
Oliver Karow03/2002
![Page 2: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/2.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
TOPICS
Was ist eine Firewall?
Firewalltypen
Was ist eine Checkpoint FW1?
Was wird geprüft?
![Page 3: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/3.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was ist eine Firewall
Eine Firewall ist ein Filtermechanismus zwischen zwei oder mehr Netzwerken.
Die Firewall regelt welcher Verkehr zwischen den Netzen durchgelassen
wird.
![Page 4: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/4.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewall-Typ: Paketfilter
CLIENT
SERVER
Filterkriterien:
Quell-/Ziel-IP Quell-/Ziel-Port FLAG‘s (Syn/Ack..) State-Table
OSI-Layer: <5
IP-Forwarding
![Page 5: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/5.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewall-Typ: Proxy
CLIENT
SERVER
Filterkriterien:
Siehe Paketfilter Features der
Proxysoftware- FTP-PUT/GET...- HTTP-GET/POST...- .....
OSI-Layer: <=7
Kein IP-Forwarding im reinen Proxy-Betrieb
![Page 6: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/6.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was ist eine Checkpoint FW1?
Statefull Inspection OSI-Layer 3-7
Secure Services (Proxy) HTTP SMTP TELNET FTP
Malicious Activity Detection Portscan
VPN-Endpunkt Site-Site Client-Site
CVP Antivirus (TrendMicro usw.) Active Code (MimeSweeper)
![Page 7: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/7.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Checkpoint Client-Server Architektur
Management Modul
GUI
FW-Modul
![Page 8: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/8.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was wird geprüft?
Firewalldesign
Betriebssystemsicherheit
Firewalleinstellungen
Regelwerk
Prozesse
![Page 9: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/9.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewalldesign
Platzierung der Komponenten Proxy vs. Paketfilter
Einstufiges vs. Mehrstufiges Design
FW-Produkt und Betriebssystem
![Page 10: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/10.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Einstufiges Firewallmodell
EXCHANGE ORACLE
Firewall
WEBSERVER DNS MAIL SQUID ANTIVIRUS
USER USER USER
Router
Router
![Page 11: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/11.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Mehrstufiges Firewallmodell
EXCHANGE ORACLE
WEBSERVER DNS MAIL
SQUID ANTIVIRUS
USER USER USER
Router
![Page 12: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/12.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Betriebssystemsicherheit
Patchlevel
Accounts
Auditing
Logging
Monitoring
Hardening
![Page 13: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/13.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewallkonfiguration
Patch-Level
Existenz bekannter
Verwundbarkeiten
Verzeichnisberechtigungen
Berechtigungen / Accounts
Sicherheitsrelevante Einstellungen
der Software
![Page 29: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/29.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
BASIC RULES
STEALTH RULESchützt die Firewall selbst vor AngriffenMöglichst zu Beginn des Regelwerks
Verhindert aber auch Management-Verbindungen, daher folgende Regel zusätzlich:
![Page 30: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/30.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
BASIC RULES
CLEAN-UP RULESteht am Ende des RegelwerksLoggt alle Pakete für die keine gültige
Regel gefunden wurdeBlockt alle Pakete für die keine gültige
Regel gefunden wurde (ist in FW-Software hardgecodet)
![Page 31: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/31.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Beliebte Fehler im Regelwerk
Unübersichtliches Regelwerk Keine Zusammenfassung in Gruppen
Keine bzw. unzureichende Dokumentierung der einzelnen Regeln
Verwendung der Implied-Rules
Großzügige Verwendung von ANY
Kein Logging wichtiger Regelverstöße Regeln die nie zutreffen können (z.B. weil Pakete die Firewall nie erreichen )
![Page 32: © 2002 greyhat.de – Oliver Karow – oliver@greyhat.de – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002](https://reader036.vdocuments.pub/reader036/viewer/2022062417/55204d8349795902118d731c/html5/thumbnails/32.jpg)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Prozesse rund um die Firewall
Change- und Updatemanagement
Administration
Zentrales Logging Wohin wird geloggt? UDP-Syslog vs. SecureSyslog SNMP-Traps
Monitoring
Alarming