© 2002 greyhat.de – oliver karow – oliver@greyhat.de – firewallprüfung am beispiel von...
Post on 06-Apr-2015
113 Views
Preview:
TRANSCRIPT
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Firewallprüfung
Am Beispiel von Checkpoint FW1
Oliver Karow03/2002
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
TOPICS
Was ist eine Firewall?
Firewalltypen
Was ist eine Checkpoint FW1?
Was wird geprüft?
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Was ist eine Firewall
Eine Firewall ist ein Filtermechanismus zwischen zwei oder mehr Netzwerken.
Die Firewall regelt welcher Verkehr zwischen den Netzen durchgelassen
wird.
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Firewall-Typ: Paketfilter
CLIENT
SERVER
Filterkriterien:
Quell-/Ziel-IP Quell-/Ziel-Port FLAG‘s (Syn/Ack..) State-Table
OSI-Layer: <5
IP-Forwarding
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Firewall-Typ: Proxy
CLIENT
SERVER
Filterkriterien:
Siehe Paketfilter Features der
Proxysoftware- FTP-PUT/GET...- HTTP-GET/POST...- .....
OSI-Layer: <=7
Kein IP-Forwarding im reinen Proxy-Betrieb
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Was ist eine Checkpoint FW1?
Statefull Inspection OSI-Layer 3-7
Secure Services (Proxy) HTTP SMTP TELNET FTP
Malicious Activity Detection Portscan
VPN-Endpunkt Site-Site Client-Site
CVP Antivirus (TrendMicro usw.) Active Code (MimeSweeper)
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Checkpoint Client-Server Architektur
Management Modul
GUI
FW-Modul
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Was wird geprüft?
Firewalldesign
Betriebssystemsicherheit
Firewalleinstellungen
Regelwerk
Prozesse
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Firewalldesign
Platzierung der Komponenten Proxy vs. Paketfilter
Einstufiges vs. Mehrstufiges Design
FW-Produkt und Betriebssystem
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Einstufiges Firewallmodell
EXCHANGE ORACLE
Firewall
WEBSERVER DNS MAIL SQUID ANTIVIRUS
USER USER USER
Router
Router
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Mehrstufiges Firewallmodell
EXCHANGE ORACLE
WEBSERVER DNS MAIL
SQUID ANTIVIRUS
USER USER USER
Router
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Betriebssystemsicherheit
Patchlevel
Accounts
Auditing
Logging
Monitoring
Hardening
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Firewallkonfiguration
Patch-Level
Existenz bekannter
Verwundbarkeiten
Verzeichnisberechtigungen
Berechtigungen / Accounts
Sicherheitsrelevante Einstellungen
der Software
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Check Point Policy Editor
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Security Policy
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Log & Alert
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
SYNDefender
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Security Servers
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
ACCESS LISTS
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Desktop Security
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Authentication
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Anti-Spoofing
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Regelwerk
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Implied Rules
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
BASIC RULES
STEALTH RULESchützt die Firewall selbst vor AngriffenMöglichst zu Beginn des Regelwerks
Verhindert aber auch Management-Verbindungen, daher folgende Regel zusätzlich:
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
BASIC RULES
CLEAN-UP RULESteht am Ende des RegelwerksLoggt alle Pakete für die keine gültige
Regel gefunden wurdeBlockt alle Pakete für die keine gültige
Regel gefunden wurde (ist in FW-Software hardgecodet)
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Beliebte Fehler im Regelwerk
Unübersichtliches Regelwerk Keine Zusammenfassung in Gruppen
Keine bzw. unzureichende Dokumentierung der einzelnen Regeln
Verwendung der Implied-Rules
Großzügige Verwendung von ANY
Kein Logging wichtiger Regelverstöße Regeln die nie zutreffen können (z.B. weil Pakete die Firewall nie erreichen )
© 2002 greyhat.de – Oliver Karow – oliver@greyhat.de –
Prozesse rund um die Firewall
Change- und Updatemanagement
Administration
Zentrales Logging Wohin wird geloggt? UDP-Syslog vs. SecureSyslog SNMP-Traps
Monitoring
Alarming
top related