Upload
mareike-heiberg
View
116
Download
5
Embed Size (px)
Citation preview
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewallprüfung
Am Beispiel von Checkpoint FW1
Oliver Karow03/2002
© 2002 greyhat.de – Oliver Karow – [email protected] –
TOPICS
Was ist eine Firewall?
Firewalltypen
Was ist eine Checkpoint FW1?
Was wird geprüft?
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was ist eine Firewall
Eine Firewall ist ein Filtermechanismus zwischen zwei oder mehr Netzwerken.
Die Firewall regelt welcher Verkehr zwischen den Netzen durchgelassen
wird.
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewall-Typ: Paketfilter
CLIENT
SERVER
Filterkriterien:
Quell-/Ziel-IP Quell-/Ziel-Port FLAG‘s (Syn/Ack..) State-Table
OSI-Layer: <5
IP-Forwarding
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewall-Typ: Proxy
CLIENT
SERVER
Filterkriterien:
Siehe Paketfilter Features der
Proxysoftware- FTP-PUT/GET...- HTTP-GET/POST...- .....
OSI-Layer: <=7
Kein IP-Forwarding im reinen Proxy-Betrieb
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was ist eine Checkpoint FW1?
Statefull Inspection OSI-Layer 3-7
Secure Services (Proxy) HTTP SMTP TELNET FTP
Malicious Activity Detection Portscan
VPN-Endpunkt Site-Site Client-Site
CVP Antivirus (TrendMicro usw.) Active Code (MimeSweeper)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Checkpoint Client-Server Architektur
Management Modul
GUI
FW-Modul
© 2002 greyhat.de – Oliver Karow – [email protected] –
Was wird geprüft?
Firewalldesign
Betriebssystemsicherheit
Firewalleinstellungen
Regelwerk
Prozesse
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewalldesign
Platzierung der Komponenten Proxy vs. Paketfilter
Einstufiges vs. Mehrstufiges Design
FW-Produkt und Betriebssystem
© 2002 greyhat.de – Oliver Karow – [email protected] –
Einstufiges Firewallmodell
EXCHANGE ORACLE
Firewall
WEBSERVER DNS MAIL SQUID ANTIVIRUS
USER USER USER
Router
Router
© 2002 greyhat.de – Oliver Karow – [email protected] –
Mehrstufiges Firewallmodell
EXCHANGE ORACLE
WEBSERVER DNS MAIL
SQUID ANTIVIRUS
USER USER USER
Router
© 2002 greyhat.de – Oliver Karow – [email protected] –
Betriebssystemsicherheit
Patchlevel
Accounts
Auditing
Logging
Monitoring
Hardening
© 2002 greyhat.de – Oliver Karow – [email protected] –
Firewallkonfiguration
Patch-Level
Existenz bekannter
Verwundbarkeiten
Verzeichnisberechtigungen
Berechtigungen / Accounts
Sicherheitsrelevante Einstellungen
der Software
© 2002 greyhat.de – Oliver Karow – [email protected] –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – [email protected] –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – [email protected] –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – [email protected] –
Check Point Configuration Tool
© 2002 greyhat.de – Oliver Karow – [email protected] –
Check Point Policy Editor
© 2002 greyhat.de – Oliver Karow – [email protected] –
Security Policy
© 2002 greyhat.de – Oliver Karow – [email protected] –
Log & Alert
© 2002 greyhat.de – Oliver Karow – [email protected] –
SYNDefender
© 2002 greyhat.de – Oliver Karow – [email protected] –
Security Servers
© 2002 greyhat.de – Oliver Karow – [email protected] –
ACCESS LISTS
© 2002 greyhat.de – Oliver Karow – [email protected] –
Desktop Security
© 2002 greyhat.de – Oliver Karow – [email protected] –
Authentication
© 2002 greyhat.de – Oliver Karow – [email protected] –
Anti-Spoofing
© 2002 greyhat.de – Oliver Karow – [email protected] –
Regelwerk
© 2002 greyhat.de – Oliver Karow – [email protected] –
Implied Rules
© 2002 greyhat.de – Oliver Karow – [email protected] –
BASIC RULES
STEALTH RULESchützt die Firewall selbst vor AngriffenMöglichst zu Beginn des Regelwerks
Verhindert aber auch Management-Verbindungen, daher folgende Regel zusätzlich:
© 2002 greyhat.de – Oliver Karow – [email protected] –
BASIC RULES
CLEAN-UP RULESteht am Ende des RegelwerksLoggt alle Pakete für die keine gültige
Regel gefunden wurdeBlockt alle Pakete für die keine gültige
Regel gefunden wurde (ist in FW-Software hardgecodet)
© 2002 greyhat.de – Oliver Karow – [email protected] –
Beliebte Fehler im Regelwerk
Unübersichtliches Regelwerk Keine Zusammenfassung in Gruppen
Keine bzw. unzureichende Dokumentierung der einzelnen Regeln
Verwendung der Implied-Rules
Großzügige Verwendung von ANY
Kein Logging wichtiger Regelverstöße Regeln die nie zutreffen können (z.B. weil Pakete die Firewall nie erreichen )
© 2002 greyhat.de – Oliver Karow – [email protected] –
Prozesse rund um die Firewall
Change- und Updatemanagement
Administration
Zentrales Logging Wohin wird geloggt? UDP-Syslog vs. SecureSyslog SNMP-Traps
Monitoring
Alarming