Questão | Responda |
Einschränkungen des Datenflusses | verhindert unerwünschten Informationsfluss zwischen bestimmten Zonen Allg. Use Cases: Schutz am Netzwerkrand... Use Cases IoT: Heim- vs Gastnetz... Typ. Abwehrmechanismen: Netzwerk-Segmentierung, Firewalls... Typ. Angriffe: Lateral Movement, Spear-Phishing, USB-Sticks... |
Firewall | Netzwerksicherheitsgerät, das den ein- und ausgehenden Netzwerkverkehr überwacht und auf der Grundlage eines definierten Satzes von Sicherheitsregeln entscheidet, ob bestimmter Verkehr zugelassen oder blockiert werden soll ermöglichen Netzwerksegmentierung schützen Netzwerke (Perimeter-Firewall) oder einzelne Computer (Personal) |
Firewall - Motivation | Konzentration von Sicherheitskontrollen an einer einzigen Stelle (effizient) leichtere Durchsetzung und Implementierung von Sicherheitsrichtlinien Nutzung/Missbrauch kann protokolliert werden sie können Systemzugriffe verhindern oder erlauben, DoS-Angriffe blockieren sie können nicht vor Insidern schützen (bereits hinter Firewall), vor Zugriff über autorisierte Kanäle, andere Firewalls schützen |
Firewall - Technologien | zustandslose Paketfilter (Überwachungsrouter oder dedizierte Appliance) zustandsbasierte Paketfilter (s.o.) Anwendungs-Gateways (auch Proxyfilter) (Dual-Homed-/Bastion-Host oder Appliance) |
Zustandslose Paketfilter | Firewall betrachtet jedes Paket für sich basierend auf Quell-, Ziel-IP, TCP/UDP Quell-, Zielportnummern, ICMP-Nachrichtentyp, TCP SYN-, ACK-Bits Problem: lässt auch Pakete zu, die "keinen Sinn machen" |
Interfaces & Richtungen | Firewall-Regeln gelten für jeweils ein Interface und eine Richtung |
Access Control List (ACL) | Liste von Regeln, die von oben nach unten auf eingehende Pakete angewandt wird, bis eine Regel mit erfülltem Kriterium gefunden wurde |
ACL - Strategien | default deny: nur solche Dienste werden erlaubt, die sicher bereitgestellt werden können und für die Bedarf besteht, alle anderen werden abgelehnt (oft automatisch angewandt) default permit: alle Dienste zulassen, außer solche, die als gefährlich/gefährdet eingestuft werden (unsicherer, dafür weniger Aufwand als default deny) |
Zustandsbasierte Paketfilter | behält Zustand jeder TCP-Verbindung liest Verbindungsaufbau und -abbau mit Sinnhaftigkeit der Paket wird geprüft Timeout für inaktive Verbindungen Erweiterung der ACL um Notwendigkeit des Prüfens der Zustandstabelle |
Anwendungs-Gateway (Proxy-Filter) | Filterung basierend auf Nutzlast von TCP- oder UDP-Segmenten oft implementiert als Dual-Homed-Host (zwei Netzwerkschnittstellen, stellt zwei Verbindungen her (Client - Proxy , Proxy - Zielhost) jedes Protokoll der Anwendungsschicht benötigt zusätzlich ein spezifisches Anwendungs-Gateway (also nicht nur UDP/TCP, sondern auch HTTP, DNS...) mehrere Gateways auf einem physischen Host möglich |
Bastion Host | Server oder Proxy, die mit einem nicht vertrauenswürdigen Netzwerk (z.B. Internet) kommunizieren brauchen besonderen Schutz |
Demilitarisierte Zone (DMZ) | Netzwerk durch Firewall von anderen Netzwerken isoliert eine Firewall: dead-end-network mehrere Firewalls: Transit-Netzwerk |
Screened Subnet Architecture | DMZ als Transit-Netzwerk wegen Bastion-Host (ständiges Ziel für Angriffe, daher eigene Zone, auch um bei Kompromittierung andere Knoten im gleichen Netzwerk zu schützen) |
Moderne Firewall | Segmentiert Netzwerk in verschiedene physische oder logische DMZs komplexe Regelsätze statt ACL zustandsbasiert Filterung auf verschiedenen OSI-Schichten zusätzliche Funktionalität integrierbar (VPN, Antivirus, IDS...) |
Quer criar seus próprios Flashcards gratuitos com GoConqr? Saiba mais.