schutz kleiner netze mit einer virtuellen dmz - dfn …...q verbindung der zonen durch...
TRANSCRIPT
Schutz kleiner Netzemit einer virtuellen DMZ
Tillmann Werner, CERT-Bund
Agenda
q Das BSI - Kurzvorstellung
q Demilitarisierte Zonen
q Virtuelle Maschinen
q Aufbau einer virtuellen DMZ
q Beispielkonfiguration
Das BSI auf einen Blick
q Unabhängige und neutrale Stelle für IT-Sicherheit
q Bundesoberbehörde im Geschäftsbereich des Bundesministerium des Innern
q 1991 gegründet - als Behörde im Vergleich zu sonstigen europäischen Einrichtungen einzigartig
q 387 Mitarbeiter, davon 289 Hochschulabsolventen(>60% Fachrichtungen Elektro- und Nachrichtentechnik)
Zielgruppen
Regierung und Verwaltung
rUnterstützung der E-Government Initiative (BundOnline2005)
r IT-Sicherheitsberatungr Entwicklung von Kryptosystemenr Lauschabwehrr Betrieb des Regierungsnetzes
Wissenschaft
r Kooperation mit Universitätenr Trendanalysen r Vergabe von
Forschungsaufträgen
Wirtschaft
rNationales CERTr IT-Grundschutzr Zertifizierungr Sicherheitspartnerschaften
Bürger
r Sensibilisierungskampagnenr Info - CDsr BSI - Internetangebot
www.bsi.bund.dewww.bsi-fuer-buerger.de
r Fachbeiträge in Zeitschriften
Sicherheitszonen
q Gruppieren von Ressourcen mit ähnlichen sicherheitsrelevanten Eigenschaften in Sicherheitszonen
q Strikte Trennung der einzelnen Zonen voneinander
q Datenaustausch zwischen Zonen ausschließlich über wohldefinierte Schnittstellen
q Anwendung des Zonenmodells auf unterschiedlichen Ebenen, zum Beispiel Netz, Betriebssystem, Anwendung, …
Demilitarisierte Zone
q Komplexer Sicherheitsgateway zum Schutz eines Netzes oder Einzelsystems mit besonderen Sicherheitsanforderungen
q Ressourcentrennung durch Schaffung unabhängiger Zonen auf Netzebene
q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, …
q Meist Sandwich-Architektur: Interne und externe Firewall, dazwischen zusätzliche Komponenten
zu schützendes
Netz
zu schützendes
Netz
int.FW
ext.FW
http
dns
ssh
IDS IDS
http
Beispielarchitektur
Virtuelle Maschinen
q Simulation vollständiger Betriebssysteme
q Ideal für den Einsatz in Sicherheitsgateways:Kapselung von Funktionen einzelner Komponenten
q Sicherheit durch Schaffung unabhängiger Systemen mit unterschiedlichen Aufgaben
q Kostenreduktion durch Virtualisierung
q Begriffe: Hostsystem, Gastsystem
User Mode Linux
q Virtuelles Linux-Gastsystem auf Linux-Hostsystem
q Seit Version 2.6 vom offiziellen Linux-Kernelals eigene HW-Architektur unterstützt
q UML-Kernel läuft als Prozess im Userspace
q Betrieb mehrerer Instanzen auf einem Host möglich
q Administration der UML-Instanzen über Management-Konsole vom Host aus möglich
Einsatz von UML in einer virtuellen DMZ
q Linux-Hostsystem mit UML-Instanzen als DMZ-Komponenten
q Monolithisches, gehärtetes Hostsystem
q UML-Systeme sind minimalistisch konfiguriertund für die jeweiligen Aufgaben optimiert
q DMZ-Komponenten können ausschließlich mitOpen-Source-Software aufgebaut werden
Netzkonfiguration
q Hostsystem besitzt keine IP-Adressen
q Netzpakete werden über virtuelle Bridges an DMZ-Firewallsweitergeleitet
q IP-Routing auf dem Hostsystem ist ausgeschaltet
q DMZ verwendet intern eigene IP-Netze nach RFC 1918
q VM sind ebenfalls über Bridges miteinander verbunden
IDS
Virtuelle Ethernet Bridges
int.FW
ext.FW
http
dns
tcp
IDS
http
Virtuelle DMZ-Komponenten – Firewalls
q Gateways an den Übergängen vermitteln zwischen den angeschlossenen Netzen
q Stateful Firewalls auf der Basis von netfilter/iptables
q Policy-based Routing - erlaubte Protokolle werden zum jeweiligen ALG geroutet
q SNAT für ausgehenden Verkehr (Maskieren der internen Netzstruktur)
Virtuelle DMZ-Komponenten – IDS
q Snort als Intrusion Detection System – signatur- und anomaliebasierte Angriffserkennung
q IDS arbeiten im Bridged Mode zwischen Firewall undProxies – völlige Transparenz auf IP-Ebene
q Protokollierung kann auf zentralem System stattfinden –Korrelation der Log-Daten von externem und internem Netzanschluss
Virtuelle DMZ-Komponenten – Proxies
q Kein IP-Routing durch die DMZ möglich
q DMZ lässt nur Daten von Verbindungen passieren, für deren Protokoll ein Proxy existiert
q Problem: Proxies gibt es nur für wenige Standard-Protokolle
q Lösung: Generischer Proxy kann alle Protokolle vermitteln, die auf Internet Protocol aufsetzen
Virtuelle DMZ-Komponenten – Server
q Server, die aus Sicht des zu schützenden Netzes nicht vertrauenswürdig sind
q Server, die einen Dienst ausschließlich für Systeme innerhalb der DMZ anbieten
q Für solche Systeme sollte innerhalb der DMZ ein dediziertes Netz konfiguriert werden
Testinstallation
q Standard-PC ist in der Regel als Hardware-Plattform für das Hostsystem ausreichend
q Performance hängt im wesentlichen vom verfügbaren RAM auf dem Hostsystem ab
q Eine Testinstallation auf einem PIII, 866 MHz, hat einen Durchsatz von mindestens 100MBit/s bei Proxies für mehrere Protokolle
netfilter
snort
Beispielkonfiguration – http(s)
netfilter
snort
Zorphttp-Proxy
SNAT iproute2
Fazit
q Virtuelle DMZ kann Sicherheitszonen auf Netzebene schaffen
q Keine Alternative zu zentralen Sicherheits-Gateways in Hardware
q Flexible Architekturen für individuelle Anforderungen
q Kostengünstige Komponenten, im wesentlichenOpen-Source-Software
q Einfache, auch nachträgliche Einbindung in bestehende Netze