schutz kleiner netze mit einer virtuellen dmz - dfn …...q verbindung der zonen durch...
TRANSCRIPT
![Page 1: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/1.jpg)
Schutz kleiner Netzemit einer virtuellen DMZ
Tillmann Werner, CERT-Bund
![Page 2: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/2.jpg)
Agenda
q Das BSI - Kurzvorstellung
q Demilitarisierte Zonen
q Virtuelle Maschinen
q Aufbau einer virtuellen DMZ
q Beispielkonfiguration
![Page 3: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/3.jpg)
Das BSI auf einen Blick
q Unabhängige und neutrale Stelle für IT-Sicherheit
q Bundesoberbehörde im Geschäftsbereich des Bundesministerium des Innern
q 1991 gegründet - als Behörde im Vergleich zu sonstigen europäischen Einrichtungen einzigartig
q 387 Mitarbeiter, davon 289 Hochschulabsolventen(>60% Fachrichtungen Elektro- und Nachrichtentechnik)
![Page 4: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/4.jpg)
Zielgruppen
Regierung und Verwaltung
rUnterstützung der E-Government Initiative (BundOnline2005)
r IT-Sicherheitsberatungr Entwicklung von Kryptosystemenr Lauschabwehrr Betrieb des Regierungsnetzes
Wissenschaft
r Kooperation mit Universitätenr Trendanalysen r Vergabe von
Forschungsaufträgen
Wirtschaft
rNationales CERTr IT-Grundschutzr Zertifizierungr Sicherheitspartnerschaften
Bürger
r Sensibilisierungskampagnenr Info - CDsr BSI - Internetangebot
www.bsi.bund.dewww.bsi-fuer-buerger.de
r Fachbeiträge in Zeitschriften
![Page 5: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/5.jpg)
Sicherheitszonen
q Gruppieren von Ressourcen mit ähnlichen sicherheitsrelevanten Eigenschaften in Sicherheitszonen
q Strikte Trennung der einzelnen Zonen voneinander
q Datenaustausch zwischen Zonen ausschließlich über wohldefinierte Schnittstellen
q Anwendung des Zonenmodells auf unterschiedlichen Ebenen, zum Beispiel Netz, Betriebssystem, Anwendung, …
![Page 6: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/6.jpg)
Demilitarisierte Zone
q Komplexer Sicherheitsgateway zum Schutz eines Netzes oder Einzelsystems mit besonderen Sicherheitsanforderungen
q Ressourcentrennung durch Schaffung unabhängiger Zonen auf Netzebene
q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, …
q Meist Sandwich-Architektur: Interne und externe Firewall, dazwischen zusätzliche Komponenten
![Page 7: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/7.jpg)
zu schützendes
Netz
zu schützendes
Netz
int.FW
ext.FW
http
dns
ssh
IDS IDS
http
Beispielarchitektur
![Page 8: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/8.jpg)
Virtuelle Maschinen
q Simulation vollständiger Betriebssysteme
q Ideal für den Einsatz in Sicherheitsgateways:Kapselung von Funktionen einzelner Komponenten
q Sicherheit durch Schaffung unabhängiger Systemen mit unterschiedlichen Aufgaben
q Kostenreduktion durch Virtualisierung
q Begriffe: Hostsystem, Gastsystem
![Page 9: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/9.jpg)
User Mode Linux
q Virtuelles Linux-Gastsystem auf Linux-Hostsystem
q Seit Version 2.6 vom offiziellen Linux-Kernelals eigene HW-Architektur unterstützt
q UML-Kernel läuft als Prozess im Userspace
q Betrieb mehrerer Instanzen auf einem Host möglich
q Administration der UML-Instanzen über Management-Konsole vom Host aus möglich
![Page 10: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/10.jpg)
Einsatz von UML in einer virtuellen DMZ
q Linux-Hostsystem mit UML-Instanzen als DMZ-Komponenten
q Monolithisches, gehärtetes Hostsystem
q UML-Systeme sind minimalistisch konfiguriertund für die jeweiligen Aufgaben optimiert
q DMZ-Komponenten können ausschließlich mitOpen-Source-Software aufgebaut werden
![Page 11: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/11.jpg)
Netzkonfiguration
q Hostsystem besitzt keine IP-Adressen
q Netzpakete werden über virtuelle Bridges an DMZ-Firewallsweitergeleitet
q IP-Routing auf dem Hostsystem ist ausgeschaltet
q DMZ verwendet intern eigene IP-Netze nach RFC 1918
q VM sind ebenfalls über Bridges miteinander verbunden
![Page 12: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/12.jpg)
IDS
Virtuelle Ethernet Bridges
int.FW
ext.FW
http
dns
tcp
IDS
http
![Page 13: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/13.jpg)
Virtuelle DMZ-Komponenten – Firewalls
q Gateways an den Übergängen vermitteln zwischen den angeschlossenen Netzen
q Stateful Firewalls auf der Basis von netfilter/iptables
q Policy-based Routing - erlaubte Protokolle werden zum jeweiligen ALG geroutet
q SNAT für ausgehenden Verkehr (Maskieren der internen Netzstruktur)
![Page 14: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/14.jpg)
Virtuelle DMZ-Komponenten – IDS
q Snort als Intrusion Detection System – signatur- und anomaliebasierte Angriffserkennung
q IDS arbeiten im Bridged Mode zwischen Firewall undProxies – völlige Transparenz auf IP-Ebene
q Protokollierung kann auf zentralem System stattfinden –Korrelation der Log-Daten von externem und internem Netzanschluss
![Page 15: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/15.jpg)
Virtuelle DMZ-Komponenten – Proxies
q Kein IP-Routing durch die DMZ möglich
q DMZ lässt nur Daten von Verbindungen passieren, für deren Protokoll ein Proxy existiert
q Problem: Proxies gibt es nur für wenige Standard-Protokolle
q Lösung: Generischer Proxy kann alle Protokolle vermitteln, die auf Internet Protocol aufsetzen
![Page 16: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/16.jpg)
Virtuelle DMZ-Komponenten – Server
q Server, die aus Sicht des zu schützenden Netzes nicht vertrauenswürdig sind
q Server, die einen Dienst ausschließlich für Systeme innerhalb der DMZ anbieten
q Für solche Systeme sollte innerhalb der DMZ ein dediziertes Netz konfiguriert werden
![Page 17: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/17.jpg)
Testinstallation
q Standard-PC ist in der Regel als Hardware-Plattform für das Hostsystem ausreichend
q Performance hängt im wesentlichen vom verfügbaren RAM auf dem Hostsystem ab
q Eine Testinstallation auf einem PIII, 866 MHz, hat einen Durchsatz von mindestens 100MBit/s bei Proxies für mehrere Protokolle
![Page 18: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/18.jpg)
netfilter
snort
Beispielkonfiguration – http(s)
netfilter
snort
Zorphttp-Proxy
SNAT iproute2
![Page 19: Schutz kleiner Netze mit einer virtuellen DMZ - DFN …...q Verbindung der Zonen durch Koppelelemente: Switches, Bridges, Router, Proxies, ALGs, … q Meist Sandwich-Architektur: Interne](https://reader034.vdocuments.mx/reader034/viewer/2022042920/5f6634e005e93b3f257d4f49/html5/thumbnails/19.jpg)
Fazit
q Virtuelle DMZ kann Sicherheitszonen auf Netzebene schaffen
q Keine Alternative zu zentralen Sicherheits-Gateways in Hardware
q Flexible Architekturen für individuelle Anforderungen
q Kostengünstige Komponenten, im wesentlichenOpen-Source-Software
q Einfache, auch nachträgliche Einbindung in bestehende Netze