Transcript Document 7806981

Firewallkonzept der GWDG
(Einsatz auch für Max-Planck-Institute !?)
von
Andreas Ißleiber
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 21119
[email protected] www.gwdg.de
Firewallkonzept der GWDG
(Notwendigkeiten)
 Dienstleistungsangebot der GWDG für Institute
 Schutz des gesamten GÖNET sowie aller Institutsnetze
vor Angriffen von Aussen
 Absicherung der Institutsnetze untereinander
 Prävention bei Viren,Trojaner sowie Hacker-Angriffen
aus dem Intra- und Internet
 Ablösung der bestehenden ACLs der zentralen Router
 Vereinfachung der ACLs (statefull inspection FW)
 Ausfallsicherheit: Aufbau von redundanten Systemen
2
Firewallkonzept der GWDG
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
(Auswahlkriterien)
Einheitliches Management
Mehrmandantenfähigkeit
Fähigkeit zur Redundanz, Loadbalacing
Hoher Durchsatz
Einfache Regelstruktur (leicht erlernbar)
Transparenter Mode (Stealth Mode)
Einfache Integration in bestehende Netzwerkstruktur
Logging (syslog)
Kombination mit Viruserkennung
Erweiterbarkeit
Preis
Fett = Muß-Kriterien
Normal = Kann-Kriterien
3
Firewallkonzept der GWDG
(Firewallanbieter)
 CISCO FWSM (Firewall Service Modul)
 CISCO PIX
zu wenig Interfaces(VLANs)
 Checkpoint Firewall-I
sehr hoher Preis
 Checkpoint Appliance (NOKIA,SUN)
 Fortigate (Fortinet)
 Sonicwall
gute Integration
sehr hoher Preis
Probleme im Testbetrieb (GWDG)
zu geringe Performance
4
Firewallkonzept der GWDG
(Auswahl)
Ergebnis:
Entscheidung für CISCO FWSM (FireWall Service Modul)
Begründung:
1)
2)
3)
4)
5)
?
!
Gute Integration in bestehenden Struktur
Mehrmandantenfähigkeit
Redundanz
Transparenz (Stealth Mode)
(bereits bekanntes) Management
Was ist mit der Grundregel, möglichst zwei unterschiedliche
Hersteller von FWs einzusetzen ? (Beispiel: Checkpoint & CISCO
FWSM)
Prinzipiell Ja: Im vorliegenden Fall aber nicht sinnvoll, da
unterschiedliches Management, mangelnde Integration in
Netzumgebung, zu hoher Preis es nicht rechtfertigen
5
Ziel
 Schutz des gesamten GÖNET sowie aller Institutsnetze vor Angriffen
 Absicherung der Institutsnetze untereinander
 Prävention bei Viren,Trojaner sowie Hacker-Angriffen aus
dem Intra- und Internet
Realisierung
Firewallkonzept der GWDG (Ein zweistufiger Ansatz)
Die GWDG verfolgt ein zweistufiges, Konzept bestehend aus …
1.) Zentrale Firewall (First Level Firewall,
CISCO Firewall Service Modul)
 Diese Firewall befindet sich am Übergabepunkt zwischen G-WIN
und GÖNET
 Bei neuen Angriffsvarianten, kann ein Schutz sehr schnell an
zentraler Stelle für alle Institute durch Basisregeln aufgebaut
werden
 Die Basisregeln haben für das gesamte GÖNET Gültigkeit
6
Realisierung
Firewallkonzept der GWDG (Ein zweistufiger Ansatz)
2.) Dezentrale Firewalls (Second Level Firewall,
CISCO Firewall Service Modul)
 Die dezentralen Firewalls befinden sich an den entscheidenden vier
Knotenpunkten des GÖNET
 Die Firewalls sind als Zusatzmodule direkt in die GÖNET-Router
integriert
 Die Module können werden an netzwerktechnisch entscheidenden
Orten eingesetzt
 Vorhandene Infrastruktur der Router (redundante Anbindung,
redundante Netzteile, USV) ist gleichzeitig für die Firewalls nutzbar
 Institutseigene Firewall ist nicht mehr erforderlich
7
Firewallkonzept der GWDG (Integration im GÖNET)
Legende …
Internet
7
3
zentrales
Firewall-Management
bei der GWDG
1
1
Zentrale, schnelle Firewall für den grundlegenden
Schutz des gesamten GÖNET (first Level Firewall)
2
Dezentrale Firewalls sind in die
Backbone-Router integriert (second Level Firewall)
3
Internet-Router
4
GÖNET-Backbone-Router
5
Durch zusätzliche, dezentrale Firewall geschütztes
Institut. Hohe Sicherheitsstufe bestehend aus
Kombination von First level & second Level Firewall
6
Institut ist durch die zentrale Firewall
mit einem Basisregelsatz geschützt ist.
7
Zentrale Administration der Firewalls, integriert in
ein bestehendes Netzwerkmanagement
4
2
GÖNET
5
Institut
6
Institut
Bereich mit
mittlerem Schutz
(first Level)
Bereich mit
hohem Schutz
(second Level)
8
Firewallkonzept der GWDG (Virtuelle Firewall & Administration)
Realisierung durch CISCO FWSM
(FireWallServiceModul), integriert in allen
GÖNET CISCO Routern (6509)
Internet
Zentrale
Firewall mit
Basisregeln
Jede institutsspezifische Firewall ist durch
eine „virtuelle“ Firewall auf dem FWSM
abgebildet
FWSM
FireWall Service Module
Virtuelle FW´s erlauben eine getrennte, autonome
mit virtuellen Firewalls (FW)
Administration der Firewallregeln für das jeweilige
Institut
GÖNET Router
CISCO 6509
Die GWDG kann zusätzlich alle virtuellen
Instituts-Firewalls zentral administrieren
Firewall
Administration
des Instituts A
Firewall
Administration
des Instituts B
Institut A
Virtuelle
Firewall mit
Regelsatz A
Institut B
Zzgl.
Basisregeln
Virtuelle
Firewall mit
Regelsatz B
Die GWDG stellt vordefinierte Regelsätze für die
virtuellen FWs zur Verfügung:
Komplettschutz
• Alles von Innen nach Außen ist erlaubt
• Alles von Außen nach Innen ist verboten
Zugriff auf interne Server
• Alles von Innen nach Außen ist erlaubt
• Zugriffe auf interne Dienste von Außen
sind erlaubt
• Alles Andere ist verboten
9
… Weitere Regelsätze …
Firewallkonzept der GWDG (Failover & Redundanz)
Legende …
Internet
1
Kommunikationsweg zwischen Institut
im störungsfreien Betrieb
2
Kommunikationsweg bei einer logischen oder physischen
Unterbrechung der Strecke zwischen Institut A und B
Die Verbindung läuft hierbei über die redundanten
Backbone-Router des GÖNET, wobei der Schutz der Institute
durch die Firewall(s) bestehen bleibt
A
und
B
2
1
Institut A
Institut B
10
Firewallkonzept der GWDG








(CISCO FWSM, Features)
Als Modul in bestehende CISCO Router integrierbar
Nahezu gleiche Konfiguration wie PIX-Firewalls
Variable, große Anzahl an Interfaces (VLANs)
Hoher Durchsatz <= 6 GBps
Management IOS- sowie webbasiert durch PDM
Betrieb im transparenten, oder Routed-Mode
Multiple security contexts (Mehrmandantenfähig)
Special Features:
• ARP Inspection
• DNS Guard
• Flood Guard
• Frag Guard
• ICMP Filtering
• Mail Guard
• TCP Intercept
• Unicast Reverse
• Path Forwarding
11
Firewallkonzept der GWDG
(FWSM, Funktionsprinzip)
Internet
Switch (65xx)
Switchingengine
VLAN1
VLAN1: Kommunikation zwischen FWSM und Switch
VLAN10,20,30: Interne Netze durch VLANs getrennt
VLAN10,20,30: VLANs können, … müssen aber nicht an
physikalische Interfaces gebunden sein
…
FWSM
VLAN20
Intern2
Intern
DMZ
12
Firewallkonzept der GWDG
(FWSM, Funktionsprinzip)
 Position des FWSM
und der MSFC
(Multilayer Switch
Feature Card)
Routing zwischen
VLANs 301,302,303 ohne
Nutzung des FWSM
ACLs zwischen VLANs
201,202,203 bestimmen
den Verkehr
13
Firewallkonzept der GWDG
(FWSM, Modes)
 Zwei grundlegend unterschiedliche Modi für das FWSM möglich
1.) Routed Mode
Internet
 FWSM übernimmt das Routing
 ACLs zwischen VLANs
 FWSM-Interfaces bekommen
Default route
IP-Adresse
des FWSM
VLAN1
 VLAN1=SVI
192.168.30.254
(Switched VLAN Interfaces)
FWSM
 i.d.R. NAT nach Außen
192.168.30.254
192.168.30.253
192.168.20.254
(VLAN 3)
192.168.10.254
(VLAN 2)
IP:
192.168.20.1
Mask:
255.255.255.0
Default GW: 192.168.20.254
IP:
192.168.10.1
Mask:
255.255.255.0
Default GW: 192.168.10.254
192.168.10.0/24
192.168.20.0/24
14
Firewallkonzept der GWDG
(FWSM, Modes)
2.) Transparent Mode
 Stealth mode
 Gleiches Netz hinter und! vor
der Firewall
 Vorteil: wenig Änderungen an
bestehender Struktur
 IP-Adressen werden nicht
verändert (kein NAT)
 Eine IP für das Management
der Firewall
 Nur ein inside & ein outside
Interface
IP:
192.168.10.1
Mask:
255.255.255.0
Default GW: 192.168.10.254
192.168.10.0/24
Internet
outside
192.168.10.254
(VLAN 2)
VLAN1
FWSM
192.168.20.254
(VLAN 3)
192.168.20.253
(Management IP)
inside
IP:
192.168.20.1
Mask:
255.255.255.0
Default GW: 192.168.20.254
192.168.20.0/24
15
Firewallkonzept der GWDG
(FWSM, Context)




Context erlaubt die Unterteilung in virtuelle Firewalls
Jeder Context kann eigenständig administriert werden
Voneinander getrennte, eigene Konfigurationsdatei pro Context
Jeder Context
bekommt
eigenes VLAN
 Zuweisung von
Ressourcen pro
Context möglich
 per default, zwei
Contexts
verfügbar
16
Firewallkonzept der GWDG
(FWSM, NAT)
Unterschiedliche NAT/PAT Verfahren:
•
•
•
•
•
Dynamic NAT
PAT
Static NAT
Static PAT
Bypassing NAT, Exemption
17
Firewallkonzept der GWDG
 Dynamisches NAT
 IP Pool mit ext. Adressen
 local pool  global pool
(FWSM, Dynamic NAT)
134.76.20.55
Internet
134.76.10.1
134.76.10.2
dyn. NAT
NAT Pool:
134.76.10.1-20
192.168.20.1
192.168.20.254
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
18
Firewallkonzept der GWDG
 PAT
 n1
 Lokaler IP-Pool (n)
nach Außen mit z.B.
einer externen IP-Adresse
sichtbar
(FWSM, PAT)
134.76.20.55
Internet
134.76.10.1
Single IP
134.76.10.1
134.76.10.1
PAT
192.168.20.1
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
19
Firewallkonzept der GWDG
 Statisches NAT
 n  n, 11
 Jede lokale Adresse mit
exakt einer globalen
Adresse sichtbar
(FWSM, Static NAT)
134.76.20.55
Internet
134.76.30.56
134.76.30.78
Static NAT
NAT Tabelle:
192.168.20.1  134.76.30.56
192.168.20.2  134.76.30.78
…
192.168.20.1
192.168.20.2
192.168.20.0/24
192.168.20.1
192.168.20.2
20
Firewallkonzept der GWDG
 Port Redirection
 Bsp: Umleitung
zu einem Web-Proxy
(FWSM, Port Redirect)
134.76.20.55
Internet
redirect
Verbindung zu 192.168.20.2
redirect zu 192.168.20.2
WWW zu 134.76.20.55
192.168.20.0/24
192.168.20.1
192.168.20.2
WWW Proxy Server
21
Firewallkonzept der GWDG
 Kein NAT
 Quell- & Zieladresse
bleiben unverändert
 Quell- & Zielport
bleiben unverändert
 Bsp.: PC 1 baut direkte
Verbindung zu PC 2 auf
ACLs bleiben aktiv
(FWSM, bypassing NAT)
134.76.20.55
Internet
192.168.30.50
255.255.0.0
NAT
DMZ
192.168.30.0/24
2
Inside
192.168.20.0/24
192.168.20.1
255.255.0.0
1
22
Firewallkonzept der GWDG
(FWSM, Management)
Management der Firewall durch:
 IOS
• commandline
• ssh
• telnet (nur inside)
• console (seriell)
• Über den Catalyst (Switch)
 Web-basiert
• PDM Pix Device Manager
• mittlerweile gute Alternative zur Commandline
23
Firewallkonzept der GWDG
(FWSM, Beispielkonfig.)
Konfigurationsbeispiele:
134.76.10.47 (www.gwdg.de)
1) Server (1) soll vom Servernetz via
RDP erreichbar sein (ext.IP:134.76.106.1)
http,80
2) Server (1) soll von überall als Webserver
http,80
Servernetz
erreichbar sein
Internet
3) Server (1) soll lediglich eMails verschicken können
sowie den Webserver (www.gwdg.de, Port 80) erreichen
SMTP(25) 134.76.20.0/24
RDP (3389)
4) Server (2) soll Server (1) als DNS Server
134.76.105.253
134.76.105.254
„befragen“ können
5) Server (1) soll sonst keine
weiteren Verbindungen nach Außen
aufbauen können
(outside)
deny
192.168.200.254
(DMZ)
NAT
(DMZ)
192.168.200.0/24
192.168.100.254
(inside)
DNS,53(udp)
(Inside)
192.168.100.0/24
192.168.100.1
255.255.0.0
 RDP-Server
 WebServer
(1)
192.168.200.1 (2)
255.255.0.0
24
Firewallkonzept der GWDG
Konfigurationsbeispiele:
1) Server (1) soll vom Servernetz via
RDP erreichbar sein (ext.IP:134.76.106.1)
2) Server (1) soll von überall als Webserver
erreichbar sein
3)
4)
(FWSM, Beispielkonfig.)
1)
2)
3)
4)
5)
names
name 134.76.20.0 Servernetz
name 192.168.100.1 server1
name 134.76.10.47 webserver
name 192.168.200.1 Server2
6)
7)
8)
9)
pdm
pdm
pdm
pdm
location
location
location
location
server1 255.255.255.255 inside
Servernetz 255.255.255.0 outside
webserver 255.255.255.255 outside
Server2 255.255.255.255 dmz
10) nat (dmz) 0 access-list dmz_nat0_inbound outside
11) nat (inside) 0 access-list inside_nat0_outbound
Server (1) soll lediglich eMails verschicken 12) static (inside,outside) 134.76.106.1 server1 netmask
255.255.255.255
können sowie den Webserver
13)
access-group dmz_access_in in interface dmz
(www.gwdg.de, Port 80) erreichen
14) access-group inside_access_in in interface inside
15) access-group outside_access_in in interface outside
Server (2) soll Server (1) als DNS Server
„befragen“ können
5) Server (1) soll sonst keine
weiteren Verbindungen nach Außen
aufbauen können
16) access-list inside_access_in extended permit tcp host server1
Servernetz 255.255.255.0 eq 3389
17) access-list inside_access_in extended permit tcp host server1
any eq smtp
18) access-list inside_access_in extended permit tcp host server1
host webserver eq www
19) access-list outside_access_in extended permit tcp any host
134.76.106.1 eq www
20) access-list dmz_nat0_inbound extended permit ip host Server2
host server1
21) access-list inside_nat0_outbound extended permit ip host
server1 host Server2
22) access-list dmz_access_in extended permit udp host Server2 host
server1
25
Firewallkonzept der GWDG
(Erfahrungen)
Erfahrungen:
 Teilweise unterschiedliche Sichtweise einer Firewall im Vgl. zu anderen
Herstellern
 Längere Einarbeitungszeit erforderlich
 Bei Vorhandensein von CISCO Routern, fast keine Alternative zum
FWSM auf dem Markt
 Sehr gutes Commandline Interface (… klar => IOS)
 schwerwiegender Fehler in Firmware (SMTP Fixup „bug“)
Fazit:
 Trotz einiger „Contra“ ist das FWSM als Firewall die richtige Wahl
 Bei größeren MPIs kann das CISCO FWSM eine geeignete Firewall
sein
 GWDG kann hierbei entsprechende Dienstleitung geben (Planung,
Installation)
26
Vielen Dank!
S
C
IS
O
Y
S
T
E
M
C
IS
O
Y
T
E
M
… Fragen
CISCO
S
Y
STEMS
LOWER
UPPER
NORMAL
POWER
POWER
und Diskussionen!
Vortrag ist unter: …
http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2004/index.html
… zu finden
27