|
|
1
|
|
Einführung und Motivation
|
|
|
1.1
|
|
Eine Barriere zwischen Netzen
|
|
|
1.1.1
|
|
Aufgaben der Firewall
|
|
|
1.1.2
|
|
Die DMZ
|
|
|
1.1.3
|
|
Die Firewall im ISO/OSI-Modell
|
|
|
1.1.4
|
|
Zusammenspiel mit anderen Netzkomponenten
|
|
|
1.2
|
|
Das Internet Protocol
|
|
|
1.2.1
|
|
Der IP-Header – Format und Funktionen
|
|
|
1.2.2
|
|
UDP – Verbindungslos und ungesichert
|
|
|
1.2.3
|
|
TCP – verbindungsorientiert und gesichert
|
|
|
1.3
|
|
Die Firewall im Zentrum des Angriffs
|
|
|
1.3.1
|
|
Informationsbeschaffung
|
|
|
1.3.2
|
|
IP Spoofing
|
|
|
1.3.3
|
|
Denial of Service
|
|
|
1.4
|
|
Kontrolle der Applikationsschichten
|
|
|
1.4.1
|
|
Firewalls und Proxies
|
|
|
1.4.2
|
|
Protokoll-Verständnis der Firewall
|
|
|
1.4.3
|
|
Applikationskontrolle durch Proxies
|
|
|
1.5
|
|
Angriffe auf Programme
|
|
|
|
|
|
|
|
2
|
|
Paketfilter
|
|
|
2.1
|
|
Das Regelwerk einer Firewall
|
|
|
2.1.1
|
|
Trigger
|
|
|
2.1.2
|
|
Aktionen
|
|
|
2.1.3
|
|
Abarbeiten des Regelwerkes
|
|
|
2.2
|
|
Statische Paketfilter – Access-Listen
|
|
|
2.2.1
|
|
Funktionsweise statischer Paketfilter
|
|
|
2.2.2
|
|
Statische Paketfilter – Schwächen und Grenzen
|
|
|
2.2.3
|
|
Problem: Dynamische Ports
|
|
|
2.2.4
|
|
Problem: UDP
|
|
|
2.2.5
|
|
Fragmentierung
|
|
|
2.2.6
|
|
Problem: Applikationsschicht
|
|
|
2.2.7
|
|
Fazit
|
|
|
2.3
|
|
Dynamische Paketfilter – Stateful Firewalls
|
|
|
2.3.1
|
|
Das Konzept der State Table
|
|
|
2.3.2
|
|
Das Regelwerk einer Stateful Firewall
|
|
|
2.3.3
|
|
Dynamische Paketfilter – Stärken und Schwächen
|
|
|
2.4
|
|
Personal Firewalls
|
|
|
|
|
|
|
|
3
|
|
Proxies – Applikationskontrolle im Visier
|
|
|
3.1
|
|
Der Begriff des Proxies
|
|
|
3.1.1
|
|
Explizite Proxies
|
|
|
3.1.2
|
|
Transparente Proxies
|
|
|
3.1.3
|
|
Reverse Proxies
|
|
|
3.2
|
|
Generische Proxies
|
|
|
3.2.1
|
|
Forwarding
|
|
|
3.2.2
|
|
SOCKS
|
|
|
3.3
|
|
Applikation Layer Gateways
|
|
|
3.3.1
|
|
Arbeitsweise
|
|
|
3.3.2
|
|
Limitierungen
|
|
|
3.4
|
|
Web Proxies
|
|
|
3.4.1
|
|
HTTP-Grundlagen
|
|
|
3.4.2
|
|
URL-Filtering
|
|
|
3.4.3
|
|
Header-Manipulationen
|
|
|
3.4.4
|
|
Aktive Inhalte
|
|
|
3.4.5
|
|
Caching
|
|
|
3.4.6
|
|
Proxies und Virenscanning
|
|
|
3.4.7
|
|
SSL Proxies
|
|
|
3.5
|
|
Authentisierung an der Firewall
|
|
|
3.5.1
|
|
Die Server-Seite
|
|
|
3.5.2
|
|
Die Client-Seite
|
|
|
3.5.3
|
|
Beispiel 1: HTTP an einem expliziten Proxy
|
|
|
3.5.4
|
|
Beispiel 2: HTTP an einem transparenten Proxy
|
|
|
3.5.5
|
|
Ersatz-Authentisierung
|
|
|
3.5.6
|
|
Single Sign-On
|
|
|
3.5.7
|
|
Weitere Aspekte
|
|
|
3.6
|
|
Mail Relays
|
|
|
3.7
|
|
Voice over IP
|
|
|
3.7.1
|
|
Komponenten von VoIP
|
|
|
3.7.2
|
|
Architektur
|
|
|
3.7.3
|
|
VoIP und Firewalls
|
|
|
3.7.4
|
|
Session Border Controller
|
|
|
|
|
|
|
|
4
|
|
Netzdesign
|
|
|
4.1
|
|
Planung und Netzdesign – Der richtige Standort
|
|
|
4.2
|
|
DMZ-Konzepte – Ein Überblick
|
|
|
4.3
|
|
Network Address Translation (NAT) und Firewalls
|
|
|
4.3.1
|
|
Die NAT-Terminologie
|
|
|
4.3.2
|
|
NAT – Ohne Probleme?
|
|
|
4.3.3
|
|
Ein Beispiel – NAT und aktives FTP
|
|
|
4.4
|
|
Firewalls und VPN
|
|
|
4.4.1
|
|
Separates Gateway
|
|
|
4.4.2
|
|
Firewall als VPN-Gateway
|
|
|
4.4.3
|
|
Firewalls und Außenstellen
|
|
|
4.5
|
|
Intrusion-Detection-Systeme
|
|
|
4.5.1
|
|
IDS-Module – Komponenten und Management
|
|
|
4.5.2
|
|
IDS – Probleme
|
|
|
4.6
|
|
Firewall-Cluster
|
|
|
4.6.1
|
|
Der Cluster im OSI-Modell
|
|
|
4.6.2
|
|
Redundanz mit VRRP
|
|
|
4.6.3
|
|
Load Sharing mit Multicasts
|
|
|
4.6.4
|
|
Load Sharing mit Pivot Firewall
|
|
|
4.6.5
|
|
Load Sharing durch IP Routing
|
|
|
4.6.6
|
|
Load Sharing mit Content Switches
|
|
|
4.6.7
|
|
Bewertung der Methoden
|
|
|
4.6.8
|
|
Die DMZ
|
|
|
|
|
|
|
|
5
|
|
Bestandsaufnahme, Planung und Security Policy
|
|
|
5.1
|
|
Bestandsaufnahme mit System
|
|
|
5.2
|
|
Security Policy – Wer darf was?
|
|
|
5.3
|
|
Der Preis der Sicherheit – Finanz- und Zeitaufwand
|
|
|
5.3.1
|
|
Hard- und Software-Kosten
|
|
|
5.3.2
|
|
Installationsaufwand
|
|
|
5.3.3
|
|
Administrative Kosten
|
|
|
5.3.4
|
|
Update-Planung – Der Hacker schläft nicht
|
|
|
|
|
|
|
|
6
|
|
Firewall-Produkte
|
|
|
6.1
|
|
Check Point Firewall
|
|
|
6.2
|
|
ASA – Cisco
|
|
|
6.3
|
|
Juniper/NetScreen
|
|
|
6.4
|
|
Astaro Security Gateway
|
|
|
6.5
|
|
Blue Coat Proxy Appliance
|
|
|
6.6
|
|
Weitere Anbieter
|
|
|
6.7
|
|
Open Source Firewalls
|
|
|
6.8
|
|
Squid Proxy-Server
|
|
|
|
|
|
|
.png)
