Host and Network Security

Firewall steht zwischen Intranet und Internet.

Hat jeweils ein Bein pro Netz

Bastion Host -> screened host modell

Firewall hat drei oder Mherere Beine in die Netze

in der DMZ stehen Systeme welche von Internet wie auch vom Intranet erreichbar sind

Bastion Host -> screened subnet

Mehrere Firewalls vorhanden.

Mühsam zum verwalten da an mehreren Stellen Rules gesetzt werden müssen.

Sicher

Nur eine Firewall vorhanden.

Einfacher zu verwalten da nur eine FW vorhaden

leicht unsicher als mit weniger FWs gearbeitet wird. Wenn hier die FW kompromitiert wird, kommt man überall rein

Traffic wird vielfach direkt innerhalb des Hypervisors weitergeschickt ohne das es über die FW geroutet wird.

Um das zu lösen gibt es virtuele Firewalls welche man als Appliance auf dem Hypervisor installieren kann

- erkennen attacken gegen Komponenten im Netzwerk

- können zusammen mit firewalls und network devices arbeiten um gewisse Attacken zu stoppen

hast bases IDS/IPS = HIDS

Network based IDS/IPS = NIDS/NIPS

hybrid IDS/IPS

- erkennt attacken gegen hosts

- arbeitet eng zusammen mit dem Host OS

- haben einen negativen Einfluss auf die System Performance & Stabilität

- erkennen manchmal keine DOS attacken

- arbeiten als intelligenter protokoll analyzer und analysieren den gesamten netzwerktraffic

- erkennen attacken-signaturen und kann gegenmassnahmen treffen

- braucht zugriff auf alle pakete aller netzwerksegmenten (meist mit mirror ports gelöst)

- kann anomlien identifizieren und reagiert preventive indem es mit der fw interagiert

- kann attacken nicht identifizieren welche über mehrere Pakete verteilt werden

- kann mit Dos attacken deaktriviert werden

- muss stehts mit den neusten pattern gefüttert werden

eine Mischung von Host und Network IDS/IPS

- erkennen in der Regel intrusions besser indem das Wissen auf beiden Seiten kombinieren

- wissen wer das netz braucht

- zugriff limitieren für bestimmte user

- zustand des Systems wissen welches sich einwählen will

- versuechte systeme erkennen und säubern

Kontrolliert netzwerk indem 

- es nur zugriff an freigegeben MACs gibt

-MAC Liste kann dynamisch oder statisch sein

Nachteile

- unflexibel mit roaming/mobile devices

- MAC Adressen können einfach gespooft werden

- Netzwerkzugriff nur für authentsierte und authorisierte User gewährleisten

- Spezifiziert eine allgmeine Architektur und Protkolle welche eine mutual authentication erlauben

- Authenticator =Swtich, Port=Supplicant, backend=authentication server

Auf EAP (extensible authentication protocol)

host based security bietet eine erhöhte sicherheit für systeme

network based security bietet eine erhöhte sicherheit für das gesamte netzwerk

- die kombination von beiden security mechanisem bildet die optimale sicherheit=system security

- sicherheitsmechanismen des Systems nutzen inkl. Updates

- host hardening

- host firewall

- host intrusion detection 

- host antivirus

- applikationen verwenden welche dazu entwickelt wurden so wenig wie möglich sicherheitsrisiken zu haben

- protect networks (subnets, segments, zones) with firewalls

- protect networks (subnets, segments, zones) with active network devices 

-port based authentication, Network access control NAC

-network intrusion detection and prevention (NIDS/NIPS)

-quarantie networks

- Crytpo.Applikaitonen welche authentication und encryption garantieren (TLS, SSH usw)

- Alarmierung für ausgehende Verbindungen

- User kann bestimmen welche Programme ins Internet dürfen und welche nicht

- Schützt das System vor Portscans indem es nicht antwortet

- Überwacht Applikationen welche auf incoming Verbindungen warten

- Überwacht und reguliert incoming/outgoing internet traffic

- verhindert ungewolltes network traffic von lokal installierten applikation

- zeigt informationen über das system an welches erreicht werden will

- frisst ressourcen des system und kann ausserdem eine weitere Angrifsmöglichkeit anbieten durch bugs usw

- falls das system kompromitiert wurde, kann die firewall manipuliert oder gar ganz deaktiviert werden

- hohe Anzahl an Meldungen der Firewall kann den User verwirren oder die wichtigen Meldungen gehen unter

- software firewalls welche imit dem OS im kernel mode sprechen, können sicherheitslücken mit sich bringen oder instabilität

- Definierte Verbindungen zwischen zwei (oder mehr ) Segmenten 

- Möglichkeit Pakete zu loggen, kontrolieren, rejecten zwischen den segmenten

- Möglichkeit Paketheader zu ändern (hide address, modify header flags, content)

- kein Schutz innerhalb des Netzes

- Malware welche durch die offenen Ports geschleusst wird, wird nicht erkannt

- Verbindungen welche durch die FW geschleusst werden, werden nicht erkannt (zB IPv6 tunneling protocols)

- erkennt keine security flaws von netzwerk Applikationen

Trennt einfach zwei Netze. In diesem Fall kommt man vom Intranet ins Internet aber nicht umgekehrt

- network layer firewall -> werden auch paket filter firewalls genannt

- application layer firewall

- hybrid firewall (kombination von beidem)

normalerweise auf dem network layer /internet layer

- stateless paket filter

- stateful paket filter (connection tracking)

- statuful inspection firewall/ stateful firewall (contentfilter, deep inspection)

- next gen firewall (gartner 2003)

- threat protection firewall

-Pre Routing -> Forward Filter -> Post Routing

den umgehehrten Weg genau gleich

- traversed interface

eth0 inbound / eth1 outbound

- mac header:

source & dst MAC

ethertype: 0x800, 0x806

tag protocol: VLAN ID usw

IP header

src & dst addresse

ICMP/TCP/UDP Header

src & dst port: 80/443 usw

TCP control bits: SYN; ACK, FIN etc

ICMP Message type: 0,8 usw

Pakete werden auf Layer 3 fragmentiert (aufgebrochen).

Damit die FW auf Layer 4 die Pakete-Header analysieren kann, müssen diese wieder reassembled werden

Das Reassemblen braucht zusätzliche Ressourcen und bietete mögliche DOS Attacken an