Firewalls en IDS. door Dieter Handschoewerker. Firewalls en IDS Pagina 1/80

Firewalls en IDS door Dieter Handschoewerker Firewalls en IDS Pagina 1/80

Inhoudstabel Introductie 4 Deel 1 : Firewalls 5 Definitie van een firewall 5 Kenmerken van een firewall 5 Waartegen een firewall je niet beschermt 6 Het belang van een firewall 7 Taken van een firewall 8 NAT 10 Monitoring en logging 14 Data caching of load balancing 15 Authenticatie en encryptie 17 SSL 17 IPSec 18 VPN 19 Firewall methodiek 21 Stateless Packet filtering 21 Stateful Packet filtering 23 Circuit-level Gateways 25 Application Proxy 25 Hybride firewalls 28 Algemene strategie: Allow-All of Deny-All 28 Firewall architecturen 30 No-Box oplossing: de ISP firewall service 30 Single-Box oplossingen 30 Screening router 30 Dual-Homed firewall 31 Screened Host architectuur 32 Screened Subnet architecturen 33 Architecturen met Meerdere Screened Subnets 35 Split-screened Subnet 35 Independent Screened Subnets 37 Variaties op de algemene firewall architecturen 38 Wat je moet weten over aanvallers 44 Soorten hackers 44 Aanvalstechniek 45 Hun motivatie 46 Soorten aanvallen 46 Firewalls in een Security Policy 47 Aanschaf van een firewall 48 Enkele belangrijke tools en websites 49 Protocol en poortlijsten 51 Firewalls en IDS Pagina 2/80

Deel 2 : Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) 52 IDS 52 Types IDS 53 Network-Based IDS 53 Host-Based IDS 53 Hybrid IDS 53 Het basisproces van een IDS 55 IPS 55 Het basisproces van een IPS 56 IDS vs IPS 57 Waarom is IDS en IPS belangrijk 57 IDS en IPS analyse schema s 58 De anatomie van intrusion analyses 59 Rule-Based Detection (Misuse Detection) 59 Profile-Based Detection (Anomaly Detection) 59 Target Monitoring 60 Stealth Probes 60 Heuristics 60 Hybrid Approach 61 IDS en IPS architectuur 61 Architectuur types 61 Single-Tiered Architectuur 61 Multi-Tiered Architectuur 61 Peer-to-Peer Architectuur 63 IDS en IPS componenten 63 Sensors 63 Sensor functies 63 Overwegingen bij het plaatsen 63 Veiligheidsoverwegingen 65 Agents 66 Agent functies 66 Overwegingen bij het plaatsen 66 Veiligheidsoverwegingen 67 Manager Component 68 Manager functies 68 Overwegingen bij het plaatsten 69 Veiligheidsoverwegingen 69 Security en IDS Management 70 Data Correlatie 70 Data Correlatie definities 70 Waarom is data correlatie nodig 71 Soorten data correlatie 71 Honeypots 71 Incident Response 72 Response types 73 Automated Responses 73 Manual Responses 73 Hybrid Responses 73 Incident-Response Team 74 Incident-Response Methodology 74 IDS en IPS Response Phases 76 Voorbeelden van IDS en IPS systemen 78 Referenties 79 Firewalls en IDS Pagina 3/80

Introductie Een IDS is verschillend van een firewall, maar beiden hebben betrekking tot het beveiligen van uw netwerk. Een firewall zoekt naar intrusions opdat ze niet meer zouden gebeuren. Hij controleert op intrusions tussen netwerken en houdt aanvallen tegen. Een IDS kijkt naar aanvallen nadat ze hebben plaatsgevonden en alarmeert als er een aanval ontdekt is. Dit omvat ook aanvallen van binnenuit. Intrusion Detection Systemen of IDS zijn passieve systemen dat enkel problemen detecteren en misschien iemand alarmeren. Zij blokkeren geen netwerkverkeer. Zij ondernemen ook geen actieve maatregelen om de aanval te stoppen. Een goed geconfigureerde firewall laat enkel toegelaten netwerkverkeer door, en beschermt zo ook het netwerk tegen kwaadaardige activiteiten. Intrusion Prevention Systemen of IPS kunnen wel actief reageren op bepaalde aanvallen. Zo kunnen ze een commando sturen naar de firewall om een bepaalde connectie te blokkeren, bij het ontdekken van een aanval. Veel IDS en kunnen gebeurtenissen correleren over tijd en iemand inlichten over een aanval die bezig is. Firewalls bekijken elk pakket afzonderlijk zonder voorgaande gebeurtenissen te raadplegen. Een firewall kan een aanval stoppen. Een IDS kan enkel een aanval detecteren en iemand inlichten van het gebeurde feit. Een IPS is een geavanceerde IDS die de firewall kan sturen om een bepaalde aanval te stoppen. Firewalls en IDS Pagina 4/80

Deel 1 : Firewalls Definitie firewall De term firewall komt uit de bouw. In gebouwen is een firewall een muur bestaande uit een hitte - en vuurbestendig materiaal zoals beton, die bedoeld is om de spreiding naar andere delen van het gebouw tegen te gaan. De netwerk firewall probeert op dezelfde wijze ongeoorloofd toegang tussen netwerken tegen te gaan. Het gaat hier niet over één bepaalde dreiging, maar over verschillende soorten vormen dreigingen, zoals virussen, worms, denial-of-service attacks (DoS), hacking, cracking, inbraak, spoofing, enz.. De firewall is een stuk software of hardware dat de communicatie tussen uw computer, thuisnetwerk, bedrijfsnetwerk en het internet filtert en controleert. Meestal wordt een firewall geïmplementeerd tussen betrouwbare en onbetrouwbare netwerken, zoals het Internet. Maar deze kan ook binnen het interne netwerk plaatsvinden, om bepaalde delen van elkaar af te schermen. Iedereen die het Internet gebruikt heeft nood aan een firewall. In het verleden was het gebruikelijk dat bedrijven verbonden met het Internet geen firewall hadden en puur op de veiligheid van hun hosts vertrouwden om hun data te beveiligen. Naarmate netwerken groter werden, werd het onmogelijk om iedere host met voldoende zorg te beveiligen. En naarmate het belang van het Internet toenam, werd de dreiging van hackers groter. Het plaatsen van een firewall werd een normale keuze omdat deze als centrale controle de onderneming veel veiliger maakt en ook veel geld bespaart. Kenmerken van een firewall Firewalls hebben de volgende kenmerken : Verbinden van verschillende netwerken over één punt. VPN: mogelijkheid om veilig over het internet deel uit te maken van het privénetwerk. Filteren van communicatie: welke data mag tussen verschillende netwerken uitgewisseld worden. Alle binnenkomend en buitengaand wordt gecontroleerd en eventueel geblokkeerd. Rapportage: netwerkverkeer wordt gerapporteerd. Het is belangrijk om te weten wie wat doet. Security Policy of beveiligingsbeleid: de firewall implementatie is gebaseerd op een Security Policy en moet alle pakketten tegenhouden die niet aan deze Security Policy voldoen. De Security Policy wordt later nog aangehaald. De firewall moet zelf immuun zijn tegenover security attacks of beveiligingsaanvallen. Firewalls en IDS Pagina 5/80

Fig.1 Situatie zonder firewall Fig. 2: Situatie met firewall We bekijken even het risico voor aanvallen tussen een privénetwerk en het Internet met en zonder firewall. Door Fig. 1, de situatie zonder firewall, zien we dat elk toestel dat toegang heeft tot het Internet risico loopt voor aanvallen. Door Fig. 2, de situatie met firewall, zien we dat de risicozone herleid is tot één punt. Er kan maar één toestel aangevallen worden namelijk de firewall zelf. Grote voorwaarden voor het veilig stellen van het interne betrouwbare netwerk tegen het onbetrouwbare Internet is het immuun zijn van de firewall zelf tegen aanvallen én dat er een goede filtering gebeurt van het verkeer tussen beide netwerken. Waartegen een firewall je niet beschermt Er vanuit gaan dat de aanwezigheid van een firewall je privénetwerk volledig veiligstelt, dan heb je een verkeerd standpunt ingenomen. Aanvallen waartegen een firewall je niet kan tegen beschermen: - Interne aanvallen: Gebruikers die zich reeds in het interne netwerk bevinden, hoeven de firewall niet te meer te passeren. Een firewall kan dus geen interne intrusions en diefstal tegenhouden. Andere beveiligingsmaatregelen kunnen hier wel bij helpen. Zoals het instellen van toegangsrechten op werkstations en servers én auditing van netwerktoegang Je kan ook interne firewalls instellen om verkeer te regelen tussen bepaalde delen van het bedrijf of Firewalls en IDS Pagina 6/80

tussen servers en je gebruikers. - Social engineering: Hackers trachten soms informatie te vergaren via de telefoon. Ze doen zich bijvoorbeeld voor als iemand van de helpdesk die bepaalde routine controles aan het uitvoeren zijn. Hierbij vragen ze naar cruciale informatie, zoals namen van servers, IP adressen en paswoorden. Alle werknemers zouden deze methode moeten kennen en zouden nooit mogen gevoelige informatie vrijgeven. - Virussen en Trojan Horses: Firewalls trachten virussen uit het netwerkverkeer te filteren, maar deze programma s veranderen continu. Bijvoorbeeld e-mailverkeer wordt standaard doorgelaten, deze mails kunnen bijlagen bevatten met bijvoorbeeld een virus. Een firewall kan geen onderscheid maken tussen goede en kwade mail. Trojan Horses zijn misschien nog moeilijker op te merken, deze programma s proberen zich niet te verspreiden naar andere bestanden of computers zoals virussen. Een geactiveerd Trojan Horse programma kan een back- door, een achterdeur, openen naar een bepaalde computer. Een voorbeeld is het uitzenden van alle verzamelde ingeduwde toetsen bij inlogschermen eenmaal per week. - Slecht opgeleide firewall beheerders: De goede configuratie van een firewall hangt af van de instellingen die door de beheerder zijn ingegeven. Het is de beheerder die bepaalt welk verkeer er mag worden doorgelaten en welke er moet worden tegengehouden. Nieuwe netwerk protocollen en services worden geïntroduceerd en software bugs worden regelmatig ontdekt. Het beheren van een firewall is niet een eenmalige taak. De beheerder moet alert blijven en de firewall regels onderhouden. Hij moet de updates en patches installeren die ter beschikking gesteld worden door de firewall verkopers. Ook moet hij regelmatig de firewall logs bekijken. Behalve de standaard internetverbinding zijn er nog een aantal media waarlangs data het bedrijf kan verlaten, dit zijn zogenaamde back-doors: - diskettes - magnetische tapes (back-ups) - USB sticks - Memory cards - Portable met Wi-Fi - Smart Phone met internet en Bluetooth - Fax - Telefoon: vb. via Social engineering Het belang van een firewall De beste manier om de waarde van een firewall te bepalen is de mogelijke kosten in te schatten die zich zouden kunnen voordoen indien er een aanval gebeurt en er geen firewall is geplaatst. Beschouw het volgende: - Gegevensverlies: Hoe belangrijk is data voor uw bedrijf. Wat als bepaalde data zou verdwijnen, bijvoorbeeld uw klantenlijst. Hopelijk kan je nog alles terugzetten via uw back-ups. Indien niet, kan het voortbestaan van uw bedrijf in het gevaar komen. - Personeelskosten: Firewalls en IDS Pagina 7/80

Na een succesvolle aanval, moet het probleem geanalyseerd en een goede oplossing gevonden worden. De kwetsbaarheid moet gedicht worden en de schade moet worden hersteld. Het kan zijn dat ieder getroffen toestel afzonderlijk moet bekeken worden. Het ontdekken van het probleem en een goede oplossing vinden, kan heel wat tijd in beslag nemen. De schade wordt omvangrijker als het om dataverlies gaat. Dan moeten alle resterende gegevens worden gecontroleerd en de ontbrekende terug ingegeven, indien nog mogelijk. - Tijdsverlies of downtime: Wanneer het netwerk niet meer toegankelijk is kan dit enorme gevolgen hebben. Niet enkel voor de werknemers, omdat ze belemmerd zijn te werken. Maar het kan zijn dat bijvoorbeeld die dag geen enkele bestelling meer kan opgenomen worden. De waarde van de bestellingen van een dag kunnen de kosten van een firewall overtreffen. - Vertrouwelijke gegevens: wat als er ingebroken wordt op het netwerk en er bepaalde vertrouwelijke informatie wordt gestolen, bvb klantengegevens met hun betaalgegevens, plannen van een nieuw ontwikkelde machine, enz.. De kans dat die verkocht worden of gebruikt worden door derden is groot, waardoor het bijvoorbeeld mogelijk is dat er geld van klanten hun rekening gaat. Of dat een andere onderneming met uw ideeën wegloopt. Dit kan klantenverlies als gevolg hebben en daling van de waarde van uw aandelen. - Gekaapte computers: Een hacker kan de controle nemen over computers van uw netwerk en deze gebruiken voor eigen doeleinden. Bijvoorbeeld voor gestolen software te hosten. Wat als de gerechtelijke instanties dit te weten komen? De eigenaar van het toestel is namelijk verantwoordelijk voor de inhoud. - Reputatie: De organisatie kan heel wat potentiële schade oplopen als die vermeld wordt in de media, als slachtoffer van een hacker. Taken van een firewall Algemeen wordt aangenomen dat een firewall volgende 4 taken uitvoert : Packet filtering: De firewall inspecteert de headers van alle netwerkpakketten en neemt daarna een beslissing of het pakket doorgelaten of geblokkeerd wordt. Dit wordt ook IP en port filtering genoemd. De firewall kan op basis van een bepaald IP adres of poort een bepaalde connectie toelaten of weigeren. Packet filtering kan redelijk complex worden omdat je rekening moet houden met de bron en bestemming van een pakket, dit op IP adres en poort niveau. Network Address Translation (NAT): De buitenwereld op het internet ziet in de meeste gevallen maar 1 of enkele publieke IPadressen, namelijk die van de firewall. Het interne netwerk kan elk willekeurig IP-adres gebruiken in een bepaald range van privé adressen. De bron- en bestemmingsadressen van de netwerkpakketten worden door de firewall vertaald. Maar in feite is NAT geen vereiste van een firewall. Application proxy: De firewall kan meer dan alleen maar de headers van de netwerkpakketten inspecteren. Voor deze voorziening moet de firewall het specifieke applicatie protocol kennen. Firewalls en IDS Pagina 8/80

Monitoring en logging: Zelfs al er een degelijke verzameling regels is opgesteld, is het zeer belangrijk dat er logbestanden gemaakt worden van alle activiteiten ter hoogte van de firewall. Hierdoor is het bijvoorbeeld mogelijk om een inbraakpoging te analyseren en informatie in te winnen over de performantie en de huidige filtering van de firewall. Een firewall is een uitstekende plaats om ook andere beveiligingstaken uit te voeren, omdat ze het punt is waar alle netwerkverkeer passeert. Deze extra mogelijkheden worden niet door alle firewalls ondersteund. Data caching: Omdat dezelfde data of inhoud van dezelfde website regelmatig opgevraagd wordt door verscheidene gebruikers, kan de firewall die data in een cache geheugen steken. Hierdoor kan de data veel vlugger terug opgevraagd worden, dan telkens opnieuw die data van het Internet te moeten halen. Content filtering: Met firewall regels kan je de toegang beperken tot bepaalde websites aan de hand van hun URL, of met bepaalde trefwoorden of inhoudstypes; bijvoorbeeld websites met video, of e-mail met uitvoerbare bijlagen. Deze worden ook proxy georiënteerde firewalls genoemd. Intrusion Detection en Intrusion Prevention: Bepaalde patronen in het netwerkverkeer kunnen een poging tot inbraak, intrusion, aantonen. In plaats van enkel de verdachte pakketten te weigeren en te blokkeren, kan de firewall alle toegang van een bepaalde bron, het verdachte IP adres, blokkeren om de intrusion te stoppen en eventueel de systeembeheerder op de hoogte brengen via email of sms. Load balancing: Vanuit beveiligingsoogpunt is deze enige doorgang van netwerkverkeer een goed idee. Voor de beschikbaarheid is dit een minder goed idee. Best wordt het inkomende en uitgaande netwerkverkeer over verscheidene samenwerkende firewalls verspreid. De meeste firewalls ondersteunen deze load balancing. Netwerk differentiatie : Een firewall wordt veelal aanzien als een grens tussen uw betrouwbare netwerk en de andere betrouwbare netwerken, zoals het Internet. Een firewall maakt een ideaal onderscheid tussen netwerken en helpt bij het controleren van de communicatie tussen deze netwerken. Dankzij deze voordelen worden firewalls ook intern geplaatst om zo bepaalde onderdelen van het bedrijf te scheiden, bijvoorbeeld het scheiden van de boekhouding van de rest van het interne netwerk. Packet redirection: Soms is het nodig om bepaalde trafiek naar een andere poort of host door te sturen. Een goed voorbeeld is de aanwezigheid van een Proxy Server op een andere host dan die van de firewall. Het is dan vanzelfsprekend dat alle verkeer automatisch met bestemming poort 80 of 443, de standaardpoorten voor http en HTTPS, doorgezonden worden naar de Proxy Server voor verdere verwerking. Versterkte authenticatie en encryptie: Een firewall kan gebruikers authenticeren en kan verbindingen met een andere firewall of netwerk encrypteren. Firewalls en IDS Pagina 9/80

Network Address Translation (NAT) NAT is één van de korte termijn oplossingen voor het schaars worden van het aantal publieke IPadressen door de groei van het Internet. Andere oplossingen die zijn ontworpen zijn het gebruik van subnet en klasseloze adressering. Deze techniek maakt het mogelijk dat meerdere computers in een site eenzelfde geldig publiek IP adres kunnen gebruiken. De uiteindelijke oplossing van de beschikbaarheid is IPv6. Meestal wordt NAT in devices, zoals routers en firewalls, geïmplementeerd. Natuurlijk moet elke computer in een netwerk een uniek IP adres bezitten. Als twee computers eenzelfde IP adres bezitten, zullen er conflicten ontstaan, omdat er bij een ARP request meerdere computers zullen antwoorden. NAT lost dit op door het gebruik van twee types adressen. De NAT device bezit een publiek IP adres en iedere computer in het netwerk bezit een uniek privé adres, ook niet routeerbaar adres genoemd. Er zijn 3 IP-ranges die voor privé-netwerken gebruikt kunnen worden. 10.0.0.0-10.255.255.255 of 10.0.0.0/8 172.2.16.0.0-172.31.255.255 of 172.16.0.0/12 192.168.0.0-192.168.255.255 of 192.168.0.0/16 Fig.: Architectuur met NAT Als een host op het interne netwerk naar het Internet wenst te gaan, dan is zijn privé adres niet geldig op het Internet, waardoor ook de benaming niet routeerbaar. Een NAT device zorgt voor de vertaling van een privé adres naar een publiek IP adres. Ook voor inkomend verkeer moet deze vertaling gebeuren. De meest eenvoudigste vorm van NAT vertaalt het bron IP adres van een datagram wanneer het gaat van het interne netwerk naar het Internet en het doel IP adres als een datagram gaat van het Internet naar het interne netwerk. Firewalls en IDS Pagina 10/80

Beschouw het volgende voorbeeld waarbij een firewall een publiek IP adres bezit 23.1.8.3, en aanschouw de vertaling die er gebeurt van een host met privé adres 10.65.1.7 die een datagram verzendt naar het Internet en een antwoord ontvangt. Fig.: Voorbeeld van een basic NAT of Network Address Translation Richting Veld Oude waarde Nieuwe waarde UIT IP bron 10.65.1.7 23.1.8.3 IP bestemming 39.5.1.40 -- geen verandering -- IN IP bron 39.5.1.40 -- geen verandering -- IP bestemming 23.1.8.3 10.65.1.7 Fig.: Voorbeeld van een NAT translation table of NAT vertalingstabel Meestal wordt er neen NAT vertalingstabel gebruikt om de informatie bij te houden, die nodig is voor het herschrijven van de IP adressen, dit wordt ook address mapping genoemd. Meestal gebeurt het plaatsen van deze informatie dynamisch. In ons voorbeeld gebeurt het volgende: NAT plaatst de informatie van de uitgaande connectie in de tabel. Als de computer op het Internet antwoord, weet NAT, dankzij de tabel dat het antwoord bestemd is voor het IP adres 10.65.1.7, terwijl de computer op het Internet geen weet heeft van dit privé adres. Deze basic NAT voldoet niet in volgende situaties: - Wat als 2 hosts willen praten met de server op het Internet? - Wat als 2 of meer toepassingen willen communiceren met het Internet? De meest gebruikte variatie op NAT, Network Address and Port Translation, NAPT, biedt een oplossing voor beide problemen. Dit mechanisme is zo populair dat de meeste IT professionals aannemen dat NAT, NAPT betekent. Er bestaan nog andere variaties van NAT, zoals Twice NAT en bi-directional NAT, maar ik laat deze buiten beschouwing. De basis van NAPT is het gebruik van TCP/UDP protocol poortnummers om verschillende services van elkaar te onderscheiden. NAPT gebruikt deze om datagrammen te kunnen associëren met een bepaalde TCP of UDP flow. Waar de basis NAT stopt op de IP-laag, gebruikt NAPT de transport laag headers. Als gevolg hiervan ziet een NAPT translation table er iets anders uit. Richting Veld Oude waarde Nieuwe waarde IP bron : TCP bron 10.65.1.7:3000 23.1.8.3:4001 UIT IP doel : TCP doel 10.65.1.8:3000 23.1.8.3:4002 Firewalls en IDS Pagina 11/80

IN IP bron : TCP bron 23.1.8.3:4001 10.65.1.7:3000 IP doel : TCP doel 23.1.8.3:4002 10.65.1.8:3000 Fig.: Voorbeeld van een NAPT translation table Beschouw het volgende voorbeeld waarbij 2 computers, met adressen 10.65.1.7 en 10.65.1.8, elk met een lokale poort 3000, met hun browser een TCP connectie vormen naar dezelfde webserver die op poort 80 luistert, en een NAPT device met het publieke IP adres 23.1.8.3. Om een confict te vermijden zorgt de NAPT device voor twee verschillende bron poorten voor beide TCP connecties, namelijk 4001 en 4002. Voordelen - Verzegelt de interne netwerkconfiguratie door IP masquerading : afschermen van het internet netwerk door het gerbuik van NAT. NAT vertaalt privé adressen naar publiek adressen en omgekeerd. Hierdoor heeft een computer op het Internet, een mogelijke hacker geen weet van de IP adressen van het interne netwerk, welke machines het zijn enz.. Wel beschermt NAT niet echt tegen aanvallen vanuit het Internet. Packet filtering blijft zeker nodig. Dit is ook de reden waarom dat een firewall veelal samengaat met de NAT-functie. - Vergroot beschikbaarheid van het aantal publieke IP adressen - NAT dwingt firewall controle af voor uitgaande connecties: dit omdat privé adressen niet routeerbaar zijn op het Internet en NAT nodig hebben. - NAT helpt de inkomende connecties te beperken: dit kan vergeleken worden met de dynamische packet filtering, maar werkt nog strikter door de vertaling van de IP adressen. Als de hacker te lang wacht, kan een de adres vertaling reeds vervallen zijn. Dit is niet altijd het geval, een voorbeeld hiervan is statische NAT. Nadelen: - Belemmert de logging van netwerkverkeer door IP masquerading NAT doet aan legale IP spoofing, waardoor er in de logs het IP adres van de firewall verschijnt. Er moet een correlatie gebeuren tussen de logs van de firewall en het NAT systeem, om mogelijke echte aanvallen te ontdekken. - NAT vertaalt niet alle adresgegevens van alle protocollen: Bij sommige protocollen bevatten pakketten ook echte adresgegevens buiten de headers. Voor bepaalde protocollen gebeurt vertaling in het datagedeelte toch, zoals bij FTP en ICMP. En voor andere protocollen kunnen IP routines geïnstalleerd worden door middel van NAT editors. Maar als er geen IP routines bestaan, gebeurt er geen vertaling van de adresgegevens, en kunnen hackers adresgegevens terugvinden in het datagedeelte. - Belemmert sommige encryptie en authenticatie systemen: Encryptie wordt gebruikt om de integriteit van een pakket te garanderen, zodat men weet dat het pakket niet veranderd is gedurende de communicatie. Als de headers niet geëncrypteerd worden, zal NAT zijn functie kunnen doen, maar als een bepaald protocol zoals IPsec, gans het pakket beveiligd, dan zal NAT niet mogelijk zijn. - Dynamische NAT benodigd status informatie die niet altijd aanwezig is: Bij een TCP connectie is het eenvoudig na te gaan wanneer die beëindigd is. Bij een UDP pakket is dit niet mogelijk. Dit betekent dat bij UDP-pakketten de vertaling onthouden wordt voor een bepaalde tijd. Na deze gegokte tijd zal de vertaling verdwijnen, waardoor er antwoorden verloren kunnen gaan of geleverd worden aan verkeerde computers. Firewalls en IDS Pagina 12/80

Tot nu toe hebben we vooral connecties besproken die starten vanaf het interne netwerk, waarbij vooral dynamische NAT gebruikt wordt. Er zijn twee situaties waarin NAT address mappings statisch zouden moeten zijn: - Static IP address assignment: Als je meerdere publieke IP adressen hebt voor je firewall, kan je bepaalde publieke adressen mappen met bepaalde privé adressen. Deze statische vertaling kan zowel voor inkomend als voor uitgaand netwerkverkeer gebruikt worden. - Static inbound translation of port forwarding of server publishing: wanneer je een bepaalde server met een privé adres toegankelijk wil maken voor het Internet, moet je in de firewall instellen dat inkomend verkeer op bepaalde poorten van het publiek IP adres van de firewall doorgestuurd moet worden naar de server in het interne netwerk. a) Static IP address assignment Beschouw dit voorbeeld waarbij je van je ISP de publieke IP adressen 23.1.4.8 tot 23.1.4.15 verkrijgt. Met dynamische NAT zou enkel het publieke IP adres 23.1.4.8 gebruikt worden. Dit omdat één publiek IP adres 65535 poorten heeft, en zo ook duizende connecties kan opzetten. Voor sommige programma s wens je toch een apart publiek IP adres te gebruiken, zoals Internet games of voor het loggen van bepaalde interne delen van het netwerk. Om bepaalde privé adressen te mappen met bepaalde publieke adressen, moet je een static address mapping instellen op je firewall. In dit voorbeeld hebben we ingesteld dat alle netwerkverkeer van het privé adres 10.1.65.7 gemapped moet worden met het publieke adres 23.1.4.12 Fig.: Voorbeeld van static address mapping Statische IP address mapping kan gebruikt worden voor uitgaand netwerk verkeer opgezet door de interne computer 10.1.65.7, of het kan ingesteld worden om het verkeer toe te laten komende van het Internet In dat geval zal al het netwerkverkeer, die toekomt op 23.1.4.12 op eender welke poort, doorgestuurd worden naar 10.1.65.7 Hou er wel rekening mee dat wel de packet filters bepalen of de pakketten effectief doorgestuurd worden. b) Static inbound translation In plaats van het statische mappen van alle poorten van een publiek IP adres aan een bepaald intern privé adres, laten de meeste firewalls je toe bepaalde poorten van het publieke IP adres te mappen met een bepaald privé adres. Dit wordt veelal port forwarding of server publishing genoemd. Omdat je een bepaalde poort kan mappen met bepaald interne IP adressen, kan hetzelfde publieke IP adres gebruikt worden om verschillende interne services aan te bieden door het gebruik van verschillende port-forwarding regels. Firewalls en IDS Pagina 13/80

Beschouw het voorbeeld waarbij inkomend verkeerd op poort 80 (HTTP protocol), poort 25 (SMTP mail protocol), en poort 119 (NNTP protocol) doorgestuurd worden naar verschillende interne servers In de onderstaande tabel worden enkel de inkomende connecties besproken. Het corresponderende uitgaande verkeer wordt dynamisch geregeld door NAT. Sommige firewalls laten het mappen van verschillende poorten toe. Bijvoorbeeld poort 8030 met poort 80 van de webserver, dit wordt ook secret ports genoemd. Fig. Static Inbound Translation Fig. Voorbeeld van Static Inbound Port Translation Monitoring en logging Tot nu toe hebben we gezien hoe je met packet filters en NAT je interne netwerk kan beveiligen. Hier zijn 4 goede redenen waarom ook monitoring en logging belangrijk zijn : - rapportage: Firewalls en IDS Pagina 14/80

op basis van de logs kan je de performantie en het gebruik opvolgen van je firewall en statistieken genereren - intrusion detection: op basis van logs kan je bepaalde patronen ontdekken, die aanduiden dat er ingebroken is op je netwerk. - aanvalsmethodes ontdekken; nadat je ontdekt hebt dat er ingebroken is op je netwerk, kan je via het onderzoeken van je logs, nagaan hoe deze inbraak mogelijk is geweest. Om zo te maken dat de huidige en toekomstige aanvallen wordt gestopt. - wettelijk bewijs: goede log files kunnen dienen als bewijs. Ze tonen namelijk aan, wanneer de dief voor het eerst heeft ingebroken, en welke acties hij heeft ondernomen. Je kan ook de audit functies gebruiken van je OS. Er bestaat software die helpt bij het analyseren van de log files. Vermijd het verwijderen van software en maak steeds goede back-ups, anders kan je niks meer achterhalen van wat er, wanneer is gebeurd op je netwerk. Veelal is dit het eerste wat een hacker tracht te doen, het verwijderen of het veranderen van de log files om zo zijn sporen te wissen. Data caching of load balancing a) Web caching Een web proxy service die intern de webaanvragen behandeld, kan de resultaten lokaal op zijn schijf bewaren. Bij veelvuldige webaanvragen naar dezelfde inhoud, kan de lokaal opgeslagen kopie naar de aanvragers gestuurd worden, in plaats van de inhoud telkens van het Internet te halen. Dit heeft een performantievoordeel en een lagere connectiekost als gevolg. Een HTTP-pagina kan een bepaalde vervaldatum bevatten alsook meta tags die bepalen of een pagina kan gecached worden of niet. Geëncrypteerde pagina s, bvb HTTPS, en pagina s met authenticatie worden niet gecached. Veel firewalls gebruiken geavanceerde technieken voor het cachen van webaanvragen. Sommige van deze technieken zijn de volgende: - Actieve caching: Bij weinig activiteit zal de caching service zelf zijn cache verversen voor data die binnenkort komt te vervallen. De data die automatisch ververst wordt, kan afhankelijk zijn van het aantal keren dat bepaalde objecten zijn opgevraagd. - Prefetch cache contents: In plaats van af te wachten dat gebruikers bepaalde webpagina s opvragen van het Internet, zal de caching services bepaalde veel opgevraagde websites reeds cachen. De beheerder bepaalt welke websites er worden opgeslagen in het cache geheugen. - Hiërarchische caching: Verscheidene caching servers kunnen een bepaalde hiërarchie vormen met een bepaalde centrale firewall met een supercache. Een veel voorkomend geval is die van dochterondernemingen met elk een caching server. Als een lokale cache van een dochteronderneming niet kan voldoen aan een webaanvraag, wordt die aanvraag doorgespeeld naar de centrale firewall, die toegang heeft tot het Internet. Firewalls en IDS Pagina 15/80

De resultaten worden opgeslaan op de centrale firewall, alsook in de lokale cache van de caching server van de dochteronderneming. - Gedistribueerde caching: Hier spelen alle deelnemende firewalls eenzelfde rol, maar hebben niet hetzelfde cachevermogen. Twee bekende methodes zijn: Internet Cache Protocol (ICP) Bij het ICP mechanisme werkt elke cache server onafhankelijk. Wanneer een webaanvraag bij een bepaald cache server aankomt, probeert hij eerst aan de aanvraag te voldoen met zijn eigen cache. Indien dit niet lukt, gaat hij de aanvraag doorspelen aan al de andere cache servers in de groep. Als zij kunnen voldoen met hun cache, zenden ze het resultaat naar de oorspronkelijke cache server, die het resultaat teruggeeft naar de aanvrager, en het resultaat ook zelf cached. Indien de andere cache servers in de groep de aanvraag niet kunnen voldoen, wordt de aanvraag door de oorspronkelijke caching server doorgespeeld naar een hoger gelegen centrale caching server of wordt het resultaat rechtstreeks opgevraagd van het Internet. In beide situaties wordt het resultaat terug gecached bij de oorspronkelijke cache server. Het verschil tussen de cache servers in de groep en de centrale caching server, ligt in het feit dat de centrale caching server de enige is die resultaten van het Internet kan halen. Cache Array Routing Protocol (CARP) De oorspronkelijke cache server bepaald op basis van een wiskundige berekening op de aangevraagde URL welke cache server er zal gecontacteerd worden om de aanvraag te behandelen. Het resultaat wordt door de behandelende cache server teruggestuurd naar de oorspronkelijke cache server, die het resultaat doorstuurt naar de aanvrager. Het cachen van het resultaat gebeurt door de behandelende cache server. Elk object kan maar éénmaal voorkomen in de totale cache. Het caching principe kan ook uitgevoerd worden voor webaanvragen vanuit het Internet naar een webserver, die zich achter de firewall bevindt, dit noemt men reverse caching. b) Load balancing Een andere methode die de performantie verhoogt van een firewall is het gebruik van meerdere firewalls in een groep, die samenwerken om het aantal van webaanvragen onder mekaar te verdelen. Door het groeperen van firewalls wordt ook redundantie mogelijk. ICP en CARP zijn methodes om de caching web aanvragen te verdelen onder een groep caching servers. Andere methoden om het aantal aanvragen te verdelen zijn de volgende: - DNS round robin Een DNS server kan voor eenzelfde DNS naam verschillende IP adressen registreren. Telkens als een computer vraagt aan de DNS server om een DNS naam te resolven naar een IP adres, zal de DNS server cyclisch door de lijst van IP adressen gaan, en zal telkens met een ander IP adres antwoorden. Ieder IP adres moet behoren tot de firewall. Het totaal aantal connecties naar de DNS naam wordt evenredig verspreid over het aantal IP adressen. Er wordt wel rekening gehouden met het feit of een firewall beschikbaar is of niet. Firewalls en IDS Pagina 16/80

- Software load balancing Hierbij wordt er software geïnstalleerd op de firewalls zelf of op de router juist voor de groep firewalls. De software weet hoe druk een bepaalde firewall het heeft op een bepaald moment, en op basis van deze informatie, verdeelt de software de aanvragen over de verschillende firewalls. Als twee of meer firewalls gegroepeerd worden, moeten deze automatisch de connecties onder elkaar verdelen en ze moeten op dezelfde manier geconfigureerd worden. Dit kan manueel gebeuren, maar beter is dat de configuraties gesynchroniseerd worden. Authenticatie en encryptie Encryptie technieken zorgen voor de beveiliging van de netwerkpakketten tijdens de communicatie over het netwerk. Encryptie technieken kunnen volgende functies hebben: - data confidentiality / vertrouwelijkheid van gegevens: dit komt overeen met het klassieke gebruik van encryptie. De data wordt versleuteld. Enkel de mensen die een welbepaalde sleutel bezitten, kunnen de data terug leesbaar maken. - authenticiteit van de zender: bij deze techniek wordt de oorsprong gegarandeerd - data integrity / integriteit van de gegevens: deze techniek verzekert dat de data die je ontvangt, niet veranderd is door een derde partij. Een goed voorbeeld is digitale handtekeningen op software, die je downloadt van het Internet. De verschillende encryptie protocollen die gebruikt worden om deze functies uit te voeren, kunnen volgende invloed hebben op je firewall: - je kan de data niet meer controleren - NAT kan niet meer uitgevoerd worden - je firewall kan een begin of eindpunt bieden voor een VPN Authenticatie protocollen worden gebruikt om gebruikers te identificeren aan de firewall. Als er geen authenticatie wordt gedaan, connecteert de gebruiker anoniem. Authenticatie is nodig als je firewall regels wil instellen die op bepaalde gebruikers of groepen moeten van toepassing zijn. Encryptie technieken worden hier terug gebruikt om deze authenticatiegegevens te beveiligen. Er bestaan verschillende authenticatie protocollen, zoals Basic authenticatie, die gebruik maakt van het HTTP protocol en Kerberos. Bij Secure Socket Layer (SSL), IPSec en VPN s wordt ook het data gedeelte versleuteld van de pakketten. A) Secure Socket Layer (SSL) Beveiligde connecties met het Internet kunnen gebruik maken van Secute Socket Layer (SSL) of het gelijkaardige Transport Layer Security (TLS). Dit is een encryptie applicatie level netwerk protocol die kan gecombineerd worden met veel gebruikelijke netwerk protocollen. Een goed voorbeeld hiervan is SSL voor HTTP, wat resulteert in https in de web browser. Enkel de data van de pakketten worden versleuteld, waardoor NAT geen probleem is, maar inspectie op de inhoud en het cachen van de data zijn onmogelijk. Firewalls en IDS Pagina 17/80

B) IP Security (IPSec) IPSec of Internet Protocol Security is een standaard voor het beveiligen van IP-communicatie door middel van encryptie en authenticatie van het netwerkverkeer. IPSec ondersteunt beveiliging vanaf de netwerklaag. Met IPSec kunnen alle toepassingen beveiligd worden. Deze protocollen kunnen werken in netwerkapparaten of rechtstreeks op werkstations en servers. IPSec kan transparant werken voor gebruikers als die toegepast wordt op netwerkapparaten. IPSec is een verzameling van cryptografische protocollen die zorgt voor de beveiliging van de pakketstroom en uitwisseling van sleutels. IPSec bestaat uit volgende protocollen: - Authentication Header (AH) voegt een checksum toe aan het IP pakket om zo te zorgen voor authenticiteit en data integriteit. Beveiligt de payload én alle header velden, behalve deze die kunnen veranderd worden bij routering, zoals TTL. Een authenticatie functue. IP protocol 50. - Encapsulating Security Payload (ESP) zorgt voor authenticiteit, data integriteit alsook confidentialiteit. Een encryptieauthenticatie functie. IP protocol 51. - Internet Key Exchange (IKE) IKE levert een standaard methode om dynamisch IPSec peers te authenticeren, de security diensten te onderhandelen en het genereren van gedeelde sleutels. ISAKMP biedt een framework voor het beheren van sleutels. Oakley biedt een framework voor de uitwisseling van de sleutels. Een SA of Security Association is de verzameling van algoritmes en parameters, zoals sleutels, dat een communicatie versleuteld en authenticeert tussen zender en ontvanger in één bepaalde richting. IPSec kan gebruikt worden in volgende twee modes: - Transport mode: versleutelt de inhoud of payload van het IP pakket, maar niet de header Wordt vooral gebruikt bij communicatie tussen twee hosts. - Tunnel mode: versleutelt de inhoud en de headers Het volledige IP pakket wordt ingekapseld in een IP pakket om ervoor te zorgen dat niks van het origineel pakket kan veranderd worden tijdens de communicatie door een tunnel van het ene netwerk naar het andere, bijvoorbeeld tussen firewalls en routers die IPSec ondersteunen. IPSec gebruikt zijn eigen regels om te bepalen welk netwerkverkeer er versleuteld zal worden. De firewall kan geen IP pakketten inspecteren die versleuteld zijn met IPSec ESP. De AH methode beveiligt de bron en het doel IP adres. De ESP methode beveiligt niet de IP header, maar het TCP of UDP gedeelte. NAT kan dus niet uitgeoefend worden bij zowel de AH en ESP-methode. Een oplossing voor dit probleem is dat beide uiteinden van de IPSec communicatie NAT Detection (NAT-D) of NAT Traversal (NAT-T) moeten ondersteunen. Dit houdt in dat het originele IPSec pakket, waarvan noch het IP adres noch de poort informatie kan gewijzigd worden, geplaatst worden binnen een ander pakket, waardoor toch NAT kan gebeuren. Firewalls en IDS Pagina 18/80

C) Virtual Private Networks (VPN s) Een VPN is een overeenkomst tussen twee computers, gescheiden door een publiek netwerk, zoals het Internet, om al IP pakketten bestemt voor het interne netwerk achter de andere computer. Er zijn drie mogelijke VPN scenario s die verband houden met de firewall: - Een VPN connectie tussen twee firewalls. - Een VPN connectie tussen een computer op het Internet en een firewall. - Een VPN connectie tussen een computer in het interne netwerk of op het Internet door de firewall heen. a) VPN tussen twee firewalls Een veelkomend scenario is een connectie tussen twee aftakkingen van een bedrijf. De twee interne netwerken zijn met elkaar verbonden alsof er een toegewijde privé link bestaat, maar in feite wordt er een versleutelde connectie gemaakt over het publieke netwerk, waardoor ook de naam virtual private network. Beschouw het volgende voorbeeld waarbij een computer in het ene netwerk een privé adres 10.65.1.2 heeft en wenst te communiceren met de andere computer in het andere netwerk met een privé adres 10.80.7.5. De computer kan als doel IP adres het interne IP adres van de andere computer gebruiken. De VPN software voegt een IP header toe met het publieke IP adres van de andere firewall, aan het IP pakket. Dit wordt encapsulatie genoemd. Bij aankomst aan de andere firewall wordt de extra header verwijderd, en gaat het pakket naar het doel IP adres van het ingekapselde pakket. Een VPN connectie wordt ook VPN tunnel genoemd. Bij IPSec worden er verschillende IPSec regels gedefinieerd om de encryptiemethode aan te geven voor de verschillende IP pakketten. Bij VPN wordt er enkel gekeken naar het doel adres en worden de pakketten allen op dezelfde manier versleuteld. Firewall regels kunnen ingesteld worden om maar bepaalde VPN netwerk connecties te aanvaarden. In dit scenario wordt het interne netwerk vergroot. Het gevaar ligt hem in het feit dat als een hacker inbreekt op het netwerk, hij potentieel twee netwerken kan aanvallen. Hiertegen kan u zich beveiligen door restrictieve pakket filters in te stellen op VPN verkeer en door Intrusion Detection te gebruiken. Fig. VPN tussen twee firewalls Firewalls en IDS Pagina 19/80

b) VPN vanuit het Internet In dit gelijkaardig scenario verbindt een bedrijfsmedewerker zich nu wel met een dynamisch publiek IP adres met de firewall van zijn firma, dus de VPN connectie wordt niet opgestart bij een firewall. Het doel van deze connectie is het veilig connecteren met het kantoor over het Internet. Maar door dit dynamisch IP adres, is het moeilijk om firewall regels te definiëren die restrictief zijn op adres. Het gevaar van hackers is hier veel groter. Als een hacker een laptop overmeesterd met een VPN connectie, kan hij in het interne netwerk snuisteren! Restrictieve firewall regels zijn hier een must. Fig. VPN vanuit het Internet c) VPN door de firewall In het derde scenario is de firewall noch het start noch het eindpunt van de VPN connectie. Dit kan gedaan worden om een veilige verbinding te bieden naar een zakelijke partner. De connectie wordt gemaakt tussen de firewall en een VPN server op het Internet. Fig. VPN door de firewall Een groot verschil met de andere twee scenario s is dat de firewall het netwerkverkeer niet kan inspecteren. Een ander groot verschil komt voor als de firewall ook de NAT functie uitoefent. Niet alle VPN protocollen ondersteunen namelijk NAT. De twee voornaamste VPN protocollen zijn Point-to-Point Tunneling Protocol (PPTP) en Layer Two Tunneling Protocol (L2TP). PPTP beveiligt de IP header niet, waardoor NAT kan gebeuren. L2TP gebruikt IPSec om zijn pakketten te beveiligen. Hier kan enkel NAT gebeuren als de twee communicerende firewalls NAT-D of NAT-T ondersteunen. Firewalls en IDS Pagina 20/80

Firewall methodiek a) Packet filtering / Stateless Packet filtering Pakket filters werken op de netwerklaag, de derde laag van het OSI-model. Het IP-verkeer bestaat uit headers, data en controle. Pakket filters controleren en inspecteren elke header van elk netwerkpakket dat bij de firewall toekomt. De beheerder bepaalt welke pakketten in welke richting toegelaten of geblokkeerd worden. NAT kan worden toegevoegd aan de firewall maar dat is niet altijd zo. Het pakket gaat zonder aanpassingen verder als het wordt doorgelaten. Maar dat is niet echt zo. Een IP-pakket wordt altijd aangepast als het door netwerkapparatuur passeert. De router of firewall verlaagt de numerieke waarde van de TTL-informatie (Time To Live). Algemeen bevatten deze regels meestal: IP-adres van de bron: De bron is niet altijd het adres van de oorspronkelijke afzender. Het kan om geldige redenen tussen afzender en de firewall door NAT gewijzigd zijn, maar ook hackers kunnen IP-adres wijzigen. In dat geval spreken we van IP-spoofing. IP-adres van de bestemmeling: Dit is het IP-adres dat het pakket wil bereiken. Zorg ervoor dat je de echte IP-adressen in de pakketregels vermeldt, niet de DNS-naam. Een hacker kan de DNS server overnemen en zo de pakketfilters omzeilen. Identificatie (ID) van het IP-protocol: Een IP-header wordt gevolgd door protocolheaders. Alle protocollen hebben hun eigen identificatie. De ID's van enkele bekenste protocollen zijn: TCP (ID 6), UDP (ID 17), ICMP (ID 1), GRE (ID 47) die gebruikt wordt bij PPTP connecties en ESP (ID 50) en AH (ID 51), die gerbuikt worden bij het IPSec protocol. TCP of UDP poortnummer van bron en bestemming: Het poortnummer geeft aan voor welke service een pakket bestemd is. Heel wat services luisteren op een vaste poort., bvb HTTP (poort 80), FTP (poort 20/21). Richting van het verkeer: In of uitgaand verkeer Toelaten of blokkeren / Allow of Deny Firewalls en IDS Pagina 21/80

Richting Frame type Bron IP Doel IP IP Type Bron Poort Doel Poort In 0800 * 192.5.48.1 TCP * 80 In 0800 * 192.5.48.2 TCP * 25 In 0800 * 192.5.48.3 TCP * 53 In 0800 * 192.5.48.4 UDP * 53 Uit 0800 192.5.48.1 * TCP 80 * Uit 0800 192.5.48.2 * TCP 25 * Uit 0800 192.5.48.3 * TCP 53 * Uit 0800 192.5.48.4 * UDP 53 * Fig. Voorbeeld van een firewall configuratie met pakketfiltering. Hier gaan we ervan uit dan we standaard alles op Deny gezet hebben. En enkel de Allow regels hebben gedefinieerd. Omdat de beheerder bepaalde combinaties van bron en bestemmingsadressen en services kan specifiëren in een packet filter regel, kan de beheerder de toegang controleren naar bepaalde services op bepaalde computers. Er moet opgelet worden met: - ICMP-berichttype: ICMP is het netwerkdiagnose protocol van TCP/IP. Sommige zijn nuttig en sommige vrij gevaarlijk, daar die ook door externen kunnen uitgevoerd worden. - Fragmenten: IP pakketten kunnen opgesplitst worden in kleinere pakketten, omdat bepaalde netwerk segmenten enkel met een bepaalde maximum pakket grootte werken, de Maximum Transmission Unit (MTU). Door de manier waarop de pakketten gesplitst worden en terug samengesteld, Firewalls en IDS Pagina 22/80

kunnen hackers een DoS trachten te bereiken of bepaalde pakketten in één frame doorsturen met gevaarlijke inhoud. Een goede strategie is het niet doorlaten van fragmenten, als het eerste fragment niet is aangekomen. - IP Options instellingen: deze instellingen werden ook gebruikt ten behoeve van netwerkdiagnose. Vooral de Source Route Option is gevaarlijk. De afzender bepaalt bij deze de weg die het pakket moet afleggen, dit kan zijn via bepaalde toestellen van een hacker. Een goede strategie is alle netwerkverkeer blokkeren met deze IP Options instellingen. Een packet firewall kan IP-spoofing detecteren als het pakket die bij de WAN netwerkinterface aankomt een IP-adres heeft van het interne netwerk. Voordelen: Snelheid: enkel de headers van de pakketten worden bekeken Lage kosten: pakket filtering gebeurt meestal door routers, deze maken een eerste filtering op de grens met het Internet. Gemakkelijk in gebruik Houdt vooral DoS-aanvallen tegen Nadelen: IP-spoofing: IP-spoofing kan niet gedetecteerd worden, behalve als de spoofer-afzender een IP adres gebruikt van het interne netwerk Kan niet werken met applicatie laag data Kan geen veiligheidsinspecties doen Encryptie en authenticatie kunnen niet behandeld worden omdat deze op hogere lagen van het OSI model werken. b) Stateful Packet Filtering Stateful packet filtering wordt ook wel stateful packet filtering of stateful inspection genoemd. Stateful inspection werkt met het concept connecties. Een connectie wordt gedefinieerd als het legitieme verzenden en ontvangen vanuit één bron naar en van één doel. Het connectiepaar bestaat uit volgende 4 parameters : - het bron adres - de bron poort - het doel adres - de doel poort TCP in de 4 de laag van het OSI model gebruikt deze connectie methodiek, terwijl IP connectieloos werkt op de 3 de laag, wat ook het grote verschil is met stateless packet filtering Firewalls en IDS Pagina 23/80

Fig. Stateful Packet Filtering proces Stateful Packet Filtering firewalls bevatten een dynamisch geheugen die de statustabellen van alle inkomende en reeds opgezette connecties bevatten. Elke connectie is gelogd in deze tabellen. Nadat de connectie is gevalideerd, worden de pakketten onderworpen aan de firewall regels. Wanneer een TCP connectie wordt opgezet, begint dit steeds met een SYN van de zender, dit wordt genoteerd in de statustabellen. Hierna wordt een ACK verwacht van de ontvanger. Als deze volgorde niet gerespecteerd wordt, wordt het pakket tegengehouden. Voor UDP bestaat er ook een pseudo-manier om de connectie te volgen. Als een connectie opgezet wordt, wordt dit ook genoteerd in de statustabellen. Een pakketje zal enkel dan terug ontvangen worden, als er een bepaalde entry reeds zich in de tabel bevindt. De firewall onthoudt de staat' van het verwachte retourpakket bij de communicatie op het netwerk. Stateful packet filtering wordt ook wel dynamic packet filtering mirorring genoemd. Dit door het feit dat er automatisch een tijdelijke pakket filter gecreëerd wordt die verkeer toelaat op de terug poort. Deze is enkel geldig voor een beperkte duur. Even het verschil duidelijk maken tussen stateful en stateless packet filtering. Bekijk volgende voorbeeld. Een IP-pakket wordt verzonden naar een website (HTTP poort 80) met een verzoek tot informatie. Dit verzoek bevat de zender zijn IP adres en een poort boven 1023, bijvoorbeeld 3000. Een firewall die stateless filtert houdt er geen rekening mee dat er binnenkort een pakket zal toekomen op poort 3000. De firewall moet alle poorten boven 1023 openstellen, om de communicatie mogelijk te maken. Een hacker kan dan zo gemakkelijk alle poorten boven 1023 gebruiken. Een stateful pakketfilter daarentegen verwacht enkel communicatie tussen poort 80 en 3000, en zal niet alle andere poorten openstellen. Voordelen: - veiliger door het invoeren van status tabellen Nadelen: - complexere architectuur, complexer beheer - trager door bewerkingen, vooral als het aantal connecties enorm oploopt - controleren niet de inhoud van applicaties Firewalls en IDS Pagina 24/80

c) Circuit-level Gateways Een Circuit-level Gateway wordt ook wel eens een Circuit-Relay genoemd. Deze is verwant met Stateful inspection filtering, door het werken met sessies, als mede met de Application Proxy, door de gebruikte methodiek van indirecte verbinding. Er is een verbinding tussen de gebruiker en de firewall op het interne netwerk en een afzonderlijke verbinding met een host op het Internet. Op het moment dat de twee verbindingen tot stand zijn gebracht, zal de Gateway de informatie doorsturen van de ene verbinding naar de andere zonder de inhoud ervan te onderzoeken. Fig. Circuit-level Gateway De Circuit-level firewall wordt meestal gebruikt voor die applicaties die geen specifieke bedreiging vormen en voor applicaties waar geen Proxy-software voor bestaan. De beveiligingsfunctie bestaat erin te bepalen welke verbindingen toegestaan zullen worden. Voordelen: Ze beveiligen beter het netwerk dan een pakketfilter door het opzetten van 2 aparte communicaties door de firewall. Nadelen: Circuit-relays oefenen geen controle uit op applicatieniveau: netwerkpakketten worden niet gecontroleerd op hun inhoud. d) Application Proxy Een Application Proxy werkt op applicatieniveau, het hoogste niveau in het OSI-model. Ze worden ook Application Gateways genoemd. Firewalls en IDS Pagina 25/80

Fig. Application Proxy Data Flow Fig. Application-level gateway De twee belangrijkste verschillen tussen packet filtering en application proxies zijn de volgende: Voordelen: - Packet filtering inspecteert alleen de pakket header. De application proxy daarentegen controleert naast de header ook de volledige inhoud van het pakket. - Een pakket filter laat een toegelaten pakket door. Hetzelfde pakket gaat van de computer van het interne netwerk naar de server op het Internet. Een application proxy maakt een nieuw pakket aan voor het toegelaten pakket. Het nieuwe pakket wordt gezonden van de firewall naar de server op het Internet. Eenzelfde strategie wordt toegepast voor het terugkerende pakket. Er zijn dus twee verschillende connecties. - heel de inhoud van het pakket wordt geïnspecteerd: De beveiliging kan goed uitgewerkt worden. Bijvoorbeeld: blokkeer alle com- en exe bestanden of blokkeer alle VBS scripts - er kan een meer gedetailleerde log file gecreëerd worden van wat door de firewall gestuurd is, omdat de application proxy het applicatie protocol begrijpt. - de computer van het interne netwerk en het internet hebben nooit een echte connectie. Dit betekent dat buffer overflows en illegale voorwaarden in de pakketen nooit de bestemming van de interne computer bereiken. Firewalls en IDS Pagina 26/80

- een applicatie proxy verkrijgt een pakket van in zijn eerste connectie, hermaakt dit pakketje en verzend dit over zijn tweede connectie naar zijn eindbestemming in opdracht van zijn afzender. - Hij routeert geen pakketten tussen netwerkkaarten. Als dus de application proxy of firewall crasht, zal de connectie ook beëindigd worden. Bij een packet filter, zou het kunnen dat alle pakketten gerouteerd worden. - kan netwerkverkeer met verscheidene connecties inspecteren - omdat een application proxy de ganse data bekijkt, kunnen de verkregen antwoorden in een cache geheugen opslaan worden, bvb webpagina s. Herhaaldelijke vragen naar deze informatie kunnen beantwoord worden door deze cache, in plaats van de inhoud telkens terug af te halen. Nadelen: - proxy per applicatie: De proxy moet voor elk programma het gebruikte toepassingsprotocol kennen. Voor elke netwerktoepassing moet de firewall een bepaalde proxy hebben. De meeste firewalls ondersteunen wel proxy voor algemene toepassingen, zoals FTP en HTTP. - vereiste proxy configuratie: voor sommige application proxies moeten de computers geconfigureerd worden om de proxy te vinden, dit zijn de classic application proxies. Als de interne computer zonder een speciale computer de proxy vindt, dan wordt die een transparent application proxy genoemd. - Traag: Proxy firewalls zijn erg intensieve programma's. Zorg voor een goed en snel werkend systeem om het programma te kunnen dragen. De firewall kan het netwerk vertragen. Om de snelheid van verwerking te verhogen kunnen er afzonderlijke proxies gebruikt worden per toepassingsprotocol. Fig. Vergelijking tussen de verschillende firewall methodieken Firewalls en IDS Pagina 27/80

e) Hybride Firewalls Hybride firewalls worden ook wel Stateful Multilayer Inspection firewalls genoemd. Hybride firewalls gaan het verkeer controleren op de verschillende lagen van het OSI-model samen. De statefull multilayer inspection firewall combineert de functies van de andere firewalls in één oplossing. Zo filtert hij de datapakketjes op de netwerk laag, controleert de legitimiteit van de sessie pakketjes en evalueert de inhoud van de pakketjes op de applicatie laag. Toch zijn de de functies van firewalls niet zomaar bij elkaar gevoegd. Er zijn namelijk een aantal significante verschillen ten opzichte van de individuele oplossingen: - directe connectie tussen de client en host: Gevoelige informatie over het interne netwerk wordt middels filtering uit de datapakken verwijderd, ook wel adress translation genoemd - logaritmes ipv proxies: Deze firewall gebruikt verschillende logaritmes om de application layer informatie te analyseren. De application level gateway voert deze analyses uit aan de hand van applicatie specifieke proxies. Voordelen: - verschillende beveiligingstechnieken worden gecombineerd - efficiënter Nadelen: - duurder - moeilijker te beheren Algemene strategie: Allow-All or Deny-All Eén van de eerste dingen dat je moet beslissen als je een firewall configureert is de algemene strategie dat je gaat hanteren, om te bepalen welk netwerkverkeer je zal toelaten of weigeren tot je netwerk. Er zijn 2 strategieën. Allow-All / Alles toestaan: Alle netwerkpakketten worden doorgelaten, behalve de pakketten die men zelf beslist te weigeren. Deny-All / Alles weigeren: Alle netwerkpakketten worden geweigerd, behalve de pakketten die men zelf beslist toe te laten. Op het eerste zicht is alles toestaan" eenvoudiger. In de alles toelaten strategie zou je alle mogelijke methoden van mogelijke aanvallen moeten opsommen en blokkeren. Dit resulteert in enorm veel regels, en de kans dat je er een paar vergeten bent, is groot. Wat bij nieuwe ontdekte methoden of services waarmee een aanvaller gemakkelijk in je netwerk kan inbreken. Dus deze strategie is veel onveiliger dan de alles weigeren. Firewalls en IDS Pagina 28/80

Het kan zijn dat je firewall reeds automatisch een bepaalde standaardstrategie heeft ingesteld staan, bijvoorbeeld de alles weigeren. In de praktijk wordt een combinatie van de 2 strategiëen gebruikt. Er zijn verschillende manieren om een lijst van firewallregels op te stellen. De meeste firewalls gebruiken de volgende technieken: Op volgorde / In Order: De regels worden in een chronologische volgorde verwerkt. De regel die met het huidige IP-pakket overeenkomt, wordt als eerste toegepast. De overige regels worden niet bekeken. Eerst weigeren / Deny first: De regels die het verkeer weigeren worden als eerste verwerkt. De regels die verkeer doorlaten worden verwerkt als er geen regels zijn die het verkeer blokkeert. Eigen volgorde / Best fit: Er zijn natuurlijk firewalls die hun eigen volgorde hanteren. Meestal betekent dit van gedetailleerde naar algemene regels. Fig. Volgorde van verwerken van firewall regels Het is belangrijk dat de systeembeheerder weet welke volgorde gebruikt wordt in zijn firewall. Bekijk deze drie simpele firewall regels. Beeld je in dat Kim, die een lid is van de Temps groep, probeert zich te connecteren naar een website op het Internet. Naargelang de techniek die toegepast wordt op de regels door de firewall, kan er een verschillend resultaat bekomen worden. Het resultaat kan Regel A zijn, door de In order techniek => actie toegelaten Het resultaat kan Regel B zijn, door de Deny First techniek => actie geblokkeerd Het resultaat kan Regel C zijn, door de Best Fit techniek = > actie toegelaten. Hoe de regels er effectief zullen uitzien hangt af van het gekozen Security Policy. Firewalls en IDS Pagina 29/80

Firewall architecturen Het bepalen van regels op de firewall is niet voldoende om uw interne netwerk veilig te stellen. Je moet ook weten waar je de firewall gaat plaatsen in uw netwerk. Bijzonder beschermde gebieden, genaamd Demilitarized Zones (DMZ) komen hier onder andere aan bod en hoe je meerdere firewalls kan plaatsen om nog betere DMZ s te creëren. Je kan verschillende netwerkconfiguraties gebruiken om uw netwerk te beveiligen. A) No-Box oplossing: De ISP firewall service Kantoren die geen geld willen uitgeven aan een netwerk firewall kunnen kiezen voor de ISP firewall service, alhoewel deze dienst niet door alle ISP s worden voorzien. Het enigste voordeel van deze dienst is dat het goedkoop is. Door volgende mogelijke belangrijke nadelen van deze dienst wordt het duidelijk dat deze optie niet doeltreffend is voor de veiligheid van uw netwerk: - de ISP oplossing is niet aangepast naar uw noden. Het kan ook de veiligheid moeten garanderen voor veel andere klanten. Dit wil zeggen dat de ingestelde regels waarschijnlijk niet strikt genoeg zijn opgesteld naar uw noden. - de ISP firewall regels kunnen te strikt zijn opgesteld. Als je een bepaald protocol nodig hebt, kan het zijn dat je de configuratie niet kan aanpassen. - de ISP s kunnen niet voldoen aan de Internetwensen van uw gebruikers, wat resulteert in het installeren van bijvoorbeeld port redirection software om zo de ISP firewall regels te omzeilen, wat dan ook resulteert in een verlaagde veiligheid van uw interne netwerk. B) Single-Box oplossingen a) Screening Router Het is mogelijk om een packet filtering systeem te gebruiken als firewall, zoals een screening router. Dit is een goedkope oplossing omdat je meestal toch een router nodig hebt om je te connecteren tot het Internet. Dit is niet echt een flexibele oplossing, omdat je enkel op IP adres en poort nummer kan filteren, en niet meer in detail kan gaan. Bijkomstig nadeel is dat als je router gehackt wordt, heb je geen beveiliging meer. Fig Gebruik van een screening router met packet filtering Firewalls en IDS Pagina 30/80

Een screening router als firewall is aangewezen bij: - een netwerk waarbij iedere host een hoge graad van beveiliging bezit - het aantal gebruikte protocollen laag is en vanzelfsprekend zijn - als je een maximum performantie nastreeft en redundantie - als interne firewalls en voor netwerken die Internet diensten aanbieden b) Dual-Homed firewall De eenvoudigste netwerkvorm met een firewall is een dual-homed computer. Een dual-homed computer bevat firewallsoftware en 2 netwerkkaarten, waarmee hij het interne netwerk met het Internet verbindt. Fig. Dual-Homed host architectuur Voordelen: - goedkoop - gemakkelijk te configureren Nadelen: - 1 beveiligingspunt: Als de firewall gekraakt wordt is het ganse netwerk toegankelijk. - 1 lange lijst met firewall regels - geen aparte netwerksegmenten: Er kunnen geen aparte segmenten gecreëerd worden voor het beveiligen van servers die toegankelijk moeten zijn vanaf het Internet, zoals DMZ s, ook screened subnets genoemd. Op de dual-homed host moet de functie IP-forwarding uitstaan. IP-forwarding routeert automatisch pakketten tussen de twee netwerkkaarten. Het is belangrijk dat beide netwerken niet rechtstreeks met elkaar communiceren. Alle netwerkverkeer moet langs de firewall passeren en gecontroleerd worden. Een dual-homed host is aangewezen bij: - weinig Internet verkeer - het Internetverkeer is niet bedrijfskritisch - er worden geen Internet diensten geleverd - het beveiligde netwerk mag geen belangrijke data bevatten Firewalls en IDS Pagina 31/80

C) Screened host architectuur Fig. Een screened host architectuur De figuur toont een vereenvoudigde versie van een screened host architectuur. De screened host zit in het interne netwerk. De pakket filtering functie van de screening router is zo opgezet dat elke connectie naar het Internet via de bastion host moet gebeuren. De screened host moet een extra beveiligde computer zijn, vandaar ook de naam bastion host. In vele bedrijven is een bastion host een proxy server. Je kan een verschillende aanpak aannemen voor verschillende diensten. Sommige diensten kunnen rechtstreeks gebeuren met de packet filtering van de screening router. Andere kunnen dan weer enkel onrechtstreeks gebeuren via de proxy. Door deze twee invalswegen lijkt een screened host architectuur minder veilig. Die is wel veiliger dan de dual-homed, omdat een router beter te beveiligen is dan een host. Maar een screened subnet is nog steeds de betere oplossing, omdat zowel de router als de bastion host maar één beveiligingspunt zijn. Een screened host architectuur is aangewezen bij: - als er maar een aantal connecties komen van het Internet, maar dit is niet de ideale oplossing voor publieke webservers - als het beschermde netwerk een hoge graad van host beveiliging heeft Firewalls en IDS Pagina 32/80

D) Screened Subnet architecturen De screened subnet architectuur voegt een extra laag van beveiliging toe op die van de screened host architectuur door het toevoegen van een perimeter netwerk, dat verder het interne netwerk afschermt van het Internet. Bastion hosts zijn de machines die kunnen aangevallen worden vanuit het Internet, en zijn dus ook het kwetsbaarst. Als men in een screened host architectuur de bastion host aanvalt en overmeestert, dan ligt het ganse netwerk aan hun voeten. Maar door een bastion host in een perimeter netwerk te zetten, ligt het ganse netwerk niet meer sowieso aan de hacker zijn voeten. Volgende figuur toon een mogelijke firewall configuratie waarbij een screened subnet architectuur gebruikt wordt. Fig. Screened subnet architectuur met twee routers Bij het eenvoudigste type van screened subnet architectuur, zijn er twee screening routers, beiden geconnecteerd met het perimeter netwerk. Een externe router tussen het Internet en het perimeter netwerk en een interne router tussen het perimeter netwerk en het interne netwerk. Als een hacker zou willen binnenbreken in het interne netwerk, zou hij langs beide routers moeten trachten te geraken. Het wordt dus duidelijk dat bij deze architectuur het zwakke punt van één beveiligingspunt weggewerkt is. Even de verschillende componenten bespreken: - Het Perimeter Netwerk Het Perimeter Netwerk wordt ook wel eens DMZ, De-Militarized zone, genoemd Het perimeter network voegt een extra laag van beveiliging toe, een extra netwerk tussen het externe netwerk en uw beveiligde interne netwerk. Iedere machine kan alle netwerkverkeer monitoren bijvoorbeeld door het gebruik van sniffers, zoals WireShark. Zo kunnen paswoorden en andere gevoelige data onderschept worden. Omdat de bastion host zich op een ander netwerk bevindt dan het interne netwerk, wordt het interne netwerkverkeer van de aanvaller afgeschermd, zelfs al is de bastion host in zijn handen gevallen. Natuurlijk kan de aanvaller wel het verkeer zien van en naar de bastion host. Firewalls en IDS Pagina 33/80

- De Bastion Host In het perimeter network wordt een bastion host gezet, deze host is het contactpunt voor inkomende connecties van de buitenwereld, bijvoorbeeld voor inkomende mail, FTP, DNS, enz... Uitgaande connecties, interne computers naar het Internet worden als volgt behandeld: - door pakket filtering op beide routers, zodat interne hosts rechtstreeks kunnen connecteren met het Internet -door proxy servers te draaien op de bastion host, als die ondersteund worden, om onrechtstreeks te connecteren met externe servers. - de Interne Router De interne router ook soms choke router genoemd, beveiligt het interne network van het Internet en van het perimeter netwerk. De interne router doet de meeste packet filtering van de firewall. Het laat bepaalde veilige services door van het interne netwerk naar het Internet. Het aantal services tussen de bastion host en het interne netwerk moeten beperkt blijven. Omdat dit de toegang naar het interne netwerk verhoogt voor de hacker. Bijvoorbeeld DNS en SMTP voor inkomende mail. - de Externe Router De externe router wordt ook wel de access router genoemd. In theorie beveiligt de externe router zowel het perimeter netwerk als het interne netwerk tegen het Internet. In de praktijk daarentegen laat de externe router bijna alle netwerkverkeer door en doen hij weinig packet filtering. De packet filtering regels voor de computers op het interne netwerk zouden moeten dezelfde zijn, zowel op de interne als op de externe router.het komt veel voor dat de externe router vervangen wordt door die van de ISP. De enige packet filtering regels dat speciaal zijn op de externe router zijn die om de machines op het perimeter netwerk te beschermen, dit zijn de bastion hosts en de interne router. De rest van de regels zouden gekopieerd moeten worden van de interne router, maar voor proxy services, moet enkel de bron van de bastion host vermeld worden. De Externe Router is de beste plaats om IP-spoofing te detecteren. Een screened subnet architectuur wordt in veel situaties aangeraden. Firewalls en IDS Pagina 34/80

E) Architecturen met Meerdere Screened Subnets Sommige netwerken hebben meer dan één screened subnet nodig. Dit gebeurt wanneer er op het screened subnet meerdere dingen moeten gebeuren, die een verschillende beveiliging nodig hebben. E)1) Split-Screened Subnet Bij een split-screened subnet, is er nog steeds een interne en een externe router, maar meerdere netwerken zijn aanwezig tussen de twee routers. De screened netwerken zijn meestal met elkaar verbonden door één of meerder dual-homed hosts, niet door nog een andere router. In sommige sites wordt deze architectuur puur gebruikt om een meer diepgaande beveiliging te bieden. De routers beveiligen tegen vervalsing van IP adressen, en beveiliging tegen storingen als de dual-homed host verkeer begint te routeren. De dual-homed host biedt een fijnere filtering aan van de connecties, deze is beter dan de door de screening router uitgevoerde packet filtering. Fig. Split-screened subnet met dual-homed host Andere gebruiken split-screened subnets voor hun administratieve toegang naar hun machines, die Internetdiensten aanbieden. Dit laat beheerders toe bepaalde protocollen te gebruiken, die niet in de handen van het Internet mogen vallen. Firewalls en IDS Pagina 35/80

Fig. Split-screened subnet zonder doorgaand verkeer Dit kan ook handig zijn voor performantie redenen. Zo wordt de bandbreedte, die gebruikt moet worden voor de bastion hosts met Internetdiensten, niet verbruikt door het administratief verkeer. Split-screened subnets zijn aangeraden als een hoge graad van beveiliging gewenst is, in het bijzonder bij het aanbieden van de Internetdiensten. Firewalls en IDS Pagina 36/80