Firewalls im Unternehmenseinsatz
von: Jörg Fritsch, Steffen Gundel
dpunkt, 2005
ISBN: 9783898643221
Sprache: Deutsch
369 Seiten, Download: 6886 KB
Format: PDF, auch als Online-Lesen
Inhaltsverzeichnis | 6 | ||
Vorwort | 12 | ||
Was wir mit diesem Buch erreichen wollen | 12 | ||
Zielgruppe | 13 | ||
Der Aufbau dieses Buches | 14 | ||
Teil I: Einführung | 18 | ||
1 Tatort: Das Testnetzwerk | 20 | ||
1.1 Aufbau des Testnetzwerks | 23 | ||
1.1.1 Server- und PC-Landschaft | 24 | ||
1.1.2 Internetanbindung und Webplattform | 27 | ||
1.1.3 Remote-Access-Zugänge | 33 | ||
1.1.4 IP-Adresskonzept | 35 | ||
1.2 Layer-2-Switche und VLANs im Umfeld von Firewalls | 38 | ||
1.2.1 VLANs und Layer-2-Attacken | 38 | ||
1.2.2 Topologische Aspekte von VLANs | 40 | ||
2 Technologien in Umfeld von Firewalls | 44 | ||
2.1 Was ist eine Firewall? | 44 | ||
2.2 Einiges zu TCP/IP | 45 | ||
2.2.1 Header und Kapselung | 45 | ||
2.2.2 Fragmentierung | 47 | ||
2.2.3 Ports und Netzwerkverbindungen | 47 | ||
2.3 Paketfilter | 49 | ||
2.3.1 Statische Paketfilter | 49 | ||
2.3.2 Dynamische Paketfilter | 53 | ||
2.4 Proxy-Firewalls | 61 | ||
2.4.1 Vorteile von Proxy-Firewalls | 63 | ||
2.4.2 Probleme von Proxy-Firewalls | 63 | ||
2.5 Firewalls in der Praxis: Hybrid-Technologie | 65 | ||
2.5.1 Hybrid-Firewalls auf Paketfilter-Basis | 65 | ||
2.5.2 Hybrid-Firewalls auf Proxy-Basis | 66 | ||
2.5.3 Die Begriffe »Firewall-Umgebung« und »DMZ« | 66 | ||
2.6 Weitere Aufgaben von Firewalls | 67 | ||
2.6.1 Logging, Alerting und Accounting | 68 | ||
2.6.2 Authentifizierung | 69 | ||
2.6.3 Adressübersetzung | 70 | ||
2.6.4 Verschlüsselung | 73 | ||
2.6.5 Content Security | 74 | ||
2.6.6 Intrusion Prevention | 77 | ||
3 IP-Forwarding | 84 | ||
3.1 Verarbeitung von Netzwerkverkehr im PC-Router | 86 | ||
3.2 Routing und Forwarding | 88 | ||
3.3 Eine Appliance mit PC-Architektur: Cisco PIX Firewall | 90 | ||
3.4 PC-Architekturen ausreizen: Check Point SecureXL API | 90 | ||
3.5 Nutzung der SecureXL API Beispiel 1: Check Point FireWall- 1 Performance Pack und Nokia IPSO ab rev. 3.8 | 91 | ||
3.6 Verarbeitung von Netzwerkverkehr in echten Routern | 93 | ||
3.7 Nutzung der SecureXL API Beispiel 2: Nortel Networks Alteon Switched Firewall System (ASFS) | 95 | ||
Teil 2: Implementierung und Betrieb von Firewalls | 98 | ||
4 Integration von Firewalls in das Unternehmensnetzwerk | 100 | ||
4.1 Absicherung des Internetzugangs mit einer Firewall | 101 | ||
4.1.1 Ausgangssituation | 101 | ||
4.1.2 Das Sicherheitsproblem | 103 | ||
4.1.3 Netzwerkseitige Integration der Firewall | 105 | ||
4.1.4 Bildung von DMZs | 108 | ||
4.1.5 Das Produkt: Check Point FireWall-1 | 109 | ||
4.1.6 Sun als Plattform | 109 | ||
4.1.7 Alternative Plattformen | 115 | ||
4.1.8 Installation der Check Point FireWall-1 | 117 | ||
4.1.9 Konfiguration der Check Point FireWall-1 | 119 | ||
4.2 Aufbau einer Intranet-Firewall | 135 | ||
4.2.1 Ausgangssituation | 135 | ||
4.2.2 Sicherheitsprobleme und Lösungsansätze | 140 | ||
4.2.3 Modifikation der Ausgangssituation | 146 | ||
4.2.4 Netzwerkseitige Integration der Firewall | 147 | ||
4.2.5 Das Produkt: Cisco PIX | 150 | ||
4.2.6 Funktionsweise und Interna der Cisco PIX | 151 | ||
4.2.7 Installation der Cisco PIX | 153 | ||
4.2.8 Konfiguration der Cisco PIX | 153 | ||
4.2.9 Ausblick | 166 | ||
4.3 Grenzen von Firewalls | 171 | ||
5 Virtual Private Networks und sichere Verbindungen | 172 | ||
5.1 Überblick über VPN-Technologien | 175 | ||
5.1.1 Layer-2-basierte VPNs: ATM | 175 | ||
5.1.2 Layer-3-basierte VPNs: MPLS | 176 | ||
5.1.3 IPSec-VPNs (Layer 3 und Layer 4) | 178 | ||
5.1.4 Applikationstunnel auf Layer 4: SSL-VPNs | 179 | ||
5.2 IPSec = AH + ESP + (IPcomp) + ISAKMP/IKE | 179 | ||
5.2.1 IP Authentication Header (AH) | 180 | ||
5.2.2 IP Encapsulation Security Payload (ESP | 181 | ||
5.2.3 Internet Key Exchange (IKE) | 188 | ||
6 VPNs im Umfeld von Firewalls | 192 | ||
6.1 Remote-Access-VPNs | 194 | ||
6.1.1 IPSec-basierte Remote-Access-VPNs | 195 | ||
6.1.2 Anforderungen an IPSec-basierte Remote-Access-VPNs | 197 | ||
6.1.3 SSL-basierte Remote-Access-VPNs | 199 | ||
6.1.4 Vergleich von SSL- und IPSec-VPNs | 203 | ||
6.2 Check Point VPN-1 und SecuRemote/SecureClient | 204 | ||
6.3 Konfiguration eines Remote-Access-VPNs für das Firmennetzwerk | 207 | ||
6.3.1 Ausgangssituation | 207 | ||
6.3.2 Konfiguration der Check Point FireWall-1/VPN-1 | 208 | ||
6.3.3 Clientseitige Konfiguration | 220 | ||
6.3.4 Aufbau eines Tunnels zum Firmennetzwerk | 221 | ||
6.4 Konfiguration eines Site-to-Site-VPNs für das Firmennetzwerk | 222 | ||
6.4.1 Ausgangssituation | 222 | ||
6.4.2 Vorbereitungen zum Aufbau eines Site-to-Site-VPNs | 223 | ||
6.4.3 Konfiguration der Check Point FireWall-1/VPN-1 (Unternehmensseite) | 225 | ||
6.4.4 Konfiguration der Cisco-PIX-Firewall (Partnerfirma) | 229 | ||
7 Management von Firewalls | 232 | ||
7.1 Management-Architekturen | 233 | ||
7.1.1 2-Tier- und 3-Tier-Architekturen | 233 | ||
7.1.2 Metamanagement | 237 | ||
7.1.3 Virtuelle Interfaces und virtuelle Firewalls | 245 | ||
7.2 Betrieb von Firewalls | 248 | ||
7.2.1 Analyse der Logdatei der Firewall | 248 | ||
7.2.2 Troubleshooting von Kommunikationsproblemen | 256 | ||
7.2.3 Pflege der Regelbasis | 259 | ||
Teil 3: Hochverfügbarkeit | 262 | ||
8 Redundanz und Loadbalancing | 266 | ||
8.1 Statussynchronisation bei Firewalls | 266 | ||
8.1.1 Firewallsynchronisation bei der Cisco PIX | 268 | ||
8.1.2 Firewallsynchronisation bei der Check Point FireWall-1 | 269 | ||
8.2 Hot-Standby-Lösungen | 270 | ||
8.2.1 Cisco-PIX-HA-Cluster | 271 | ||
8.2.2 Stonebeat HA | 275 | ||
8.2.3 Nokia HA: VRRP | 280 | ||
8.2.4 Check Point Cluster XL | 289 | ||
8.3 Lastverteilte Systeme | 292 | ||
8.3.1 Stonebeat FullCluster: Multicast-MAC-Adressen | 294 | ||
8.3.2 Rainfinity RainWall: gratuitous ARP (gARP) | 305 | ||
8.3.3 Check Point Cluster XL | 316 | ||
8.4 Hardware-Loadbalancing | 317 | ||
8.4.1 Nortel Networks Alteon Webswitch | 318 | ||
8.4.2 Radware FireProof | 327 | ||
9 Multilink-Anbindungen und Multihoming | 334 | ||
9.1 Nutzen von Multilink-Anbindungen | 335 | ||
9.2 Multilink-Anbindungen mit Routing-Protokollen: BGP | 339 | ||
9.3 Multilink-Anbindungen mittels DNS und NAT | 340 | ||
9.3.1 Rainfinity RainConnect | 343 | ||
9.3.2 Radware LinkProof | 353 | ||
Index | 362 | ||
Mehr eBooks bei www.ciando.com | 0 |