Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
erhält. Somit können rechtzeitig geeignete Maßnahmen gegen einen<br />
potentiellen Angreifer unternommen werden.<br />
• relevel ändert den notification level <strong>für</strong> eine Regel, die diese Aktion ausgelöst<br />
hat. Für den Fall, daß das nächste mal ein Paket genau wieder diese Regel<br />
erfüllt, werden dann Aktionen gestartet, die ein einem neuen notification level<br />
definiert wurden. Dies ist insbesondere dann der Fall, wenn man einzelnen<br />
Ereignissen keine Bedeutung zumessen möchte, es sei denn, daß diese<br />
gehäuft auftreten.<br />
• exec führt ein Shellkommando aus. Beispielsweise kann dieses dazu<br />
gebraucht werden, um ein Interface oder das gesamte System abzuschalten.<br />
Es können verschiedenste Aktionen gestartet werden, z.B. die Überprüfung<br />
des Systems auf veränderte Dateien, Einbrüche, o.ä.<br />
• call ruft einen weiteren notification level auf <strong>und</strong> führt die darin gelisteten<br />
Aktionen aus.<br />
• let weist einer Variablen einen Wert zu. Ein Timeout Wert, der stets in<br />
Sek<strong>und</strong>en angegeben wird, kann am Ende des let Befehls angegeben<br />
werden. Wenn also eine Variable verändert oder verwendet werden muß, <strong>und</strong><br />
der Zeitraum seit ihrer letzen Veränderung eine bestimmte Zeit überschreitet,<br />
dann wird die Variable auf 0 gesetzt.<br />
Eine Filterregel kann definiert werden, die dynamisch der bestehenden statischen<br />
Filterkonfiguration hinzugefügt wird. In Ergänzung zu den oben beschriebenen<br />
Eigenschaften <strong>für</strong> Filterregeln gibt es ein paar besondere Eigenheiten <strong>für</strong> dynamische<br />
Regeln zu beachten. Wenn das Schlüsselwort currentprotocol anstelle der<br />
Protokollbezeichnungen angegeben wird, dann wird dasjenige Protokoll desjenigen<br />
Paketes, welches die Regel erfüllt <strong>und</strong> somit die Aktion ausgelöst hatte, mit in die neue,<br />
dynamische Regel übernommen. Genauso können die Schlüsselworte sourcehost,<br />
sourcenet, desthost, destnet after to <strong>und</strong> from verwendet werden, um Informationen<br />
aus der alten Regel in die neue, dynamische Regel zu übernehmen. Zuletzt kann man<br />
noch einen Timout Wert (in Sek<strong>und</strong>en gemessen) am Ende der Regel hinzufügen<br />
(optional). Dieser Timout sorgt dann da<strong>für</strong>, daß die Regel nach Ablauf einer bestimmten<br />
Zeit wieder gelöscht wird.<br />
Man sollte dieses unglaublich mächtige Werkzeug nur mit größter Vorsicht einsetzen, da<br />
nur sehr schlecht vorherzusagen ist, welche Regel im Moment gerade aktiv ist, <strong>und</strong><br />
warum. Es ist ebenfalls schwierig, genau die Einflüsse der dynamischen Regeln<br />
untereinander zu bestimmen, weil, wie bei statischen Regeln auch, die Reihenfolge ihrer<br />
Aktivierung Auswirkungen auf deren Abarbeitung in der Liste hat. Andererseits lassen sich<br />
hiermit komplexe Proxy-Mechanismen formulieren <strong>und</strong> sogar ausgewachsene Proxy's<br />
ersetzen.<br />
Variablen können deklariert werden. Ihr Wert wird dann stets auf 0 gesetzt. Sie können<br />
nur Integerwerte speichern. Wenn also auf Variablen zugegriffen werden soll, dann kann<br />
optional einer der Begriffe sourcehost oder desthost nach dem Variablennamen<br />
angegeben werden, durch ein Doppelpunkt voneinander getrennt. Eine spezielle Instanz<br />
der Variablen wird erzeugt, wenn auf diese zugegriffen wird, wobei entweder die<br />
Quelladresse oder die Zieladresse desjenigen Paketes angegeben wird, welches diese<br />
Aktion ausgelöst hat. Wenn die Variable so verändert wird, dann werden die Variable <strong>und</strong><br />
deren Instanz verändert. Diese Eigenschaft kann dazu genutzt werden, die Häufigkeit<br />
eines Ereignisses zu ermitteln, absolut <strong>und</strong> nach Quell-<strong>und</strong> Zieladresse aufgeschlüsselt.<br />
Im folgenden Beispiel werden die Variablen <strong>und</strong> der Timeout Mechanismus <strong>für</strong> Variablen<br />
<strong>und</strong> dynamische Regeln gleichzeitig verwendet. Wenn ein Host die <strong>Firewall</strong> 100 mal in<br />
Folge in einem Abstand von maximal 2 Sek<strong>und</strong>en anpingt, dann werden alle Pakete von<br />
diesem Hosts <strong>für</strong> 10 Minuten gesperrt. Der notification level dieser dynamischen Regel<br />
wird auf 0 gesetzt, um die Menge der anfallenden Log-Einträge einzudämmen, die<br />
zwischen Filter <strong>und</strong> <strong>Firewall</strong> ausgetauscht werden:<br />
accept icmp icmp_echo to inside notification_level 10;<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins