Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
nicht interpretieren können. Der Systemadministrator muß dann entweder alle Ports<br />
freischalten, oder sperren. Glücklicherweise unterstützen inzwischen fast alle <strong>Firewall</strong>s<br />
den PASV oder passive Modus. Hierbei wird der PORT Befehl aus dem Paket gelesen,<br />
<strong>und</strong> die <strong>Firewall</strong> kann dann diesen Port <strong>für</strong> Antwortpakete aus dem Internet freischalten.<br />
Inbo<strong>und</strong> <strong>und</strong> outbo<strong>und</strong> Pakete<br />
Der Paketfilter wird bei jedem gesendeten Paket gebraucht. Ein geforwardetes Paket wird<br />
nur beim eintreffen analysiert. Zum Zeitpunkt des Sendens wird zunächst nur das<br />
Interface überprüft, um address spoofing zu verhindern. Lokale Pakete, die nicht den<br />
Host verlassen, wenden nur beim Senden analysiert.<br />
Address Spoofing<br />
Ein Alarm wegen address spoofing wird immer dann gegeben, wenn:<br />
• Die Quelladresse zu inside gehört, <strong>und</strong> das empfangende Interface zu outside<br />
gehört, oder umgekehrt. Dies bedeutet, daß jemand Fremder von außerhalb<br />
versucht, Zugang zu einem Host hinter der <strong>Firewall</strong> zu erlangen.<br />
• Die Zieladresse <strong>und</strong> das sendende Interface nicht übereinstimmen. Das<br />
bedeutet, daß der routing table fehlerhaft ist, weil er Pakete aus dem falschen<br />
Interface versendet.<br />
• Die loopback Adresse auf allen anderen Interfaces benutzt wird, die nicht zu<br />
dem loopback Interface gehören, z.B. durch einen fehlkonfigurierten Dämon<br />
Eine wichtige Information: Class D (multicasting) <strong>und</strong> class E Adressen werde nicht auf<br />
adress spoofing untersucht, da diese in andere Pakete gekapselt wurden. Hierzu müsste<br />
die <strong>Firewall</strong> in alle Pakete hineinschauen, <strong>und</strong> dann erst filtern. Dies würde bei dieser<br />
Konzeption der <strong>Firewall</strong> einen großen Ballast bedeuten.<br />
Fragmentierte IP Pakete Nur das erste Fragment eines IP-Paketes <strong>und</strong> das Ergebnis der<br />
Untersuchung wird gespeichert. Alle darauffolgenden Pakete werden verworfen, wenn das<br />
erste Paket nicht akzeptiert wurde. Wenn Fragmente nicht in der richtigen Reihenfolge<br />
eintreffen, dann werden diejenigen, die voreilig auf das Interface getroffen sind, geblockt,<br />
also verworfen.<br />
Die Syntax des Konfigurations-Files<br />
configuration = setup_section<br />
rules_section<br />
[ notification_section ]<br />
"end.".<br />
setup_section = "setup"<br />
[ internal_statement ]<br />
mail_statement.<br />
rules_section = "rules" { ( block_statement<br />
| accept_statement<br />
| reject_statement ) }.<br />
setup_statement = "internalnets" address { "," address } ";".<br />
mail_statement = "mail_default" """ mailaddress(es) """ ";".<br />
block_statement = "block" rule ";".<br />
accept_statement = "accept" rule ";".<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins