Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Angenommen, level 100 war der notification level, der ausgelöst wurde, als die <strong>Firewall</strong><br />
gepingt wurde. Das Logfile würde sehr schnell anwachsen, wenn wirklich jedes ping<br />
geloggt würde. Die erste Idee ist, ein relevel auf die Regel anzuwenden:<br />
notification<br />
level 100:<br />
message "Wir sind gepingt worden";<br />
relevel 0;<br />
Genau dies ist aber eine schlechte Idee. Ein einzelnes ping würde ausreichen, um die<br />
Regel quasi außer Betrieb zu nehmen. Weitere ping Versuche würde nicht mehr entdeckt<br />
werden können. Da die Regel nach dem ersten Ping außer Funktion gesetzt wird,<br />
erscheinen in dem Logfile also alle weiteren Pings nicht mehr. Das ist so sicher nicht<br />
beabsichtigt. Damit auch alle weiteren Pings bemerkt werden können, muß die Regel so<br />
aussehen:<br />
notification<br />
level 100:<br />
let pings:sourcehost := pings:sourcehost + 1 timeout 600; /* 10 minutes */<br />
if pings:sourcehost = 1 then<br />
message "We have been pinged";<br />
endif;<br />
Wenn wir einen versuchten DoS Angriff (Denial of Service) mitloggen möchten, dann<br />
können wird eine dynamische Regel hier<strong>für</strong> verwenden, <strong>und</strong> danach alle weiteren Ping<br />
blocken.(block)<br />
if pings:sourcehost > 1000 then<br />
message "Möglicher denial-of-service attack";<br />
spy;<br />
block all from sourcehost notification_level 0 timeout 600;<br />
endif;<br />
Natürlich ist es so nicht möglich, einen echten DoS Angriff, der in der Folge oder<br />
abwechselnd ftp Verbindungen aufbaut, zu bekämpfen. Wichtig ist es jedoch, z.B. Hosts<br />
mit ftp Diensten vor einem solchen Angriff zu bewahren.<br />
Wie man sieht, ist es mit der SINUS <strong>Firewall</strong>-1 möglich, aufgebaute Verbindungen in<br />
Variablen zu vermerken <strong>und</strong> daraufhin weitere Regeln zu aktivieren. Wer sich einmal in<br />
Kapitel Netmeeting Protokoll umschaut, der wird erkennen, daß man, um einen<br />
Netmeeting Proxy zu simulieren, genau diesen Mechanismus implementieren kann. Leider<br />
muß die SINUS <strong>Firewall</strong>-1 <strong>für</strong> die weiteren UDP Übertragungen über wechselnde Ports<br />
oberhalb von 1024 zu einem bestimmten Host im Internet alle UDP Ports zu dem Client im<br />
geschützten Intranet freigeben. Die Regel wird also etwas länger.<br />
Die induktive Programmierung einer <strong>Firewall</strong><br />
Um eine solche Regel implementieren zu können, muß man sich zuerst die DRAFTS der<br />
RFC´s über Netmeeting besorgen. Hierzu wendet man sich entweder an den Microsoft<br />
Server, oder man sucht im Internet nach den entsprechenden RFC´s. Darin ist genau<br />
beschrieben, welche Ports <strong>und</strong> Protokolle in welcher Reihenfolge geöffnet <strong>und</strong><br />
geschlossen werden können, <strong>und</strong> welche Timeouts hier eine Rolle spielen. Danach erfolgt<br />
die Programmierung der <strong>Firewall</strong>. Hier sollte man alle DEBUG-Optionen aktiviert haben,<br />
d.h. stets sollte man von "message" Gebrauch machen, um aussagefähige Log-Einträge<br />
zu erhalten. Nun kann eine Testverbindung zu einem Netmeeting Server im Internet<br />
aufgebaut werden. Das w<strong>und</strong>erbare an Microsoft ist es, daß die Leute sich fast nie an ihre<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins