Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
erfahrene Angreifer fern. Sie dienen im Prinzip nur dazu, die Verfügbarkeit der Server zu<br />
erhöhen. Im Gegensatz zu früheren Empfehlungen (Einrichten von <strong>Firewall</strong>s<br />
Chapman/Zwicky) sollten die <strong>Firewall</strong>s mindestens Statful Paket Filter (SPF <strong>Firewall</strong>s) sein<br />
<strong>und</strong> über verschlüsselte Protokolle zur Fernwartung <strong>und</strong> Analyse der Logfiles verfügen.<br />
Die Überwachung von <strong>Firewall</strong> 1 <strong>und</strong> der Server 1+2 in der DMZ stellt allerdings ein<br />
Problem dar, dessen Lösung nicht ganz trivial ist. Logserver sind ebenfalls anfällig gegen<br />
buffer overflows <strong>und</strong> können von Angreifern stillgelegt werden. (DoS attack) Es darf<br />
unter keinen Umständen <strong>Firewall</strong> 2 <strong>für</strong> die kontinuierliche Übertragung von Logfiles auf<br />
einen Logserver im lokalen Netz geöffnet werden. Es bietet sich an, den WWW-Server in<br />
der DMZ als Logserver <strong>für</strong> Router <strong>und</strong> <strong>Firewall</strong> 1 einzusetzen. Mit FTP z.B. könnte eine<br />
Arbeitsstation die puren ASCII Logfiles von Router <strong>und</strong> <strong>Firewall</strong> 1 herunterladen <strong>und</strong><br />
auswerten. Besser ist jedoch ein eigener Server in der DMZ, der nur eine Aufgabe hat,<br />
nämlich die Logfiles zu speichern. Da auf diesem alle weiteren Funktionen deaktiviert sind,<br />
ist dieser höchstwahrscheinlich nicht anfällig gegen buffer overflows, weil er viel weniger<br />
Angriffspotential bietet. Ein Auswertungsprogramm könnte aber so geringe Differenzen<br />
zwischen den Logfiles von Router, Server 1 <strong>und</strong> dem Logserver sofort bemerken. Es ist<br />
höchst unwahrscheinlich, daß ein Angreifer zur gleichen Zeit beide Logserver angreifen<br />
kann.<br />
17. Filterregeln <strong>und</strong> Erklärungen<br />
Dieses Kapitel beschreibt alle wichtigen Protokolle <strong>und</strong> die Zusammenhänge zwischen IP,<br />
TCP, UDP <strong>und</strong> den höheren, weil zusammengesetzten Protokollen. Es wird im Detail<br />
beschrieben, welche Ports in welcher Reichenfolge geöffnet werden müssen, damit diese<br />
über die <strong>Firewall</strong> transportiert werden können. Leider bieten sogar Hersteller von<br />
renommierten <strong>Firewall</strong>s Proxy´s <strong>für</strong> Protokolle an, die sich nicht <strong>für</strong> Proxy´s eignen.<br />
Entsprechende Sicherheitsprobleme sind somit vorprogrammiert. Diese folgenden Kapitel<br />
werden diese im Detail beschreiben <strong>und</strong> begründen.<br />
17.1 Das ACK - Bit<br />
Manchmal ist es sinnvoll eine TCP-Verbindung in nur eine Richtung zuzulassen, <strong>und</strong> in die<br />
andere Richtung zu verbieten. Wir müssen hierzu zwischen dem Vorgang des<br />
Verbindungsaufbaues <strong>und</strong> der Übertragung der folgenden Pakete unterscheiden. Um eine<br />
Verbindung aufzubauen, wird ein SYN Paket gesendet, welches mit einem ACK quittiert<br />
wird. Danach folgen nur noch Pakete, die kein ACK Bit gesetzt haben. Es reicht also nach<br />
dem SYN-Bit zu differenzieren, da Pakete mit SYN-Bit kein ACK-Bit gesetzt haben sollten.<br />
Was aber passiert, wenn ein Angreifer SYN <strong>und</strong> ACK Bits zusammen setzt ? Nun, sobald<br />
ein ACK Flag gesetzt ist, muß das Paket zu einer bestehenden Verbindung gehören. Die<br />
<strong>Firewall</strong> merkt sich stets Verbindungen, die mit einem SYN-Flag erfolgreich den Filter<br />
passiert haben. Da TCP Verbindungen stets mit Prüfsumme <strong>und</strong> Sequenznummer<br />
abgesichert sind, gelingt es dem Zielhost oder der <strong>Firewall</strong> nicht, diese Pakete einer<br />
Verbindung zuzuordnen, daher werden sie abgelehnt. Da es leider noch einige<br />
Betriebssysteme gibt, die schwere Fehler im TCP/IP Stack haben (Windows NT), sollte<br />
man möglichst eine <strong>Firewall</strong> mit PROXY einsetzen. Stateful Paket Filter (SPF´s) leiten<br />
Pakete manchmal ohne diese Prüfung weiter (RAPTOR, FIREWALL-1). Um also einen<br />
Verbindungaufbau von außen nach innen zu erlauben, darf beim ersten Paket das ACK-<br />
Bit nicht gesetzt sein. Was passiert aber, wenn der Router nicht nach SYN/ACK<br />
unterscheiden kann, oder die ACK Regeln falsch gesetzt wurden ?<br />
Ein Beispiel:<br />
Regel Richtung Protokoll Quellport Zielport<br />
1 ein TCP >1023 25<br />
2 aus TCP 25 >1023<br />
3 aus TCP >1023 25<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins