Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
3: Ausgehende IMAP-Verbindung, vom Client zum Server. ACK gesetzt, außer im ersten<br />
Paket<br />
4: Ausgehende IMAP-Verbindung,vom Server zum Client. ACK gesetzt<br />
UUCP (Mail)<br />
UUCP dient dem Autausch von Mails. Server arbeiten mit Port 540, Clients mit<br />
Portnummern über 1023.<br />
Regel Richtung Protokoll Quellport Zielport Ergänzungen<br />
1 ein TCP >1023 540 SYN/ACK<br />
2 aus TCP 540 >1023 ---/ACK<br />
3 aus TCP >1023 540 SYN/ACK<br />
4 ein TCP 540 >1023 ---/ACK<br />
Anmerkungen zu den Regeln:<br />
1: Eingehende UUCP-Verbindung, vom Client zum Server. ACK gesetzt, außer im ersten<br />
Paket<br />
2: Eingehende UUCP-Verbindung, vom Server zum Client. ACK gesetzt<br />
3: Ausgehende UUCP-Verbindung, vom Client zum Server. ACK gesetzt, außer im ersten<br />
Paket<br />
4: Ausgehende UUCP-Verbindung, vom Server zum Client. ACK gesetzt<br />
18.2 FTP (Filetransfer)<br />
FTP benutzt zwei getrennte TCP-Verbindungen: eine <strong>für</strong> Kommandos zwischen Client <strong>und</strong><br />
Server sowie deren Ergebnisse (diese Verbindung wird meist als Kommandokanal<br />
bezeichnet), <strong>und</strong> eine zweite Verbindung, auf der Verzeichnislistings <strong>und</strong> Dateien<br />
übertragen werden (der Datenkanal) Auf der Seite des Servers benutzt der<br />
Kommandokanal Port 21 <strong>und</strong> der Datenkanal gewöhnlich Port 20. Der Client verwendet<br />
<strong>für</strong> Kommando- <strong>und</strong> Datenkanal jeweils Portnummern über 1023. Problematisch ist der<br />
Einsatz über eine <strong>Firewall</strong> hinweg. Hierbei muß der Client PASV (passive mode)<br />
unterstützen. In viele Clients (Netscape, WS-FTP, CUTE-FTP) ist dieser Modus bereits<br />
implementiert. Besonderes Augenmerk sollte dem sog. FTP bounce attack gewidmet<br />
werden. Hier können zwei FTP-Server aus dem Internet (Intranet) massiv miteinander<br />
beschäftigt werden, sodaß diese die gesamte Bandbreite des Netzes verbrauchen. Ein<br />
solcher Angriff kann mit dem TCPLOGD entdeckt werden. Zu finden ist dieser auf<br />
http://lwn.net/1998/1224/a/tcplogd.html. Wer sich nicht sicher ist, ob <strong>und</strong> in welchen Fällen<br />
ein solcher Angriff durchgeführt werden kann, der sollte den FTP-Server nicht ohne<br />
weiteres installieren. Insbesondere sind häufig "anonymous" FTP-Server <strong>für</strong> diesen Angriff<br />
offen, die auf die Paßworte (ftp, anonymous, ...) einen öffentlichen Zugang zu dem<br />
Filesystem erlauben.<br />
Regel Richtung Protokoll Quellport Zielport Ergänzungen<br />
1 ein TCP >1023 21 SYN/ACK<br />
2 aus TCP 21 >1023 ---/ACK<br />
3 aus TCP 20 >1023 SYN/ACK<br />
4 ein TCP >1023 20 ---/ACK<br />
5 ein TCP >1023 >1023 SYN/ACK<br />
6 aus TCP >1023 >1023 ---/ACK<br />
7 aus TCP >1023 21 SYN/ACK<br />
8 ein TCP 21 >1023 ---/ACK<br />
9 ein TCP 20 >1023 SYN/ACK<br />
10 aus TCP >1023 20 ---/ACK<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins