Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5 Server TCP >1023 53 Aktion zulassen, ACK beliebig<br />
6 Bastion-Host TCP 53 >1023 Aktion zulassen; ACK gesetzt<br />
Einrichtung des bastion hosts als DNS-Server<br />
Damit ein Angreifer keinerlei Information über das interne Netzwerk erfährt, wird der<br />
bastion host so konfiguriert, daß er falsche Informationen über das interne Netzwerk<br />
liefert, jedoch korrekte Informationen über alle von außen sichtbaren <strong>und</strong> erreichbaren<br />
Hosts. Da<strong>für</strong> wird dann intern ein unabhängiger DNS-Server aufgesetzt, der die richtigen<br />
Informationen über interne <strong>und</strong> externe Adressen des Netzwerk besitzt. Beide DNS-<br />
Server, insbesondere der externe DNS-Server muß gut gegen Anfriffe abgesichert sein,<br />
da er die Einträge <strong>für</strong> Mail-Server (MX) des Unternehmens nach außen hin trägt. Werden<br />
diese verändert, so können von außerhalb keine e-Mails mehr empfangen werden, diese<br />
werden evtl. an einen beliebigen Server im Internet vom Angreifer umgeleitet. Damit kein<br />
Angreifer eine falsche IP - Nummer vortäuschen kann, sollte der bastion host <strong>und</strong> der<br />
interne DNS-Server stets ein double reverse lookup durchführen. Hierbei wird die IP-<br />
Adresse über reverse lookup in den Namen <strong>und</strong> der Name wieder in die IP - Nummer<br />
aufgelöst. Stimmen die Ergebnisse nicht überein, ist entweder der zugreifende Client ein<br />
Angreifer, oder falsch konfiguriert. Jedenfalls kann er seine Identität nicht nachweisen, <strong>und</strong><br />
somit sollte er strikt abgelehnt werden. Hierzu müssen alle Dämonen des bastion hosts<br />
mit der Bibliothek des TCP Wrappers (TCPD) unter UNIX zusammen kompiliert werden.<br />
Der Wrapper prüft vor des Start eines Dienstes, ob der double reverse lookup korrekt war.<br />
War er das nicht, so wird der Client abgelehnt. Der TCP Wrapper <strong>und</strong> der INETD sind<br />
auch unter Windows NT verfügbar.<br />
18.10 Logging Dienste<br />
SYSLOG (Log-Server)<br />
SYSLOG ist ein Dienst auf Basis von UDP SYSLOG-Server, die Meldungen anderer<br />
Systeme aufzeichnen, überwachen den UDP-Port 514. SYSLOG-Clients benutzen im<br />
allgemeinen Portnummern über 1023, um Verbindung zum Server aufzunehmen. Ein<br />
SYSLOG-Server sendet niemals Meldungen an die Clients <strong>zurück</strong>. SYSLOG-Server<br />
können so konfiguriert werden, daß sie Meldungen zu anderen SYSLOG-Servern<br />
weiterleiten. Sie benutzen in diesem Fall meist Port 514 als Client.<br />
Regel Richtung Protokoll Quellport Zielport<br />
1 ein UDP >1023 514<br />
2 aus UDP >1023 514<br />
3 aus UDP 514 514<br />
4 ein UDP 514 514<br />
Anmerkungen zu den Regeln:<br />
1: Externer Client nimmt Kontakt zum internen syslog-Server auf<br />
2: Interner Client nimmt Kontakt zum externen syslog-Server auf<br />
3: Externer syslog-Server leitet Meldung an internen syslog-Server weiter<br />
4: Interner syslog-Server leitet Meldung an externen syslog-Server weiter<br />
18.11 Routing Dienste<br />
SNMP (Administration)<br />
SNMP ist ein Dienst auf Basis von UDP SNMP-Server in Netzgeräten überwachen sowohl<br />
TCP-Port 161 als auch UDP-Port 161 SNMP-trap-Server in Verwaltungsstationen<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins