Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
FTP-Server, die auf externe Clients zugreifen können, vorhanden sind,<br />
existieren keine entsprechenden Regeln <strong>für</strong> den inneren Router. Es sollten<br />
aber beim Auslesen des PORT Befehls alle Ports unterhalb 1024 explizit<br />
verboten werden, da ansonsten ein eingeschleustes trojanisches Pferd als<br />
FTP-Client einem Angreifer Zugriff auf alle Ports unterhalb 1024 eröffnen<br />
könnte. Pferd<br />
• SMTP1 <strong>und</strong> SMTP2: Ausgehende Post vom Bastion-Host ins Internet wird<br />
durch diese Regeln zugelassen.<br />
• SMTP3 <strong>und</strong> SMTP4: Eingehende Post aus dem Internet zum Bastion-Host<br />
wird durch diese Regeln zugelassen.<br />
• NNTP1 <strong>und</strong> NNTP2: Usenet-News zwischen Ihrem News-Server <strong>und</strong> dem<br />
News-Server Ihres Service-Providers werden in beiden Richtungen durch<br />
diese Regeln zugelassen. Sie sind den gleichnamigen Regeln <strong>für</strong> den inneren<br />
Router analog.<br />
• HTTP1 <strong>und</strong> HTTP2: Diese Regeln erlauben Verbindungen zu HTTP-Servern<br />
auf beliebigen Maschinen im Internet durch den HTTP-Proxy-Server auf dem<br />
Bastion-Host. Desweiteren werden allen TCP-Clients auf dem Bastion-Host,<br />
die Portnummern >1023 benutzen, Verbindungen zu allen Servern <strong>und</strong> allen<br />
Ports auf beliebigen Rechnern im Internet gestattet. Dadurch wird dem HTTP-<br />
Proxy-Server ermöglicht zu HTTP-Servern, die nicht die Standard-<br />
Portnummer 80 benutzen, Verbindungen herzustellen. Trotz der<br />
Großzügigkeit dieser Regeln filtern sie jedoch, um nur ausgehende<br />
Verbindungen zuzulassen, bezüglich der ACK-Bits.<br />
• HTTP3 <strong>und</strong> HTTP4: Hierdurch werden externen Clients Verbindungen zum<br />
HTTP-Server auf dem Bastion-Host erlaubt. Da im internen Netz keine HTTP-<br />
Server, auf die externe Clients zugreifen können, vorhanden sind, existieren<br />
keine entsprechenden Regeln <strong>für</strong> den inneren Router.<br />
• DNS1: DNS-Anfragen über UDP <strong>und</strong> Antworten vom DNS-Server auf dem<br />
Bastion-Host zu DNS-Servern im Internet werden hierdurch erlaubt.<br />
• DNS2: DNS-Anfragen über UDP <strong>und</strong> Antworten von DNS-Servern im Internet<br />
zum DNS-Servers auf dem Bastion-Host werden hierdurch erlaubt.<br />
• DNS3 <strong>und</strong> DNS4: Um Anfragen an den DNS-Server auf dem Bastion-Host zu<br />
stellen <strong>und</strong> dessen Antworten zu empfangen gestatten diese Regeln externen<br />
DNS-Clients UDP-Verbindungen.<br />
• DNS5 <strong>und</strong> DNS6: DNS-Anfragen über TCP vom Bastion-Host zu DNS-<br />
Servern im Internet werden durch diese Regeln zugelassen, ebenso alle<br />
Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem<br />
DNS-Server auf dem Bastion-Host als sek<strong>und</strong>ärem Server <strong>und</strong> einem<br />
externen DNS-Server als primärem Server erlaubt.<br />
• DNS7 <strong>und</strong> DNS8: DNS-Anfragen über TCP aus dem Internet zum DNS-<br />
Servern auf dem Bastion-Host werden durch diese Regeln zugelassen,<br />
ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-<br />
Transfers mit dem DNS-Server auf dem Bastion-Host als primärem Server<br />
<strong>und</strong> einem externen DNS-Server als sek<strong>und</strong>ärem Server erlaubt.<br />
• STD1 <strong>und</strong> STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in<br />
einer der vorhergehenden Regeln erlaubt wurden.<br />
19.3 Einrichtung des bastion hosts<br />
Einrichtung des bastion hosts als DNS-Server<br />
Damit ein Angreifer keinerlei Information über das interne Netzwerk erfährt, wird der<br />
bastion host so konfiguriert, daß er falsche Informationen über das interne Netzwerk<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins