Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
FTP4 überlappen mit diesen, auch durch die Entfernung eines Paares ist es<br />
FTP- oder HTTP-Clients immer noch möglich auf die meisten Server<br />
zuzugreifen.<br />
• DNS1: DNS-Anfragen über UDP <strong>und</strong> Antworten der internen DNS-Server auf<br />
dem Service-Host zu DNS-Servern im Internet werden hierdurch erlaubt.<br />
• DNS2: DNS-Anfragen über UDP von DNS-Servern im Internet zum DNS-<br />
Server auf dem Service-Host, sowie Antworten auf diese werden hierdurch<br />
erlaubt.<br />
• DNS3 <strong>und</strong> DNS4: Um Anfragen an den DNS-Server auf dem Service-Host zu<br />
stellen <strong>und</strong> dessen Antworten zu empfangen gestatten diese Regeln externen<br />
DNS-Clients UDP-Verbindungen.<br />
• DNS5 <strong>und</strong> DNS6: DNS-Anfragen über TCP vom Service-Host zu DNS-<br />
Servern im Internet werden durch diese Regeln zugelassen, ebenso alle<br />
Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem<br />
DNS-Server auf dem Service-Host als sek<strong>und</strong>ärem Server <strong>und</strong> einem<br />
externen DNS-Server als primärem Server erlaubt.<br />
• DNS7 <strong>und</strong> DNS8: DNS-Anfragen über TCP aus dem Internet zum DNS-<br />
Servern auf dem Service-Host werden durch diese Regeln zugelassen,<br />
ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-<br />
Transfers mit dem DNS-Server auf dem Service-Host als primärem Server<br />
<strong>und</strong> einem externen DNS-Server als sek<strong>und</strong>ärem Server erlaubt.<br />
• STD1 <strong>und</strong> STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in<br />
einer der vorhergehenden Regeln erlaubt wurden.<br />
21. <strong>Firewall</strong> Tuning<br />
Die Performance von <strong>Firewall</strong>s hängt von vielen Faktoren ab. Bei Nichtbeachtung dieser<br />
Tips kann es schon einmal passieren, daß ein 80486er mit 16 MB RAM genauso schnell<br />
ist, wie ein Pentium 350 mit 64 MB RAM. Es lohnt sich also, sich genauer Gedanken um<br />
den Aufbau der <strong>Firewall</strong>regeln zu machen.<br />
Die Komplexität der <strong>Firewall</strong>regeln ist der Hauptgr<strong>und</strong> <strong>für</strong> Verluste bei der Performance.<br />
<strong>Firewall</strong>regeln werden bei allen <strong>Firewall</strong>s linear durchlaufen. Es gibt von einigen<br />
Herstellern Versuche, die Performance durch den Einsatz eines "ruleset optimizer" zu<br />
verbessern. Es hat sich bei Tests herausgestellt, daß insbesondere diese <strong>Firewall</strong>s oft<br />
fehlerhaft arbeiteten. Darum haben viele <strong>Firewall</strong> Hersteller diesen Optimizer nicht mehr<br />
im Einsatz.<br />
Es ist wesentlich einfacher, sich vor dem Aufstellen der <strong>Firewall</strong>-Regeln zu überlegen, ob<br />
eventuell die Zahl der Regeln sich verringern läßt, wenn man statt einer Positivliste <strong>für</strong><br />
Hosts nur eine Negativliste anlegt. In jedem Falle wird bei allen hier vorgestellten <strong>LINUX</strong><br />
<strong>Firewall</strong>s das "ruleset" bis zum Ende durchlaufen. Die SINUS <strong>Firewall</strong> durchläuft den<br />
kompletten Regelsatz stets bis zum Ende. Dies schließt Programmierfehler weitestgehend<br />
aus, auch wenn die Performance darunter leidet, insbesondere bei vielen Regeln.<br />
IPFWADM <strong>und</strong> IPCHAINS brechen nach dem ersten Match (zutreffende Regel) ab <strong>und</strong><br />
durchlaufen das Regelwerk nicht weiter. Besonders beim Einsatz von IPFWADM <strong>und</strong><br />
IPCHAINS muß man höllisch aufpassen, daß man keine Fehler macht. Hier sollte man<br />
tatsächlich die Sicherheit nach der Installation mit Auditing Toolkits genau überprüfen. Hier<br />
einige Beispiele, die verdeutlichen sollten, wo eventuell Performanceverbesserungen<br />
möglich sind.<br />
21.1 Einsatz bei ISP's<br />
ISP's haben es mit zwei unterschiedlichen Problemen zu tun. Zum einen betrifft dies<br />
Server Housing, zum anderen Zugänge.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins