Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Der einfachste Weg ist es, mit linuxconf unter X Windows im contol-panel die Interfaces<br />
aufzusetzen. Es muß ein neues Interface eth1 eingerichtet werden (create). Die Option<br />
none als Protokoll <strong>und</strong> die IP - Nummer müssen eingestellt werden. Im Routing Dialog<br />
findet sich die wichtige Option "ip forwarding", die sich auch schon im Kernel aktivieren<br />
ließ. Die Option forwarding besagt, daß per Default alle Pakete zwischen allen<br />
Netzwerkkarten geroutet werden. Wer also eine <strong>Firewall</strong> gerade installieren oder<br />
konfigurieren will, der sollte sich der Tatsache bewußt sein. Nun kann das Interface über<br />
die Menüs auch aktiviert werden. Die Netzwerkkarte ist aktiv.<br />
Erläuterungen zur Netzwerk-Maske <strong>und</strong> IP - Nummer<br />
Per Definition sind die Netzwerknummern 10.x.x.x <strong>und</strong> 192.168.x.x <strong>für</strong> Transfernetze <strong>und</strong><br />
Intranets reserviert. Diese IP-Pakete werden im Internet nicht geroutet, daher sind diese<br />
bei der Vergabe im Intranet vorzuziehen. Die Adresse 10.0.0.1 könnte also das Gateway<br />
zum Internet nach innen hin sein. Die IP - Nummern 10.0.0.0 <strong>und</strong> 10.0.0.255 sind als<br />
Netzwerknummer <strong>und</strong> Broadcastnummer reserviert. Alle anderen können also an<br />
Arbeitsstationen im Netz vergeben werden. Ist der <strong>LINUX</strong>-Server als <strong>Firewall</strong> mit zwei<br />
Netzwerkkarten im Einsatz, <strong>und</strong> existiert ein dedizierter ISDN-Router, so ist <strong>für</strong> die 2 IP -<br />
Nummer per Konvention die Adresse 192.168.0.2 vorgesehen. Die IP - Nummer<br />
192.168.0.1 sollte dem Netzwerkkarten -Anschluß des Routers vorbehalten bleiben. Die<br />
Netzwerkadresse 192.168.0.0 bezeichnet somit ein Transfernetz. Damit Arbeitsstationen<br />
im Netz sich untereinander verständigen, <strong>und</strong> gleichzeitig über die <strong>Firewall</strong> Pakete in das<br />
Internet versenden können, ist an jeder Arbeitsstation die <strong>Firewall</strong> mit der Adresse<br />
10.0.0.1 als Gateway einzutragen. Ein Gateway wird immer dann eingetragen, wenn es<br />
darum geht, zu entscheiden, ob die Pakete im Netz bleiben, oder in andere Netze geroutet<br />
werden. Die Route gibt an, welche Pakete mit welcher Netzwerknummer in welches<br />
Interface zu schicken sind. Alle anderen folgen der default route.<br />
22.5 DNS-Adressen<br />
Die IP - Nummern der zuständigen DNS Server werden aus der Datei /etc/resolv.conf<br />
ausgelesen. Diese können auch zur Laufzeit verändert werden. Wichtig sind die Adressen<br />
in der Datei /etc/hosts.<br />
127.0.0.1 localhost loopback<br />
10.0.0.1 local domain<br />
10.0.0.2 arbeitsstation name<br />
Hier werden die Namen <strong>und</strong> Kurzbezeichnungen <strong>für</strong> die <strong>Firewall</strong> selber <strong>und</strong> alle<br />
Arbeitsstationen eingegeben. Bei Nichtbeachtung dieser Empfehlung <strong>und</strong> falschen<br />
Einträgen im DNS-Server wird eventuell unnötig die die ISDN-Verbindung geöffnet. Die<br />
Einträge ermöglichen es auch, später bequem ablesen zu können, wer wieviel Pakete<br />
übertragen hat. (ipfwadm -Al)<br />
Nun kann das Skript /etc/rc.d/rc.firewall gestartet werden, um die <strong>Firewall</strong> scharf zu<br />
machen.<br />
Mail, www, telnet, ftp...Verbindungen in das Internet sollten nun transparent über die<br />
<strong>Firewall</strong> hinweg funktionieren.<br />
22.6 Absicherung von Servern mit chroot()<br />
chroot() ist eine Funktion von UNIX, die im Falle eines erfolgreichen Buffer Overflows<br />
da<strong>für</strong> sorgt, daß der Zugriff nur auf ein Unterverzeichnis der Festplatte erfolgen kann. Ein<br />
Angreifer, der also mit den Rechten des Dämons versucht, auf das Verzeichnis /etc/<br />
zuzugreifen, der wird unweigerlich scheitern. Hierzu bietet der <strong>LINUX</strong> <strong>Firewall</strong>kernel<br />
verschiedene Sicherheitslevel (security level) an, die sich allerdings in der Version <strong>2.0</strong><br />
noch stark von den mächtigen Security Leveln von Free/Net/OpenBSD/Trusted Solaris<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins