Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Stärken<br />
• Hohe Geschwindigkeit durch Routing auf IP-Ebene<br />
• Billig in der Anschaffung<br />
• Anti spoofing Mechanismen<br />
• Spoofing von Broadcasts <strong>für</strong> IPX, IP...<br />
• PROXY ARP<br />
Schwächen<br />
• Bieten keinen Schutz vor TCP Angriffen<br />
• Zuviele offene Ports > 1024<br />
• Keine Kenntnis von Protokollen<br />
• Keine Zustandsinformationen über Verbindungen<br />
• Keine Authentifizierung<br />
• Keine Cluster möglich<br />
• Hoher Wartungsaufwand in großen Netzwerken<br />
• Log-Server stets notwendig<br />
• Unflexibel, nur einseitig einsetzbar<br />
• Schwierig zu programmieren<br />
Als <strong>Firewall</strong> Router werden häufig Router mit Filtereigenschaften bezeichnet. Besser wäre<br />
die Bezeichnung Paketfilter. Wenn man den Werbeaussagen der Hersteller glauben darf,<br />
dann sind deren Eigenschaften inzwischen recht umfangreich, sie beherrschen das Filtern<br />
nach IP - Nummern, Ports, Protokollen, bieten Schutz gegen spoofing <strong>und</strong> DoS-Angriffe,<br />
die auf den TCP/IP-Stack zielen, bieten NAT oder Masquerading an. Anscheinend gibt es<br />
kaum noch Unterschiede zu echten <strong>Firewall</strong>s. Weit gefehlt! In der Praxis reichen solche<br />
Filter nicht mehr aus, insbesondere beim Einsatz von komplexeren Protokollen, wie FTP,<br />
RPC, NFS, NIS, SMB, SQL u.s.w.. Den <strong>Firewall</strong>-Routern fehlen fast immer Kenntnisse<br />
über die Protokollmechanismen <strong>und</strong> somit sind sie auch nicht in der Lage, die Inhalte von<br />
wichtigen Protokollen zu interpretieren<br />
So ist der Administrator gezwungen, fast alle Ports oberhalb der privilegierten Ports (><br />
1024) <strong>und</strong> evtl. auch einige unterhalb (111, RPC-Portmapper <strong>für</strong> PDC oder RPC)<br />
freizuschalten. Dieses ermöglicht dann direkte, vielfältige Angriffe auf Server hinter dem<br />
<strong>Firewall</strong>-Router, angefangen von DoS-Angriffen, bis hin zu Tricks, die ein wenig in die<br />
Protokollmechanismen eingreifen, z.B. FTP PORT-Umleitung auf einen Telnet-Zugang<br />
(Siehe PASV-Mechanismus). <strong>Firewall</strong>-Router besitzen keinerlei Statusinformationen über<br />
die benutzten Ports, z.B. von welchem Rechner diese initiiert wurden, welche Protokolle<br />
zu den Ports gehören <strong>und</strong> warum (NFS, RPC).<br />
Für viele Protokolle müssen Ports oberhalb von 1024 <strong>für</strong> Zugriffe von außerhalb<br />
freigegeben werden, was zu unzähligen Sicherheitslöchern führt. Es gibt zahlreiche Tricks,<br />
die Fehler in Betriebssystemen hinter dem <strong>Firewall</strong>-Router ausnutzen, um diesen<br />
durchtunneln zu können. Weiterhin besitzen diese <strong>Firewall</strong>-Router keine User-<br />
Authentifizierungsmechanismen.<br />
<strong>Firewall</strong>-Router besitzen keinen vollständigen TCP/IP-Stack. Sie sind nur in der Lage, auf<br />
IP-Ebene Pakete weiterzuleiten. Daher überprüfen sie einige Dinge bei der Weiterleitung<br />
auf andere Netzwerkinterfaces nicht.<br />
Das sind z.B. IP-Fragmentierung, TCP-Prüfsummen, Offsets bei Sequenznummern, Flags<br />
in IP- <strong>und</strong> TCP-Headern (Näheres siehe: Angriffsvarianten auf TCP/IP-Stacks). Die<br />
meisten der o.a. Angriffsvarianten auf einen Server hinter dem <strong>Firewall</strong>-Router werden<br />
nicht abgefangen. So haben sich einige Hersteller aus Gründen des Marketings kurz damit<br />
beholfen, indem sie die Bytefolge (Signatur) von bekannten Angriffen aufgezeichnet<br />
haben, <strong>und</strong> diese dann aus dem Datenstrom herausfiltern. Mit Werkzeugen, wie Ballista<br />
oder IPSEND, ist es einem Angreifer leicht möglich, Signaturen zu erzeugen, die noch<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins