Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
nicht erkannt werden. Desweiteren sind <strong>Firewall</strong>-Router anfällig gegen spoofing-Angriffe<br />
von einem benachbarten Arbeitsplatzrechner, der einen session hijacking Angriff ausführt.<br />
Offiziell besitzen <strong>Firewall</strong>-Router Mechanismen gegen spoofing, sie können aber, da sie<br />
keine Statusinformationen über Details einer Verbindung besitzen, spoofing - Angriffe nur<br />
zwischen der inneren <strong>und</strong> äußeren Netzwerkadresse erkennen. Ein typischer Vertreter<br />
dieser <strong>Firewall</strong>-Router, der sich gut zu Studienzwecken eignet, ist z.B. <strong>LINUX</strong>. Für die<br />
Kontrolle von größeren Netzwerken eignet sich dieser Typ von <strong>Firewall</strong>-Router nicht mehr.<br />
Stateful Paket Filter (SPF)<br />
Stärken<br />
• Hohe Geschwindigkeit (teilweise)<br />
• Keine offenen Ports<br />
• Ausführliche LOG-Informationen<br />
• Ausführliche Zustandsinformationen über alle Verbindungen<br />
• Fähigkeit <strong>für</strong> Clustering<br />
• Schutz gegen Scanner (counter intelligence)<br />
• Einfache Wartung <strong>und</strong> Installation<br />
• Einsetzbar in großen Netzwerken<br />
• Skalierbar<br />
• Eigene Programmiersprache<br />
• Vielseitig einsetzbar<br />
Schwächen<br />
• Bieten wenig Schutz vor TCP-Angriffen<br />
• Teilweise keinen eigenen TCP/IP-Stack<br />
• Zuwenig Kenntnis von Protokollen, häufig kein echter Schutz<br />
• Proxy nur <strong>für</strong> einige wenige Protokolle verfügbar<br />
• Keine Authentifizierung, jedoch nachrüstbar<br />
• Teuer in Anschaffung <strong>und</strong> Unterhaltung<br />
• Einbruch der Performance bei Aktivierung aller Filter<br />
Stateful Paket Filter sind als besonders schnelle Filter bekannt. In Geschwindigkeitstests<br />
schneiden sie stets hervorragend ab, <strong>und</strong> eignen sich scheinbar besonders <strong>für</strong> den<br />
Einsatz bei ISP´s zum Schutz von Servern oder Netzwerken mit<br />
Hochgeschwindigkeitsanbindung (>100 MBit). Diese Eigenschaften lassen vermuten, daß<br />
hierbei einige wichtige Überprüfungen nicht stattfinden, um die Durchsatzgeschwindigkeit<br />
zu erhöhen. Die Hersteller gehen davon aus, daß der TCP/IP-Stack der Server hinter der<br />
<strong>Firewall</strong> diese Untersuchungen sowieso durchführt. Das hat in der jüngsten Vergangenheit<br />
zu zahlreichen Angriffen auf TCP/IP-Stacks hinter SPF-<strong>Firewall</strong>s geführt, insbesondere bei<br />
Internet-Dienstleistern. Stateful Paket Filter verfügen gegenüber <strong>Firewall</strong>-Routern<br />
zusätzlich über einen Mechanismus, der, sobald eine Verbindung geöffnet wird, in die<br />
Pakete hineinschaut (Inspektion), den Status (Herkunft, Ziel, belegte Ports, MAC-Adresse,<br />
Sequenznummern, Offsets, Protokolle, Befehle) speichert <strong>und</strong> überwacht. Sie erkennen<br />
Zusammenhänge zwischen TCP- <strong>und</strong> UDP-Paketen (RPC, NFS) u.s.w.. Durch die<br />
Überwachung des Status <strong>und</strong> die Inspektion werden viele Angriffe unmöglich, die bei<br />
<strong>Firewall</strong>-Routern noch funktionieren. Angriffe auf TCP/IP-Stacks können sie nur zum Teil<br />
abwehren, im allgemeinen funktionieren viele DoS-Angriffe auf TCP/IP-Stacks hinter SPF-<br />
<strong>Firewall</strong>s recht gut, sehr zum Leidwesen einiger ISP´s. Aus diesen Gründen haben<br />
führende Hersteller zusätzlich zu den SPF-Filtern noch PROXY-Eigenschaften <strong>für</strong><br />
spezielle Dienste, also auch noch eigene TCP/IP-Stacks den <strong>Firewall</strong>s hinzufügen<br />
müssen. Aktiviert man aber alle Schutzmechanismen <strong>und</strong> nutzt viele PROXY-<br />
Eigenschaften, sowie Filter <strong>für</strong> protokollspezifische Befehle (HTTP: PUT, GET, POST) <strong>und</strong><br />
die Erkennung <strong>für</strong> Angriffssignaturen, so bricht die Performance dieser Filter dramatisch<br />
ein. SPF´s eignen sich aufgr<strong>und</strong> ihres Designs hervorragend, eine Programmiersprache<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins