Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
• Relativ langsam<br />
• Proxy nur <strong>für</strong> die wichtigsten Protokolle verfügbar<br />
• Generische Proxies vorhanden jedoch sind diese unsicher<br />
• Ausführliche Authentifizierung<br />
• Clustering schwer möglich<br />
• Keine eigene Programmiersprache möglich<br />
• Nicht <strong>für</strong> Hispeed LAN´s geeignet<br />
• Teuer in Anschaffung <strong>und</strong> Unterhaltung<br />
PROXY-<strong>Firewall</strong>s sind gr<strong>und</strong>sätzlich in zwei Varianten zu unterteilen: circuit level proxy,<br />
was einem generischen Proxy nahekommt, <strong>und</strong> einem application level proxy, der<br />
aufgr<strong>und</strong> seiner Kenntnisse der Protokollmechanismen auch als dedicated proxy<br />
bezeichnet wird.<br />
Ihnen gemeinsam ist, daß Anwendungsprogramme immer nur zum PROXY Kontakt<br />
aufnehmen. Für einen User innerhalb eines geschützen Netzwerkes scheinen alle Pakete<br />
ausschließlich vom PROXY zu stammen, daher auch die Bezeichnung PROXY<br />
(Stellvertreter). Als einfachen PROXY könnte man auch einen völlig ungesicherten UNIX-<br />
Server definieren, in den sich ein Anwender aus dem geschützten Netzwerk via TELNET<br />
einloggt, um sich dann von diesem zu einem beliebigen Server im Internet weiter<br />
verbinden zu lassen. Damit dieser Vorgang automatisch ablaufen kann, werden<br />
verschiedene Mechanismen eingesetzt. Einer davon ist SOCKS. Beim Einsatz von<br />
SOCKS werden alle Daten von einem Client, der SOCKS unterstützen muß (Netscape),<br />
über den PROXY, auf dem ein SOCKS-Dämon installiert sein muß, von <strong>und</strong> zu einem<br />
Internet-Server übertragen. SOCKS verfügt über keinerlei Fähigkeit, in Pakete hinein zu<br />
schauen, er leitet sie nur weiter. Falls also der Client gegenüber buffer overflows<br />
verletzbar ist, so ist er es stets auch hinter dem PROXY. Einzige Ausnahme sind Angriffe,<br />
die auf den TCP/IP-Stack zielen. Diese werden vom PROXY abgefangen.<br />
Es dürfte klar sein, daß bei dieser Konstruktion nicht von Sicherheit gesprochen werden<br />
kann. Im Gr<strong>und</strong>e kann man auch einen E-Mail-Dämon oder auch einen DNS-Server als<br />
PROXY bezeichnen, sie werden auch als store-and-forward PROXY bezeichnet.<br />
Vorsicht bei dem Begriff PROXY ist immer angebracht.<br />
Der Kernel des Betriebssystems muß also <strong>für</strong> die Weiterleitung der Pakete zwischen den<br />
Netzwerk - Interfaces sorgen, während der PROXY die Authentifizierung (telnet: login,<br />
SOCKS) übernimmt.<br />
Gelingt es dem Angreifer, die PROXY-Software durch einen DoS-Angriff stillzulegen, so ist<br />
der Weg in das innere Netzwerk offen, da der Kernel stets Datenpakete forwarded. Mit<br />
Hilfe von gespooften, source routing pakets gelingt es einem Angreifer dann, von<br />
außerhalb hosts im inneren Netzwerk zu erreichen. Unter dieser Sicherheitslücke leiden<br />
sehr viele Systeme - DoS dient hier nicht der Deaktivierung eines hosts, sondern eher der<br />
Reaktivierung unterdrückter Qualitäten. Wenn also von PROXY´s, wie z.B. SQUID,<br />
CERN-HTTPD oder WWWOFFLE die Rede ist, kann von Sicherheit also keine Rede sein.<br />
Wer eine S.u.S.E. <strong>LINUX</strong> <strong>Firewall</strong> mit SQUID als PROXY installiert hat, einen SUN<br />
SOLARIS host mit Netscape-PROXY betreibt, oder Windows 98/NT z.B. mit einem<br />
Microsoft Proxy betreibt, dessen Sicherheit liegt mit hoher Wahrscheinlichkeit völlig blank.<br />
Bei der gewöhnlichen Standardinstallation bindet sich der PROXY an einen Port auf der<br />
internen Netzwerkkarte, <strong>und</strong> übergibt die weiterzuleitenden Informationen an den Kernel,<br />
der diese dann an die äußere Netzwerkkarte weiterleitet. Hierzu ist forwarding notwendig.<br />
Korrekt wäre der PROXY installiert, wenn er auch ohne forwarding die Daten<br />
transportieren würde. Dies erfordert genaue Kenntnisse <strong>und</strong> Konfigurationsänderungen<br />
bei Host <strong>und</strong> PROXY. Es besteht zudem stets die Gefahr eines buffer overflows.<br />
SQUID, CERN-HTTPD gehören schon zu der Gattung der application level proxy, die<br />
genaue Kenntnisse über das Protokoll besitzen. Genaugenommen sind es sogar<br />
intelligente Proxies, da sie über spezielle Mechanismen des Caching von Files auf der<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins