Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
lokalen Festplatte beherrschen. Im Falle des SQUID <strong>und</strong> Netscape-PROXY ist dieser<br />
sogar in der Lage, mit benachbarten Systemen Daten auszutauschen. Das macht sie<br />
äußerst anfällig gegen DoS-Angriffe <strong>und</strong> buffer overflows. Bisher hat sich nur kein<br />
Angreifer da<strong>für</strong> interessiert, da auf diesen Servern ohnehin frei zugängliche Informationen<br />
lagern. Deswegen sind auch keine Sicherheitsprobleme bekannt. Wer sich aber etwas<br />
genauer mit den Quellcodes beschäftigt, der wird sehen, daß hier viele<br />
Sicherheitsabfragen fehlen <strong>und</strong> Squid auch in großer Zahl Gebrauch von den Bibliotheken<br />
des Betriebssystems macht. Die Sicherheit von Squid <strong>und</strong> Netscape Proxy hängt auch<br />
entscheidend von der Qualität des Servers ab, doch hierzu mehr später.<br />
Wenn also von PROXY-<strong>Firewall</strong>s die Rede ist, dann sind sicherlich nicht solche<br />
Konstruktionen gemeint.<br />
PROXY-<strong>Firewall</strong>s gehören zu den langsamsten <strong>Firewall</strong>s, aber auch zu den solidesten.<br />
Sie besitzen einen eigenen, vom Kernel unabhängigen, im allgemeinen solide<br />
programmierten TCP/IP-Stack <strong>und</strong> umfangreiche Filtermöglichkeiten auf<br />
Anwendungsebene, sowie genaue Kenntnisse der Protokollmechanismen <strong>und</strong> Dienste.<br />
Sie besitzen keine derjenigen Schwächen, die <strong>Firewall</strong>-Router oder SPF <strong>für</strong> Angreifer<br />
attraktiv machen. Trotzdem sind auch diese gewöhnlich relativ einfach zu überwinden.<br />
Schwachpunkt sind die Arbeitsstationen bzw. Server in der DMZ hinter der <strong>Firewall</strong>. Aus<br />
praktischen Erwägungen können Anhänge an E-Mails <strong>und</strong> JAVA(Skript)/Active-X stets<br />
ungehindert die <strong>Firewall</strong> überwinden, nur in den wenigsten Fällen wird dies unterb<strong>und</strong>en.<br />
Angreifer konzentrieren sich daher immer auf diese Schwachstelle, da sie am einfachsten<br />
auszunutzen ist.<br />
Zu den typischen Vertretern der PROXY-<strong>Firewall</strong>s gehört z.B. TIS Gauntlet. Das TIS<br />
FWTK unter <strong>LINUX</strong> oder BSD-UNIX dient der Anschauung, da es im Quellcode<br />
veröffentlicht wurde. Das Toolkit bietet guten Schutz, aber es fehlt eine Unterstützung <strong>für</strong><br />
moderne Protokolle. Es existiert ein allgemein einsetzbarer PROXY, ein Schutz vor<br />
komplexeren Angriffen bietet dieser aber auch nicht.<br />
Welches <strong>Firewall</strong>-Betriebssystem ?<br />
Gr<strong>und</strong>sätzlich kann man <strong>Firewall</strong>s so unterteilen<br />
• <strong>Firewall</strong>s auf DOS-Basis mit Winsock (WinPkt-Treiber) Diese kann man<br />
als völlig veraltet <strong>und</strong> überholt ansehen. Sie leiden gewöhnlich an fast allen<br />
DoS (Denial of Service) Krankheiten.<br />
• <strong>Firewall</strong>s auf DOS-Basis mit eigenem TCP/IP-Stack Meist sind diese<br />
veraltet, es gibt aber auch Hersteller, die diese weiterentwickelt haben <strong>und</strong><br />
supporten. Sie besitzen keinerlei Schutz vor Angriffen auf application level, es<br />
mangelt an Kenntnissen über Protokoll- Mechanismen <strong>und</strong> Diensten. In vielen<br />
Fällen sind DoS Angriffe auf den TCP/IP-Stack erfolgreich.<br />
• <strong>Firewall</strong>s auf Windows 95/98-Basis Diese leiden an allen DoS-Krankheiten,<br />
unter den auch Windows leidet, daher sind sie erfahrungsgemäß instabil. Es<br />
sind gravierende Fehlkonfigurationen möglich <strong>und</strong> schwer zu beheben. Sie<br />
bieten zumeist keinerlei Schutz gegen Angriffe auf application level. Das<br />
Angebot an PROXY´s ist gut, es sind aber zumeist generische Proxies, die<br />
keinerlei Spezialkenntnisse über die Dienste besitzen (SQL). Es fehlen oft<br />
Filter auf Anwendungsebene.<br />
• <strong>Firewall</strong>s auf Windows 95/98-Basis mit eigenem TCP/IP-Stack Diese<br />
können sehr gut geeignet sein, Arbeitsstationen im Netzwerk stabiler zu<br />
machen, <strong>und</strong> gegen Angriffe über ISDN abzusichern. Oft besitzen diese guten<br />
Schutz gegen DoS-Angriffe <strong>und</strong> solche auf application level. Die Kenntnisse<br />
von Protokollen <strong>und</strong> Diensten sind umfangreich.<br />
• <strong>Firewall</strong>s auf NT-Basis ohne eigenen Stack Sie laufen erfahrungsgemäß<br />
stabil, leiden aber unter DoS-Angriffen auf den TCP/IP-Stack von NT, die<br />
noch recht häufig auftreten. Es sind gravierende Fehlkonfigurationen möglich,<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins