Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
die sich aber unter Anleitung gut beheben lassen. Sie bieten zumeist keinerlei<br />
Schutz gegen Angriffe auf application level, Kenntnisse über<br />
Protokollmechanismen sind eher selten (FTP). Das Angebot an PROXY´s ist<br />
gut.<br />
• PROXY-<strong>Firewall</strong>s auf NT-Basis mit eigenem TCP/IP-Stack Diese laufen<br />
i.a. stabil <strong>und</strong> sind sehr zuverlässig, sind aber relativ teuer in Anschaffung <strong>und</strong><br />
Support. Viele <strong>Firewall</strong>s, die auf Windows NT mit eigenem TCP/IP-Stack<br />
laufen, sind Portierungen von UNIX auf NT. Leider sind diese nicht so<br />
leistungsfähig, wie unter UNIX, obwohl die Software praktisch identisch ist.<br />
Der Gr<strong>und</strong> liegt in dem effizienteren Memory-Konzept von UNIX <strong>und</strong> teilweise<br />
auch daran, daß der IP-Stack (nicht der TCP-Stack) von UNIX mit genutzt<br />
wird.<br />
• <strong>Firewall</strong>s auf UNIX-Basis ohne eigenen Stack Sie laufen erfahrungsgemäß<br />
stabil <strong>und</strong> sind sicher. Fehlkonfigurationen treten häufig <strong>und</strong> fast nur bei<br />
<strong>LINUX</strong>-<strong>Firewall</strong>s auf, die nach Anleitungen von Distributoren aus dem<br />
Internet, oder aus Zeitschriften (C´t) aufgebaut wurden. <strong>Firewall</strong>s, die auf<br />
BSD-Systemen oder Solaris aufsetzen, besitzen oft eine hohe Qualität <strong>und</strong><br />
sind sehr sicher, auch gegen Bedienungsfehler.<br />
• <strong>Firewall</strong>s auf UNIX-Basis mit eigenem TCP/IP-Stack Diese <strong>Firewall</strong>s sind<br />
oft identisch mit denen auf NT-Basis ohne eigenen TCP/IP-Stack. Sie<br />
arbeiten unter UNIX schneller.<br />
• <strong>Firewall</strong>s mit eigenem Betriebssystem Viele dieser <strong>Firewall</strong>s benutzen<br />
FreeBSD (Borderware), BSDI (Borderware, Genua Wall), Linux (Watchguard,<br />
TIS FWTK, GNATwall). Hinter einigen kommerziellen <strong>Firewall</strong>s steckt UNIX,<br />
weil es, wenn man es auf die wesentlich Funktionen reduziert, auf eine<br />
Diskette paßt. Zu erwähnen ist noch CISCO PIX, welche auf IOS läuft, einer<br />
Eigenentwicklung von CISCO.<br />
Da es viele Mischformen von <strong>Firewall</strong>s gibt, sollte man sich doch genauer informieren,<br />
welche der Eigenschaften den Anforderungen am meisten entgegenkommt.<br />
23.2 Angriffe auf den TCP/IP-Stack<br />
Angriffe auf den TCP/IP-Stack sind gegenwärtig die Ursache von immensen Ausfällen bei<br />
ISP´s <strong>und</strong> innerhalb des Netzwerkes von Unternehmen. Verantworlich sind hierbei häufig<br />
mangelhafte TCP/IP-Stacks in Servern <strong>und</strong> Routern, die empfindlich auf defekte<br />
Netzwerkkarten <strong>und</strong> speziell konstruierte TCP/IP-Pakete reagieren. Diese Pakete werden<br />
von Programmen erzeugt, die im Internet im Quellcode <strong>und</strong> als Windows-Programm<br />
veröffentlicht werden. Diese werden exploits genannt <strong>und</strong> sind im BUGTRAQ Archiv zu<br />
finden (http://www.geek-girl.com)<br />
Sie sind fast ohne Netzwerkkenntnisse von jedermann ausführbar <strong>und</strong> greifen Internet-<br />
Server <strong>und</strong> arglose Surfer an. Insbesondere Fa. Microsoft hat sich hierbei nicht mit Ruhm<br />
bekleckert, die Folgen waren allerorts zu spüren: Computerwoche, SWF3, Microsoft,<br />
Netscape... -Internet-Server <strong>und</strong> viele andere waren wochenlang »offline«,<br />
h<strong>und</strong>erttausende von Surfern werden mit DoS-Angriffen belegt, die ein Einfrieren vor allem<br />
von Windows 95/98/NT Workstations bewirken.<br />
Für mission critical Dienstleistungsbetreiber bedeutete dies erhebliche Folgekosten, die<br />
sich aus Ausfallzeiten, Schadensersatzansprüchen, Beratung, Kauf <strong>und</strong> Einrichtung einer<br />
<strong>Firewall</strong> u.s.w zusammensetzte. Als dann auch einige <strong>Firewall</strong>hersteller keine wirksame<br />
Lösung liefern konnten, war das Chaos perfekt. Microsoft z.B. sperrte alle direkten Zugriffe<br />
auf deren Internet-Server <strong>und</strong> ließ über mehrere Wochen nur Pakete zu, die über<br />
bekannte PROXY's bei ISP's geroutet wurden.<br />
PROXY´s oder CACHING PROXY's nutzen zwangsläufig ihren eigenen TCP/IP-Stack <strong>für</strong><br />
ein- <strong>und</strong> ausgehende Pakete. Pakete von Angreifern über PROXY´s mußten somit<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins