Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
• Kenntnisse über Betriebssysteme<br />
Es gibt eine ganze Reihe weiterer Angriffe, die etwas mehr Erfahrung seitens des<br />
Angreifers erfordern, als die alleinige Anwendung einiger Skripte.<br />
Beispiele findet man auf der Site http://www.securityfocus.com (Nachfolger von GEEK-<br />
GIRL.COM), wo z.B. ein DoS Attack auf NAI Gauntlet <strong>Firewall</strong> 5.0 beschrieben ist. Dies ist<br />
genau so ein Fall von kombinierten Paketen, wo ein IP-Paket in ein ICMP Paket verpackt<br />
wurde. Das Paket vom Typ ICMP 12 ist schon oben in der Liste erwähnt, allerdings nicht<br />
in Kombination mit einem darin eingepackten IP-Paket. Business is war - nach diesem<br />
Motto werden immer mehr ISP´s <strong>und</strong> SHOP-Anbieter Opfer von massiver DoS-Angriffen.<br />
Da das business to business Geschäft stark wächst, trifft es hier insbesondere den<br />
Großhändler oder ISP hart.<br />
Während die DoS-Angriffe über den TCP/IP-Stack durch den Einsatz von leistungsfähiger<br />
Hardware <strong>und</strong> hochwertigen <strong>Firewall</strong>s recht zuverlässig abgewehrt werden können, so ist<br />
zur Abwehr der folgenden Angriffe erheblich mehr KNOW-HOW notwendig.<br />
Hierzu sind interne Informationen über das zu schützende Serverbetriebssystem<br />
notwendig, um entsprechendes fine tuning vornehmen zu können. Genaue Kenntnisse<br />
über Timeout-Verhalten, TCP/IP-Stack, RAM-Verbrauch, Bandbreite u.s.w. erst erlauben<br />
es, einen Server zuverlässig zu betreiben.<br />
Überlastung eines Servers hinter einer <strong>Firewall</strong><br />
Themen<br />
• Begrenzungen der Zahl von FTP/POP3 Verbindungen<br />
• Zu lange Timeouts<br />
• Abstimmung von Betriebssystem <strong>und</strong> <strong>Firewall</strong><br />
• mission critical Systeme<br />
• Einsatz von BSD - UNIX bei großen Providern<br />
Fast alle Betriebssysteme lassen sich mit massiven "echten" Verbindungsanforderungen<br />
an den Rand der Leistungsfähigkeit bringen. Beispielsweise kann man mit wenigen<br />
H<strong>und</strong>ert FTP- oder POP3/IMAP4-Verbindungen einen Server ans Swappen bringen. Die<br />
Antwortzeiten steigen schnell an, <strong>und</strong> nach ein paar Minuten ist der Server in einem<br />
Zustand, daß er neu gebootet werden muß.<br />
Es ist also gerade bei mission critical Systemen wichtig, daß RAM-Verbrauch je offener<br />
TCP/IP-Verbindung <strong>und</strong> Prozeß auf das zur Verfügung stehende RAM abgestimmt wird.<br />
Einzelne Dienste müssen in ihrer Zahl begrenzt werden. In vielen Fällen sind auch die<br />
Timeout-Zeiten, z.B bei abgebrochenen FTP-Verbindungen, zu lang, sodaß vom TCP/IP-<br />
Stack unnötig RAM verbraucht wird.<br />
Die maximale Zahl der »halboffenen« Verbindungen muß angepaßt werden, <strong>und</strong> zwar im<br />
Kernel des Servers <strong>und</strong> der <strong>Firewall</strong>. Gerade bei mission critical Systemen ist es<br />
unerläßlich, daß man genaue Kenntnisse über timeout Zeiten, RAM-Verbrauch, maximale<br />
Zahl der Verbindungen u.s.w. der <strong>Firewall</strong> <strong>und</strong> des Servers hat.<br />
Aus diesem Gr<strong>und</strong> werden große Server ausschließlich mit FreeBSD oder NetBSD<br />
betrieben. (www.cdrom.com, www.yahoo.com, www.lycos.com, www.netscape.com,<br />
www.tucows.com <strong>und</strong> viele weitere....). Deren Last liegt bei ca. 200 GByte am Tag <strong>und</strong> bei<br />
durchschnittlich 3500 simultanen Verbindungen, zumeist File-Downloads.<br />
Fluten des Logservers einer <strong>Firewall</strong><br />
Erstellt von Doc Gonzo - http://kickme.to/plugins