Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Themen<br />
• Explosion der Datenmengen bei Angriffen<br />
• Random attacks <strong>und</strong> Log Strategien<br />
• Log Rotation<br />
• Vernichtung von Spuren<br />
• Größe von Festplatten<br />
<strong>Firewall</strong>s erzeugen in manchen Fällen erhebliche Mengen an Logfiles, besonders dann,<br />
wenn gegen irgendeine Regel verstoßen wird.<br />
So kann ein Angreifer mit ganz wenigen Paketen über eine langsame Anbindung, z.B.<br />
ISDN einen Datenstrom von der <strong>Firewall</strong> zum Logserver hin erzeugen, der nahe der<br />
Belastungsgrenze einer Ethernet-Anbindung liegt. Der Multiplikator kann bis zum ca. 200 -<br />
fachen der Bandbreite des Angriffspaketes betragen, also bei ISDN (8 KByte) kann ein<br />
Angriff <strong>für</strong> einen Bandbreite von bis zu 1.6 MByte pro Sek<strong>und</strong>e zwischen <strong>Firewall</strong> <strong>und</strong><br />
Logserver sorgen, wenn nicht besondere Maßnahmen ergriffen werden.<br />
Findige <strong>Firewall</strong> - Hersteller haben daher intelligente Mechanismen eingebaut, die z.B.<br />
Mehrfachmeldungen eines oder mehrerer Verstöße nur noch einmal aufzeichnen.<br />
Angreifer kennen natürlich die Log-Strategien fast aller Hersteller <strong>und</strong> sind so in der Lage,<br />
mit RANDOM-Angriffen verschiedenster Art eine <strong>Firewall</strong> <strong>und</strong>/oder deren Logserver an<br />
den Rand der Leistungsfähigkeit zu bringen. Bei 2 Mbit+ Internet-Anbindungen ist die<br />
Menge der Log-Einträge sicher das größte Problem von allen.<br />
Viele Hersteller behelfen sich durch Log - Rotation, d.h ein Angriff wird immer<br />
mitgeschnitten <strong>und</strong>, falls die Festplatten voll sind, wird von vorne angefangen. Für einen<br />
Angreifer bedeutet dies aber, daß er ohne Gefahr entdeckt zu werden, beliebige Angriffe<br />
starten kann. Er weiß, daß er nach den Angriffen den Logserver wieder überschwemmen<br />
kann. Die wahren Dokumente seiner Untaten verschwinden dann unter belanglosen<br />
Meldungen. Massive Angriffe müssen daher unbedingt mit proaktiven counter intelligence<br />
Maßnahmen bekämpft werden, <strong>und</strong> zwar hin bis zu einem DoS-Angriff, der von der<br />
<strong>Firewall</strong> selber gegen den Host des Angreifers ausgeführt wird. Die Größe derjenigen<br />
Platte, die die LOG-Files speichert, sollte ein vielfaches derjenigen Größe betragen, die<br />
ein bis zu 72 St<strong>und</strong>en lang dauernder Beschuß mit bekannten Toolkits verbraucht.<br />
Nur eine einzige kommerzielle <strong>Firewall</strong> verhält sich im Fall, daß kein freier Speicherplatz<br />
mehr zur Verfügung steht, korrekt <strong>und</strong> sperrt alle Interfaces - DEC <strong>Firewall</strong>. Für einen ISP<br />
ist das aber sicher nicht die korrekte Lösung.<br />
DoS <strong>und</strong> Filter in <strong>Firewall</strong><br />
Themen<br />
• Filter auf Anwendungsebene<br />
• Programmierung von Filtern<br />
• Analyse von Angriffen<br />
• Längenbegrenzungen<br />
• Support von <strong>Firewall</strong> - Herstellern<br />
• Filter im Eigenbau<br />
PROXY-Filter, die auf Anwendungsebene filtern, sollten nicht Bestandteil der <strong>Firewall</strong> sein.<br />
Das hat mehrere Gründe.<br />
Filter erfordern einen hohen Aufwand an CPU Leistung <strong>und</strong> können außerdem WWW ,<br />
FTP, SMTP <strong>und</strong> SQL Server meist nicht vor buffer overflow Angriffen schützen. Hierzu<br />
muß man in Kenntnis der genauen Sicherheitslücken auf dem Zielserver sein, um einen<br />
wirksamen Filter programmieren zu können. Kennt man diese aber, so ist es sicher<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins