Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Moderne Kernel führen zusätzliche Statistiken über die Latenzzeiten zu bestehenden IP-<br />
Verbindungen (RTT), <strong>und</strong> regeln so differenziert die Zeiten der maximalen Verweildauer<br />
von TCP/IP-Paketen im Stack.<br />
Ohne Differenzierung würden entweder langsame Verbindungen verworfen, oder der<br />
Kernel gegen DoS-Angriffe verletzbar werden. Der BSD 4.4 TCP/IP-Stack (BSD UNIX,<br />
OS/2) ist ein Garant <strong>für</strong> hohe Serverleistung, z.B. <strong>für</strong> "mission critical" Aufgaben im<br />
Internet, wo höchst unterschiedliche Bandbreiten auf einmal auftreten. BSD Stacks<br />
wurden in der Reihenfolge ihrer fortschreitenden Entwicklung mit "Tahoe", "Reno" <strong>und</strong><br />
"Vegas" bezeichnet. Bei Geschwindigkeitstest der einzelnen Betriebssysteme werden<br />
immer wieder mit Hilfe von Benchmarks auf WWW-Server die Geschwindigkeit von<br />
Serverbetriebssystemen <strong>und</strong> deren WWW-Servern getestet. Windows NT 4.0 erreichte<br />
hier überdurchschnittliche Werte bei den Antwortzeiten, fiel jedoch durch eine hohe<br />
Fehlerrate auf, OS/2 Warp glänzte mit konstanten, jedoch langsameren Responsezeiten,<br />
lieferte die Daten aber auch ohne jeden Fehler aus.<br />
Die im Labor ermittelten Werte lassen sich jedoch keinesfalls mit den realen<br />
Anforderungen im Internet oder Unternehmensnetzwerk vergleichen.<br />
In der Praxis ist OS/2 um ein vielfaches stabiler <strong>und</strong> schneller, als NT 4.0, welches die<br />
unerfreuliche Eigenschaft hat, ab ca. 30 simultanen Verbindungen völlig einzubrechen.<br />
OS/2, SUN Solaris, FreeBSD, NetBSD, BSDI <strong>und</strong> OpenBSD besitzen zuverlässige,<br />
moderne TCP/IP-Stacks, die den unterschiedlichen Anforderungen besonders im Internet<br />
<strong>und</strong> großen Unternehmen besser gerecht werden.<br />
Umfangreiche Tuning - Möglichkeiten ergänzen diese positiven Eigenschaften. Für die<br />
Auswahl von Betriebssystemen <strong>für</strong> <strong>Firewall</strong>s ergeben sich folgende Konsequenzen: Für<br />
<strong>Firewall</strong>s mit vollständig eigenem TCP/IP-Stack ist die Wahl des Betriebssystems egal, da<br />
es nur als Administrationswerkzeug <strong>und</strong> Fileserver <strong>für</strong> die Log-Einträge dient.<br />
<strong>Firewall</strong>s mit teilweisem oder ohne eigenen TCP/IP-Stack sollten vorzugsweise auf UNIX<br />
mit BSD 4.4 oder SUN Solaris installiert werden.<br />
Für Hochleistungs-<strong>Firewall</strong>s mit mehreren Prozessoren <strong>und</strong> GBit oder ATM Karten sollte<br />
berücksichtigt werden, daß das Timing-Verhalten bei schon 100 MBit Übertragungsrate<br />
durch die Parallelisierung der Threads des TCP/IP-Stacks erhebliche Probleme mit sich<br />
bringen kann. So passiert es häufig, daß Systeme mit mehreren Prozessoren <strong>und</strong><br />
Interfaces weitaus störungsanfälliger sind, als Server mit bewährten 10 MBit Interfaces<br />
<strong>und</strong> einem Prozessor (Beispiel: SUN ATM, Windows NT). Für mission critical <strong>Firewall</strong>s<br />
sind Einprozessorsysteme die bessere Wahl. Insgesamt kenne ich kein System, welches<br />
als Mehrprozessorsystem ähnlich stabil wäre. Wenn überhaupt, dann könnte man Solaris<br />
<strong>und</strong> OS/2 als stabil <strong>und</strong> schnell bezeichnen, NT mit mehreren Prozessoren ist eine<br />
Katastrophe. Viele Patches, die DoS Angriffe auf Einprozessorsysteme verhindern,<br />
funktionieren nicht auf Mehrprozessorsystemen. Der Gr<strong>und</strong> liegt in der Verwaltung des<br />
TCP/IP Stacks mit vielen Threads, was zu ungeheuren programmiertechnischen<br />
Schwierigkeiten führt. Daher sind viele TCP/IP Stacks nicht mehrprozessorfähig, auch<br />
wenn die Werbung behauptet, das ganze Betriebssystem wäre <strong>für</strong> mehrere Prozessoren<br />
ausgelegt. Diese Schwierigkeiten wurden z.B. unter hoher Last bei Solaris/NT mit ATM<br />
Karten an der Universität zu Köln von Axel Clauberg festgestellt <strong>und</strong> veröffentlicht.<br />
23.3 Buffer overflow Angriffe<br />
Themen<br />
• Ziele von Angreifern<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins