Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Der Tip <strong>für</strong> VPN´s unter <strong>LINUX</strong>: http://members.home.net/ipmasq/. Hier ist insbesondere<br />
der Abschnitt über PPTP - Server unter <strong>LINUX</strong> sowie das PPTP Gateway von<br />
besonderem Interesse, weil das Protokoll bereits in allen Microsoft Clients enthalten ist.<br />
PPTP ist das Point to Point Tunneling Protocol, welches von Microsoft favorisiert wird. Es<br />
gibt inzwischen ausgereifte PPTP - Server <strong>und</strong> PPTP Gateways, die auch das Tunneln<br />
über die <strong>Firewall</strong> erlauben. PPTP Server unterstützen unter <strong>LINUX</strong> inzwischen das Point<br />
to Multipoint Protokoll, sodaß sich hiermit auch VPN´s unter <strong>LINUX</strong> sehr einfach aufbauen<br />
lassen.<br />
27.1 PPTP unter <strong>LINUX</strong> <strong>und</strong> Windows<br />
Unter <strong>LINUX</strong> <strong>und</strong> anderen UNIX Derivaten ist nun der PMPTP Serverdämon frei<br />
verfügbar, <strong>und</strong> z.B. auf http://www.freshmeat.net zu finden. PMPTP steht <strong>für</strong> Point-to-<br />
Multipoint Transfer Protocol <strong>und</strong> besagt, daß sich hier Microsoft Windows 98/NT Clients<br />
zu vielen gleichzeitig an den Server anbinden können. Hierbei werden alle TCP Pakete<br />
verschlüsselt, da im Prinzip bei den Clients alle Pakete aus der Netzwerkkarte kommend<br />
verschlüsselt werden. Man muß hierzu auf den Clients eine Microsoft Netzwerkkarte<br />
nachinstallieren. Danach erst erscheinen die Einstellungsmöglichkeiten <strong>für</strong> PPTP.<br />
Serverseitig sollte man einfach den ausführlichen Installationsanweisungen des PMPTP<br />
Serverdämons folgen. Die Installation ist recht einfach. Man sollte jedoch stets<br />
berücksichtigen, daß sowohl Server als auch Clients neben dem PPTP Protokoll auch<br />
noch "normal" mit anderen Servern oder untereinander kommunizieren können. Daher<br />
sollten alle anderen Protokolle, die unverschlüsselt sind, gelöscht werden. Nur so kann<br />
man sicher sein, daß zwischen Clients <strong>und</strong> Server niemand mehr Daten abhören kann.<br />
Das PMPTP Protokoll ist einfach zu konfigurieren <strong>und</strong> relativ sicher, sofern man das bei<br />
Microsoft Software überhaupt behaupten kann. Es eignet sich hervorragend zum<br />
Fernwartung <strong>und</strong> zum Aufbau von VPN´s. <strong>LINUX</strong> unterstützt ab KERNEL <strong>2.2</strong> das<br />
Masquerading <strong>für</strong> PPTP Protokolle. (Zusatz) Billiger kann man IPSec nicht mehr<br />
realisieren - Es ist alles kostenlos unter GPL verfügbar<br />
28. Erstellung einer Security Policy<br />
Eine Security Policy legt fest, welche Informationen welchem User im Netzwerk<br />
zugänglich sind. Diese Aufgabe kann man nur bewältigen, wenn man sich einiger Dinge<br />
bewußt wird:<br />
• Router <strong>und</strong> <strong>Firewall</strong>s können nur Zugriffe von bestimmten Clients mit einer<br />
bestimmten IP-Nummer auf bestimmte Ports von Servern kontrollieren, hinter<br />
denen sich bestimmte Dienste, wie Fileserver, FTP Server, SQL Datenbank,<br />
Mailserver, Newsserver, WWW-Server u.s.w. verbergen. Für die Kontrolle der<br />
Paßworte sind die Server selber zuständig.<br />
• Es gibt Verknüpfungen zwischen Diensten untereinander. Das bekannteste<br />
Beispiel dürfte die Verknüpfung eines WWW-Servers mit einer SQL<br />
Datenbank über ein CGI-BIN (PERL, ASP, PHP3) sein. Man kann also über<br />
andere Protokolle, z.B. dem Port 80 Zugang zu einer SQL Datenbank auf Port<br />
1521 (ORACLE SQL) erhalten. Ein Router oder eine <strong>Firewall</strong> registriert dann<br />
den Zugriff einer Arbeitsstation auf die SQL Datenbank nicht.<br />
• Diese Verknüpfungen können auch über Server hinweg passieren, z.B. kann<br />
man mit einem PHP3 Script auf dem WWW-Server eine weit entfernte<br />
Datenbank abfragen, <strong>und</strong> die Ergebnisse über den Browser an die<br />
Arbeitsstation übergeben. Damit die Security Policy überwacht werden kann,<br />
muß also im Server aus den Logfiles ersichtlich sein, daß Arbeitsstation X<br />
über Port 80 (WWW) <strong>und</strong> ein CGI-BIN eine Abfrage des SQL Servers getätigt<br />
hat.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins