Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• Es gibt Anwendungen, die keinen bestimmten Port zur Kommunikation<br />
untereinander verwenden. Hierzu gehören die NT PDC´s <strong>und</strong> BDC´s, die über<br />
ein wildes Gemisch von TCP <strong>und</strong> UDP Protokollen, auch RPC (Remote<br />
Procedure Protocols) miteinander kommunizieren. Hierzu findet zuerst eine<br />
Verbindung auf Port 111 (Portmapper) statt, die mit einer <strong>Firewall</strong> noch zu<br />
überwachen ist, danach hat die <strong>Firewall</strong> oder der Router keine Möglichkeit<br />
mehr, die Verbindungen der PDC´s <strong>und</strong> BDC´s zu erkennen. Damit die<br />
Kommunikation über eine <strong>Firewall</strong> oder einen Router in einem großen<br />
Netzwerk jedoch noch funktioniert, müssen alle UDP <strong>und</strong> TCP Ports oberhalb<br />
von 1024 freigeschaltet werden. Aber auch BACKOFFICE <strong>und</strong> SMS benutzen<br />
wild irgendwelche Ports <strong>und</strong> Protokolle.<br />
• Durch diese Freischaltung können andere Ports zwischen Clients<br />
untereinander <strong>und</strong> Serverdiensten oberhalb 1024, z.B. SQL nicht mehr<br />
gesperrt werden. Eine Kontrolle in der <strong>Firewall</strong> ist zwar möglich, jedoch<br />
benutzen z.B. auch PDC´s eventuell einmal TCP Port 1521.....<br />
• Damit keine Mißverständnisse bezüglich benutzter Ports <strong>für</strong> den<br />
Datenaustausch aufkommen, kann <strong>und</strong> muß man bei Windows NT<br />
bestimmten Diensten einen festen IP-Bereich zuweisen, der dann auch von<br />
der <strong>Firewall</strong> zugeordnet werden kann. D.h. z.B., daß <strong>für</strong> RPC Protokolle nur<br />
Ports zwischen 15000 <strong>und</strong> 15100 verwendet werden dürfen. Zu einer Security<br />
Policy gehört auch die Festlegung der Ports <strong>für</strong> bestimmte Dienste.<br />
• Für alle Dienste müssen also legale Portnummern zugewiesen werden, damit<br />
die <strong>Firewall</strong>s im Unternehmen den Datenfluß überhaupt kontrollieren können.<br />
• Danach erst können die Zugriffe von Arbeitsstationen auf bestimmte Server<br />
<strong>und</strong> deren Dienste kontrolliert werden. Allerdings gehört dann zu einer<br />
Überwachung auch die Protokollierung des Datenverkehrs über Interfaces.<br />
Hierzu muß man alle möglichen Interfaces, die Daten weitertransportieren<br />
können, kennen.<br />
• Mögliche Interfaces sind teilweise bekannt: PROXY´s, CGI-BIN´s, WWW-<br />
Server. Es gibt aber auch Interfaces, die kaum jemanden bekannt sind.<br />
Fehlerhaft programmierte FTP-Server, der WWW-Server IIS, APACHE, der<br />
Inet-Dämon unter UNIX, fehlerhafte TCP/IP Stacks bei Microsoft, der Filter<br />
WEBWASHER von Siemens, der auch als PROXY arbeitet, der SAMBAR<br />
WWW-Server <strong>und</strong> PROXY, Groupware Server (NOVELL Groupwise), der<br />
EXCHANGE Server, der MAIL-SERVER (SENDMAIL ohne SPAM-Kontrolle),<br />
der DNS Server u.s.w. Die Liste ist sehr lang, der mögliche Mißbrauch dieser<br />
o.g. Software ist nachgewiesen.<br />
• Über diese Interfaces können Datenpakete weitergeleitet werden, sodaß<br />
jemand eventuell Daten aus einem Datenbankserver abfragen kann, ohne<br />
direkt mit diesem in Kontakt treten zu müssen. Damit kann die <strong>Firewall</strong> auch<br />
keinen Protokolleintrag aufweisen.<br />
• Zugriffe von Arbeitsstationen auf Server können in einer <strong>Firewall</strong> nur dann<br />
korrekt einem Anwender zugeordnet werden, wenn diese Arbeitsstation stets<br />
eine feste IP-Nummer zugeordnet wird. Beim Einsatz von DHCP, also dem<br />
IP-Leasing Modell von IBM, muß die <strong>Firewall</strong> <strong>und</strong> alle Router stets darüber<br />
informiert sein, welche Arbeitsstation mit welchem User gerade welche IP-<br />
Numer verwendet. Da die meisten Router <strong>und</strong> <strong>Firewall</strong>s bei DHCP passen<br />
müssen, bleibt nur die feste Zuordnung von IP-Nummern <strong>und</strong><br />
Arbeitsstationen. Im DHCP Server kann man Reservierungen <strong>für</strong> bestimmte<br />
MAC Adressen festlegen, womit man das Problem dann umgangen hat. Ohne<br />
diese Festlegung ist eine Überwachung eines Netzwerkes viel komplexer.<br />
Leider hat Microsoft diese Kommunikationsprotokolle der PDC´s untereinander auf den<br />
RPC´s (Remote Procedure Calls) aufgebaut, einer Mischung aus TCP <strong>und</strong> UDP<br />
Protokollen. Das hat zur Folge, daß der Systemadministrator zur Absicherung <strong>und</strong><br />
Überwachung von NT Netzwerken sehr teuere <strong>Firewall</strong>s einsetzen muß, die die RPC<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins