Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
zu entfernen. Damit kann der DNS - Server das UDP Protokoll nicht mehr verwenden.<br />
(Leider machen nicht alle DNS Server dieses Spiel mit)<br />
Fassen wir einmal die Unterschiede zwischen TCP <strong>und</strong> UDP zusammen:<br />
TCP Pakete<br />
• SYN Bit bei Verbindungsaufbau<br />
• Nach dem Verbindungsaufbau werden Port > 1024 verwendet (BSD-<br />
Konvention)<br />
• Der Kernel kennt alle angeforderten Pakete<br />
• ACK Bit bei allen anderen Paketen gesetzt<br />
• SYN+ACK Bit wird abgelehnt<br />
• Prüfsummen werden vom Kernel generiert<br />
• Verlorene Pakete werden vom Kernel neu angefordert<br />
• TCP besitzt einen großen Overhead<br />
• Protokolle, wie FTP benötigen eine besondere Behandlung (PASV)<br />
UDP Pakete<br />
• UDP besitzt kein SYN oder ACK Bit<br />
• Nach dem Verbindungsaufbau werden dieselben Ports verwendet<br />
• Der Kernel muß UDP Pakete ins Intranet freigegeben haben<br />
• Es werden keine Prüfsummen generiert<br />
• Verlorene Pakete sind verloren<br />
• UDP ist effizient<br />
• Viele Protokolle verwenden TCP <strong>und</strong> UDP<br />
Die Nachteile bei der Sicherheit von UDP müssen teilweise von den<br />
Anwendungsprogrammen abgefangen werden. Hierzu gehören:<br />
• Generierung von Prüfsummen<br />
• Evtl. Neuanforderung von verlorenen Paketen<br />
• Absprache über verwendete Ports > 1024<br />
• Eingrenzung von verwendeten Ports<br />
• Verknüpfung von TCP <strong>und</strong> UDP Paketen (DNS, NFS....)<br />
Welche Auswirkungen hat dies auf die <strong>Firewall</strong>regeln ? Zuerst muß festgestellt<br />
werden, wie die <strong>Firewall</strong> mit UDP Paketen umgeht. Hierzu kann man entweder einige<br />
Tests durchführen, oder - den Quellcode anschauen. Wir möchten z.B. wissen, ob auf der<br />
<strong>Firewall</strong> generell alle UDP Pakete aus dem Internet freigegeben werden müssen, oder ob<br />
die <strong>Firewall</strong> genau weiß, wann ein Paket gesendet wurde, <strong>und</strong> ob ein Datenstrom auf<br />
genau diesem Port <strong>zurück</strong> erwartet wird. UDP Pakete von anderen Hosts mit anderen<br />
Ports sollte sie ablehnen können. Im Gegensatz zu normalem Paketfiltering beherrscht<br />
natürlich <strong>LINUX</strong> das dynamische Paketfiltering. <strong>LINUX</strong> führt stets sowohl <strong>für</strong> TCP <strong>und</strong><br />
UDP Tabellen, in denen vermerkt wird, ob ein Paket aus dem Internet angefordert wurde,<br />
welche IP - Nummern beteiligt sind, <strong>und</strong> welche Ports diese Benutzen. Ein Angreifer hätte<br />
dann wohl kaum Chancen, von außerhalb irgendeinen Server hinter der <strong>Firewall</strong> zu<br />
erreichen zu können.<br />
Wie ist es denn mit Spoofing ? Gespoofte TCP Pakete werden erkannt <strong>und</strong><br />
abgelehnt, wie ist das mit UDP Paketen ? Nun, der Test auf gespoofte Pakete wird auf<br />
der IP Ebene vorgenommen. Da TCP <strong>und</strong> UDP auf IP Ebene aufsetzen, existiert also<br />
auch hier Schutz vor spoofing.<br />
Wo liegen also die angeblichen Gefahren von UDP ? Nun, um die Gefahren genau<br />
abschätzen zu können, muß man bei der Installation der <strong>Firewall</strong> genau wissen, ob ein<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins