Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Nochmals zur Erinnerung: Beim Verbindungsaufbau mit SYN-Bit, danach werden alle<br />
Pakete nur noch mit gesetztem ACK Bit ausgetauscht. Im Gr<strong>und</strong>e bedeutet dies, daß zwar<br />
Pakete aus dem Internet in unser Intranet akzeptiert werden, aber keinen<br />
Verbindungsaufbau aus dem Internet zu einem der Hosts im Intranet möglich ist. Eine<br />
genaue Liste von Protokollen, Ports <strong>und</strong> Regeln findet sich im Anhang über <strong>Firewall</strong>regeln<br />
Pakete mit ACK Bit werden also nur dann akzeptiert, wenn ein SYN Paket aus dem<br />
Intranet zu dem Host im Internet übertragen wurde. Die <strong>Firewall</strong> merkt sich diese Adresse<br />
<strong>und</strong> erlaubt dann den Partnern, weiterhin Pakete untereinander auszutauschen. Kurz<br />
gesagt, die <strong>Firewall</strong> öffnet die Ports nur dann, wenn jemand aus dem Intranet surfen<br />
möchte. Genau das war das Ziel.<br />
Nun werden noch Regeln <strong>für</strong> Browser hinzugefügt:<br />
# Erlaube HTTPS <strong>und</strong> PROXY<br />
ipfwadm -I -a accept -P tcp -k -W $EXTERNES_INTERFACE \<br />
-S $ANYWHERE 443 8080 3128\<br />
-D $INTRANET $UNPRIVPORTS<br />
Hier wird die Übertragung von Ports 443 <strong>und</strong> 8080 aus dem Internet zu einem Client im<br />
Intranet zugelassen. Auch hier muß die Verbindung von innen initiiert worden sein. (-k)<br />
Die Schreibweise ist nun so, daß mehrere Ports hintereinander angeben werden können,<br />
das IPFWADM Toolkit interpretiert dieses korrekt. Ports 443 werden <strong>für</strong> die sichere<br />
Übertragung von Daten über das Internet verwendet (Der Schlüssel links unten im<br />
Browser schließt sich), was aber nicht bedeutet, daß die Daten, z.B. Kreditkartennummern<br />
am Zielort auch sicher aufgehoben sind. Port 8080 <strong>und</strong> 3128 sind gebräuchliche Ports <strong>für</strong><br />
HTTP-PROXY-CACHES, die viele Seiten aus dem Internet zwischen gespeichert haben,<br />
<strong>und</strong> somit <strong>für</strong> eine beschleunigte Übertragung sorgen. Wer z.B. mit ISDN surft, sollte nur<br />
über Profis surfen. Es verhindert Angriffe auf den TCP/IP Stack von Microsoft<br />
Betriebssystemen. Außerdem geht es schneller <strong>und</strong> der Provider spart Kosten ein. Bei der<br />
Angabe des Proxies im Browser sollte man es einmal mit proxy.provider.de, auf den<br />
beiden oben erwähnten Ports versuchen.<br />
Wir haben nun einige Ports betrachtet. UNIX verfügt aber über ein unglaubliche Zahl von<br />
Diensten, sodaß man wirklich alle abschalten sollte, von denen man nicht definitiv weiß,<br />
ob sie bei falscher Konfiguration ein Sicherheitsproblem darstellen. Allgemein sollte man<br />
sich an der UNIX Computer Security Checklist von AUSCERT oder dem DFN-Verein in<br />
Hamburg orientieren. Diese ist zwar etwas veraltet, das ist aber UNIX auch im Prinzip,<br />
auch wenn einige Benutzeroberflächen sehr modern aussehen. Das Gr<strong>und</strong>prinzip bei<br />
UNIX ist seit den 70er Jahren nicht mehr verändert worden. Eine große Hilfe ist das<br />
Gr<strong>und</strong>schutzhandbuch des BSI (http://www.bsi.b<strong>und</strong>.de) sein.<br />
Um jedoch eine sichere <strong>Firewall</strong> aufzubauen, sei jedermann/frau dringenst geraten, so<br />
konservativ, wie möglich mit der Freigabe von Ports auf der <strong>Firewall</strong> zu verfahren.<br />
Dasselbe gilt insbesondere <strong>für</strong> Dienste auf der <strong>Firewall</strong> selber. In der Vergangenheit<br />
haben unzählige Einbrüche über Dämonen, wie z.B. sendmail, pop3, http...gezeigt, daß<br />
ein Angreifer über trojanische Pferde auf den Arbeitsstationen auch die <strong>Firewall</strong> selber<br />
angreifen kann.<br />
9.14 Gefahren mit Ports > 1024<br />
Es gibt aber noch ein paar Gefahren bezüglich der Freigabe von unpriviligierte (>1024) auf<br />
der <strong>Firewall</strong>. Per Definition sind die Dienste von X-Windows (6000+), OpenWindows<br />
(2000+) <strong>und</strong> NFS (TCP <strong>und</strong> UDP 2049) also oberhalb der privilegierten Ports angesiedelt.<br />
Wenn also schon Ports freigegeben werden müssen, dann sollten unbedingt diese Ports<br />
ausdrücklich ausgeschlossen werden. Ein häufiger Fehler in größeren Netzwerken ist, daß<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins