Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
9.16 Die Dienste auf einer <strong>Firewall</strong><br />
Die <strong>Firewall</strong> soll auch von innen jedem Angreifer möglichst wenig Angriffsfläche bieten. in<br />
der Datei /etc/inetd.conf sollten möglichst keine Dienste mehr laufen. Im Gr<strong>und</strong>e sollte<br />
man auch den inetd selber abschalten, da auch er Ziel von DoS Angriffen werden kann.<br />
Einzelne Dämomen kann man immer auch ohne den inetd starten, nebenher gesagt. Es<br />
werden dann keine Dämonen mehr gestartet, wenn Pakete an einem bestimmten Port<br />
eintreffen. Dies ist die sicherste Einstellung. Da aber immer irgend jemand irgendeinen<br />
Dienst nutzen möchte, evtl. zur Fernwartung, so ist es notwendig, trotzdem einige<br />
Probleme bei der Aktivierung der Dienste zu erläutern.<br />
Nach außen hin ist es immer kritisch, irgendeinen Dienst freizugeben. Das hat der<br />
Betreiber der Site http://www.kernelnotes.org schmerzlich erfahren müssen. Es ist nämlich<br />
jemandem gelungen, in den einzigen "sicheren" Dienst des Servers einzubrechen,<br />
nämlich SSH. Das Problem lag in einem möglichen buffer overflow schon bei der<br />
Übergabe der Schlüssel <strong>und</strong> Paßworte der Authentifizierung (Siehe http://www.geekgirl.com).<br />
Ein weiterer Fall, der im Januar 1999 bekannt geworden ist, betrifft den TCP<br />
Wrapper von Wietse Venema (TCPD). Dieser wurde von einem unbekannten mit einer<br />
Hintertüre versehen, die schwierig zu entdecken war. Man mußte sich von einem spezielle<br />
Quellport aus mit dem Wrapper auf einem Server verbinden lassen. Damit hatte der<br />
unbekannte Zugang zu dem gesamten System. Es ist bei der Installation einer <strong>Firewall</strong><br />
<strong>und</strong> der Auswahl der Dienste sehr wichtig, die Quellcodes stets von einem sicheren<br />
Server zu beziehen, die Prüfsummen zu verifizieren (MD5) <strong>und</strong> diese dann eigenhändig<br />
zu kompilieren <strong>und</strong> zu installieren.<br />
Für die Fernwartung aus dem Intranet heraus ist es zu vertreten, daß die Dienste FTP <strong>und</strong><br />
TELNET auf der <strong>Firewall</strong> aktiviert werden. Das erspart, je nach Größe es Hauses, einige<br />
Laufarbeit. Wie oben schon erwähnt, binden sich viele Dienste an alle zur Verfügung<br />
stehenden Netzwerkkarten. Soweit dieses möglich ist, sollten alle Dienste an die interne<br />
Netzwerkkarte geb<strong>und</strong>en werden. Wie wichtig dies ist, zeigt sich u.a. auch mit dem Proxy<br />
<strong>2.0</strong> unter Microsoft Windows NT 4.0. Wie man sieht, sind die Probleme allgegenwärtig. Sie<br />
sind alle zu beheben, vorausgesetzt, daß man die Zusammenhänge versteht. Um alle<br />
Dämonen, also den tcpd, inetd, in.ftpd, <strong>und</strong> telnetd nach außen hin abzuschirmen, ist es<br />
notwendig, die <strong>Firewall</strong>regeln entsprechend anzupassen.<br />
Die Standardkonfiguration bei RedHat Linux ist so, daß alle Dienste stets über den TCP<br />
Wrapper gestartet werden. Der mitgelieferte TCPD ist jedoch nicht die "überarbeitete"<br />
Version, sondern stammt vom Original ab.<br />
Nun wenden wir uns weiteren Diensten zu, den RPC´s. Die Remote Procedure Calls<br />
werden von vielen Betriebssystemen <strong>für</strong> Dinge genutzt, von denen es niemand vermutet<br />
hätte. Beispielsweise nutzt Windows NT die RPC <strong>für</strong> den PDC, OSF-DCE verwendet es,<br />
viele Backup-Programme verwenden es, NFS, NIS+, YP basieren ebenfalls darauf.<br />
Inzwischen benötigt sogar SAMBA diesen Dienst.<br />
RPC ist ein Dienst, der oberhalb von IP, TCP <strong>und</strong> UDP angesiedelt ist. Der Gr<strong>und</strong> <strong>für</strong> die<br />
Einführung dieses Dienstes liegt darin, daß TCP <strong>und</strong> UDP nur 65535 verschiedene Ports,<br />
also Verbindungen simultan benutzen können. Berücksichtigt man, daß z.B. X-Windows<br />
sehr viele simultane Verbindungen benötigt (Fontserver...), dann kann es passieren, daß<br />
die Ports alle schnell vergeben sind. RPC hat die 2 Byte auf 4 Byte erweitert, <strong>und</strong> kann<br />
somit ca. 4.3 Milliarden simultane Verbindungen handeln. Die einzig feste Portnummer<br />
dieses Dienstes, die niemals verändert werden darf, ist die des Portmappers auf Port 111.<br />
Dieser handelt die Kanäle mit den Clients aus. Die <strong>Firewall</strong> im Kernel von <strong>LINUX</strong> hat<br />
keinerlei speziellen Kenntnisse über die Mechanismen, die <strong>für</strong> die RPC Dienste<br />
erforderlich sind. Hier bleibt nur der Einsatz des TIS FWTK übrig. Die Installation des TIS<br />
FWTK ist ein einem der folgenden Kapitel beschrieben. Die <strong>Firewall</strong> ist nun im Prinzip von<br />
allen Arbeitsstationen im Intranet zu erreichen. Die Fernwartung könnte also von allen<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins