Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
tcp 0 0 *:sunrpc *:* LISTEN<br />
udp 0 0 *:1026 *:*<br />
Alle Ports, die auf "LISTEN" stehen, sind aktiv. Wie man sehen kann, sind viel zu viele<br />
Dienste unnötig aktiviert. Dieses ist ein Beispiel einer standardmäßig installierten <strong>LINUX</strong><br />
Distribution. Es gibt einfach zu viele Angriffspunkte <strong>für</strong> Cracker.<br />
Die Dienste ECHO, DISCARD <strong>und</strong> CHARGEN sind z.B. in der S.u.S.E. Distribution<br />
unnötig deaktiviert. Wenn diese deaktiviert werden, dann funktionieren z.B. TELNET <strong>und</strong><br />
andere Dienste, wie PING nicht mehr korrekt. Es kann dann erhebliche Zeitverzögerungen<br />
beim Verbindungsaufbau oder beim Abbruch geben.<br />
Auf einer <strong>Firewall</strong> sollten nur die unbedingt notwendigen Dienste <strong>und</strong> Dämomen laufen.<br />
Für die Kernel <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong> gibt es auf der Site http://www.freshmeat.net<br />
Kernelerweiterungen, die sogar <strong>für</strong> einzelne User Accounting durchführen können. Diese<br />
müssen in den Kernel einkompiliert werden. Zur einfacheren Bedienung finden sich dort<br />
auch Frontends, mit denen das Paketezählen sehr einfach ist. Diese Funktionieren auch<br />
mit der IPCHAINS <strong>Firewall</strong> im Kernel <strong>2.2</strong><br />
10.6 Die Überprüfung der UNIX Sicherheit<br />
Nicht nur unter UNIX ist es völlig unmöglich, absolute Sicherheit zu fordern. Das trifft um<br />
so mehr zu, je mehr Dienste oder Dämonen auf dem Server aktiviert wurden.<br />
Beim Einsatz eines UNIX Servers in der DMZ sollte dieser als BASTION HOST , siehe<br />
hierzu Kapitel Architektur von <strong>Firewall</strong>s besonders abgesichert werden. Hierzu kann man<br />
natürlich die <strong>LINUX</strong> Kernelfirewall mit IPFWADM, IPCHAINS oder auch SF <strong>Firewall</strong><br />
einsetzen. Auf der <strong>Firewall</strong> laufen dann jedoch viele Anwendungen. Diese Konstruktion<br />
nennt sich BASTION HOST.<br />
Selbstverständlich muß unbedingt ein BASTION HOST durch zwei <strong>Firewall</strong>s abgesichert<br />
werden, eine auf der Seite des Internets, die andere auf der Seite des Intranets. Diese<br />
<strong>Firewall</strong>s dürfen natürlich keine weiteren Dienste aktiviert haben. Sie dienen auf der Seite<br />
des Internets der Überwachung <strong>und</strong> auf der Seite des Intranets der Sicherheit.<br />
Zuerst möchte ich jedoch auf ein paar Quellen im Internet verweisen, die sich als recht<br />
nützlich erwiesen haben:<br />
http://viper.dmrt.com/tools/=Linux/Misc/unix-sec-checklist.htm<br />
Die Datei unix-sec-checklist.htm findet man auch auf unzähligen anderen Servern, oft<br />
jedoch in einer älteren Version. Wer in Suchmaschinen nach "UNIX" <strong>und</strong> "checklist" sucht,<br />
der wird bald fündig. In dieser Checkliste ist alles Wichtige <strong>und</strong> Gr<strong>und</strong>legende <strong>für</strong> die<br />
Absicherung von UNIX allgemein enthalten. Für unsere <strong>LINUX</strong> <strong>Firewall</strong> treffen diese Info´s<br />
leider nicht zu. Es gilt hier eine besondere Regel.<br />
Die eiserne Regel bei <strong>Firewall</strong>s: Eine <strong>Firewall</strong> hat nur eine Aufgabe, nämlich <strong>Firewall</strong>ing.<br />
Jede weitere Funktion, muß unbedingt ausgeschaltet werden. Das bedeutet im einzelnen:<br />
• Entfernen aller Dienste aus der Datei /etc/inetd.conf. Danach ist eine<br />
Administration nur noch von der Console aus möglich.<br />
• Entfernen aller unnötigen Software nach der Installation der <strong>Firewall</strong>, dazu<br />
gehören im Prinzip alle Pakete, die nicht direkt zur Administration notwendig<br />
sind, darunter auch alle Compiler, Quellcodes..... Wer sich einmal die <strong>LINUX</strong><br />
Distributionen angeschaut hat, die auf eine FLOPPY passen, der wird<br />
einsehen, daß auf der <strong>Firewall</strong> noch weniger Programme notwendig sind, als<br />
dort. Ein TIP: TOM´S RESCUE DISK - Ein komplettes <strong>LINUX</strong> mit allen<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins