Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• Fast Switching Ein Problem beim Tuning von <strong>LINUX</strong> sind die sogenannten<br />
Jumbo Frames oder Large Frames, die mit einer MTU > 9000 Bytes arbeiten.<br />
Es gibt im Kernel von <strong>LINUX</strong> <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong> eine Option zusammen mit dem<br />
Einsatz von Myrinet, DEC, 3COM GIGABIT Adapter, die es erlaubt, diese<br />
sogenannten Jumbo-Pakete direkt über den PCI-BUS von Adapter zu<br />
Adapter weiterzuleiten. Diese Option wird im Kernel von <strong>LINUX</strong> <strong>2.0</strong> oder <strong>2.2</strong><br />
"fast switching" genannt <strong>und</strong> verhindert, daß der Kernel bzw. die <strong>Firewall</strong> -<br />
Routinen überhaupt angesprochen werden. Das bringt natürlich einen<br />
erheblichen Gewinn an Geschwindigkeit. Pakete mit kleiner MTU (< 1500)<br />
werden hingegen in jedem Falle gefiltert, Jumbo Frames in Abhängigkeit der<br />
Kernel - Einstellungen nicht. Das steht zwar nirgendwo in der Dokumentation<br />
von <strong>LINUX</strong>, aber im Quellcode (Ich habe lange danach gesucht, warum<br />
Jumbo Frames nicht gefiltert werden....).<br />
• Ein weiteres Problem betrifft Kernel <strong>2.2</strong> <strong>und</strong> die Option IP: advanced router.<br />
Hier kann versehentlich die Option rp_filter <strong>für</strong> Spoofing - Detection<br />
abgeschaltet werden (z.B. mit sysctrl). Dieses sollte man erst gar nicht<br />
zulassen, indem man diese Option abschaltet <strong>und</strong> den Kernel neu kompiliert.<br />
• Die Option optimize as router not host bei den Kerneln <strong>2.0</strong> <strong>und</strong> <strong>2.2</strong> sollte<br />
unbedingt ausgeschaltet werden, da hierbei wichtige Prüfsummen - Checks<br />
auf IP-Ebene sonst entfallen. Dies ist insbesondere bei Einsatz von<br />
IPFWADM <strong>und</strong> IPCHAINS zwar mit kleinen Geschwindigkeitseinbußen<br />
verb<strong>und</strong>en, verhindert aber eine Vielzahl von möglichen Angriffen. Ohne<br />
Überprüfung der IP-Checksumme können Angreifer geziel Pakete<br />
konstruieren, die Server hinter der <strong>Firewall</strong> mit einem DoS Angriff belegen.<br />
• IP: large routing tables muß aktiviert werden, wenn man mehr als 64<br />
Routing-Einträge verwalten muß.<br />
• IP: verbose route monitoring Übergibt ausführliche Routing Informationen<br />
an den SYSLOGD.<br />
• IP: policy routing ermöglicht das Routing nicht anhand der Ziel-Adresse,<br />
sondern auch anhand der Quelladresse. Dies ermöglicht es, Pakete <strong>für</strong><br />
einzelne Hosts getrennt zu routen, <strong>und</strong> diese eventuell speziell zu filtern.<br />
• ARPD support kann ausgeschaltet bleiben, es sei denn, man muß in großen<br />
Netzwerken den ARPD einsetzen, da der Kernel nur eine bestimmte Anzahl<br />
von Adressen behält. Diese Option beschleunigt <strong>LINUX</strong>, wenn viele Clients<br />
auf den Server/Router/<strong>Firewall</strong> zugreifen, da nicht jedesmal ein ARP<br />
Broadcast <strong>für</strong> eine vergessen Hardwareadresse ausgesandt wird. Auch die<br />
Netzwerklast wird durch den Einsatz des ARPD geringer. Das macht sich<br />
insbesondere beim Einsatz von Netzwerkkarten mit zu kleinem ARP Cache<br />
bemerkbar.<br />
• GRE tunnels over IP (Kernel <strong>2.2</strong>) erlauben das Tunneln von IPv6 CISCO<br />
Router Informationen über IPv4. Da diese Pakete (IPv6 oder IPv4) nicht<br />
gefiltert werden können, ist entweder die Option auszuschalten, oder man<br />
muß IPSec Protokolle einsetzen.<br />
• GRE broadcast over IP erlaubt es, CISCO Broadcast Protokolle über <strong>LINUX</strong><br />
Router hinweg zu transportieren. Mit aktivierten GRE Einstellungen kann man<br />
mit <strong>LINUX</strong> Unternehmen vernetzen, <strong>und</strong> da<strong>für</strong> sorgen, daß alle CISCO Router<br />
weiterhin untereinander kommunizieren können, z.B. <strong>für</strong> die Überwachung<br />
einer Security Policy unternehmensweit.<br />
• IP: tunneling erlaubt nach dem SUN Standard IPoverIP Pakete zu<br />
versenden. Damit kann man über eine ISDN Standleitung Netzwerke<br />
miteinander verbinden.<br />
• Multicast Routing ist eine interessante Einstellung. Wenn die Pakete<br />
zulassen werden, können IP-Pakete an Hosts im Netzwerk adressiert werden,<br />
indem diese in Multicast Pakete verpackt werden. Diese Pakete werde<br />
teilweise schon in den Netzwerkkarten mit voller Hardwareunterstützung<br />
geroutet (DEC, SMC, HP, WAVELAN). Diese Option sollte entweder<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins