Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• Allow large windows erlaubt einen DoS Angriff in schnellen Netzwerken<br />
(größer nx100 MBit), ansonsten ist dagegen nichts zu sagen, die<br />
Performance wird erhöht.<br />
• Bridging sollte unbedingt ausgeschaltet werden, da ansonsten die Pakete<br />
nicht mehr gefiltert werden.<br />
• Forwarding between high speed interfaces ist ähnlich dem fast switching,<br />
allerdings mit Kontrolle über Bandbreiten. Diese Option sollte vorsichtshalber<br />
ausgeschaltet bleiben, da noch keine Erfahrungen vorliegen. Das Problem mit<br />
Jumbo Frames ist hier kritisch.<br />
• IP: use TOS ist eine Option, die es erlaubt, dynamisch Bandbreiten in<br />
Anhängigkeit des Protokolls zu regeln <strong>und</strong> z.B. das Routing<br />
dementsprechend anzupassen. Dies birgt immer die Gefahr, daß<br />
asymmetrische Routen auftauchen, welche in <strong>Firewall</strong>s zu Fehlermeldungen<br />
führen können. Ansonsten ist hiergegen nichts einzuwenden, besonders<br />
nicht, wenn man nur mit 2 Netzwerkadaptern arbeitet. (2 sind immer gut, 3 ist<br />
immer einer zuviel)<br />
• LOADABLE Module Support ist immer auszuschalten, da eventuell jemand<br />
z.B. einen buffer overflow Attack im Appletalk Treiber entdecken könnte.<br />
Dann bräuchte er nur ein Appletalk Paket an die <strong>Firewall</strong> zu senden, diese<br />
würde den Treiber dynamisch laden - den Rest kann man sich denken.<br />
• Bei schnellen GIGABIT Netzwerk-Adaptern besteht immer das Problem von<br />
Windows Oversize/Large Windows. Man sollte hier entsprechend vorsichtig<br />
sein.<br />
• socket filtering ermöglicht es Usern, eigene Filter zu starten....Ausschalten.<br />
12.6 Installation von ipchains im Kernel<br />
In neueren Linux Distributionen mit Kernel <strong>2.2</strong>, z.B. RedHat 5.2 ist ipchains bereits<br />
aktiviert. Um dieses feststellen zu können, sollte man im Filesystem nach<br />
/proc/net/ip_fw_chains suchen. Ist diese Datei vorhanden, so ist keine neue<br />
Kompilierung des Kernels mehr notwendig. Der folgende Abschnitt kann also übergangen<br />
werden.<br />
Hier sind die Kernel Optionen <strong>für</strong> die Kernel Versionen <strong>2.0</strong> noch einmal grob angegeben.<br />
Die genauen Optionen zur Einstellung des Kernels sind im Kapitel Kerneloptionen<br />
genauer beschrieben. Hier also nur ein kleiner Überblick:<br />
CONFIG_EXPERIMENTAL=y<br />
CONFIG_FIREWALL=y<br />
CONFIG_IP_FIREWALL=y<br />
CONFIG_IP_FIREWALL_CHAINS=y<br />
Für die Kernel Versionen <strong>2.2</strong>:<br />
CONFIG_FIREWALL=y<br />
CONFIG_IP_FIREWALL=y<br />
Das Konfigurations - <strong>und</strong> Administrationswerkzeug ipchains ist das Werkzeug zur<br />
Kommunikation zwischen User <strong>und</strong> Kernel. Hierüber wird dem Kernel mitgeteilt, was er zu<br />
filtern hat.<br />
12.7 Beschreibung des ipchains Administrationswerkzeuges<br />
Dieses Werkzeug ersetzt das ipfwadm Programm in älteren Linux <strong>Firewall</strong>s. Das Paket<br />
enthält ebenfalls ein Shell - Skript, namens ipfwadm-wrapper, welches es erlaubt,<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins