Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Hier werden alle TCP Pakete zugelassen, die von dem internen Host 192.168.1.1<br />
ausgehen, <strong>und</strong> an beliebige Hosts im Internet adressiert sind. Für diesen Host werden<br />
dann Antwortpakete aus dem Internet <strong>zurück</strong> erwartet. Ein direkter Zugriff aus dem<br />
Internet auf den Host im Intranet ist nicht möglich.<br />
Auch hier kann der Sinn der Option logisch invertiert werden. Ein vorangestelltes<br />
Ausrufezeichen, wie hier im Beispiel:<br />
-p TCP -s 192.168.1.1 ! -y<br />
besagt, daß alle Hosts aus dem Internet auf den Host im Intranet zugreifen dürfen, von<br />
diesem aber keine Verbindung zu einem Host in das Internet aufgebaut werden darf. Das<br />
macht immer dann einen Sinn, wenn z.B. ein Datenbankserver im Internet gesichert<br />
werden soll. Für den Fall, daß es einem Angreifer gelungen ist, mit einem buffer overflow<br />
an eine Rootshell unter UNIX zu gelangen. Will er nun mit einer FTP-Verbindung die<br />
Daten entführen, so wird dies von der <strong>Firewall</strong> unterb<strong>und</strong>en. Der Angreifer muß also noch<br />
erhebliche Mühen investieren. Die <strong>Firewall</strong> hätte den Entführungsversuch dann aber<br />
bereits registriert.<br />
IP-Fragmente<br />
In vielen Fällen ist ein Paket zu groß, um direkt von dem Interface aufgenommen werden<br />
zu können. Daher wird es in kleine Fragmente aufgeteilt <strong>und</strong> versendet. Am anderen Ende<br />
müssen diese Fragmente wieder zusammengesetzt, also reassembliert werden, wie es in<br />
Fachsprache heißt.<br />
Es gibt eine Reihe von Angriffsvarianten, die auf verschachtelten, IP-Fragmenten mit<br />
verschiedenen Offsets beruhen. Um diese Angriffe zu verhindern, ist es unerläßlich, daß<br />
der der Kernel diese IP-Fragmente vor der Weiterleitung an die Filter vollständig<br />
reassembliert. Bei der Kompliation des Kernels ist also beim Aufbau einer <strong>Firewall</strong><br />
strengstens darauf zu achten, daß die Option: IP: always defragment aktiviert wird.<br />
Beim Einsatz als Router oder Switch wird sich diese Option negativ auf die Performance<br />
aus.<br />
Dieser Tatsache wird in den Filterregeln Rechnung getragen. Das erste Fragment trägt<br />
den Header mit allen Informationen über IP-Adresse, Ports, Flags, Protokoll.....Alle<br />
weiteren Pakete sind <strong>für</strong> die <strong>Firewall</strong> nicht zuzuordnen <strong>und</strong> werden daher generell<br />
abgelehnt. Falls es also Probleme mit der Übertragung von Paketen kommt, ist die<br />
fehlende Defragmentierung auf der IP-Ebene die Ursache.<br />
Es ist aber möglich, mit Hilfe des -f flag Regeln <strong>für</strong> TCP Pakete ohne SYN-Flag das<br />
Passieren der <strong>Firewall</strong> zu erlauben. Dies kann insbesondere dann der Fall sein, wenn die<br />
<strong>Firewall</strong> als Router oder als <strong>Firewall</strong>-Switch eingesetzt wird.<br />
Eine Invertierung mit dem Ausrufezeichen ist <strong>für</strong> die Option -f erlaubt.<br />
Short Frames, oder auch malformed packets werden vom Kernel als Fragmente<br />
behandelt. Diese können auch bei defekten Netzwerkkarten auftreten. Hier werden<br />
Logeinträge vorgenommen, also Vorsicht bei der Interpretation dieser Einträge.<br />
Folgendes Beispiel beschreibt eine <strong>Firewall</strong>regel, die alle Fragmente verwirft, die als<br />
Zieladresse die interne IP - Nummer 192.168.1.1 beinhalten.<br />
ipchains -A output -f -D 192.168.1.1 -j DENY<br />
Pakete, die über große Strecken aus dem Internet an z.B. die <strong>Firewall</strong> herangetragen<br />
werden, sind häufig fragmentiert. Pakete aus der unmittelbaren Nähe sind niemals<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins