Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
fragmentiert. Ein Angreifer, der sein Glück mit verschachtelten Fragmenten versucht, wird<br />
aus Gründen des exakten Timings immer versuchen, diese von einem Host aus nächster<br />
Nähe zu generieren, z.B. direkt von dem Bastion host in der DMZ. Aufgr<strong>und</strong> der<br />
Zuordnung IP-Adresse zu fragmentierten Paketen läßt sich direkt ablesen, ob ein solcher<br />
Angriff stattfindet, oder ob es nur ein gewöhnliches Paket aus dem Internet ist.<br />
Zugegeben, die Erstellung der Regeln ist nicht gerade trivial, aber es ist unerläßlich, diese<br />
Angriffsmethoden zu kennen, wenn man es mit Profis zu tun bekommt.<br />
12.10 Interne Abläufe der <strong>Firewall</strong><br />
Hier nur ein Überblick darüber, welche Prozesse innerhalb der <strong>Firewall</strong> stattfinden:<br />
1. Der Bytecounter <strong>für</strong> jede Regel wird um die Größe des Headers oder des<br />
Gesamtpaketes erhöht.<br />
2. Der Paketzähler wird erhöht<br />
3. Es wird auf Wunsch ein Logeintrag vorgenommen<br />
4. Auf Wunsch wird der TCP Header mit dem ToS Feld verändert.<br />
5. Auf Wunsch wird ein Paket in einer Liste vermerkt. (nicht in der Version <strong>2.0</strong>)<br />
6. Die Anweisungen nach der Regel werden analysiert, um zu entscheiden, was<br />
mit dem Paket passieren soll.<br />
Regel - Anweisungen<br />
Die Regel Anweisungen sind <strong>für</strong> den Kernel bestimmt, damit dieser darüber informiert ist,<br />
was mit dem Paket zu geschehen hat, auf welches eine Regel zutrifft. ipchains benutzt<br />
hierbei die Option -j (jump-to) <strong>für</strong> die Angabe einer Ziels. Der Name des Ziels darf nur<br />
max. 8 Buchstaben lang sein, wobei Groß-<strong>und</strong> Kleinschreibung unterschieden wird.<br />
Die Einfachste Anweisung ist diejenige, wo kein Ziel angegeben wird. Diese wird oft auch<br />
accounting rule genannt, weil sie nur zum Zählen von Paketen, dem Accounting geeignet<br />
ist:<br />
ipchains -A input -s 192.168.1.1<br />
Diese Regel zählt alle Pakete von dem Host 192.168.1.1 mit. Der Befehl ipchains -L -v<br />
zeigt die Summe von Bytes <strong>und</strong> Paketen an, die das Interface passiert haben, nachdem<br />
die Regel zutreffend war. Es läßt sich somit nach Port, Zieladresse <strong>und</strong> Quelladresse das<br />
Datenaufkommen zählen.<br />
Es gibt sechs spezielle Anweisungen. Die ersten drei sind bereits bekannt, diese sind<br />
ACCEPT, REJECT <strong>und</strong> DENY. ACCEPT besagt, das das Paket passieren kann. DENY<br />
verwirft das Paket in aller Stille, REJECT verwirft das Paket ebenso, generiert aber eine<br />
ICMP Nachricht, Code Nummer 3.<br />
Die vierte ist die Anweisung MASQ. Sie beauftragt den Kernel, die Absendeadresse, also<br />
die Quell IP - Nummer durch die IP - Nummer des eingehenden Interfaces zu ersetzen.<br />
Hier zu muß der Kernel mit der Option masquerading kompiliert worden sein. Für die<br />
genaue Beschreibung siehe den Abschnitt Unterschiede zwischen ipchains <strong>und</strong> ipfwadm.<br />
Diese Anweisung ist nur zulässig <strong>für</strong> Pakete, die die forward chain durchlaufen. Der<br />
Zweck dieser Regel ist es, interne IP - Nummern nicht in das Internet zu verraten, um<br />
einem Angreifer möglichst wenig Informationen über die Zahl <strong>und</strong> den Ort der Hosts im<br />
Intranet zu verraten.<br />
Die fünfte Anweisung ist die Option REDIRECT. Diese besagt, daß der Kernel das Paket<br />
auf einen lokalen Port umleiten soll. Diese Anweisung wird nur <strong>für</strong> TCP <strong>und</strong> UDP Pakete<br />
ausgeführt. Als Ergänzung kann nach der Regel -j REDIRECT ein Port angegeben<br />
werden, auch wenn das Paket an einen anderen Port weitergeleitet wurde. Diese<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins