Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Verbindungen zu DNS Nameservern<br />
Beim Sperren von DNS-Anfragen, sollte man wissen, daß die DNS-Server nicht immer die<br />
Daten über UDP austauschen. Wenn die Paketgröße 512 Byte überschreitet, dann wird<br />
eine TCP Verbindung hergestellt, die größere Datenmengen sicher übertragen kann.<br />
Hierzu wird der Port 53 TCP benötigt. Auch wenn DNS-Anfragen bereits über die <strong>Firewall</strong><br />
hinweg funktionieren, bedeutet das nicht, daß auch komplexere Zonentransfers über UDP<br />
abgewickelt werden können.<br />
Wenn DNS-Anfragen stets an dieselbe externe Quelle gerichtet sind, Beispielsweise den<br />
DNS-Server des Providers, dann sollte dieser in der nameserver Zeile der Datei<br />
/etc/resolv.conf eingetragen sein, oder, falls ein caching nameserver im forward mode<br />
aktiviert wurde, dann ist nur eine TCP Regel erforderlich.<br />
FTP Probleme<br />
Das klassische Problem beim Filtern von FTP ist, daß FTP zwei völlig unterschiedliche<br />
Modi besitzt, active mode <strong>und</strong> passive mode, auch PASV genannt. WWW-Browser<br />
melden sich standardmäßig im passiven Modus an. Da FTP über einen Steuer <strong>und</strong> einen<br />
Datenkanal (Port 20+21) die Daten austauscht, ergeben sich gewisse Probleme.<br />
Im aktiven Modus versucht der Server, zu dem Client aktiv eine Verbindung <strong>für</strong> den<br />
Datenkanal aufzubauen. Die <strong>Firewall</strong> kann diesen Vorgang nicht erlauben, ohne Ports<br />
oberhalb von 1024 komplett frei zu schalten.<br />
Im passiven Modus bestimmt der Client beide Kanäle, also <strong>für</strong> den Verbindungs - <strong>und</strong> den<br />
Datenkanal. Damit nicht aus versehen ein Port <strong>für</strong> X-Windows angesprochen wird, sind<br />
die Ports zwischen 6000 <strong>und</strong> 6010 zu sperren.<br />
Filter gegen Ping of Death<br />
Für Linux Server war schon eine halbe St<strong>und</strong>e nach der Veröffentlichung des Problems<br />
ein Patch im Internet verfügbar. Dieser Angriff basiert auf zu großen ICMP Paketen.<br />
Um Server im Intranet oder Extranet gegen diesen Angriff zu sichern, müssen ICMP<br />
Fragmente gesperrt werden. Damit nicht das letzte Fragment die Server korrumpiert,<br />
müssen alle Fragmente gesperrt werden, also nicht nur das erste mit SYN Flag, sondern<br />
auch alle mit ACK Flag.<br />
Filtern von Teardrop <strong>und</strong> Bonk.<br />
Teardrop <strong>und</strong> Bonk sind Angriffe, die hauptsächlich gegen Windows NT 4.0 Server<br />
gerichtet sind. Diese basieren auf überlappenden Fragmenten. Um diesen Angriff zu<br />
verhindern, müssen alle Fragmente gesperrt werden, oder es muß eine Reassemblierung<br />
im IP-Stack durchgeführt werden.<br />
Filtern von Fragment Bomben.<br />
Einige altere TCP Stacks haben Probleme mit größeren Fragmenten von Paketen. Obige<br />
Maßnahmen sind bereits als Schutz ausreichend.<br />
Ändern von <strong>Firewall</strong>regeln<br />
Manchmal ist es sinnvoll Filterregeln zu ändern. Hierzu sollte man folgendermaßen<br />
vorgehen. Ein Beispiel:<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins