Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
14.11 Einsatzgebiet der <strong>Firewall</strong> bei ISP´s<br />
Die SINUS <strong>Firewall</strong> eignet sich besonders zum Schutz <strong>und</strong> zur Überwachung vor allem<br />
vor TCP/IP Angriffen auf Internet - Server, die in der Vergangenheit immer wieder <strong>für</strong> die<br />
hohen Ausfallraten verantwortlich waren. Sie bietet Schutz vor Angriffen auf den TCP/IP<br />
Stack <strong>und</strong> schützt gegen SYN-Flooding Angriffe. counter intelligence Mechanismen<br />
versetzt die <strong>Firewall</strong> in die Lage, auf Angriffe mit Gegenmaßnahmen zu reagieren, sowohl<br />
passiv als auch proaktiv:<br />
• Passiv: Sperrung von Ports, IP - Nummern, Benachrichtigung des<br />
Administrators<br />
• Proaktiv: Starten von "counter intelligence" Programmen, z.B "traceroute" auf<br />
die IP - Nummer des Angreifers oder automatische Benachrichtigung des<br />
Providers via E-Mail. In einige hartnäckigen Fällen könnte es notwendig sein,<br />
den Angreifer mit einen eigenen Mitteln zu schlagen. Hierbei kann dann auf<br />
ein Reservoir von Angriffs-Toolkits <strong>zurück</strong>gegriffen werden, die die<br />
Arbeitsstation des Angreifers stillegen. Es sind alle gängigen<br />
Angriffswerkzeuge "teardrop, land......." auf den TCP/IP-Stack des Angreifers<br />
enthalten. Zukünftige Werkzeuge können nachinstalliert werden.<br />
Gängige Portscanner, mit denen ein Angreifer vor dem eigentlichen Angriff evtl. das<br />
System testet, können erkannt <strong>und</strong> klassifiziert werden. Erkannt werden können ISS,<br />
SATAN, SAINT....<br />
»stealth scan« z.B kann erkannt <strong>und</strong> geblockt werden, in einigen Fällen kann das<br />
Betriebsystems des Angreifers identifiziert werden. Diese Maßnahmen erlauben es, nach<br />
einem Portscan auf einen WWW-Server, die Pakete eines Angreifers auf einen speziellen<br />
Dummy-Server umzuleiten, ohne daß dieser davon etwas bemerkt. Hier kann dann die<br />
Signatur eines Angriffs auf der Festplatte gespeichert werden, um nachträglich die Art <strong>und</strong><br />
Funktionsweise analysieren zu können. Durch die flexible Programmiersprache ist<br />
gewährleistet, daß auch in Zukunft neue Arten von Angriffen proaktiv bekämpft werden<br />
können.<br />
Clustering <strong>und</strong> Load Balancing<br />
• Clustering der <strong>Firewall</strong> Die SINUS <strong>Firewall</strong> ist in der Lage, beliebig mit<br />
benachbarten SINUS - <strong>Firewall</strong>s sowohl »log events« als auch<br />
Zustandsinformationen über dynamische <strong>Firewall</strong>regeln auszutauschen, <strong>und</strong><br />
entsprechend zu verarbeiten. Wichtig wird diese Eigenschaft beim Einsatz<br />
zum Schutz von Hochleistungs - Internetservern, die von einem oder<br />
mehreren Angreifern einem DoS Attack ausgesetzt sind. Die Kommunikation<br />
untereinander erlaubt es, trotz »Beschuß« die <strong>Firewall</strong> noch <strong>für</strong> normale<br />
Internet-Dienste offenzuhalten.<br />
• LOAD Balancing Der Einsatz zum Schutz vor Angriffen im Internet erfordert<br />
eine intensive Kontrolle der bis zu einigen Tausend simultanen Verbindungen<br />
verschiedenster Art. Trotz relativ niedriger Bandbreiten im Internet ist es<br />
möglich, daß bei komplexen, dynamischen <strong>Firewall</strong>regeln auch eine DEC-<br />
ALPHA mit 600 Mhz <strong>und</strong> bis weit über 1 Gbyte Memory-Bandbreite ihre<br />
Grenzen erreicht. In diesem Falle ist es sinnvoll, »load balancing« Software<br />
<strong>und</strong> zusätzliche Hardware einzusetzen. Im Allgemeinen reicht aber zur<br />
Absicherung eines 10MBit Netzwerkes ein kleiner Pentium 75 völlig aus.<br />
14.12 Logging<br />
Ein wesentlicher Teil der Funktionen einer <strong>Firewall</strong> sind Logging-, Überwachungs- <strong>und</strong><br />
Alarmierungsfunktionen. Um ein Ereignis <strong>für</strong> den Benutzer zu protokollieren, ist auch die<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins