Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Generierung einer e-Mail vorgesehen. Das kann dann sinnvoll sein, wenn große<br />
Netzwerke überwacht werden müssen, oder wenn mit der Zerstörung des primären<br />
Loghostes gerechnet werden muß. In diesem Fall ist es auch möglich, die Log-Ausgabe<br />
an einen Drucker weiterzuleiten.<br />
14.13 Counter intelligence<br />
Ungeachtet einiger berechtigter "ethischer" Bedenken verfügt die SINUS <strong>Firewall</strong> über<br />
eine automatische Gegenspionage. Ist die Funtion aktiviert, so verwendet sie<br />
Standardwerkzeuge, wie identd, finger, oder rwho, um die User-ID des Angreifers<br />
ermitteln zu können. Es ist natürlich möglich, daß diese Funktion falsche Informationen<br />
<strong>zurück</strong>liefert, sie kann aber in einigen Fällen Angreifer bis in Rechenzentren oder PC-<br />
Netze <strong>zurück</strong>verfolgen. Gleichzeitig kann sie den DNS-Namen von verdächtigen Hosts<br />
überprüfen. Ist der "double reverse lookup" nicht eindeutig "positiv" (Übereinstimmung von<br />
DNS <strong>und</strong> IP - Nummer), so wird ein besonderer Alarm ausgelöst, oder der Server <strong>für</strong><br />
jegliche Zugriffe von diesem Host gesperrt. Insbesondere dient diese Funktion bei<br />
Internetserver als Schutz vor gespooften Angriffen.<br />
14.14 Interner Aufbau der <strong>Firewall</strong><br />
Die <strong>Firewall</strong> besteht aus einem <strong>Firewall</strong>-Dämon, einem Kernel-Filter-Modul, einem<br />
Kontrollprogramm <strong>und</strong> der Benutzeroberfläche in JAVA. Das Filtermodul übernimmt die<br />
gesamten Filteraufgaben. Der <strong>Firewall</strong>-Dämon verarbeitet die Filter-Meldungen (z.B.<br />
"Paket gesperrt"), erzeugt die dynamischen Filterregeln, Log-Einträge <strong>und</strong><br />
Alarmmeldungen.<br />
Das Filter-Modul erfordert kleine Änderungen im Kernel, um ein sogenanntes "device" zu<br />
erzeugen, welches wie unter UNIX üblich in /dev/firewall erscheint. Die Kommunikation<br />
kann dann relativ einfach über das öffnen des "firewall device" geschehen. Gegenüber<br />
ganzheitlichen Lösungen, bei denen das Filter-Modul <strong>und</strong> das Kontrollprogramm in einem<br />
Programm zusammengefaßt wurden, hat diese Lösung den Vorteil, daß bei einer<br />
Fehlfunktion des Kontrollprogramms die "forwarding" Funktionen des Kernels deaktiviert<br />
sind, d.h. die <strong>Firewall</strong> unverzüglich alle Verbindungen sperrt (failsafe). Alle ein- <strong>und</strong><br />
ausgehenden Pakete durchlaufen das Filtermodul <strong>und</strong> müssen stets getrennte Regelsätze<br />
<strong>für</strong> die angeschlossenen Netzwerkinterfaces passieren, was insbesondere <strong>für</strong> die<br />
Erkennung von "adress spoofing" notwendig ist.<br />
Ist die <strong>Firewall</strong> als "bastion host" konfiguriert, so wird jedes Paket zuerst gefiltert, bevor es<br />
in der <strong>Firewall</strong> selber Schaden anrichten kann. Die Pakete werden anhand der statischen<br />
<strong>und</strong> dynamischen Filterregeln überprüft, <strong>und</strong> je nach Resultat weitergeleitet,<br />
stillschweigend vernichtet, oder unter Aussendung einer beliebig wählbaren "ICMP"<br />
Meldung (destination unreachable...) <strong>zurück</strong>gewiesen. Falls der "notification level" nicht<br />
NULL ist, wird zusätzlich eine Meldung an den <strong>Firewall</strong>-Dämon gesendet, der dann<br />
weitere Aktionen ausführen kann. Das Kernel-Modul wird während dieser Ausführung<br />
nicht blockiert, <strong>und</strong> kann sich bereits wieder einem weiteren Paket widmen.<br />
14.15 Sicherheit oder Verfügbarkeit ?<br />
Entsprechend dem Stellenwert der Sicherheit über die Verfügbarkeit wurde das System so<br />
ausgelegt, daß es stets "failsafe" ist. Wenn der <strong>Firewall</strong>-Dämon abstürzen sollte, was<br />
theoretisch im Rahmen des Möglichen liegt, jedoch noch nie passiert ist, dann werden alle<br />
Interfaces komplett gesperrt. Es ist dann weder eingehender noch ausgehender Verkehr<br />
möglich, da bei geschlossenem "firewall device" alle Pakete per default vernichtet werden.<br />
Die <strong>Firewall</strong> muß dann von der Konsole aus reaktiviert werden. Diese Maßnahme<br />
gewährleistet, daß der Administrator alle Log-Files in Ruhe untersuchen <strong>und</strong> auswerten<br />
kann. Falls es dem Angreifer gelungen sein sollte, über einen aktivierten Dämon (apache,<br />
dns, sendmail) o.ä. mittels eines "buffer overflows" zu gelangen, dann ist diese <strong>Firewall</strong><br />
jedoch verloren. Aus diesem Gr<strong>und</strong> darf auf der <strong>Firewall</strong> niemals irgendein Dämon von<br />
innen oder außen erreichbar sein. Völlig bedenkenlos kann jedoch X-Windows oder<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins