Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
andere Software installiert sein, sofern keiner der typischen Ports <strong>für</strong> den Zugriff von innen<br />
oder außen freigegeben wurde. Da nicht nur Server-Dämonen gegen Einbrüche aller Art<br />
empfindlich sind, sondern auch Clients (ftp, fetchmail, ....) ist es ausdrücklich untersagt,<br />
ein solches Programm auf der <strong>Firewall</strong> zu starten. Eine wirklich "sichere" <strong>Firewall</strong> hat nur<br />
ein einzige Aufgabe, nämlich als <strong>Firewall</strong> zu arbeiten.<br />
14.16 Fernwartung <strong>und</strong> Sicherheit<br />
PPTP<br />
SSH<br />
ENskip<br />
S/KEY<br />
OPIE<br />
Die Fernwartung einer <strong>Firewall</strong> von einem Arbeitsplatz aus ist immer mit großen Risiken<br />
verb<strong>und</strong>en. Es empfiehlt sich immer der Einsatz einer verschlüsselten Übertragung oder<br />
von Einweg - Paßworten. Aber auch die verschlüsselte Übertragung der Paßworte schützt<br />
nicht vor allen Angriffen. Es besteht immer die Möglichkeit, daß ein Angreifer auf einem<br />
Arbeitsplatz PC einen Keyboard-Sniffer installiert hat, <strong>und</strong> die Paßworte im Klartext<br />
erschnüffelt. Ohne die verschlüsselte Übertragung oder Einweg - Paßworte ist es <strong>für</strong><br />
externe Angreifer <strong>und</strong> Insider leicht möglich, die Sicherheit der <strong>Firewall</strong> <strong>und</strong> somit der des<br />
gesamten Netzwerkes zu gefährden. Es darf nie vergessen werden, daß der Arbeitsplatz-<br />
PC in dem Moment der Fernwartung der <strong>Firewall</strong> zum System der <strong>Firewall</strong> hinzugehört.<br />
Angesichts der vielen Sicherheitslücken im InternetExplorer, Windows 95/98/NT ist damit<br />
auch die <strong>Firewall</strong> gefährdet.<br />
PPTP ist das Point to Point Tunneling Protocol, welches von Microsoft favorisiert wird. Es<br />
gibt inzwischen ausgereifte PPTP - Server <strong>und</strong> PPTP Gateways, die auch das Tunneln<br />
über die <strong>Firewall</strong> erlauben. PPTP Server unterstützen unter <strong>LINUX</strong> inzwischen das Point<br />
to Multipoint Protokoll, sodaß sich hiermit auch VPN´s aufbauen lassen. Unter Windows ist<br />
PPTP bereits enthalten.<br />
SSH (Secure SHell) ist ein Verschlüsselungsmechanismus, der auf TCP/IP aufsetzt. Er<br />
arbeitet ähnlich wie PGP mit öffentlichem <strong>und</strong> privatem Schlüssel. Zur Herstellung der<br />
Verbindung sind feste IP - Nummern notwendig. SSH ist nur <strong>für</strong> die Errichtung einer<br />
sicheren Punkt zu Punkt Verbindung geeignet. Über SSH können prinzipiell alle Protokolle<br />
übertragen werden, daher eignet sich SSH perfekt zum Aufbau von VPN´s (Virtual Private<br />
Networks). Eingriffe in den Kernel sind nicht notwendig. SSH kann parallel zu anderen<br />
Protokollen installiert sein.<br />
ENskip ist ein zu SUN Skip kompatibler Clone, der direkt auf dem IP-Layer aufsetzt <strong>und</strong><br />
somit Änderungen im Kernel erfordert. Die jeweiligen Interfaces können somit keine<br />
normalen Protokolle mehr übertragen. Beim Einsatz von ENskip müssen keine<br />
Änderungen bei der Software vorgenommen werden. Für den Aufbau von VPN´s ist<br />
ENskip hervorragend geeignet.<br />
S/KEY ist ein System, welches mit verschlüsselten Einmal - Paßworten arbeitet. Jedes<br />
Paßwort aus einer Liste ist nur einmal gültig <strong>und</strong> verfällt nach einem erfolgreichen Login-<br />
Versuch. Es ist einfach zu installieren.<br />
OPIE arbeitet ähnlich SSH.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins