Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
14.17 Erweiterungen in der SINUS <strong>Firewall</strong><br />
Die <strong>Firewall</strong> besteht im wesentlichen aus diesen Komponenten:<br />
• Das Kernel "filter module" ist ein nachladbares Modul, welches zu Laufzeit<br />
des Kernels eingefügt (nicht aber entfernt) werden kann. Von diesem<br />
Zeitpunkt an ist das "filter module" fest mit dem Bertriebssystemkern<br />
verb<strong>und</strong>en.<br />
• Der <strong>Firewall</strong>-Dämon kann <strong>und</strong> sollte als unprivilegierter Userprozess gestartet<br />
werden. Dessen einzige Aufgabe ist es, über das "firewall device" mit dem<br />
"filter module" zu kommunizieren, <strong>und</strong> Meldungen in Logfiles zu schreiben. Er<br />
stellt das Interface <strong>für</strong> das "sfc" Programm zu verfügung, sowie das Interface<br />
<strong>für</strong> die Kommunikation mit anderen <strong>Firewall</strong>s.<br />
• Der "firewall super daemon" läuft als privilegierter Prozess. Er besitzt keinerlei<br />
andere Aufgaben, außer im Falle eines "crash" oder auf Befehl der<br />
Konfigurationssoftware nach "reconfigure" den <strong>Firewall</strong>-Dämon neu zu<br />
starten.<br />
• Das sfc "user control program" ist ein einfaches Programm <strong>für</strong> den Benutzer,<br />
um den Zustand der aktiven <strong>Firewall</strong>regeln, die momentanen Verbindungen<br />
<strong>und</strong> die Variablen anzuzeigen, sowie die <strong>Firewall</strong> neu zu konfigurieren. Es<br />
kommuniziert direkt mit dem <strong>Firewall</strong>-Dämon.<br />
• Die <strong>Firewall</strong>-Client Software kann sowohl auf der <strong>Firewall</strong> selber gestartet, als<br />
auch auf entfernten Arbeitsplatz-PC´s gestartet werden. Sie ist in JAVA<br />
geschrieben <strong>und</strong> auf allen Betriebssystemen (OS/2, MAC, UNIX, PC...)<br />
lauffähig. Sie kommuniziert mit dem <strong>Firewall</strong>-Dämon <strong>und</strong> erlaubt die<br />
komfortable Programmierung der <strong>Firewall</strong> sowie deren Überwachung.<br />
14.18 SINUS <strong>Firewall</strong>-1 TCP/IP Stack<br />
Die 3 Wege - Architektur<br />
Einfache <strong>Firewall</strong>s besitzen nur eine 2-Wege Zustandsmaschine, wie sie leider heute noch<br />
in einigen DOS - <strong>Firewall</strong>s zu finden ist. Hierbei gilt eine Verbindung als hergestellt, wenn<br />
nach dem Client - SYN der Server mit SYN antwortete. Diese TCP/IP Stacks sind<br />
empfindlich gegen vielerlei Angriffe <strong>und</strong> nicht mehr Stand der modernen <strong>Firewall</strong>-<br />
Generation.<br />
Die SINUS <strong>Firewall</strong> hält sich hierbei streng an den RFC 793 - Standard <strong>und</strong> differenziert<br />
den Zustand genauer. Auf das SYN - Paket, also den Verbindungswunsch eines Clients,<br />
beispielsweise über TCP, antwortet die <strong>Firewall</strong> mit einem SYN/ACK. Danach werden<br />
zwischen Client <strong>und</strong> Server nur noch Pakete mit gesetztem ACK ausgetauscht, bis ein FIN<br />
vom Client oder Server die Verbindung als beendet erklärt.<br />
Hierbei ist eine Vielzahl von Angriffen möglich. Z.B. kann ein gespooftes "RST" oder "FIN"<br />
Signal eines Angreifers da<strong>für</strong> sorgen, daß die Verbindung zwischen Client <strong>und</strong> Server<br />
abbricht, wenn einer der beiden Partner der Meinung ist, daß der andere die Verbindung<br />
unterbricht. Hierzu muß der Angreifer natürlich die IP-Adresse der Partner fälschen<br />
(spoofing).<br />
Ebenso würden gespoofte SYN´s an die beiden Partner zu einer Endlosschleife führen.<br />
Ein DoS Angriff wäre somit erfolgreich.<br />
Daher wurde die Zustandsmaschine im Laufe der Zeit erweitert. Eine Verbindung gilt nach<br />
RFC 1122 dann nur noch als beendet, wenn sowohl Client <strong>und</strong> Server sich über ein FIN<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins