Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Der "passive" Modus (PASV-FTP) bei der FTP-Übertragung erfordert stets eine<br />
Erweiterung gewöhnlicher Filter oder generischen Proxy's um die spezifischen<br />
Protokollmechanismen. Es muß da<strong>für</strong> gesorgt werden, daß der Client innerhalb des<br />
gesicherten Netzwerkes beim Zugriff auf einen FTP-Server über die <strong>Firewall</strong> stets die<br />
Portnummer bestimmt. Dies geschieht über den PORT Befehl. Die <strong>Firewall</strong> muß also den<br />
PORT Befehl auf Zahlen < 1024 überprüfen, damit ein Zugriff auf die privilegierten Ports<br />
aus dem Internet unterb<strong>und</strong>en wird. Ein Restrisiko bleibt jedoch. Viele Intranet-Server,<br />
Proxy-Cache <strong>und</strong> SQL - Server belegen unpriviligierte Ports. Hier muß da<strong>für</strong> gesorgt<br />
werden, daß IDENTD , DNS (reverse lookup) im gesicherten Netzwerk zuverlässig<br />
funktionieren. Evtl. sind weitere Filterregeln notwendig, um diese Ports auf internen<br />
Servern nochmals abzusichern. Die SINUS <strong>Firewall</strong> begrenzt die möglichen Ports, aufalle<br />
unpriviligierten < 1024, mit Ausnahme der <strong>für</strong> X-Windows reserviertenPorts 6000...6100.<br />
Ein Zugriff auf privilegierte Ports oder X-Window -Server über die <strong>Firewall</strong> hinweg ist dann<br />
nicht mehr möglich. Es gibt aber genügend Portnummern, die z.B. <strong>für</strong> Fernwartung, Proxy-<br />
Cache o.ä. genutzt werden. Diese Ports sind weiterhin gefährdet.<br />
14.20 Design der internen Kommunikation<br />
Es werden zwei Arten von sockets benutzt:sockcomm <strong>und</strong> sockfriends warten auf<br />
eingehende Nachrichten von "trustedhosts" <strong>und</strong> "fiends", also explizit in den <strong>Firewall</strong>-<br />
Regeln eingetragene,vertrauenswürdige befre<strong>und</strong>ete Hosts. Die Funktionen sock_trusted[]<br />
<strong>und</strong>sock_friends[] sind Listen von Sockets, die Nachrichten an jeden eizelnen "trusted<br />
host" <strong>und</strong> "friend" senden.Es gibt aber im Dämon keinerlei Schutz gegen unberechtigte<br />
Zugriffe von außen. Es ist also unbedingt erforderlich, den UDP-Port 7227 <strong>für</strong> eingehende<br />
Nachrichten von "trusted hosts" <strong>und</strong> den UDP-Port 7228 <strong>für</strong> eingehende Nachrichten von<br />
"friends" freizuschalten.<br />
• Nachrichten Angesichts dessen, daß diese Austauschkanäle einen sicheren<br />
IP-Layer benötigen, der ohnehin Prüfsummen der übertragenen Daten<br />
erstellt, wird die Übertragung über UDP abgewickelt. Trotzdem ist der<br />
Transfer der dynamischen Regeln der <strong>Firewall</strong>s untereinander über<br />
Prüfsummen nochmals abgesichert. Die Nachrichten selber bestehen aus<br />
zwei verschiedenen Nachrichtentypen, aus Logeinträgen <strong>und</strong> dynamische<br />
<strong>Firewall</strong>regeln<br />
• Die Logeinträge Die Logeinträge bestehen aus reinen ASCII- Zeichenketten,<br />
die auf 200 Buchstaben Länge begrenzt sind. Die Unterscheidung zwischen<br />
Logeintrag <strong>und</strong>dynamischen <strong>Firewall</strong>regeln findet über eine besondere<br />
Kennung (SF_FW_MAGIC)statt. Der empfangene Host fügt dann die IP-<br />
Adresse aus dem Logeintrag hinzu, <strong>und</strong> fügt dann die vom "trusted host"<br />
übernommenen, dynamischen <strong>Firewall</strong>regeln zu seinen eigenen hinzu.<br />
• Dynamische Regeln Eine dynamische Regel besteht aus Zeigern auf<br />
Datenstrukturen <strong>und</strong> dynamisch angelegte Objekte in einem Dämon. Bevor<br />
also eine dynamische Regel gesendet werden kann, muß der Dämon diese<br />
erst aus dem RAM auslesen, diese in Listen einordnen, mit einer Nummer<br />
versehen, <strong>und</strong> erst dann können diese an andere <strong>Firewall</strong>s übermittelt<br />
werden. Das Format dieser Struktur ist folgendermaßen abgelegt:<br />
14.21 SINUS <strong>Firewall</strong>-1 <strong>und</strong> der <strong>LINUX</strong> Kernel<br />
Dieser Text beschreibt die notwendigen Änderungen im Kernel von Linux, das Design der<br />
Schnittstelle zum Kernel, das Kernel Filter Modul, die Funktion des <strong>Firewall</strong>-Daemon <strong>und</strong><br />
der <strong>Firewall</strong> - Schnittstelle<br />
14.22 Übersicht<br />
Die Komponenten<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins