Teil 1 - Firewall & Si · PDF file8.3.1 ERSTELLUNG ICMP REGEL (PING) 33 8.3.2 VERTEIDIGUNG...

- Teil 1 -

Firewall & Sicherheitskonzepte

Teil des Abschlussprojektes der Klasse F6H9 Autoren: Artur Neumann, Alexander Bauer, Boris Urban Gruppe: 3 Datum: 19.09.2001

1 Inhaltsverzeichnis

1 INHALTSVERZEICHNIS 2

2 RESSOURCEN- UND ABLAUFPLANUNG 4

3 SICHERHEITSGRUNDLAGEN 5

3.1 WAS WOLLEN SIE SCHÜTZEN 5 3.2 SICHERHEITSSTRATEGIEN 6 3.2.1 MINIMALE ZUGRIFFSRECHTE 6 3.2.2 MEHRSCHICHTIGE VERTEIDIGUNG 7 3.2.3 PASSIERSTELLE 7 3.2.4 DAS SCHWÄCHSTE GLIED 8 3.3 FEHLERSICHERHEIT 8 3.4 UMFASSENDE BETEILIGUNG 10 3.5 VIELFALT DER VERTEIDIGUNG 11 3.6 SICHERHEIT DURCH VERSCHLEIERUNG 12

4 PAKETFILTER-FIREWALL: THEORETISCHE GRUNDLAGE 13

5 ANGRIFFSTYPEN 14

5.1 SOURCE IP ADDRESS SPOOFING ATTACKE 14 5.2 SNIFFER-ATTACKEN 14 5.3 DENIAL OF SERVICE (DOS) 14 5.4 SOURCE ROUTING ATTACKE 14 5.5 TINY FRAGMENT ATTACKE 15 5.6 PORT SCAN 15

6 FIREWALL-KONZEPTE 16

6.1 ROUTER MIT FIREWALL-FUNKTIONALITÄTEN 16 6.2 FIREWALL-RECHNER MIT ROUTERFUNKTION 17 6.3 FIREWALL-RECHNER HINTER ROUTER 17 6.4 DMZ AN FIREWALL 17 6.5 SCREENED SUBNET 18 6.6 FAKE SERVER KONZEPT 18

7 DER PAKETFILTER DES LINUX KERNEL 2.4 19

Firewall / Mailserver Gruppe 3, F6H9 Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 2 / 50

7.1.1 VORAUSSETZUNG UM NETFILTER EINZUSETZEN 19 7.1.2 GRUNDLEGENDE FUNKTIOSWEISEN VON NETFILTER 19 7.2 MASQUERADING (NAT) MIT NETFILTER 21 7.2.1 WAS IST NETWORK ADDRESS TRANSLATION (NAT)? 21 7.2.2 WOFÜR IST NAT NOTWENDIG? 21 7.2.3 DIE ZWEI FORMEN VON NAT 21 7.3 IPTABLES 22 7.4 PRAKTISCHE UMSETZUNG 23 7.5 FUNKTIONSBEISPIEL 25

8 SYMANTEC ENTERPRISE FIREWALL NT/2000 6.5 27

8.1 INSTALLATION 27 8.1.1 HARDWAREVORRAUSETZUNGEN 27 8.1.2 VORBEREITUNG DES NEUEN SYSTEMS 27 8.1.3 NACH DER INSTALLATION DES BETRIEBSYSTEMS 28 8.2 ZENTRALE VERWALTUNG UND SCHNITTSTELLEN DER RAPTOR 28 8.2.1 PROXY DIENSTE DER SEF 29 8.2.2 FILTER 30 8.2.3 REGELWERK DER SEF 31 8.2.4 NETZWERKKARTEN EINSTELLUNGEN 32 8.2.4.1 Syn Flood Protection 32 8.2.4.2 Enable Ports Scan Detection 32 8.3 VERWALTUNG UND ERSTELLUNG DER SICHERHEITSRICHTLINIEN 33 8.3.1 ERSTELLUNG ICMP REGEL (PING) 33 8.3.2 VERTEIDIGUNG GEGEN „DENIAL OF SERVICE“ ATTACKEN 36 8.3.3 ERSTELLUNG VOM WINDOWS SHARE FREIGABEN (CIFS/SMB) 37 8.3.4 ERSTELLUNG FTP PROXY SERVICES 37 8.4 PROTOKOLLIERUNG UND BERICHTSERSTELLUNG IN ECHTZEIT 38 8.4.1 PORTSCAN 38 8.4.2 AKTIVE VERBINDUNGEN 39

9 KOSTEN-NUTZEN-ANALYSE 40

9.1.1 DIE KOSTEN 40 9.1.1.1 Projekt-Hardware 40 9.1.1.2 Projekt-Software - Netfilter 40 9.1.1.3 Projekt-Software - Symantec Enterprise Firewall 41 9.1.1.4 Installation und Konfiguration 41 9.1.2 NUTZEN-ANALYSE 42

10 ANHANG A 43

11 ANHANG B 45

12 ANHANG C 47

13 QUELLEN 50


2 Ressourcen- und Ablaufplanung

Als Testhardware für die Firewall steht uns ein Rechner mit zwei Wechselfestplatten zur Verfügung. Auf einer Platte wurde Red Hat Linux mit der Netfilter-Firewall installiert und getestet. Auf der anderen Platte entsprechend Windows 2000 mit der Raptor-Firewall. In Abstimmung innerhalb der Projektgruppe wurde zuerst die Linuxfirewall eingerichtet und getestet. Anschließend wurde dementsprechend mit der Raptor-Firewall verfahren, währendessen wurde mit der Dokumentation zum Linux-Firewall begonnen. Die Internet-Anbindung wurde durch eine Direktverbindung zu einem weiteren Linux-System über ein Crosslink-Kabel simuliert. Als interner LAN-Client haben wir einen Standard Windows 2000 Rechner eingesetzt.


3 Sicherheitsgrundlagen

3.1 Was wollen sie schützen

Eine Firewall ist im Prinzip eine Schutzvorrichtung. Wenn sie eine Firewall aufbauen wollen, müssen sie sich zuerst überlegen, was sie eigentlich schützen wollen. Die meisten Gefahrenquellen gehen von einer Verbindung ins Internet aus Durch die Verbindung mit dem Internet gefährden sie drei Dinge:

• Ihre Daten: die Informationen auf den Computern • Ihre Ressourcen: die Computer selbst • Ihren guten Ruf

Ihre Daten Ihre Daten müssen in dreierlei Hinsicht geschützt werden Vertraulichkeit Sie wollen sie vor anderen geheim halten Integrität Sie wollen nicht, dass andere ihre Daten verändern Verfügbarkeit Sie wollen ihre Daten selbst zur Verfügung haben Aus heutiger sicht ist die Verbindung über http oder Mail Dienste für ein Unternehmen nicht mehr wegzudenken. Somit existiert eine Verbindung ins Internet und die Möglichkeit eines Einbruchs. Denn da wo eine Tür ist, ist auch der Weg hindurch möglich. Aus diesem Grund gehören nun ihre Daten zu dem Gut, das mitunter der meisten Aufmerksamkeit gehört, diese vor unautorisierten Zugriffen (Kopien) und Veränderungen zu schützen. Das Problem im Computerbereich ist das sich Verbrechen nur sehr schwer feststellbar sind. Es dauert sehr lange, bis sie bemerken, dass jemand in ihre Rechner eingedrungen ist. Möglicherweise erfahren sie es nie oder wenn ihre Konkurrenz das gleiche Produkt vor ihnen auf den Markt bringt. Sogar wenn jemand eindringt und eigentlich nichts an ihrem System oder ihren Daten verändert, werden sie wahrscheinlich Stunden oder tage damit verlieren, herauszufinden, dass nichts manipuliert wurde. In vielerlei Hinsicht ist ein brutaler Angriff, bei dem alles zerstört wird, leichter zu handhaben als ein Einbruch, bei dem auf den ersten Blick kein Schaden entstanden zu sein scheint. Wenn alles zerstört wurde, werden sie in den saueren Apfel beißen und das System mit Backups wieder herstellen. Scheint dagegen ein Angreifer nichts getan zu haben, werden sie will Zeit aufwenden, immer wieder zu überprüfen, ob ihr System nicht dich irgendwo beschädigt wurde. Mit ziemlicher Sicherheit hat der Angreifer etwas getan- die meisten Eindringlinge beginnen zunächst damit, sich ein neues Schlupfloch zu schaffen, bevor sie zu Werke gehen. Um sogenannte Schlupflöcher in ihr System zu verriegeln müssen sie ein ausgeprägtes Sicherheitskonzept entwickeln und sich im Klaren sein welche Dienste ihr System passieren dürfen und welche nicht. Erst dann ist es möglich eine Strategie zu entwickeln, die fundamental


einsetzbar ist. Die den Anforderungen des Betriebes an Bedienbarkeit mit der höchst mögliche Form an Sicherheit entgegenkommt.

3.2 Sicherheitsstrategien

3.2.1 Minimale Zugriffsrechte

Das vielleicht grundlegendste Sicherheitsprinzip (jeder Art von Sicherheit, nicht nur im Computer und Netzwerkbereich) ist das der minimalen Zugriffsrechte. Im Grunde besagt das Prinzip der minimalen Zugriffsrechte, dass jede Einheit (Benutzer, Administrator, Programm, System usw. … ) nur die Rechte enthält, die sie benötigt, um die ihr zugewiesenen Aufgaben zu erfüllen und nicht mehr. Das Prinzip der minimalen Zugriffsrechte verkleinert die Angriffsfläche und verringert den Schaden, der bei eventuell auftretenden Angriffen entsteht. Manche Autohersteller liefern auch zwei Schlüssel aus, einen für die Türen und das Zündschloss und einen weiteren für das Handschuhfach und den Kofferraum. Auf diese Weise können Sie minimale Zugriffsrechte vergeben. Im Bereich des Internet gibt es unendlich viele Beispiele. Wahrscheinlich benötigt nicht jeder Benutzer alle Internetdienste. Auch ist es sicher nicht notwendig, dass jeder Benutzer alle Dateien in ihrem System verändern (oder nur lesen) können muss. Das Administrator Passwort muss mit Sicherheit auch nicht jeder Benutzer kennen. Nicht einmal jeder Systemadmin muss die Adminpasswörter aller Systeme kennen. Im Gegensatz zu Autoherstellern richten die meisten Hersteller von Betriebssystemen ihre Betriebssysteme standardmäßig nicht mit minimalen Zugriffsrechten ein. Stattdessen sind bei der ersten Installation „maximale Zugriffsrechte“ voreingestellt. Um das Prinzip des minimalen Zugriffsrecht anwenden zu können, müssen sie Wege finden um die Rechte entsprechend der verschiedenen Aufgabenstellungen einzuschränken. Z.B.

• Geben sie einen Benutzer keine Administratorrechte, wenn er lediglich das Drucksystem zurücksetzen muss. Stellen sie stattdessen eine Methode zur Verfügung mit der sich das Drucksystem auch ohne Administratorrechte zurücksetzen lässt (Gruppe Druckoperatoren W2K)

• Lassen sie ein Programm nicht als Benutzer mit allen Rechten (root) ablaufen, wenn es lediglich eine geschützte. Erteilen sie stattdessen für die Datei Gruppenschreibrechte für eine bestimmt Gruppe, und lassen Sie das Programm als Mitglied dieser Gruppe ablaufen anstatt als privilegierter Benutzer.

Viele der allgemeinen Sicherheitsprobleme im Internet lassen sich darauf zurückzuführen, dass es nicht gelungen ist, das Prinzip der minimalen Zugriffsrechte konsequent durchzuführen. Beispielsweise gab und gibt es eine Vielzahl von Sicherheitslücken in Sendmail, einem großen, komplexen Programm. Jedes vergleichbare Programm wird fehlerhaft sein. Das Problem bei Sendmail ist, dass Sendmail setuid für root verwendet; viele der Angriffe auf Sendmail nutzen dies aus. da es als root ausgeführt wird, stellt Sendmail ein wertvolles Ziel dar, dem Angreifer eine Menge Aufmerksamkeit widmen, die Tatsache, dass es ein sehr kompliziertes Programm ist, erleichtert ihre Aktivitäten nur noch. Daraus folgt, dass privilegierte Programme so einfach wie möglich sein sollten. Außerdem müssen Sie nach Möglichkeiten suchen, bei einem komplexen Programm, das für einige Teile bestimmte Rechte benötigt, diese Bestandteile auszulagern.


Viele der Lösungen , die sie zum Schutz ihres Standorts entwickeln werden. Bestehen in Strategien zur Stärkung des Prinzips der minimalen Zugriffsrechte. Zum Beispiel dient ein Paketfiltersystem dazu, nur solche Pakete durchzulassen, die für die von ihnen gewünschten Dienste notwendig sind.

3.2.2 Mehrschichtige Verteidigung

Ein anderes Sicherheitsprinzip ist mehrschichtige Verteidigung. Verlassen Sie sich nicht nur auf einen einzigen Sicherheitsmechanismus, wie stark er auch immer aussehen mag, installieren sie stattdessen Mechanismen, die sich gegenseitig sichern. Sie werden nicht wollen, dass das Scheitern eines einzigen Sicherheitsmechanismus ihre Sicherheit vollständig zum Erliegen bringt. Die Anwendung dieses Prinzips können sie auch in anderen Bereichen des Lebens beobachten. So hat ihre Haustüre z.B. bestimmt ein Türschloss und einen Riegel, und ihr Auto verfügt sicherlich sowohl über ein Türschloss als auch über ein Zündschloss. usw. .. Jede Sicherheitsmassnahme selbst die scheinbar unüberwindlicheste Firewall kann von Angreifern mit ausreichend Risokobereitschaft und Einsatz überwunden werden. Der Trick besteht darin, die Einbruchsversuche für erwartete Angreifer zu riskant und aufwendig zu gestalten. Dazu sollten sie verschiedene Mechanismen einsetzen die sich gegenseitig stärken und schützen: Netzwerksicherheit (eine Firewall), Rechnersicherheit und menschliche Sicherheit (Benutzerschulung, sorgsame Systemadministratoren usw. ..) All diese Mechanismen sind wichtig und können sehr effektiv sein, Sie sollten sich jedoch nicht auf einen allein verlassen. Vermutlich wird ihre Firewall selbst mehrere Schichten aufweisen. Zum Beispiel sieht eine Architektur mehrere Paketfilter vor. Diese beiden Filter decken unterschiedliche Bereiche ab. Es ist aber auch üblich, durch den zweiten Filter die Pakete abweisen zu lassen, die der erste Filter eigentlich bereits abweisen sollte. Wenn der erste Filter richtig funktioniert, kommen solche Pakete nicht beim zweiten Filter an; falls es jedoch Probleme mit dem ersten gibt, dann sind Sie mit ein wenig Glück noch durch den zweiten geschützt. Hier kommt ein weiteres Beispiel: Wenn sie nicht wollen dass Mails an eine bestimmte Maschine geschickt werden, dann filtern sie nicht einfach nur die Pakete, Entfernen sie auch die Mail-Programme von der Maschine. Sofern nur ein geringer Aufwand erforderlich ist, sollten sie immer redundante Abwehrmaßnahmen einsetzen. Diese redundante Maßnahmen dienen nicht allein oder gar ausschließlich dem Schutz vor Angreifern. Vielmehr bieten sie Sicherheit vor dem Fehlschlagen anderer Schutzvorkehrungen.

3.2.3 Passierstelle

An einer Passierstelle werden Angreifer gezwungen, einen schmalen Kanal zu benutzen, den sie überwachen und kontrollieren können. Im realen Leben gibt es viele Passierstellen wie z.B. die Mautstelle an einem Tunnel, die Kassenschlange im Supermarkt oder im Kino. In der Netzwerksicherheit bildet die Firewall zwischen Ihrem Standtort und dem Internet eine solche Passierstelle, jeder der ihr Netz aus dem Internet angreifen will, muss durch diesen Kanal kommen, der gegen solche Angriffe gerüstet seien sollte. Sie sollten nach diesen Angriffen aufmerksam Ausschau halten und darauf angemessen reagieren können. Eine Passierstelle ist sinnlos, wenn ein Angreifer sie leicht umgehen kann. Wozu sollte man sich die Mühe machen, die verrammelte Eingangstür anzugreifen, wenn die Küchentür weit offen steht? Dies gilt auch aus Sicht einen Netzwerks. Warum sollte man eine Firewall


angreifen, wenn es duzende oder Hunderte von ungesicherten Einwahlpunkten gibt, über die man Ziel einfacher und erfolgreicher ans Ziel kommen kann? Bei dieser Form von Passierstelle drängt sich der Eindruck auf, man setzt alles auf eine Karte, und sie sei deshalb keine besondere gute Idee, allerdings sind hier die Aussichten auf einen Trumpf besonders gut. Die Alternative besteht darin, ihre Aufmerksamkeit auf die verschiedenen möglichen Angriffswege aufzuteilen. Wenn sie so vorgehen, werden sie wahrscheinlich keinen dieser Wege angemessen schützen können. Vermutlich schlüpf gerade in dem Moment jemand durch das Netz, in dem sie versuchen, einen anderen Weg zu schützen (Vielleicht sogar durch einen Scheinangriff, um ihre Aufmerksamkeit abzulenken).

3.2.4 Das schwächste Glied

Ein fundamentaler Sicherheitsgrundsatz lautet, dass eine Kette immer nur so stark ist wie ihr schwächstes Glied und eine Mauer nur so stark ist wie ihre dünnste Stelle. Schlaue Angreifer werden diese schwächste Stelle suchen und ihre Aufmerksamkeit drauf konzentrieren. Sie müssen auf die schwächsten Punkte in ihrem Abweheinrichtungen besonders aufpassen, um sie entweder zu entfernen oder besonders zu überwachen, wenn sie sich nicht entfernen lassen. Sie sollten versuchen, allen Sicherheitsaspekten die gleiche Aufmerksamkeit zuteil werden zu lassen, damit es keine großen Unterschiede im Grad der Sicherheit oder Unsicherheit zwischen den einzelnen Elementen gibt. Es wird immer ein schwächstes Glied geben. Der Trick besteht darin, dieses Glied stark genug zu gestalten und die Stärke proportional zur Höhe des Risikos auszubauen. Zum Beispiel ist es durchaus in Ordnung, wenn sie sich mehr Sorgen um Leute machen, die sie über das Netz angreifen, als um Leute, die direkt an Ihrem Standort kommen, um sie dann von dort aus anzugreifen. Aus diesem Grund darf die physikalische Sicherheit ihrer Anlagen ihr schwächstes Glied sein. Sie dürfen sie nicht vollkommen vernachlässigen, aber das Abschließen der Aktiven Netzwerkkomponenten in einem Raum ist ausreichend.

3.3 Fehlersicherheit

Ein weiteres grundlegendes Sicherheitsprinzip ist die weitgehende Fehlersicherheit. Das bedeutet, dass bei Auftreten eines Fehlers Angreifern der Zugang verweigert werden sollte, anstatt ihn erst recht zu ermöglichen. Der Fehler kann dazu führen, dass auch rechtmäßigen Benutzern der Zugang verwehrt wird, bis die Reparaturen durchgeführt wurden, doch damit lässt sich leben. Das Prinzip der Fehlersicherheit findet in vielen Bereichen Anwendung. Elektrische Geräte sind zum Beispiel so gestaltet, dass sie sich abschalten, wenn bei ihnen ein Fehler auftritt. Die meisten der hier besprochenen Anwendungen reagieren automatisch fehlersicher. Wenn zum Beispiel ein Router mit Paketfilterung ausfällt, dann lässt er keine Pakete mehr durch. Fällt ein Proxyprogramm aus, dann leistet es keine Dienste mehr. Andererseits gibt es rechnerbasierte Paketfiltersysteme, auf denen außerdem nicht eine Anwendung ausgeführt wird. Wenn der Paketfilter ausfällt (oder beim booten nicht gestartet wurde), können die Pakete weiterhin bei der Anwendung ankommen. Das ist auf keinen Fall fehlersicher und sollte vermieden werden. Die wichtigste Anwendung dieses Prinzips im Bereich Netzwerksicherheit liegt in der Entscheidung für eine bestimmt Sicherheit, die sie für ihren Standort treffen müssen. Ihre Haltung ist im Prinzip ihre gesamte Einstellung zum Thema Sicherheit. Sind sie restriktiv oder


eher freizügig? Neigen sie zu Sicherheit (von manchen auch gerne als Paranoia bezeichnet) oder zu Freiheit? Es gibt zwei grundlegende Einstellungen, die sie in bezug auf Sicherheitsentscheidungen und regeln vertreten können: Die einschränkende Grundhaltung Sie legen nur fest, was sie erlauben; alles andere ist verboten. Die freizügige Grundhaltung Sie legen nur fest, was sie verbieten; alles andere ist erlaubt. Scheinbar ist es offensichtlich, welches der richtige Ansatz ist; vom Sicherheitsstandpunkt her ist dies die einschränkende Grundhaltung. Wahrscheinlich ist für ihre Benutzer und das Management ebenso offensichtlich, dass die freizügige Grundhaltung richtig ist. Vor allem müssen sie Ihre Grundhaltung gegenüber den Benutzern und dem Management klar vertreten und ihnen die Gründe darlegen, die zu ihrer Entscheidung geführt haben. Anderenfalls verschwenden Sie wahrscheinlich eine Menge Zeit mit unnützen Streitereien und sinnlosen Debatten, weil ihr Sicherheitsstandpunkt nicht verstanden wird. Die einschränkende Grundhaltung: Alles , was nicht ausdrücklich erlaubt ist, ist verboten Die einschränkende Grundhaltung ist unter Sicherheitgesichtpunkten sehr sinnvoll, da es sich um einen fehlersicheren Ansatz handelt. Sie geht davon aus, dass alles Unbekannte ihnen schaden kann. Für die meisten Sicherheitsverantwortlichen ist diese Einstellung logisch, allerdings sehen die Benutzer das normalerweise nicht so. Mit einer einschränkenden Grundhaltung verbieten sie standardmäßig alles. Anschließend legen sie fest was Sie erlauben. Sie

• Ermitteln, welche Dienste von den Benutzern gewünscht werden • Wägen die Folgen dieser Dienste für die Sicherheit ab und überlegen, wie sie sie

dennoch sicher anbieten können • Erlauben nur solche Dienste, die Sie gut genug kennen, sicher anbieten können und für

wirklich notwendig halten. Dienste werden je nach Einzelfall zur Verfügung gestellt. Sie beginnen damit die Sicherheit eines speziellen Dienstes zu analysieren und seine Bedeutung für die Sicherheit gegen die Bedürfnisse ihrer Benutzer abzuwägen. Aufbauend auf dieser Analyse und entsprechend der Verfügbarkeit der verschiedenen Mittel zur Verbesserung der Sicherheit des Dienstes, schließen Sie einen Kompromiss. Für den Dienst könnten Sie zu dem Schluss kommen, dass sie ihn für alle Benutzer anbieten und die Sicherheit mit Hilfe der verbreiteten Paketfiliterung oder über Proxysysteme gewährleisten sollten. Bei einem anderen Dienst stellen sie vielleicht fest, dass er mit den verfügbaren Mitteln nicht angemessen gesichert werden kann und ihn sowieso nur wenige Benutzer oder Systeme benötigen. In diesem Fall könnten sie seine Benutzung auf diese kleine Anzahl Benutzer oder System einschränken. Das Problem besteht darin, den für ihre Situation passenden Kompromiss zu finden. Die freizügige Grundhaltung:


Alles was nicht ausdrücklich verboten wurde, ist erlaubt. Die meisten Benutzer und Manager bevorzugen die freizügige Grundhaltung. Sie neigen dazu anzunehmen, dass alles zunächst erlaubt ist und nur spezielle, besonders gefährliche Aktionen und Dienste bei Bedarf verboten werden. Zum Beispiel:

• Der Zugriff auf das World Wide Web ist auf solche Benutzer beschränkt, die zuvor über die besonderen Sicherheitsprobleme dieses Dienstes belehrt wurden.

• Den Benutzern ist es nicht erlaubt, eigene Server einzurichten. Die Benutzer erwarten, dass sie ihnen mitteilen, was gefährlich ist, und die Dinge benennen, die sie nicht tun können. Den Rest sollen sie dann erlauben. Das ist mit Sicherheit nicht besonders fehlersicher. Zum einen geht man vermutlich davon aus, dass sie bereits vorher genau wissen, wo die besonderen Gefahren liegen, wie Sie den Benutzern plausibel machen und die Benutzer davor schützen können. Es ist aber praktisch unmöglich, zu erraten, welche Gefahren in einem System oder draußen im Internet lauern. Es gibt einfach zu viele potentielle Probleme und zu viele Informationen ( neue Sicherheitslöcher, erneute Angriffe über alte Löcher) als dass sie immer auf dem neuesten Stand bleiben könnten. Wenn sie nicht wissen, dass es sich bei irgendetwas um ein Problem handelt, werden sie es nicht auf ihre Verbotsliste setzen. Dennoch besteht es als Problem fort, bis sie darauf aufmerksam werden. Und vermutlich werden sie gerade deshalb darauf aufmerksam werden, weil jemand es ausnutzt Zum anderen verleit die freizügige Grundhaltung zu einem „Wettrüsten“ zwischen dem Betreiber der Firewall und den Benutzern. Der Betreiber bereitet Schutzmaßnahmen gegen die Handlungen und Unterlassungen der Benutzer vor, die Benutzer entdecken faszinierend neue und unsichere Methoden, Dinge zu tun. Das wird immer weiter und weiter fortgesetzt. Der Firewall Betreiber wird für immer Fangen spielen, zwischen dem Zeitpunkt der Einrichtung eines Systems, dem Zeitpunkt der Entdeckung eines Sicherheitsproblems und dem Moment, in dem der Betreiber darauf reagiert, wird es unweigerlich immer Phasen der Verwundbarkeit geben. Unabhängig davon, wie wachsam und kooperativ alle sein werden, irgendwas wird immer durch das Raster fallen; weil der Betreiber der Firewall davon noch nie etwas gehört hat, die vollen Konsequenzen für die Sicherheit noch nicht erfasst hat oder einfach noch keine Zeit hatte, das Problem anzugeben. Die einzigen, die von der freizügigen Grundhaltung profitieren werden, sind potentielle Angreifer. Das liegt daran, dass der Betreiber der Firewall unmöglich alle Löcher stopfen kann, ständig mit „Feuerwehr-Aktionen“ zu tun hat und wahrscheinlich zu beschäftigt ist, um die Angriffe überhaupt wahrzunehmen.

3.4 Umfassende Beteiligung

Um effektiv zu funktionieren, brauchen die meisten Sicherheitssysteme die umfassende Beteiligung (oder zumindest das Fehlen eines aktiven Wiederstandes) der Mitarbeiter eines Standorts. Falls jemand ihre Sicherheitmechanismen einfach ablehnt, könnte ein Angreifer zuerst das System dieser Person knacken und ihren Standort dann von innen angreifen. Die beste Firewall der Welt bietet beispielsweise überhaupt keinen Schutz, wenn jemand sie als unnütze Belastung ansieht und sich einfach eine Hintertür zwischen ihrem Standort und dem Internet einrichtet, um die Firewall auf diese Weise zu umgehen. Dazu müsste diese Person lediglich ein Modem kaufen, sich freie PPP oder SLIP Software aus dem Internet besorgen und sich bei einem billigen Internet Service Provider (ISP) anmelden. Dieses Vorgehen liegt sowohl


aus finanziellen als auch aus technischen Gesichtspunkten im Rahmen der Möglichkeiten vieler Benutzer und Manager. Schon wesentlich schlichtere Formen des Widerstandes können Ihre Sicherheit untergraben. Jeder muss Ihnen über ungewöhnliche Vorkommnisse berichten, die möglicherweise sicheheitsrelevant sind; Sie können nicht alles sehen. Ihre Leute müssen gute Passwörter wählen, sie regelmäßig ändern und dürfen sie nicht an Freunde oder Verwandte weitergeben. Wie erreichen Sie, dass alle mitmachen? Die Beteiligung könnte freiwillig (Sie überzeugen alle dass es gut ist), unfreiwillig (jemand mit den entsprechenden Autorität und Macht weist alle an zu kooperieren) oder eine Kombination aus beidem sein. Selbstverständlich ist eine freiwillige einer unfreiwilligen Beteiligung vorzuziehen; Sie wollen ja dass ihre Mitarbeiter ihnen helfen und nicht nach Wegen suchen, ihnen zu schaden. Ebenso wie ihre Mitarbeiter eine gewisse Sensibilität gegenüber Sicherheit im Internet und die Bedeutung für das Unternehmen und ihren Arbeitsplatz bewusst werden. Diejenigen, die ihnen nicht freiwillig helfen, werden erstaunliche Mühen auf sich nehmen, um ihre Sicherheitsmassnahmen zu umgehen.

3.5 Vielfalt der Verteidigung

Die Vielfalt der Verteidigung hängt eng mit einer mehrschichtigen Verteidigung zusammen, geht allerdings noch weiter; der Grundgedanke ist, dass sie nicht nur mehrere Verteidigungsschichten, sondern auch verschiedene Arten der Verteidigung brauchen. Das Vorhandensein eines Türschlosses und eines Zündschlosses an einem Auto bedeutet mehrschichtige Verteidigung, durch eine Alarmanlage wird noch eine weitere Art der Verteidigung hinzugefügt. Sie versuchen nun nicht nur, die Leute von der Benutzung ihres Fahrzeuges abzuhalten, sondern auch die Aufmerksamkeit anderer Personen zu wecken, falls jemand versuchen sollte, sich unberechtigt daran zu schaffen zu machen. Bei richtiger Umsetzung hat die vielfältige Verteidigung einen großen Einfluss auf die Sicherheit eines Systems. Allerdings sind viele Versuche, eine Vielfalt der Verteidigung herzustellen, nicht sehr effektiv. Eine beliebte Theorie besagt, dass man verschiedene Arten von Systemen verwenden soll, zum Beispiel können sie in einer Architektur mit zwei Paketfiltersystemen die Vielfalt der Verteidigung verbessern, wenn die Systeme unterschiedlicher Hersteller benutzen. Wenn alle ihre Systeme zu einem Typ gehören, kann jemand, der weiß wie er in eines einbrechen kann, wahrscheinlich auch in alle anderen eindringen. Durch die Benutzung von Sicherheitssystemen verschiedener Hersteller vermindern Sie sicher die Chancen eines gemeinsamen Programmier- oder Konfigurationsfehlers, der sie alle unbrauchbar macht. Allerdings erhöhen sich die Kosten und die Komplexität des Gesamtsystems. Die Beschaffung und Installation mehrerer verschiedener Systeme ist schwieriger , dauert länger und kostet mehr, als dies sei einem einzelnen System der Fall wäre. Sie müssen mehrere Systeme kaufen und mehrere Wartungsverträge für sie abschließen. Außerdem kostet es ihre Angestellten mehr Zeit und Aufwand, den Umgang mit den unterschiedlichen Systemen zu erlernen. Wenn sie nicht aufpassen, erzeugen sie eine Vielfalt der Schwäche anstelle einer Vielfalt der Verteidigung. Bei zwei verschiedenen, hintereinander angeordneten Paketfiltern kann der Einsatz unterschiedlicher Produkte dabei helfen, die jeweiligen Schwächen auszugleichen. Arbeiten diese Paketfilter jedoch getrennt voneinander, dann werden sie bei der Verwendung unterschiedlicher Produkte anstelle einer zwei unterschiedliche Arten von Problemen haben, mit denen sie kämpfen müssen.


All diese aus den Unterschieden resultierenden Problemen bringen ihnen keine Echte Vielfalt. Hüten sie sich vor scheinbarer Vielfalt. Zwei Systeme mit unterschiedlichen Firmenbezeichnungen auf dem Gehäuse können mehr gemeinsam haben als sie denken.

• Systeme desselben Typs teilen die gleichen Schwächen • Systeme die von denselben Personen konfiguriert wurden, haben bei der Konfiguration

dieselben Schwachpunkte • Viele Programme leiten ihre Herkunft aus dem selben Quellcode ab

3.6 Sicherheit durch Verschleierung

Sicherheit durch Verschleierung ist ein Prinzip, beidem sie Dinge schützen, indem sie sie verstecken. Dieses Prinzip wird im täglichen Leben ständig benutzt. Schließen sie sich öfters einmal aus? Verstecken sie irgendwo einen Schlüssel. Müssen sie etwas wertvollen im Auto zurücklassen dann legen sie es so hin damit es keiner direkt sehen kann. Dies ist solange sicher bis jemand den Schlüssel findet oder das jemand etwas wichtiges im Auto vermutet und das Fenster einschlägt. Solange der Schlüssel nicht allzu offensichtlich herumliegt ist dieser Schutz teilweise für manche belange ausreichend. Die folgenden Beispiele zeigen Sicherheit durch Verschleierung im Bereich Computer

• Sie bringen eine Maschine ins Internet und rechnen damit, dass niemand versucht , in sie einzudringen, weil sie niemanden davon erzählt haben

• Sie haben einen neuen Verschlüsselungsalgorithmus entwickelt und zeigen ihn niemanden

• Sie lassen einen Server aus einer anderen Port Nummer laufen als sonst. Z.B. Einen ftp Server auf Port 1111 anstelle auf Port 21

Wenn Leute über Sicherheit durch Verschleierung reden, dann tun sie dies mit einer gewissen Geringschätzung. Verschleierung stellt jedoch eine durchaus gültige Sicherheitstaktik dar; sie ist nur nicht besonders stark. Sie können in allen Beispielen aus dem Nicht Computer Bereich feststellen, dass sie entweder zusammen mit viel stärkeren Sicherheitsmaßnahmen (ein abgeschlossenes Haus oder Auto) oder für unbedeutende Risiken verwendet wird. Sicherheit durch Verschleierung ist schlecht wenn:

• Es die einzige Sicherheitsmaßnahme ist • die Inhalte nicht wirklich verschleiert werden

Wenn sie eine Maschine im Internet erreichbar machen, sie nicht sichern und dann hoffen dass niemand sie bemerken wird, weil sie ja keine Werbung dafür machen, handelt es sich nicht um Sicherheit durch Verschleierung. Sicherheit durch Verschleierung kann und sollte nur in sicherheitsunrelevanten Gebieten angewendet werden da kein aktiver Schutz existiert.


4 Paketfilter-Firewall: Theoretische Grundlage

Ein Paketfilter arbeitet auf Ebene 3 des OSI Modells. Er entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Überprüft werden Header-Informationen wie:

• IP-Ursprungsadresse • IP-Zieladresse • das eingebettete Protokoll (TCP, UDP, ICMP, oder IP Tunnel) • TCP/UDP-Absender-Port • TCP/UDP-Ziel-Port • ICMP message type • Eingangsnetzwerkschnittstelle (Ethernetkarte, Modem, etc.) • Ausgangsnetzwerkschnittstelle

Falls das Datenpaket die Filter passiert sorgt die Firewall für die Weiterleitung des Pakets, andernfalls verwirft sie es. Wenn keine Regel greift, verfährt der Paketfilter nach den Default-Einstellungen. Diese sollte aus Sicherheitsgründen „verwerfen“ sein. Anhand der Filterregeln kann eine Firewall auch eine reine Service-Filterung durchführen. Auch hier muss der Systemadministrator die Filterregeln vorher definieren. Service-Prozesse benutzen bestimmte Ports (Well Known Ports), wie zum Beispiel FTP den Port 21 oder SMTP den Port 25. Um beispielsweise den SMTP-Service abzublocken, sondert die Firewall alle Pakete aus, die im Header den Ziel-Port 25 eingetragen haben oder die nicht die Ziel-IP-Adresse eines zugelassenen Hosts besitzen. Einige typische Filterrestriktionen sind:

• Nach außen gehende Telnet-Verbindungen sind nicht erlaubt. • Telnet-Verbindungen sind nur zu einem bestimmten internen Host erlaubt. • Nach außen gehende FTP-Verbindungen sind nicht erlaubt. • Pakete von bestimmten externen Netzwerken sind nicht erlaubt.


5 Angriffstypen

Bestimmte Angriffstypen verlangen eine vom Service unabhängige Filterung. Diese ist jedoch schwierig umzusetzen, da die dazu erforderlichen Header-Informationen Service-unabhängig sind. Die Konfiguration von Paketfiltern kann auch gegen diese Art von Angriffen erfolgen, für die Filterregeln sind jedoch zusätzliche Informationen notwendig. Beispiele für diese Angriffe sind:

5.1 Source IP Address Spoofing Attacke

Bei einer Spoofing-Attacke fälscht der Angreifer die IP-Absenderadresse eines Datenpakets und verwendet stattdessen die Adresse eines Rechners im internen Netz. Die Firewall kann einen solchen Angriff erkennen, indem sie überprüft, ob ein von außen kommendes Paket eine interne Adresse nutzt. Um den Angriff abzuwehren, sind solche Pakete entsprechend herauszufiltern.

5.2 Sniffer-Attacken

Beim Sniffing wird der Datenverkehr auf einem Host gezielt belauscht mit dem Ziel, Benutzer-kennungen und Passwörter zu erlangen. Die dazu benötigte Software ist meist Freeware und ist als Diagnosetool oft Bestandteil des Betriebssystems (z.B. tcpdump bei Linux). Das Sniffing funktioniert natürlich nur wenn die Daten bei der eigenen Netzwerkschnittstelle vor vorbeikommen. Das kommt z.B. vor wenn die Rechner über ein Bus oder ein Hub verbunden sind. D.h. die effizienteste Möglichkeit Sniffing-Attacken zu verhindern ist die physikalische Abtrennung von potenziellen Angreifern z.B. durch ein Switch oder Router.

5.3 Denial of Service (DoS)

DoS-Attacken sind Stürme von Dienstanfragen an einen Server. Die Dienstsnittstelle wird überlastet und steht dadurch einem autorisierten Benutzer nicht zur Verfügung. Besonders verheerend sind distributed DoS-Attacken, da der Angriff von von einer Vielzahl von Rechnern gestartet wird. Einzige Möglichkeit der Abwehr ist eine Zugriffsbeschränkung pro IP und Zeiteinheit.

5.4 Source Routing Attacke

Bei einer Source Routing Attacke gibt der Angreifer die konkrete Route vor, die ein Datenpaket nehmen soll, um Sicherheitsmaßnahmen zu umgehen. Das Verfahren zum Source Routing ist zwar im TCP/IP-Standard vorgesehen, kommt jedoch kaum noch zum Einsatz. Deshalb kann die Firewall die Pakete mit diesem Flag bedenkenlos verwerfen.


5.5 Tiny Fragment Attacke

Bei dieser Angriffsform erzeugt der Hacker extrem kleine Datenpakete, von denen nur das erste den TCP-Header enthält. Das soll den Router veranlassen, nur das erste Fragment zu prüfen und die restlichen ungeprüft durchzulassen. Dies erlaubt dem Hacker, die gewünschten Befehle ins Netz zu schmuggeln. Als Abwehr kann die Firewall alle Pakete verwerfen, bei denen das Feld Fragment-Offset auf eins gesetzt ist.

5.6 Port Scan

Bei einem Port Scan überprüft der Angreifer welche Ports auf dem System offen sind. Damit kann er schnell überprüfen welche Dienste der Server anbietet. Dann können diese Dienste gezielt angreifen. Port-Scans können dadurch erkannt werden dass von einer IP ungewöhnlich viele Verbindungsanfragen an verschiedene Ports gestellt werden. Solche IP’s sollte die Firewall für eine Zeitlang komplett sperren.


6 Firewall-Konzepte

Neben den logischen Aspekten einer Firewall muss auch der physikalische Aufbau bestimmt werden, dieser trägt unmittelbar zur Sicherheit hinzu. Verschiedene Möglichkeiten, Sicherheit zu realisieren sollen im folgenden beschrieben werden. Bastion Host Eine Firewall wird auch als „Bastions Host“ bezeichnet, das ist ein Rechner, der besonders gesichert ist und als „Bollwerk" gegen Eindringlinge eingesetzt wird. Er dient der Verteidigung des lokalen Netzwerkes und sollte besondere Aufmerksamkeit vom Administrator (in der Form von regelmäßigen Audits und Sicherheits- Patches) erhalten. Dual Homed Host/Gateway Wenn ein Rechner Teil von zwei Netzen ist (mit zwei Netzwerkkarten), spricht man von einem Dual Homed Host. Oft bietet dieser Rechner auch Gateway- Funktionen an. Um hohe Sicherheit zu erlangen wird die Routing- Funktion deaktiviert. Dann können lokale und Internet- Hosts mit dem Gateway kommunizieren, aber direkter Datenfluss wird unterbunden.

6.1 Router mit Firewall-Funktionalitäten

Es gibt viele Hersteller von Routern, die in ihre Geräte Firewall-Funktionalitäten integrieren. Dies sind meistens IP-Filter, die mehr oder weniger detailliert konfiguriert werden können. Manche Geräte aus der höheren Preisklasse bieten weitergehende Funktionen wie IP-Tunneling (VPN) oder Stateful Inspection an. Solche „Screening Router" werden jedoch sehr oft als Teil einer Firewall eingesetzt. Der Einsatz eines solchen Routers als alleinige Firewall-Einrichtung ist jedoch nur beschränkt und nur für kleine Netze zu empfehlen. Bei hohen Sicherheitsanforderungen bietet diese Lösung nicht genügend Freiraum zum Konfigurieren und ausserdem keine Möglichkeit einer Application Level Firewall.


6.2 Firewall-Rechner mit Routerfunktion

Eine Konfiguration dieser Art bietet die gesamte Palette der Möglichkeiten und ist auch verhältnismäßig kostengünstig da man sich einen zusätzlichen Router spart. Sie ist jedoch nicht für Hochsicherheit geeignet. Die Konzentration aller Einrichtungen auf einem Rechner bietet zu viele Möglichkeiten für Angreifer bei einer Fehlkonfiguration. Auch Fehler der verwendeten Programme führen zu Sicherheitslücken, die durch mehrstufige Firewalls geschlossen werden (können).

6.3 Firewall-Rechner hinter Router

In den häufigsten Fällen ist der Firewall- Rechner im lokalen Netz und der Router lässt nur Verkehr vom Internet zum Bastion Host zu. Dieser überprüft die Zulässigkeit der Verbindung und kann sie erlauben oder abblocken. Wenn der Router mit Packet Filtering Rules ausgestattet ist, wird die dahinter liegende Firewall zusätzlich geschützt. Der Router arbeitet mit seinem eigenen TCP/IP Stack, welcher oft wesentlich stabiler ist als der einer Softwareimplementation. DOS-Angriffe (z.B. Ping of Death, SYN-Flooding) werden somit vom Firewall-Rechner abgehalten und die Down-Zeiten verringert, da ein Router schneller wieder online ist als ein neu zu startender Rechner.

6.4 DMZ an Firewall

Bei vielen Anwendungen ist es von Vorteil, ein begrenzt sicheres Netz zu haben. Es entspricht nicht den hohen Sicherheitsanforderungen des LANs, erlaubt aber dennoch eine gewisse Überwachung und Abschirmung. Ein solches Netzwerk nennt man "Demilitarisierte Zone". Es wird im allgemeinen dafür benutzt, Dienste für das externe Netz zur Verfügung zu stellen.


6.5 Screened Subnet

Ein Screened Subnet ist eine Erweiterung der oben genannten Methoden, da zwischen zwei Router-Firewalls ein „Abgeschirmtes Netzwerk" geschalten wird. Diesem wird nicht völlig vertraut, aber es hat auch nicht mehr einen so feindlichen Charakter wie das externe Netz. Im Gegensatz zu den obigen Methoden müssen hier zwei Firewall - Systeme überwunden werden, um an das LAN zu gelangen. Sind diese noch von verschiedenen Herstellern und/oder auf verschiedenen Plattformen erhöht sich der notwendige Aufwand für den potentiellen Eindringling, diese Wand zu durchbrechen. In dieser DMZ stehen oft Dienste für das externe Netz zur Verfügung und auch das lokale Netz kann auf die DMZ zugreifen. Direkter Verkehr zwischen den beiden Netzen wird jedoch unterbunden. Eine Application Level Firewall auf einem Bastion Host kann diese Verbindung für spezielle Dienste ermöglichen.

6.6 Fake Server Konzept

Eine weitere Steigerung des Sicherheitskonzepts ist die Möglichkeit potentielle Angreifer auf Server mit vermeintlichen Sicherheitslücken zu locken. Diese Server befinden sich in einem vom Unternehmensnetzwerk logisch getrennten Netzwerksegment. Auf dieses Teilsegment kann nur über die Firewall zugegriffen werden. Während der Angreifer versucht in die Fake-Systeme einzudringen, kann durch Überwachungsskripte der Administrator alarmiert werden. Während der Angreifer auf den Fake-Rechnern eingelogt ist, können wichtige Informationen über ihn gesammelt werden. Nützliche Informationen können sein: IP-Adresse zur Identifizierung, Art der Angriffe zur Feststellung der Sicherheitslücken der Systeme und anhand der Aktivitäten können eventuell die Absichten des Angreifers erkannt werden. In der Praxis wird dieses Konzept relativ selten eingesetzt, da es zusätzlichen finanziellen Aufwand bedeutet. Dazu zählen nicht nur Hardware- sondern auch Personalkosten für Konfiguration und Administration.


7 Der Paketfilter des Linux Kernel 2.4

Der Kernel 2.4 kommt mit einer neuen Implementierung einer Paketfilter-Firewall. Dies ist mittlerweile die vierten oder fünfte Implementierung in der Geschichte von Linux. Der Name der Implementierung ist Netfilter. Zwar erlaubt Netfilter es mit Hilfe von Modulen, Abwärtskompatibilität mit Linux 2.2 und sogar 2.0 herzustellen, doch davon ist abzuraten. Es bringt einfach nichts, auf einem Auslaufmodell herumzureiten. Netfilter ist endlich die Implementierung der Paketfilter, die die optimale Flexibilität und Erweiterbarkeit garantiert und dazu noch exzellente Performance bietet. Man darf davon ausgehen, dass sie mehr Bestand haben wird als ihre Vorgänger.

7.1.1 Voraussetzung um Netfilter einzusetzen

Um Netfilter einzusetzen, bedarf es eines neuen Tools, iptables. Die Version 1.2 wird mindestens vorausgesetzt. Da Netfilter komplett im Kernel integriert ist, muss dieser natürlich entsprechend compiliert werden. Eine detaillierte Liste mit den entsprechenden Modulen und Paketen befindet sich im Anhang A. Am einfachsten und komfortabelsten ist es die Module und die Konfiguration der Firewall beim Hochfahren des Rechners automatisch durch ein init-Script zu laden.

7.1.2 Grundlegende Funktiosweisen von Netfilter

Es ist wichtig, die grundlegende Funktionsweise von Netfilter zu kennen. Netfilter arbeitet mit "Ketten" von Regeln. Ketten sind wie Unterprogramme. Regeln können in eine neue Kette verzweigen, und Ketten können zur aufrufenden Kette zurückkehren. Dieses Konzept stammt von den ipchains vom Kernel 2.2. Es gibt drei vordefinierte Ketten: INPUT, OUTPUT und FORWARD. Ferner kann man beliebige weitere Ketten definieren. Standardmäßig sind nach dem Booten alle Ketten leer, und alle Pakete werden durchgelassen. Im Unterschied zu früher durchläuft jedes eingehende oder ausgehende Netzwerk-Paket nur noch eine einzige Kette. Pakete, die auf dem lokalen Rechner (d.h. auf dem Firewall selber) erzeugt werden, durchlaufen die OUTPUT-Kette. Pakete, die für den lokalen Rechner (direkt an den Firewall gerichtet) bestimmt sind, durchlaufen die INPUT-Kette. Pakete, die lediglich geroutet werden, also den Rechner auf einem Netzwerk-Interface erreichen und auf einem anderen wieder verlassen, durchlaufen die FORWARD-Kette. Das heißt, daß der Rechner als Router konfiguriert sein muß, damit dies funktioniert.


D

Ein Paket dwerden, bisdurchlaufenWesentlicheverarbeitet (werden, je n

Firewall / MaiArtur Neuman

Externe NIC eth0

lokale Verarbeitung z.B. ping an den

Firewall

urchläuft eine Kette, indem alle Regeln in der Kette entweder eine Regel entscheidet, was mit dem Pa sind, worauf die Default Policy angewandt wird. Dasn nur zwei mögliche Verläufe nehmen: Es wird iACCEPT). Der Weg bis zu dieser Entscheidung kaach Umfang der Anforderungen.

lserver n, Alexander Bauer, Boris Urban, Stefan Hügele

Interne NIC eth1
INPUT OUTPUT
FORWAR

OUTPUT

dke Sgnn

INPUT

er Reihe nach abgearbeitet t passiert, oder alle Regeln chicksal des Pakets kann im oriert (DROP) oder normal n natürlich beliebig komplex

Gruppe 3, F6H9 20 / 50

7.2 Masquerading (NAT) mit Netfilter

7.2.1 Was ist Network Address Translation (NAT)?

NAT ist die Umsetzung (Maskierung) von Ziel- bzw. Quelladressen. Möchte z.B. jemand auf den internen Web-Server zugreifen, stellt er die Anfrage an die Firewall, weil nur die öffentliche IP-Adresse der Firewall bekannt ist. Anhand des Zielports 80 erkennt die Firewall, dass die Anfrage an den Web-Server weitergeleitet werden muß. Die Firewall ersetzt die Zieladresse mit der Adresse des Web-Servers und leitet das Paket weiter. Bei der Antwort des Web-Servers wird entsprechend die Quelladresse durch die der Firewall ersetzt, so dass der Anfragende glaubt er erhält die Antwort direkt von der Firewall.

7.2.2 Wofür ist NAT notwendig?

1. Wir setzen im LAN private-space Adressen der Klasse A ein. Diese Adressen werden im Internet nicht geroutet. Um den internen Rechnern einen Zugang zum WAN zu ermöglichen, müssen die lokalen Adressen am Access Point zum Internet (Firewall) in öffentliche Adressen umgesetzt werden.

2. Durch NAT wird eine weitere Erhöhung der Sicherheit ermöglicht. Vom WAN ist nur ein einziger Rechner (der Firewall) erkennbar, d. h. die interne Unternehmensstruktur bleibt verborgen.

7.2.3 Die zwei Formen von NAT

Beim NAT werden zwei verschiedenen Typen unterschieden: Source Nat (SNAT) und Destination NAT (DNAT). Wird die Quelladresse eines Pakets geändert, so ist das Source NAT. Es wird der Ursprung der Verbindung verändert. Source NAT ist immer Post- Routing, es wird angewandt gerade bevor das Paket in die Leitung geht. Masquerading ist eine Form von SNAT. Wird jedoch die Zieladresse eines Pakets verändert, so handelt es sich um Destination NAT. Es wird das Ziel der Verbindung geändert . Destination NAT ist immer Pre-Routing, es wird durchgeführt gerade wenn das Paket aus der Leitung kommt. Port-Forwarding, load-sharing und transparente Proxies sind alles Formen von DNAT.

OUTPUT DNAT

Lokaler Prozess

Routing Entscheidung

POSTROUTING SNAT

PREROUTING DNAT


7.3 Iptables

Es gibt verschiedene Möglichkeiten den Netfilter mit dem Tool iptables zu konfigurieren. Es gibt auch einige graphische Konfigurationstools wie z.B. knetfilter. Diese Tool sind nichts weiter als grafische Frontends die die Eingaben auf iptables-Befehle umsetzen. Während der praktischen Umsetzung des Projektes haben wir versucht die Firewall mit knetfilter zu konfigurieren. An dieser Stelle sind wir auf zwei Probleme gestoßen. Zum einen lief das grafische Tool sehr instabil und machte ein vernünftiges Arbeiten unmöglich. Auf der anderen Seite sind wir zu dem Ergebnis gekommen daß es zum besseren Verständnis der Funktionsweise der Firewall am besten ist mir der Kommandozeile zu arbeiten und die Firewall manuell mit iptables zu konfigurieren. Außerdem haben wir festgestellt dass sobald die wesentlichen Funktionen von Netfilter richtig verstanden wurden, gelangt man mit iptables viel schneller ans Ziel. Die wichtigsten Optionen die mit iptables verwendet werden können findet man im Anhang B.

Das grafische Konfigurationstool für Netfilter: knetfilter


7.4 Praktische Umsetzung

Forwarding & Masquerading

http – DNS - SMTP

eth0

12

9.10

3.0.

1 ICMP-Anfrage ICMP-Antwort

eth1

10

.0.3

.1

Source NAT Destination NAT

OU

TPUT (D

RO

P)

INPU

T (DR

OP)

Simuliertes WAN

INPU

T (DR

OP)

OU

TPUT (D

RO

P)

In unserem Projekt eingesetzte Firemit Routerfunktionalität. Dieses Kgenügend Sicherheit für ein kleines b In der Grundkonfiguration werden azugelassen. Die Firewall selber akzsind (INPUT / OUTPUT DROP). Sselber keine absetzen. Diese EinSchnittstelle. Weiterzuleitende Pakete dürfen die explizit erlaubt. Bei unserer KonfiguRichtungen wobei nur die berechtigICMP Verbindungen dürfen dagegen

Firewall / Mailserver Artur Neumann, Alexander Bauer, Boris

Bastion

LAN

wall ist ein Bastion Host konfiguriert als Paketfilter Firewall onzept bietet das beste Preis-Leistungs-Verhältnis und is mittelständisches Unternehmen.

lle Pakete verworfen und nur freigegebene Verbindungen eptiert deshalb keine Verbindungen die für ihn bestimmt

ie antwortet z. B. nicht auf ping-Anfragen und kann auch stellung gilt sowohl für die WAN- als auch die LAN-

Firewall nur dann passieren wenn eine der Filterregeln es ration sind es http, DNS und SMTP Verbindungen in beide ten Server antworten bzw. Verbindungen aufbauen dürfen. lediglich von innen nach außen aufgebaut werden.

Gruppe 3, F6H9 Urban, Stefan Hügele 23 / 50

Ein weiterer Sicherheitsaspekt unserer Firewall ist die Überwachung beliebiger Verbindungen. Exemplarisch haben wir eine Protokollierung von FTP- und TELNET-Verbindungsanfragen implementiert. Diese Funktion lässt sicht universell einsetzen, d. h. auch für die Protokollierung erlaubter Verbindungen. Nachfolgend ein Auszug aus der Log-Datei, wo FTP- und TELNET-Zugriffsversuche protokolliert sind. Zusätzlich sind wichtige Informationen wie Datum, Uhrzeit, Absender- und Ziel-IP-Adresse, MAC-Adresse, etc. erfasst. Aug 29 08:20:18 G3-Fire kernel: suspect FTP: IN=eth0 OUT= MAC=00:50:bf:2d:3a:69:00:60:97:f0:1d:88:08:00 SRC=129.103.0.5 DST=129.103.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=34337 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 Aug 29 08:20:23 G3-Fire kernel: suspect TELNET: IN=eth0 OUT= MAC=00:50:bf:2d:3a:69:00:60:97:f0:1d:88:08:00 SRC=129.103.0.5 DST=129.103.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=35035 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Das komplette Netfilter-Konfigurations-Skript mit entsprechenden Kommentaren befindet sich in Anhang C.


7.5 Funktionsbeispiel

Ein Rechner aus dem simulierten WAN (129.103.0.5) greift auf den internen Webserver (10.0.0.60) zu. Die komplette Kommunikation wird mit einem Netzwerkanalizer (ethereal) aufgezeichnet. Die Firewall (129.103.0.1) manipuliert die Pakete bereits bevor der Analizer sie erfasst. Auf dem Screenshot sieht man die bereits veränderten Pakete. Der Client aus dem WAN stellt seine Anfrage direkt an die Firewall, da es der einzige für ihn sichtbare Host ist. Die Firewall veränder die Zieladresse (Packet No.1 auf Screenshot 1) auf die des Webservers und leitet die Pakete an die LAN-Schnittstelle weiter. Bevor das Paket die LAN-Schnittstelle verlässt, wird die Quelladresse des WAN-Clients mit der des Firewall maskiert (Packet No.1 auf Screenshot 2). Der interne Webserver antwortet auf die Anfrage und sendet diese an die Firewall. Die Firewall maskiert die Zieladresse mit der des Clients aus dem WAN und leitet das Paket an die WAN-Schnittstelle weiter (Packet No.2 auf Screenshot 2). Bevor das Paket die WAN-Schnittstelle verlässt, wird die Quelladresse des Webservers mit der der Firewalls maskiert (Packet No.2 auf Screenshot 2). Der WAN-Client kann nur mit der WAN-Schnittstelle der Firewalls kommunizieren, genauso kann der interne Webserver nur mit der LAN-Schnittstelle der Firewalls kommunizieren, so dass nie eine direkte Verbindung zwischen WAN und LAN besteht.


Screenshot 1: Aufgezeichnete Pakete auf der WAN-Schnittstelle der Firewall.

Screenshot 2: Aufgezeichnete Pakete auf der LAN-Schnittstelle der Firewall.


8 Symantec Enterprise Firewall NT/2000 6.5

Die Symantec Enterprise Firewall (SEF) ist eine Firewall für Mittel- bis Großunternehmen. Ihre Leistung im Sicherheitsbereich ist von führenden Redaktionen anerkannt und gilt als eines der Referenzprodukten für Windows Kompatible Systeme. Die SEF beherbergt verschiedene Proxys die die Verbindungen nicht direkt durch die Firewall lassen, sondern diese zuvor nach gestellten Regeln überprüfen. Des Weiteren besitzt die SEF die Möglichkeit auf Netzwerkkarten Basis, Pakete direkt zu Filtern und unerwünschte Pakete zu verwerfen. Diese Filter sind einerseits auf die Protokolle gerichtet und bei der zweiten Möglichkeit der Filterdefinition auf die Programmebene. Dies bedeutet die Firewall kann verschiedene Befehle eines Protokolls akzeptieren andere aber verwerfen, was sie somit hervorragen skalierbar gegenüber Sicherheitsrisiken macht. Die Verwaltung der Regeln wird global auf alle Teilnehmer des zu schützenden Netzes angewandt. Diese Verwaltung ist aber ebenso in der Lage das Netz in verschiedene Sicherheitsgruppen zu unterteilen, welche mehr oder weniger Rechte im Umgang mit Protokollen besitzen. Somit ist es auch möglich Programmen den Zugriff auf bestimmt Ressourcen zu ermöglichen, den Benutzer aber nicht.

8.1 Installation

Die Installation einer Firewall sollte sorgfältig geschehen und auf einem neu Installierten System erfolgen. Auf die Firewall sollten nur die dafür notwendigen Programme installiert werden. (kein Office und keine anderen Overhead Programme). Es muss von vornherein sichergestellt werden dass kein anderer defekter Quellcode die Arbeitsweise der Firewall beeinträchtigt. Softwarevorrausetzungen

• Windows 2000 prof. • Windows 2000 Server • Windows NT

8.1.1 Hardwarevorrausetzungen

• 100 % Kompatibilität mit der Microsoft HCL (www.microsoft.com) um Hardwareproblemen Vorzubeugen

• Intel PII mit 233 MHz Dies ist das Minimum, bevorzugt sollten aber Systeme mit Dual Prozessoren werden

• Speicher: < 200 Benutzer 128 MB RAM >200 Benutzer 256 MB RAM

• Festplatte : zwischen 2-4 Gbyte

8.1.2 Vorbereitung des neuen Systems

• Sicherheitsstrategie (Welche Dienste werden in dem Netzwerk benötigt : ftp, http, SQL …)


• Filesystem NTFS. Wird für die Installation der Symantec Firewall zwingend vorausgesetzt.

• Neu installiertes Betreibsystem NT/ Windows 2000 prof.. Damit keine alten Programme unerwartete Ports öffnen.

• TCP/IP als einziges Netzwerkprotokoll installieren. • Neuestes Service Pack für das vorhandene Betriebsystem einspielen. Dadurch werden

bekannte Fehlerquellen direkt durch den Hersteller geschlossen. • Für eventuelle Servicemeldungen Soundkarte aktivieren.

8.1.3 Nach der Installation des Betriebsystems

• Einrichtung des Netzwerkes unter NT/ Windows 2000 mit den benötigten IP Adressen und Subnetzen der Netzwerkkarten. DHCP ist nicht möglich, da es sich um ein Gateway handelt.

• Test der Netzwerkeinstellungen. Meist mit ipconfig /all • Test der Netzwerkverbindungen

ping <ip adress oder Hostname>

8.2 Zentrale Verwaltung und Schnittstellen der Raptor

Eine intuitive Benutzeroberfläche erlaubt eine einfache und plattformübergreifende Verwaltung und Systemwartung. Die Symantec Raptor Management Console, kurz RMC, erleichtert die Konfiguration und die Administration von Richtlinien. Dank einer „Snap In“-Funktion kann der Systemverwalter von seiner Konsole aus viele Firewalls gleichzeitig administrieren und miteinander verbinden. Bei UNIX-Betriebssystemen erfolgt die Verwaltung über die grafische UNIX-Bedieneroberfläche. Der IT-Administrator kann sich mittels Befehlszeilenkommandos von jedem entfernten Standort anmelden. So ist er in der Lage, Sicherheitsprotokolle und Management-Berichte für alle angeschlossenen Systeme einzusehen. Aus der RMC heraus erhält der Administrator Zugriff auf alle wichtigen Schnittstellen und Regelwerke der Firewall. Wichtige Konfigurationseinheiten sind:

• Base Components • Access Controls • Monitoring Controls

Die Hauptkonfiguration um auf mögliche Angriffe schnell und gezielt zu reagieren wird somit über ein Interface gelöst. Sofortiger Zugriff auf Echtzeitprotokoll und Regelerstellung.


8.2.1 Proxy Dienste der SEF

Definition: Proxy Ein Programm, das stellvertretend für die internen Clients mit den externen Servern kommuniziert. Proxy Clients unterhalten sich mit Proxy Servern, die genehmigte Anfragen an die richtigen Server weiterleiten und die Antworten zurück an die Clients liefern. Proxy Dienste erlauben es, es so aussehen zu lassen, als hätten alle Rechner Zugang zum Internet, obwohl nur einer oder einige wenige Rechner tatsächlich einen solchen Zugang besitzen. Die Rechner mit Internet Zugang dienen dabei als Stellvertreter (Proxies) für die Rechner ohne Zugang, für die sie die gewünschten Aufgaben erfüllen. Ein Proxy-Server für ein oder mehrere Protokoll läuft auf einem Bastion Host, also einem Rechner, den ein Benutzer ansprechen kann und der im Gegenzug mit der Außenwelt kommuniziert. Das Clientprogramm des Benutzers wendet sich and en Proxy Server und nicht direkt an den „echten“ Server im Internet. Der Proxy Server verwendet die Anfragen der Clients und entscheidet, welche er weiterreicht und welche er unberücksichtigt lässt. Wird eine Anfrage zugelassen, kontaktiert der Proxy Server stellvertretend (proxy) für den Client den eigentlichen Server und leitet die Clientanfragen an den echten Server und dessen Antworten zurück zum Client. Soweit es die Benutzer betrifft, können sie nicht unterscheiden, ob sie ihre Anfragen an den Proxy Server oder einen echten Server richten. Der echte Server hat den Eindruck, mit einem Benutzer auf dem Rechner zu kommunizieren, auf dem der Proxy Server ausgeführt wird. Er weiß nicht, dass sich dieser Benutzer irgendwo anders befindet. Das ist auch einer der Vorteile von Proxy Dienste sie bleiben dem Benutzer verborgen. Der Proxy Server leitet die Anfragen der Benutzer nicht immer nur einfach and die eigentlichen Internet Dienste weiter. Er kann auch die Aktionen der Benutzer steuern, da er in der Lage ist, Entscheidungen über die Anfragen zu treffen, die er verarbeitet. Je nach der Sicherheitspolitik des Standortes können Anfragen zugelassen oder abgelehnt werden. Zum Beispiel könnte es der FTP Proxy ablehnen, einen Benutzer Daten versenden zu lassen, oder er könnte einem Benutzer die Übertragung von Dateien nur von bestimmten Standorten erlauben. Aufwendiger Proxy Dienste können verschiedene Hosts unterschiedliche Fähigkeiten zugestehen, anstatt auf alle Hosts die gleiche Einschränkungen anzuwenden. Da der Proxy bestimmte Verbindungen überwacht, kann er die Filterung oft intelligenter gestalten als ein Paketfilter. Proxy Dienste sind zum Beispiel besser dazu in der Lage, http nach dem Inhalt zu filtern (um etwa Java oder JavaScript zu entfernen) und Viren zu entdecken als Paketfiltersystem Ebenso ist ein Proxy System aktiv an eine Verbindung beteiligt und kann aus diesem Grund eine Benutzer Authentifizierung durchführen und eventuelle Aktionen starten die vom jeweiligen Benutzer abhängig sind. Dies ist ebenso mit einem reinen Paketfilter möglich, aber nur durch sehr hohen Aufwand zu realisieren. Für jedes Protokoll sollte je ein Proxy aktiv sein. Damit bei einem möglichen Versagen nicht alle Dienste mit in Leidenschaft gezogen werden. Durch den Proxydienst auf einer Firewall ist ebenfalls gewährleistet, dass der komplette Traffic über die Firewall läuft und nicht über einen anderen Proxy-Server eine weitere Tür geöffnet


wird. Die Firewall beherrscht es den Verkehr, der über die Proxies läuft, anhand von einem Regelwerk zu untersuchen und nur den Traffic zu erlauben dem das Regelwerk auch entspricht. Somit wird jedes Paket das über die Firewall läuft als erstes über einen der verschiedenen Protokoll Proxies geleitet, dort untersucht und dann erst über Weiterleitung oder Sperrung entschieden.

8.2.2 Filter

Definition: Paketfilterung Die Aktion, bei der ein Gerät den Datenfluss zu und von einem Netzwerk selektiv steuert. Paketfilter erlauben oder blockieren Pakete; üblicherweise geschieht das während des Routens der Pakete von einem Netzwerk in ein anderes (meist vom Internet in das Lan oder umgekehrt). Um eine Paketfilterung durchzuführen, legen sie eine Reihe von Regeln fest, die bestimmen, welche Arten von Paketen erlaubt sind und welche Arten blockiert werden. Paketfilterung kann in einem Router oder einem einzelnen Host durchgeführt werden. Manchmal wird sie auch als Screening bezeichnet. Paketfiltersysteme routen Pakete zwischen internen und externen Hosts. Allerdings arbeiten sie selektiv. Sie erlauben oder blockieren bestimmte Arten von Paketen und spiegeln dadurch die Sicherheitspolitik eines Standortes wieder. Paketfilterung ist ein Netzwerk Sicherheitsmechanismus, der überprüft, welche Daten an ein Netz und aus einem Netzwerk weitergereicht werden dürfen. Ein Router kann entweder in Hardware realisiert werden, der keine weiteren Aufgaben zu erfüllen hat, oder als Softwarelösung die auf einem Normalen Rechner installiert wird. (routingfähiges BS vorausgesetzt). Um herauszufinden, wie ein Paket weitergeleitet werden muss, damit es sein Ziel erreicht, betrachtet ein normaler Router lediglich die Zieladresse dieses Paketes. Er stellt sich nur die frage „Wie kann ich dieses Paket weiterleiten?“. Der filternde Router beantwortet diese Frage anhand der Sicherheitsrichtlinien, die in Form von Paketfilterregeln im Routermodul festgelegt werden. Viele neue Router verarbeiten das empfangene Paket zuerst anhand der Filterregeln und entscheiden dann erst ob sie es entgegennehmen. Folgende Informationen sind für die Paketfilterung wichtig

• IP Quelladresse • IP Zieladresse • Protokoll ( TCP, UDP, ICMP) • TCP oder UDP Quellport • TCP oder UDP Zielport • IGMP Meldungstyp • Paketgröße

Der wesentliche Vorteil der Paketfilterung ist ihre Effizienz. Sie versetzt sie in die Lage an einem Ort besondere Schutzmaßnahmen für ein komplettes Netzwerk zu ergreifen. Betrachetn sie z.B. den Telnet Dienst. Sie können die Benutzung des Telenet Dienstes durch eine Firmenweite Deinstallation unterbinden. Aber nach einer Installation ist dieser Schutz dahin. Demgegenüber erhalten sie einen stabilen Schutz, wenn der Telnet Dienst am Router abgewiesen wird. Router stellen außerdem eine nützliche Passierstelle für alle Daten dar, die von außen in ein Netzwerk hereinkommen oder die ein Netzwerk verlassen. Selbst wenn sie aus Gründen der


Redundanz mehrere Router einsetzen, sind es sicher bei weitem weniger als normale Rechner. Außerdem werden sie sie sicher viel strenger überwachen als normale Rechner. Gewisse Schutzmechanismen lassen sich ausschließlich durch Router mit Paketfilterung realisieren und das auch nur, wenn sie an bestimmten Stellen in ihrem Netzwerk eingesetzt werden. Es ist sinnvoll, alle externe Pakete abzuweisen, deren Quelladressen aus dem internen Netzwerk stammen. Damit sind Pakete gemeint, die vorgeben, von einem Ihrer Rechner zu stammen, obwohl sie tatsächlich von außen kommen und genau andersherum. Solche Pakete gehören zu Angriffen, die auf Adressfälschung beruhen. Router mit Paketfilterung können auch dazu benutzt werden, ungültige Pakete aufzuspüren und zu verwerfen, die für viele Denial of Service Attacken verwendet werden. Somit muss genau entschieden werden welche Pakete von vornherein gefiltert werden und welche in das interne Netzwerk gelangen dürfen. Diese Entscheidungen müssen bei der Ausarbeitung der Sicherheitsrichtlinien geschehen Die Einbindung der Filter kann pro Netzwerkkarte für den Input sowie output angegeben werden. Damit kann für jede Datenrichtung ein eigener Filter definiert werden. Beispielweise dürfen keine ICMP echo requests in das interne Netz aus dem WAN aber anders herum um einen Ping vom Netzwerk heraus zuzulassen.

8.2.3 Regelwerk der SEF

Die Regeln der Symantec Firewall dienen im Gegensatz zu den Filtern dazu die entsprechenden Dienste global herausfiltern. Verschiedene Funktionen der einzelnen Dienste können differenziert zugelassen werden. Hierbei kann explizit bestimmt werden für welchen Dienst welche Rechte gelten. Bei dem Windows File Sharing Dienst kann zum Beispiel genau festgelegt werden welche Befehle ausgeführt werden dürfen. Hier besteht die Möglichkeit von vorn herein, ohne Rücksichtsnahme auf die Benutzer Domänenrechte, das Löschen von Dateien von Rechnern die sich im Internet befindenden zu verbieten. Zusätzlich zu der Dienstüberwachung kann genau festgelegt werden auf welchen Übertragungsweg die Regel angewandt wird. Es können Regeln für Ausgehende und Eingehende Verbindungen erstellt werden. Ebenso kann direkt die Quell und Zieladresse festgelegt werden auf die die Regel angewandt werden. Diese Regelen können explizit erlaubt werden oder sie werden verboten.


Die Anwendung der Firewallregeln erfolgt nicht wie üblich von Regel 1 über 2 zu Regel 3. Sondern sie werden genau für jedes ankommende Paket angewandt auf die Regel, die am besten passt. Dieses Prinzip ist auch besser bekannt unter dem Begriff „Best fit Algorithmus“ Somit können eventuelle Löcher die durch das schrittweise abarbeiten der Regeln übersehen werden kann nicht entstehen. Das Regelwerk der SEF ist das Herzstück in Zusammenarbeit mit dem Paketfilter kann somit auf allen Ebenen und Diensten ein möglichst hohes Maß an Sicherheit hergestellt werden.

8.2.4 Netzwerkkarten Einstellungen

Jede einzelne Netzwerkkarte im SEF System kann nach unterschiedlichen Fällen und Kriterien konfiguriert werden. Eine SEF Firewall benötigt mindestens zwei Netzwerkkarten. Eine fürs interne Netz und eine für den Internetzugang im externen Netz. Die Netzwerkkarten des Systems werden bei der Installation der SEF automatisch erkannt. Die IP Einstellungen werden ebenfalls automatisch übernommen. Hinzu können aber noch weitere Notizen in die Netzwerkeigenschaften der SEF geschrieben werden. Das SEF System bietet zusätzliche Eigenschaften um die Sicherheit des Systems zu gewährleisten.

8.2.4.1 Syn Flood Protection

Syn flooding, ist eine Denial of Service Attacke, die bei TCP/IP Kommunikationen vorkommt. Sie kann durch ein Fehlen einer ACK Antwort erzeugt werden was in einem halb geöffneten Portstatus endet. Auf vielen Systemen erzeugen diese im Wartezustand befindlichen Ports den Effekt, das wirkliche autorisierte Verbindungen keine Konnektierung mehr erhalten, da alle Ports zur Hälfte geöffnet sind und auf das nie folgende ACK des TCP warte. Das Feature Syn Flood Protection schließt diese Verbindungen sofort wieder und sollte nur bei einem Angriff aktiviert werden.

8.2.4.2 Enable Ports Scan Detection

Eine allgemein gebräuchliche Methode herauszufinden was für Ports auf einem Rechner frei sind, ist dies durch einen Port Scan zu ermitteln. Sollte ein Portscan entdeckt werden, der auf


einer hohen Anzahl an nacheinander geöffneten Ports basiert, meldet das Logfile einen 347 Code. Eine große Anzahl an 347 oder 239 Fehlermeldungen, entlarven eine Portscan.

8.3 Verwaltung und Erstellung der Sicherheitsrichtlinien

Die Firewall verfügt über zahlreiche menügeführte Assistenten, die den IT-Verwalter beim Einrichten von Sicherheitsrichtlinien unterstützen, zum Beispiel beim Einrichten eines Mailservers. Eine besondere Produktarchitektur ermöglicht dem Systemverwalter, beispielsweise den Zugriff auf bestimmte Server, bestimmte freigegebene Dateien oder einen auf eine bestimmte Zeit begrenzten Zugriff zuzulassen. Zudem können bestimmte Regeln für individuelle Benutzer oder Benutzergruppen konfiguriert werden. Was die Symantec Firewall zu anderen Firewalls unterscheidet ist ein spezieller „Best-Fit-Algorithmus“. Dieser sorgt dafür, dass in jedem Einzelfall die Regel greift, die am besten auf die Verbindungsanfrage passt. Der Administrator muss sich bei der Erstellung des Firewall-Regelwerks nicht um die Reihenfolge der Regeln kümmern. Damit wird vermieden, dass versehentlich Sicherheitslücken entstehen.

(Regelwerk der SEF)

8.3.1 Erstellung ICMP Regel (Ping)

ICMP und die Programme zur Netzwerk Diagnose werden vor allem von Netzwerk-administratoren für die Fehlersuche in Netzwerken verwendet. Sie bilden für Administratoren sozusagen das Gegenstück zu Hammer und Säge eines Zimmermanns : die grundlegende, einfachsten und entscheidensten Werkzeuge, antik in der Gestaltung, aber unentbehrlich. Es handelt sich hierbei um weithin anerkannt Protokolle niedriger Ebene. Sie wurden daher schon häufig für Angriffe missbraucht. Eine Reihe von Denial of Service Attacken beruhen auf falsch geformten ICMP Paketen, und einige Trojanische Pferde benutzen ICMP, um Informationen aus angegriffenen Standorten hinaus zusenden. Darüber hinaus werden oft gefälschte oder verstümmelte ICMP Pakete, entweder allein oder begleitend, für Angriffe auf Systeme verwendet. Zum Beispiel könnte ein Angreifer für einen Host, der eigentlich erreichbar ist, ein ICMP Paket „destination unreachable“ verschicken. Dadurch werden vorhandene Verbindungen zum angegriffenen Ziel beeinträchtigt.


Ping Das Programm Ping überprüft Netzwerkverbindungen. Ping erzeugt das ICMP Paket „echo request“.. Das Zielsystem antwortet mit dem ICMP Paket „echo reponse“. ICMP ist typischerweise im Kernel implementiert, es ist also der Kernel, der das „echo response“ Paket erzeugt. Ping selbst eignet sich sehr gut zur Fehlersuche in Netzwerken. Es ist auch einigermaßen sicher. Sie sollten daher ausgehendes ping wenigstens von den Maschinen zulassen, die ihre Netzwerkverwalter benutzen, sowie eingehendes ping zumindest von den Maschinen, die ihr Service Provider für den Netzbetrieb einsetzt. Aufgrund des Orts der Implementierung ist es nahezu unmöglich, Antworten auf ping auf einzelenen Rechnern zu deaktivieren; die einzige Steuermöglichkeit bildet Paketfilterung oder ICMP Regeln. ICMP Echos bergen diverse Gefahren in sich

• Sie können für eine Denial of Service Attacke, das heißt zum Überfluten ihres Netzwerkes, benutzt werden. Im Prinzip kann zwar jedes Protokoll, das sie akzeptieren, für diesen Zweck missbraucht werden. Allerdings sind ICMP Echos besonders verlockend, da es ihnen weit verbreitete Programme, die zum Testen von Netzwerken gedacht sind, erlauben, Netzwerke mittels einfacher Aufrufoptionen zu überfluten.

• Jeder, der in der Lage ist, ICMP Echos Anfragen in ihr Netzwerk zu verschicken und die

entsprechenden ICMP Echo Antworten zu empfangen, kann ermitteln, wie viele Maschinen Sie haben und unter welchen Netzwerkadresse sie erreichbar sind. Dadurch wird die Effektivität künftiger Angriffe erhöht. Aus diesem Grund sollten Sie die Anfragen auf solche Maschinen beschränken, die ihr Netzwerk wirklich testen müssen

• Verstümmelte ICMP Echo Anfragen können ungeahnte Auswirkungen auf schlechte

Implementierung von IP haben. Das gilt im Prinzip für alle Protokolle. Allerdings wird ICMP leicht übersehen und hat oft hastige zusammengeschusterte Implementierungen, die besonders verwundbar sind.

• Die Datenanteile der ICMP Echo Anfragen und Antworten sind für das Protokoll eine

Füllmenge und ohne Bedeutung und können ohne weiteres wichtige Firmeninformationen enthalten. Dadurch ist ICMP-Echo prädestiniert zum Schmuggel von Informationen durch eine Firewall.

Damit das Programm Ping nach außen funktioniert, müssen sie ICMP Pakete des Typs „echo request“ nach außen und ICMP Pakete des Typs „echo response“ nach innen zulassen. Zusätzlich sollte die Größe der Pakete beschränkt werden. Da diese viele Informationen enthalten können und deren Größe > 128 Bytes sinnlos ist. Praktische Regelerstellung Von vornherein werden Dienste blockiert die die SEF nicht kennt. Das bedeutet kommt eine ICMP Anfrage von einem Netz auf einer Netzwerkschnittstelle an die Firewall so wird diese als erstes auf vorhandene Regeln hin überprüft. Sollte keine der vorhandenen Regel auf das zu überprüfende Paket passen, wird dieses verworfen und mit einer Fehlermeldung im Protokoll vermerkt. Wie im Bild zu sehen ist wurde ein Echo Request von der Adresse 192.1.1.2 an 192.168.0.1 zurückgewiesen da keine Regel auf diese Art der Kommunikation zutreffend war.


Wird aber eine Regel erstellt die die SEF dazu berechtigt das ICMP Paket weiterzuleiten (hier vom internen ins Externe Netz), wird diese beim nächsten Eintreffen einer solchen Anfrage eine Regel vorfinden die ihr expliziert vorschreibt was mit dem Paket zu tun ist. Hier in diesem Beispiel wird die gesamte ICMP Kommunikation vom internen Netzwerk ins Externe Netzwerk geleitet. Das Protokoll zeigt an das für dieses Szenario eine Regel gefunden wurde. Hier in unserem Beispiel wurde Regel 3 erstellt und erkannt. Das Paket wird weitergeleitet. Es können Hosts im externen Netz angepingt werden. Trotz der Regel #3 die besagt das nur ausgehende Verbindungen über ICMP erlaubt werden sollte eine 2. Regel erzeugt werden, sozusagen Regel 3 invertiert. Diese enthält eine Deny Funktion für ICMP Paket aus dem externen Netz die für das interne Netz gedacht sind. Ein Problem bleibt weiter bestehen jegliche Formen eines „echo requests“ von der Firewall direkt auf das interne Netz sollte verboten werden, damit hier eine weitere Barriere aufgebaut wird. Dies ist am besten mit einem Portfilter zu bewältigen, welcher direkte ICMP echo requests aus dem Netz heraus erlaubt, aber selbst nur ICMP echo reply hinein lässt. Somit kann kein Ping vom externen Netzwerk in das interne Netzwerk gelangen. Dieser ICMP Filter wird zusammen mit den anderen notwendigen Filtern auf die Input Schnittstelle der Netzwerkkarte gelegt, damit dieser Filter dort die erste bzw. letzte Barriere ins externe Netz ist.


8.3.2 Verteidigung gegen „Denial of Service“ Attacken

Denial of Service [Dos] (dt. Ablehnung von Diensten) Attacken sind Paketstürme auf einen Webserver, Firewall oder einen Internetserver(FTP, Pop3…). Diese Stürme mit veränderten Protokoll Paketen werden von einem Host erzeugt, was letztendlich nicht so schlimm ist, da die Leistung heutiger Server die Attacken eines einzelnen Hosts noch standhalten. Die IP und MAC Adresse des Angreifers ist leicht zu sperren. Der Angreifer, sollte gegen ihn gerichtlich vorgegangen werden, kann durch dieses Daten und den Logfiles der Provider festgestellt werden. Schlimmer sind verteilte Angriffe so genannte „Distributed Denial of Service“ [DDoS] Attacken. Diese Attacken werden von verschiedenen Rechnen ausgeführt. Diese sind durch unterschiedliche Arten manipuliert. Trojaner werden gerne als benutzt um einen solchen Sturm von defekten Dienstanfragen auszuführen. Diese infizierten Hosts „Zombies“ erzeugen dann aus unterschiedlichen Richtungen zu einem bestimmt Zeitpunkt Stürme (sogar aus ihrem Netz, sollten sich dort auch Zombies befinden). Diese Zombies werden meist über korrupte ICMP Kommandos gesteuert. Umso mehr Zombies im Internet Anfragen an den Webserver schicken, umso gewaltiger ist die Auswirkung. Der angesprochene Dienst verweigert, aufgrund der hohen Anfrage, den Dienst und kollabiert unter Umständen. Diese führte in der Vergangenheit zum Erliegen großer bekannter Websites wie GMX, Microsoft oder Amazon. Möglichkeiten zur Verteidigung sind in der SEF gegeben. Durch bekannt werden der DDos Angriffe konnten Strategien entwickelt werden den Sturm so gut wie irgendwie möglich zu überstehen, ohne das System für die Firma und deren Kunden komplett lahm zulegen. Eine Möglichkeit ist von vorn herein gefälschte Adressen (Adresse aus externen Netz simuliert eine Adresse im internen Netz) oder verstümmelte Pakete zu Filtern. Weiterhin sollte die möglichen Verbindungen auf ein gesundes Maas begrenzt werden. Ebenso sollten Counter installiert werden, der ab einer bestimmten Anzahl von Verbindungen, von der gleichen IP innerhalb einer bestimmten Zeit, diese Blockiert und Pakete die von dieser Verbindung kommen direkt droppt. Konfiguration der SEF in Bezug auf Denial of Service Attacken Zur Prävention sollten in der Datei Config.cf folgende Counter aktiviert werden. Parameter Default Erklärung Connection_rate limit -1(aus) Erlaubte Verbindungen innerhalb der

connection_rate.interval festgelegten Zeit Connection_rate.interval 30 Messzeitraum für den Verbindungs Counter Connection_rate.blocktime 3600(sec) Zeit die eine gelockte IP geblockt wird. Sollte

nicht weniger als eine Minute betragen [Diese Funktion ist bei Testversuchen der Firewall leicht hinderlich, da sie nach diversen Testanläufen die IP Sperrt und weitere Test unmöglich machen] Befinden sie sich in einem DDoS Sturm ist es wichtig soviel wie möglich an System Ressourcen frei zu legen. Sie sollten jede Form der Protokollierung aktivern um festzustellen wie und von wo der Angriff kommt. Danach sollten auch unnötigen Protokollierungen deaktiviert


werden. Ebenso sollte das Feature Port Scan Detection auf der Netzwerkkarte deaktiviert werden, da dieser nun nebenrangig geworden ist und nur unnötige Systemressourcen frisst. Weiterhin ist es sinnvoll SYN Flood auf den Netzwerkkarten zu aktivieren. Denn bei einem DDoS erhält die Firewall teilweise extreme Mengen an falschen Adressen die Verbindungen öffnen und diese im halb offnen Zustand verlassen. Der SYN Flood Mechanismus der SEF schließt diese Verbindungen sofort.

8.3.3 Erstellung vom Windows Share Freigaben (CIFS/SMB)

Bei heutigen Netzwerken ist eine Verbindung mit anderen Standorten notwendig. Meist werden auch Netzlaufwerkverbindungen über Standleitungen erzeugt, um z.B. auf ein Projektlaufwerk zugreifen zu können. Dies wird über die Filesharing Dienste in Microsoft Netzwerken realisiert. An Filesharing selbst sind eine Reihe von Protokollen beteiligt(z.B. NetBios, NetBT oder LanManger). Das Neuste ist das Common Internet File System (CIFS), das auf Server Message Block (SMB) auf baut. Offiziell ist CIFS ein auf SMB beruhender Standard, der Microsoft momentane Praxis für den Einsatz von SMB erweitert. Im Prinzip ist es aber nur ein neuer Name für SMB. CIFS Filesharing wird häufig zusammen mit den anderen Mitgliedern einer grossen Protokollfamilie verwendet und ist häufig in der Lage, ein bestimmtes Ziel auf verschiedene Wege zu erreichen. Damit ist ein Problem entstanden diesen Netzwerkfreigabedienst von Windows über einen Paketfilter zu beschränken. Es besteht zwar die Möglichkeit SMB Pakete zu filtern. Aber bestimmte Aktionen die Filesharing unterstützt können nicht einzeln frei geschaltet werden. Aus diesem Grund ist ein Filter hier ungeeignet. Die SEF bringt einen CIFS Proxy mit, der auf Grundlage des Regelwerkes die einzelnen Freigabenverbindungen an sich nimmt, zuerst prüft und dann entscheidet. Nur so ist gewährleistet das, z.B. ein User im Externen Netz der sich Zugang verschafft hat, keine Dateien Löschen oder Verändern kann

8.3.4 Erstellung FTP Proxy Services

Als weiteren Proxy bringt die SEF einen FTP Proxy mit sich. FTP dient zum Übertragen von Dateien von einer Maschine zu einer anderen. Es lassen sich alle arten von Daten über FTP transportieren. Es gibt zwei Arten von Benutzerzugängen unter FTP. Einmal FTP mit Benutzerkennung, und einmal den Anonymous Zugang für User ohne Benutzerkennung und nur für bestimmte Ordner (öffentliche Ordner). Anonymous FTP ist einer der meist benutzten Übertragungsarten für Dateien im Internet. FTP benutzt zwei getrennt TCP Verbindungen : eine für Befehle zwischen Client und sErver sowie deren Ergebnisse (Kommandokanal) und einen zweite Verbindung, auf der die eigentlichen Dateien und Verzeichnislistings übertragen werden (Datenkanal). Der Kommandokanal benutzt auf der Seite des Servers Port 21 und auf der Seite des Clients einen


Port oberhalb von 1023 (unsicherer Bereich). FTP verwendet zwei unterschiedliche Modi, um den Datenkanal einzurichten, den normalen Modus und den passiven Modus. Im normalen Modus verwendet der Server Posrt 20 für den Datenkanal, im passiven Modus dagegen einen Port oberhalb von 1023. Der Client verwendet immer einen Port oberhalb von 1023 für den Datenkanal. Bei einer Initialisierung einer FTP Sitzung im normalen Modus, reserviert der Client zwei TCP –Ports mit Portnummern über 1024 für sich selbst. Auf dem ersten öffnet er den Kommandokanal zum Server und setzt dann den FTP Befehl Port ab, um dem Server die Nummer des zweiten Ports mitzuteilen, den der Client zur Datenübertragung benutzen will. Daraufhin öffnet der Server die Verbindung auf dem Datenkanal. Dieser rückwärts gerichtet Verbindungsaufbau verursacht bei einer Paketfilterung große Probleme, da sie nie wissen über welchen Port der Client versucht die Daten zu beziehen. Die Konfiguration eines Paketfilter ist sehr aufwendig und birgt viele Gefahren Löcher offen zu lassen. Aus diesem Grund ist die Verwendung eines FTP Proxis für diesen Zweck eine sehr komfortable und sichere Lösung. Konfiguration der SEF bezüglich FTP Die Konfiguration der SEF in Bezug auf FTP ist einfach und gut strukturiert. Es muss der Proxy Dienst für den FTP gestartet werden und eine Regel erstellt werden. In dieser Regel muss detailliert die Richtung des Verbindungsaufbaus beschrieben sein, damit z.B. nur Clients, aus dem internen Netz, auf Server im externen Netz zugreifen dürfen. Und diese Regel invertiert verbieten. Des Weiteren besteht die Möglichkeit bestimmt FTP Befehle in der Regel direkt zu verbieten oder zu erlauben. Was den von Grund auf sehr freizügigen Umgang mit FTP etwas einschränken kann.

8.4 Protokollierung und Berichtserstellung in Echtzeit

Die Protokolldateien der Firewall enthalten Angaben zur Sitzungsdauer, Byteanzahl sowie komplette URLs, Benutzernamen und Authentifizierungsmethoden. Diese sind für die Erstellung von Statistiken und Trendberichten der Internet Sessions erforderlich. Über die RMC kann auf eine dynamische ASCII-Protokolldatei zugegriffen werden. Der Systemverwalter hat so die Möglichkeit, sich das Protokoll in Echtzeit anzusehen und auszuwerten. Die Protokolldateien (Log-Files) werden im 24-Stunden-Rhythmus generiert und können entweder von der Firewall selbst im ASCII-Format ausgewertet oder in andere Berichtsformate (zum Beispiel Telemate.Net oder Webtrend) importiert werden. Damit können ferner Langzeitreports generiert oder aus mehreren Quellen ein Report zusammengefasst werden. Zudem ist die Nutzung des Netzwerkes auch grafisch darstellbar.

8.4.1 Portscan

Ein möglicher Portscan hinterlässt bei der SEF deutliche Spuren in der Protokoll Datei. Hier werden Unmengen von TCP Resets gemeldet. Das sind die Ports auf den der Portscanner zugegriffen hat und im halb offenen Zustand verlassen hat. Diese werden mit einer Fehlermeldung protokolliert und durch einen Reset geschlossen. Ein Portscan ist nur, durch die Konfigurationen aus Kapitel 4.2, zu verhindern. Hierbei sollten werden sie häufiger Ziel eines Portscans diese Einstellungen verschärfen. (Möglich Anzahl der Verbindungen senken und die Zeit in dieser diese gezählt werden erhöhen).


8.4.2 Aktive Verbindungen

Die SEF biete zusätzlich die Möglichkeit aktive Verbindungen darzustellen. Dabei ist der Aktualisierungsintervall frei wählbar: von Echtzeit bis hin zu einer Minute. In diesem Menü der SEF werden alle Details auf Wunsch dargestellt. Bei feststellen einer fehlerhaften Verbindung kann diese sofort getrennt werden.


9 Kosten-Nutzen-Analyse

9.1.1 Die Kosten

9.1.1.1 Projekt-Hardware

Bei der im Projekt eingesetzten Hardware handelt es sich um einen ausgemusterte Büro-Desktop-PC’s. Durch eine geringfügige Aufrüstung ist dieses System durchaus in der Lage die Netzwerk-Aufgaben in einem kleinen bis mittelständischen Unternehmen (bis zu 50 PC’s hinter dem Firewall) zu erfüllen. In der folgenden Tabelle ist die genaue Ausstattung aufgelistet. HW – Beschreibung HW – Typ Desktop PC Siemens Nixdorf Scenic Pro D6 CPU Intel Pentium II 266 MHz RAM 128 MB HDD Fujitsu MPD3043AT 4,3 GB NIC’s 2 x Realtec RTL8139(A) CD-ROM NEC 282 Floppy No Name Monitor FSC x178 => Restwert der Hardware: ca. 350 €

9.1.1.2 Projekt-Software - Netfilter

Als Betriebssystem setzten wir Red Hat Linux 7.1 mit dem aktuellen Kernel 2.4.x ein. Wir haben uns für das Open Source Betriebssystem entschieden, da es für unser Projekt viele Vorteile bietet. Zum einen ist es kostenlos, was für unsere Zielgruppe (kleine bis mittelständische Unternehmen) eine enorme Kostenersparnis darstellt. Zum anderen bringt die Distribution sehr viele Netzwerkanwendungen, -dienste und –tools mit sich die auf verhältnismäßig bescheidener Hardware noch performant laufen. Die Firewall-Software ist fester Bestandteil des Kernels und somit höchst performant.

=> Preis der Red Hat Distribution: 63 €


9.1.1.3 Projekt-Software - Symantec Enterprise Firewall

Als Betriebssystem reicht eine Windows 2000 Professional Plattform aus. Die Firewall-Software ist die Enterprise Firewall 6.5 (ehemals Raptor) von Symantec. Diese beinhaltet sowohl den klassischen Paketfilter als auch Aplication-Gateways (z.B. für FTP, http usw.). Diese Firewall ist besonders flexibel und komfortabel einsetzbar, da hier auch zusätzliche Sicherheitsrichtlinien auf Benutzerebene konfiguriert werden können. Diese Lösung richtet sich an große bis mittlere Unternehmen mit hohen Flexibilitätsanforderungen.

=> Preis der Symantec Enterprise Firewall 6.5: Lizenzgröße

(Preis pro geschützter IP-Adresse) Firmenlizenz

bis 25 2.217 €

26 - 100 5.552 € 101 - 250 8.886 €

ab 250 - unbegrenzt 14.444 € => Preis Windows 2000 Professional: 178 €

9.1.1.4 Installation und Konfiguration

Bei den in unserem Projekt eingesetzten Firewall-Konzepze, handelt es sich um ein Grobkonstrukte. Sie bieten genügend Sicherheit auf der einen Seite, andererseits benötigt sie aber keinen großen administrativen Aufwand. Beim kommerziellen Einsatz dieser Produkte muß die jeweilige Firewall an die Vorgaben des Auftraggebers angepasst werden, was aber keinen großen Konfigurationsaufwand bedeutet. Als Kosten für Schulung (Selbststudium), Konfiguration und Tests setzen wir eigene Erfahrungswerte ein. Bei der Kostenaufstellung legen wir verschiedene Rechnungssätze zugrunde (intern / extern). So werden z. B. die Schulungskosten nur einmalig und nur intern berechnet. Bei weiteren Einsätzen der Firewall fallen dann nur noch die Konfigurations und Administrationskosten an. Des weiteren werden natürlich intern und extern unterschiedliche Stundensätze berechnet. Die Hardware- und Personalkosten auf der Kundenseite können leider nicht berücksichtigt werden da diese in Abhängigkeit vom Kunden sehr stark schwanken können. Kosten Linux Firewall Schulung (nur intern) ca. 9 Std. Konfiguration & Tests ca. 12 Std. Kosten pro Mannstd. (intern) ca. 25 € Kosten pro Mannstd. (extern) ca. 120 € Gesamtpersonalkosten (intern) 1050 € Gesamtpersonalkosten (extern) 2880 € Kosten für Software 63 € Kosten für Hardware (intern) 350 € Sonstige Kosten (Miete, Strom, etc.) 200 € Gesamtkosten (intern) 1663 € Gesamtkosten (extern) 3103 €


Kosten Symantec Firewall Schulung (nur intern) ca. 9 Std. Konfiguration & Tests ca. 12 Std. Kosten pro Mannstd. (intern) ca. 25 € Kosten pro Mannstd. (extern) ca. 120 € Gesamtpersonalkosten (intern) 525 € Gesamtpersonalkosten (extern) 1200 € Kosten Software (26 – 100 geschützte IP-Sdressen) 5730 € Kosten für Hardware (intern) 350 € Sonstige Kosten (Miete, Strom, etc.) 200 € Gesamtkosten (intern) 6855 € Gesamtkosten (extern) 7370 €

9.1.2 Nutzen-Analyse

Der Nutzen einer Firewall lässt sich nur sehr schwer in Zahlen erfassen, da hier sehr viele komplexe Faktoren berücksichtigt werden müssen. Dazu gehören Faktoren wie Größe des Unternehmens, Abhängigkeit vom Internet und selbstverständlich die Sensibilität der Daten. Im Falle eines Einbruches ins Firmennetzwerk kann erheblicher finanzieller Schaden entstehen. Durch Industriespionage können Unternehmen, die in der Forschung und Entwicklung tätig sind, ihrer innovativer Produktideen beraubt werden. Ein weiterer sehr sicherheitskritischer Aspekt sind die vertraulichen Kundendaten wie z. B. Bankverbindungen oder Kreditkartennummern. Der Diebstahl solch sensibler Daten würde nicht nur für die Kunden einen finanziellen Schaden bedeuten, sonder würde eventuell auch zum Verlust lukrativer Geschäftsbeziehungen zwischen dem Unternehmen und den geschädigten Kunden führen. Bei einem Unternehmen das durch das Internet sein Geld verdient (Online-Shop), entstehen erhebliche Umsatzeinbußen wenn ein Angreifer es schafft die Schnittstellen zu den Kunden lahmzulegen. Ein weiterer nicht unbedeutender Schaden kann durch einen Imageverlust des geschädigten Unternehmens hervorgerufen werden. Fazit Abschließend lässt sich sagen dass die möglichen Schäden in keinem Verhältnis zu den anfallenden Kosten für die Installation und Wartung der Firewall stehen.

Die Anschaffung einer Firewall für ein Unternehmenmit Internetanbindung ist unverzichtbar.


10 Anhang A

Kerneloptionen für Netfilter Loadable module support --->

[*] Enable loadable module support

[*] Set version information on all module symbols

[*] Kernel module loader Networking options --->

<*> Packet socket

<*> Kernel/User netlink socket

<*> Routing messages

<*> Network packet filtering (replaces ipchains)

<*> Unix domain sockets

<*> TCP/IP networking

<*> IP: TCP syncookie support (disabled per default)

Kerneloptionen für Netfilter IP: Netfilter Configuration --->

<M> Connection tracking (required for masq/NAT)

<M> FTP protocol support

<M> Userspace queueing via NETLINK

<M> IP tables support (required for filtering/masq/NAT

<M> limit match support

<M> MAC address match support

<M> netfilter MARK match support

<M> Multiple port match support

<M> TOS match support

<M> Connection state match support

<M> Unclean match support

<M> Owner match support


<M> Packet filtering

<M> REJECT target support

<M> MIRROR target support

<M> Full NAT

<M> MASQUERADE target support

<M> REDIRECT target support

<M> Packet mangling

<M> TOS target support

<M> MARK target support

<M> LOG target support


11 Anhang B

Iptables Syntax Regel Option

Anhängen -A

Löschen -D

Ersetzen -R

Einfügen -I

Regelliste

Anzeigen -L

Leeren -F

Neu -N

Löschen -X

Umbenennen -E

Filtertabellen

Input INPUT

Output OUTPUT

Forwarding FORWARD

Prerouting PREROUTING

Postrouting POSTROUTING


Aktionen (targets)

Erlauben -j ACCEPT

Ablehnen mit Rückmeldung -reject-with

Ablehnen ohne Rückmeldung -j DROP

Tabelle verlassen -j RETURN

Sprung zu benutzerdef. Tabelle -j <userdefined chain>

Paket in den Userspace leiten -j QUEUE

Masquerading --to-ports

SNAT --to-source

DNAT --to-destination

LOG --log-level

--log-prefix

--log-tcp-sequence

--log-tcp-options

--log-ip-options

MARK --set-mark

TOS --set-tos

MIRROR -j MIRROR (exp.)

Umleiten --to-ports

Parameter

Absender (source) -s

Empfänger (destination) -d

Protokoll -p

Interface

Input-Interface -i

Output-Interface -o


12 Anhang C

Netfilter-Konfigurationsskript #!/bin/bash #Variablen definieren WEB_SRV=10.0.0.60 DNS_SRV_LOC=10.0.0.40 MAIL_SRV=10.0.0.32 iptables -F #löscht alle Filterregeln in den Ketten iptables -X #löscht alle benutzerdefinierten Ketten iptables -t nat -F #löscht die Filterregeln in der NAT-Tabelle iptables -t nat -X #löscht alle benutzerdefinierten Regeln in der NAT-Tabelle #verwirft alle Packete die für den lokalen Rechner (Firewall) bestimmt sind iptables -P INPUT DROP #verwirft alle Packete die auf dem lokalen Rechner (Firewall) erzeugt werden iptables -P OUTPUT DROP #Packete zwischen den Schnittstellen (eth0 - eth1) werden weitergeleitet iptables -P FORWARD ACCEPT #IP-Forwarding aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward ############ LOGGING ############ #benutzerdefinierte Filterkette für die NAT-Tabelle wird erstellt iptables -t nat -N suspect #TELNET-Zugriffsversuche werden geloggt iptables -t nat -A suspect -p tcp --dport 23 -j LOG --log-prefix "suspect TELNET: " #FTP-Zugriffsversuche werden geloggt iptables -t nat -A suspect -p tcp --dport 21 -j LOG --log-prefix "suspect FTP: " #nach dem Loggen werden die Pakete die die suspect-Kette durchlaufen sind, verworfen iptables -t nat -A suspect -j DROP


############ MASQUERADING ############ #löschen der Kette PREROUTING in der Tabelle NAT iptables -t nat -F PREROUTING #Standardregel für die PREROUTING-Kette iptables -t nat -P PREROUTING ACCEPT #externe TCP-Anfragen auf Port 80 werden auf lokalen Webserver weitergeleitet iptables -t nat -A PREROUTING -p tcp -d 129.103.0.1 --dport 80 -j DNAT --to $WEB_SRV:80 #ICMP Anfragen vom LAN ins WAN werden beantwortet iptables -t nat -A PREROUTING -p icmp -j ACCEPT #interne TCP-Anfragen auf Port 80 werden ins Internet weitergeleitet iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.0.0.0/16 -j ACCEPT #DNS Anfragen vom lokalen DNS werden ins WAN weitergeleitet iptables -t nat -A PREROUTING -p tcp -s $DNS_SRV_LOC -j ACCEPT #DNS Anfragen vom WAN ins LAN werden an den internen DNS Server weitergeleitet iptables -t nat -A PREROUTING -p tcp -d 129.103.0.1 --dport 53 -j DNAT --to $DNS_SRV_LOC:53 #SMTP Anfragen vom lokalen Mailserver werden ins WAN weitergeleitet iptables -t nat -A PREROUTING -p tcp -s $MAIL_SRV -j ACCEPT #SMTP Anfragen vom WAN ins LAN werden an den internen Mailserver weitergeleitet iptables -t nat -A PREROUTING -p tcp -d 129.103.0.1 --dport 25 -j DNAT --to $MAIL_SRV:25 #Pakete mitlogen iptables -t nat -A PREROUTING -p tcp --dport 21:23 -j suspect #alle anderen Pakete verwerfen iptables -t nat -A PREROUTING -j DROP #löschen der Kette POSTROUTING in der Tabelle NAT (Network Adress Translation) iptables -t nat -F POSTROUTING #Standardregel für die POSTROUTING-Kette iptables -t nat -P POSTROUTING DROP #Alle ICMP-Pakete mit lokalen Adressen werden maskiert (eth0 -> Internet-Schnittstelle) iptables -t nat -A POSTROUTING -o eth0 -p icmp -s 10.0.0.0/16 -j MASQUERADE #lokaler Webserver darf auf Anfragen auf Port 80 antworten iptables -t nat -A POSTROUTING -p tcp --dport 80 -d $WEB_SRV -j MASQUERADE #http-Anfragen der lokalen Clients werden maskiert und ins Internet geleitet iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -s 10.0.0.0/16 -j MASQUERADE #DNS Anfragen vom lokalen DNS werden maskiert und nach aussen weitergeleitet iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -s $DNS_SRV_LOC -j MASQUERADE #Lokaler DNS darf auf Anfragen vom Internet antworten iptables -t nat -A POSTROUTING -p tcp --dport 53 -d $DNS_SRV_LOC -j MASQUERADE


#SMTP Anfragen vom lokalen Mailserver werden maskiert und nach aussen weitergeleitet iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 25 -s $MAIL_SRV -j MASQUERADE #Lokaler Mailserver darf auf SMTP-Anfragen vom Internet antworten iptables -t nat -A POSTROUTING -p tcp --dport 25 -d $MAIL_SRV -j MASQUERADE #löschen der Kette OUTPUT in der Tabelle NAT iptables -t nat -F OUTPUT #Standardregel für die OUTPUT-Kette iptables -t nat -P OUTPUT DROP


13 Quellen

• Netfilter – HOWTO • NAT – HOWTO • http://members.tripod.de/willy_94/ • http://www.tecchannel.de • http://www.linuxwall.de/german/artikel/artikel.3.html • http://www.fruehbrodt.org/artikel/netfilter.html • http://www.cnc-online.net • http://www.pl-berichte.de/t_netzwerk • Symantec Handbuch • O’Reilly Firewall

Autoren: Boris Urban (Kapitel 1-3; 8; 9) Artur Neumann Alexander Bauer (Kapitel 4-7; 9-12)


Teil 1 - Firewall & Si · PDF file8.3.1 ERSTELLUNG ICMP REGEL (PING) 33 8.3.2 VERTEIDIGUNG...

Documents

Transcript of Teil 1 - Firewall & Si · PDF file8.3.1 ERSTELLUNG ICMP REGEL (PING) 33 8.3.2 VERTEIDIGUNG...