Bridgefirewall – eine transparente Lösung

11
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005

description

Bridgefirewall – eine transparente Lösung. Thomas Röhl 08. April 2005. Inhalt. Warum eine Bridgefirewall? Installation der Bridge IPtables – der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln Spanning Tree Protocol. Warum Bridgefirewalls?. - PowerPoint PPT Presentation

Transcript of Bridgefirewall – eine transparente Lösung

Page 1: Bridgefirewall – eine transparente Lösung

Bridgefirewall – eine transparente Lösung

Thomas Röhl

08. April 2005

Page 2: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 2 Bridgefirewall

Inhalt

Warum eine Bridgefirewall?

Installation der Bridge

IPtables – der Paketfilter unter Linux

Funktionsweise von IPtables

Firewallregeln

Spanning Tree Protocol

Page 3: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 3 Bridgefirewall

Warum Bridgefirewalls?

Linux ist ein etabliertes Firewall-Betriebssystem

Ab Kernel 2.2 Bridging-Code fester Bestandteil

Arbeitet auf OSI-Layer 2

Protokollunabhängig

Keine eigene IP-Adresse, daher schwer angreifbar

Einfache Installation

Einfache Integration in ein bestehendes Netzwerk

Page 4: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 4 Bridgefirewall

Installation der Bridge (I)

2 Netzwerkkarten notwendig

Bridging-Code muss im Kernel aktiviert sein (bei Suse Standard)

Bridge-Utils (Einfache Konfiguration der Bridge)

IPtables

ARPtables Pakete zum Filtern

EBtables

TCPdump - Paketanalyse

Page 5: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 5 Bridgefirewall

Installation der Bridge (II)

root@bridge:# echo 1 > /proc/sys/net/ipv4/ip_forwardroot@bridge:# brctl addbr br0root@bridge:# brctl addif br0 eth0root@bridge:# brctl addif br0 eth1root@bridge:# brtcl stp br0 offroot@bridge:# ifconfig eth0 0.0.0.0 up root@bridge:# ifconfig eth1 0.0.0.0 uproot@bridge:# ifconfig br0 up

Überprüfung der Verbindungen mit tcpdump

Mit „brctl showmacs br0“ kann man sich die gesammelten MAC-Adressen auflisten lassen

Page 6: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 6 Bridgefirewall

IPtables – der Paketfilter unter Linux (I)

IPtables dient zum Filtern von Netzwerk-Paketen im Kernel

Kernelunterstützung seit Kernel 2.4

3 eingebaute Tables (INPUT, OUTPUT, FORWARD)

Überprüfung der Verbindungsstatus (NEW, ESTABLISHED, RELATED, INVALID)

Allgemeine Policies für Tables

Page 7: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 7 Bridgefirewall

IPtables – der Paketfilter unter Linux (II)

Connection Tracking (Filtern nach TCP, UDP, ICMP, andere Protokolle verfügbar)

Logging einzelner Verbindungen

Verhindern von Denial-of-Service-Attacken

Erkennen der ICMP-Typen

Rejects mit einstellbarem Verhalten

Möglichkeit des SNAT, DNAT und Masquerading

Page 8: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 8 Bridgefirewall

DNAT, SNAT und Masquerading

Page 9: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 9 Bridgefirewall

Funktionsweise von IPtables (I)

Page 10: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 10 Bridgefirewall

Firewallregeln

Filterregeln in ein Bash-Skript schreiben Überlegen, welche Dienste gesperrt bzw. erlaubt

sein sollen Alle Table-Policies auf DROP setzen und dann

einzelne Ports öffnen Regeln an Netzwerk-Interfaces binden, da

Bridges symmetrisch aufgebaut

Beispiel (WWW-Zugang mit HTTP):

root@bridge:# iptables -A FORWARD -p tcp -s eth0 -d eth1 --dport 80 -m

state --state NEW, ESTABLISHED, RELATED -j ACCEPT

Page 11: Bridgefirewall – eine transparente Lösung

08.04.05 [email protected] 11 Bridgefirewall

Stateful Regeln

Hierbei wird der Status der Verbindung geprüft

Besonderen Augenmerk auf den NEW-Status legen

Alle ESTABLISHED- und RELATED-Pakete können durchgelassen werden