MBK-LABORVERSUCH Firewall Grundlagen

Transkript

1 MBK-LABORVERSUCH Firewall Grundlagen Grundlagen zur Versuchsdurchführung im Fach Multimediale Breitbandkommunikation (MBK) Autoren: Stephanie Endlich Stephan Gitz Matthias Härtel Thomas Hein Hochschule Bremen Fachbereich Elektrotechnik und Informatik Studiengang 1/17

2 In dieser Versuchsbeschreibung sollen grundlegende Begriffe eingeführt werden, die für das Verständnis des Versuches vonnöten sind. Da die Beschreibung sich auf den Versuch konzentriert, wird empfohlen sich bei weitergehendem Interesse über die angegebenen www-links zu informieren, gleichzeitig wird auf das vorliegende Vortragsmaterial zum Versuch verwiesen. Inhalt: Versuch 1: 1. Einführung zum Thema Firewalls / Demilitarisierte Zone (DMZ) 2. Grundlagen zu LAN-Topologien 3. Protokolle: a. TCP b. UDP c. IP d. ICMP e. vergabe 4. Telnet 5. Statische Routen 6. NAT Versuch 2: 1. Accesslisten (ACLs) 2. Acceptable Use Policy (AUP) 3. FTP (aktiv und passiv) 4. Kommunikationscharakteristika von Web-, Mail-, FTP- und DNS-Servern 5. scanner 6. Weitere Links, Büchertipps 2/17

3 Grundlagen zum Versuch 1: 1. Einführung zum Thema Firewalls / Demilitarisierte Zone (DMZ) Eine Definition von Firewall: Eine Firewall ist ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. Es schützt das dazu gehörende Netzwerk vor unberechtigten Zugriffen oder auch Angriffen. a) Ein Firewall-Konzept: Paketfilter Paketfilter sind Filter, die ab OSI-Layer 3 die einzelnen Pakete eines Protokolls untersuchen. Sie sind an einzelne Interfaces gebunden und werden durch Router realisiert. Paketfilter können in den Router eingehende oder ausgehende Pakete untersuchen, je nach Richtung werden spezielle Regeln aufgestellt. Auf der Netzwerkschichtebene werden die Ziel- und Quelladressen, sowie die Art des Protokolls überprüft. Auf der Ebene der Transportschicht werden die nummern kontrolliert. Paketfilter sind durch ihre Filterketten an bestimmte Schnittstellen gebunden. Man unterscheidet statische und dynamische Paketfilter. Statische Paketfilter bestehen aus einem festen Regelsatz und werden anhand der Acceptable Use Policy (AUP) an das entsprechende Interface gebunden. Dynamische Paketfilter haben einen Regelsatz, der von der Firewall selbst als Reaktion auf bestimmte Ereignisse modifiziert wird, abhängig von der Art des Verbindungsaufbaus werden Verbindungen zugelassen oder geblockt. Statische und Dynamische Paketfilter werden anhand von Accesslisten (ACLs) implementiert. Gebräuchliche Regeln zum Aufstellen von Paketfiltern werden durch sogenannte Policies definiert. Default Policies, also standardmäßige Voreinstellungen, lauten beispielsweise: Alles ist erlaubt. oder Alles ist verboten. was im ersten Fall bedeutet, dass nicht benötigte s gesperrt werden, im zweiten Fall werden nur die benötigten s geöffnet. Die Default Policy bei Cisco-Routern sind so eingestellt, dass alles, was nicht explizit erlaubt, verboten ist. Datenverkehr muss also anhand sogenannter Accesslisten ausdrücklich erlaubt werden. b) Die Architektur Demilitarisierte Zone (DMZ) Neben der Zentralen Firewall und Gestaffelten Firewall existiert eine dritte Architektur, die Demilitarisierte (DMZ) Zone (oder auch Entmilitarisierte Zone genannt). Eine DMZ ist Teil eines Lokalen Netzwerks und trennt das interne LAN vom Internet bzw. Öffentlichem Netz ab. Das interne LAN muss auf dem Weg ins Internet also die DMZ durchlaufen, während der umgekehrte Weg aber verboten sein soll. In der DMZ befinden sich Dienste, die vom Öffentlichen Netz aus (wie beispielsweise der Webserver, der eine Internetseite einer Firma nach außen freigibt) erreichbar sein sollen. Um zu verhindern, dass jegliche Sicherheitslücken von außen ausgenutzt werden, wird so von vorneherein festgelegt, dass Verbindungen aus dem Internet nur bis in diese Zone gelangen. Angreifbare Dienste werden somit in eine DMZ ausgelagert, so dass diese vom internen LAN völlig abgetrennt sind. 3/17

4 Unsicheres Netz Internes LAN DMZ 4/17

5 2. Grundlagen zu LAN-Topologien Grundlagen der RTK-Vorlesung werden vorausgesetzt. Hier eine kurze Wiederholung: Hubs, oder auch Multiport-Repeater genannt, sind Geräte, die auf Layer 1 arbeiten. Jedes Signal, das an einem des Hubs ankommt, wird aufgefrischt, synchronisiert und dann an alle s weitergeschickt. Es findet keine Filterung des Netzverkehrs statt. Switches, oder auch Multiport-Bridges genannt, sind Geräte der Schicht 2 (Anmerkung: es existieren auch Switches, die auf Layer 3 arbeiten). Im Gegensatz zu Hubs treffen sie Entscheidungen der Weiterleitung von Paketen anhand der MAC-Adressen, Daten werden also nur an bestimmte s und nicht an alle weitergesendet. 3. Protokolle: Einführung in die Internetprotokolle Ein Protokoll hat die Aufgabe, die Kommunikation zwischen Netzwerkkomponenten zu regeln, so dass eine störungsfreie Übertragung möglich ist. Mindestens zwei Komponenten können so miteinander in der gleichen Art und Weise kommunizieren. Es können so unabhängig von der physikalischen Eigenschaft Daten ausgetauscht werden. Kommunikationspartner müssen daher entsprechend adressiert werden, so dass eine Steuerung des Datenflusses überhaupt stattfinden kann. Um den Datenfluss richtig zu steuern, muss ein Protokoll auch Fehlerroutinen und Fehlerbehebungsmechanismen bereitstellen. Grundsätzlich gibt es zwei Arten von Protokollen, verbindungsorientierte und verbindungslose Protokolle. Verbindungsorientiert heißt, dass bevor überhaupt der eigentliche Datenaustausch stattfindet eine Verbindung zum Kommunikationspartner aufgebaut wird (Beispiel: TCP). Bei verbindungslosen Protokollen werden die eigentlichen Daten direkt gesendet, d.h. der Sender bekommt keine Bestätigung, dass die Verbindung zum Empfänger ordnungsgemäß aufgebaut wurde bzw. dass die Daten angekommen sind (Beispiel: UDP). a. Transmission Control Protocol (TCP): TCP ist ein Protokoll der Transportschicht (Layer 4) und arbeitet verbindungsorientiert. Verbindungsorientiert heißt, dass eine Verbindung zu einem Rechner explizit auf- aber auch abgebaut wird. Es sorgt für eine Datensegmentierung. Die Kommunikationspartner einigen sich beim Verbindungsaufbau über die Größe der zu sendenden Daten. Der ankommende Datenstrom wird von TCP wieder zusammengesetzt, so dass die darüber liegenden Schichten nichts von der Segmentierung mitbekommen. Anhand von Prüfsummen, Empfangsquittung, Sequenznummern und Zeitüberwachung sorgt TCP über das 3-Wege-Handshaking für eine sichere Datenübertragung, TCP gilt damit als zuverlässiges Protokoll. Das 3-Wege-Handshaking sorgt für eine Flusskontrolle der Daten. Es ist Grundlage dafür, dass alle nicht angekommenen Daten erneut an den Zielrechner gesendet werden und sorgt für eine Synchronität der Ende-zu-Ende-Verbindung. 5/17

6 Ablauf des 3-Wege-Handshaking: Verbindungsaufbau: Rechner A Rechner B sendet SYN-Segment seq=x empfängt SYN-Segment sendet SYN seq=y, ACK: x+1 empfängt SYN + ACK sendet ACK: y+1 empfängt ACK-Segment Verbindungsabbau: Rechner A Rechner B sendet FIN-Segment seq=x empfängt FIN-Segment sendet FIN seq=y, ACK: x+1 empfängt FIN + ACK sendet ACK: y+1 empfängt ACK-Segment Erklärung: Seq: Sequenznummer SYN: Synchronisations-Flag, signalisiert einen Verbindungsaufbau ACK: Acknowledge-Flag, signalisiert eine bestehende Verbindung FIN: FIN-Flag, signalisiert einen Verbindungsabbau TCP sorgt für eine Datenübertragung im Vollduplex-Modus. Das TCP Segment besteht aus dem TCP Header und den Daten variabler Länge. Diese wird bei dem jeweiligen Verbindungsaufbau festgelegt. Jedes Segment bekommt eine Nummer zugewiesen, die die Reihenfolge der Daten im gesamten Datenstrom festhält. Anhand einer Prüfsumme 6/17

7 wird jedes Segment einzeln auf Fehlerhaftigkeit geprüft, bei Feststellung von Fehlerhaftigkeit oder Duplikation eines Segments wird dieses verworfen. Jedes TCP Segment wird in etwa auf ein IP-Paket abgebildet. Im Folgenden werden die einzelnen Felder des Segments aufgezählt: - Source : des Senders - Destination : des Empfängers - Sequence Number: Sequenznummer, die zur Sicherung einer korrekten Sequenzierung der ankommenden Daten benutzt wird - Acknowledgment Number: Bestätigungsnummer, die das als nächstes erwartete TCP-Octet anzeigt - HLEN: Headerlänge, in 32-Bit Worten - Reserved auf Null gesetzt - Code Bits Kontrollfunktionen um beispielsweise eine Sitzung zu beginnen oder zu beenden, Beispiele: URG, ACK, PSH, RST, SYN, FIN - Window Anzahl von Octets, die der Sender aufnehmen kann - Checksum berechnete Summe eines Headers und des Datenfeldes - Urgent Pointer Dringlichkeitszeiger, zeigt auf das Ende dringender Daten im TCP-Datenfeld - Option-one Option maximale Größe des TCP Segments - Padding - Fülldaten - Data Daten des darüber liegenden Protokolls Die maximale Größe des Sendefensters liegt bei 2 16 Bytes. Der Sender bestimmt die (variable) Größe der zu sendenden Daten durch die Window Size oder auch Windowing genannt. Anhand von Sliding Window wird versucht, Daten so effizient wie möglich zu übertragen. TCP ist ein ideales Protokoll für sitzungsbasierte Datenübertragungen und Client-Server- Anwendungen. TCP/IP: Das Transmission Control Protocol/Internet Protocol ist ein standardisiertes Transportprotokoll, das eine sichere Verbindung zwischen heterogenen Netzwerken garantieren soll. Gleichzeitig definiert TCP/IP auch eine Protokoll-Suite, d.h. es ist eine Sammlung von verschiedenen Protokollen und Diensten. Cisco-Curriculum Semester 1 Chapt 12 TCP und UDP b. User Datagram Protocol (UDP) Das User Datagram Protokoll ist ebenfalls ein Protokoll der Transportschicht, dem Layer 4 des OSI-Models. UDP arbeitet anders als TCP verbindungslos und stellt damit ein unzuverlässiges Protokoll dar. Nachrichten werden in der Form von User Datagrams übertragen. Eine Überprüfung, ob Daten angekommen sind oder nicht, bzw. eine Bestätigung durch den Zielrechner, 7/17

8 findet nicht statt. Eine korrekte Übermittlung der Reihenfolge kann ebenfalls nicht als gesichert gelten, eine Flusskontrolle existiert nicht. Das UDP Segment teilt sich wie TCP ebenfalls in einzelne Datenfelder auf. Diese sind: - Source : des Senders - Destination : des Empfängers - Length: Länge des Segments - Checksum: Prüfsumme - Data: Nutzdaten Anders als bei TCP werden keine Sequenznummern und keine Bestätigungsnachrichten übertragen. Um eine fehlerhafte Übertragung zu erkennen und ein erneutes Senden zu veranlassen, müssen andere Protokolle benutzt werden. Der Vorteil bei diesem Protokoll ist, dass Netzwerkressourcen im Gegensatz zu TCP weniger belastet werden. TCP und UDP benutzen dieselben s. nummern sind nützlich, um den Datenaustausch im Netz aufrechterhalten zu können und mit entsprechenden Anwendungen kommunizieren zu können. s werden neben der IP-Adresse zur Adressierung benutzt. Cisco-Curriculum Semester 1 Chapt 12 TCP und UDP Aufbau: c. Internet-Protokoll (IP) IP ist ein verbindungsloses Protokoll der Netzwerkschicht, das Daten von der Transportschicht übernimmt und an die untere Schicht weiterleitet. Der Datenstrom wird vom Sender in Pakete entsprechender Länge zerlegt, diese werden wiederum beim Empfänger zusammengesetzt und an die obere Schicht weitergeleitet. In jedem IP-Paket ist eine Ziel- und eine Quelladresse angegeben, so dass beispielsweise Router anhand der Zieladresse entscheiden, wie und wohin das Paket weitergeleitet werden soll. IP fragmentiert also die Datenpakete bei Bedarf und adressiert jedes einzelne Paket mit einer 32-Bit Adresse. Die maximale Größe eines Paketes beträgt 64 KBytes. IP-Adressierung: Jeder Host und Router hat im Internet eine öffentliche IP-Adresse. Diese Adresse besteht aus einem Netz- und einem Host-Teil und wird normalerweise in Form von gepunkteten Dezimalzahlen geschrieben. Beispiel: D.h. sie besteht aus 4 Byte (4 x 8- Bits), die durch Punkte voneinander getrennt werden. Die niedrigste IP-Adresse ist , die höchste (2 8 =256). Anhand der Netzadresse kann der Router entscheiden, in welches Netz ein Paket geschickt werden soll. Zusätzlich werden zu jeder IP-Adresse Subnetzmasken definiert. Subnetzmasken sind ebenfalls wie IP-Adressen 32-Bit-Adressen und werden benutzt, um eine IP-Adresse in weitere Subnetze unterteilen zu können. Weiter unterscheidet man noch Öffentliche und Private Adressen. Private Adressen sind für den internen Gebrauch vorgesehen und werden daher keiner Organisation zugewiesen. Diese Adressen wurden von IANA (Internet Assigned Numbers Authority) festgelegt: bis bis bis /17

9 Diese Adressen werden im Internet nicht geroutet. Man unterscheidet folgende Standard-Subnetzmasken innerhalb der verschiedenen Netzwerkklassen: Class-A-Adressraum besitzt folgenden Host-Adressbereich: bis Class-B-Adressraum besitzt folgenden Host-Adressbereich: bis Class-C-Adressraum besitzt folgenden Host-Adressbereich: bis Address Class Class A Class B Bits der Subnet-Mask Subnet-Mask Network Prefix Class C / (Anmerkung: Es existiert auch noch eine D- und E-Klasse, ersteres ist für den Bereich Multicast reserviert, zweites für die zukünftige Nutzung) Standard-Subnetzmasken reichen jedoch nicht aus, um eine IP-Adresse in mehrere Adressräume aufzuteilen, mit Hilfe von Subnetting ist dies jedoch möglich. Subnetting bedeutet eine Unterteilung eines Netzwerkes in logische Subnetzwerke. Wie Subnetting funktioniert bzw. wie diese speziellen Subnetzmasken aufgestellt werden, kann in der Zwischenpräsentation oder im Cisco-Curriculum nachgelesen werden. Ein Defaultgateway ist eine festgelegte IP-Adresse in der Routingtabelle des Routers, die gewährleistet, dass Verbindungen, deren Zieladresse nicht in der Tabelle definiert ist, an diese Adresse weitergeleitet werden. /8 /16 Cisco-Curriculum Semester Subnetting d. ICMP Das ICMP-Protokoll ist in das IP-Protokoll integriert und ergänzt dieses um Statusinformationen. Ein Empfänger kann beispielsweise aufgefordert werden, auf eine ICMP-Echo- Anforderung mit einer Echo-Antwort zu reagieren. Sollte keine Antwort eintreffen, kann normalerweise davon ausgegangen werden, dass der Zielhost nicht erreichbar ist. In der Praxis wird das Protokoll über den Ping-Befehl in der Eingabeaufforderung ausgeführt. Das IP-Netz funktioniert nicht ohne ICMP. Weitere Literatur: 9/17

10 4. vergabe nummern sind nützlich, um den Datenaustausch im Netz aufrechterhalten zu können und mit entsprechenden Anwendungen kommunizieren zu können. nummern werden neben der IP-Adresse zur Adressierung benutzt. TCP und UDP benutzen dieselben s. Bestimmte nummern sind fest vergeben: Mail: SMTP: 25, POP3: 110 FTP: 20/21 DNS: Cisco-Curriculum Semester 1 Chapt 12 TCP und UDP 5. Telnet Anhand von Telnet kann man feststellen, ob ein Verbindungsaufbau zum Zielrechner bis in die Anwendungsschicht möglich ist. Zum Einloggen in den Zielrechner ist ein Username und ein Passwort erforderlich. Telnet überträgt das Passwort in Klartext und kann daher im Versuch gut mit Ethereal herausgelesen werden. Cisco-Curriculum: Semester 1 - Chapt , Semester 2 Chapt Statische Routen Statische Routen werden beispielsweise auf Hosts oder Routern eingestellt, wenn man den Kommunikationsweg vorgeben oder wenn man den Einsatz eines Routingprotokolls unterbinden will. Cisco-Curriculum Semester 2 Chapt NAT Network-Address-Translation ist ein Verfahren, um IP-Adressen von Rechnern in einem lokalen Netz in eine bestimmte Adresse zu übersetzen. Meist kommt NAT zum Einsatz, wenn Private Adressen in Öffentliche Adressen umgesetzt werden sollen. Eine Anbindung in ein anderes Netz ist so einfach möglich. NAT wird auf Routern anhand einer Zuordnungstabelle implementiert, in der pro Verbindungsaufbau jeweils die IP-Adressen mit den -Nummern zugeordnet werden. Probleme tauchen insbesondere bei der Zuordnung von Protokollen zu den s bzw. den IP-Adressen auf, da UDP ein verbindungsloses Protokoll und damit in den Sessions nicht so einfach zu erkennen ist wie das TCP-Protokoll. 10/17

11 NAT-Beispiel Es existieren zwei Typen von NAT: - Source NAT: Quelladresse des ersten Pakets wird verändert - Destination Anfrage NAT: 1 Zieladresse des ersten Pakets wird verändert Weitere aus.. Informationen :1025 zu NAT sind in der Zwischenpräsentation :80 zu finden. Bei der wird Implementierung :33385 von NAT muss ein Pool für die Ausgangsadressen :80 definiert werden. Als nächstes muss eine ACL mit den internen Adressen angelegt werden und danach Anfrage Nat an 2den entsprechenden Interfaces angebunden werden. Weiter Hilfestellungen sind im Cisco-Pedia zu finden. aus : :80 wird : :80 Antwort : : :80 Antwort : : :80 11/17

12 Grundlagen zum Versuch 2: 1. Accesslisten (ACLs) Accesslisten oder auch Access Control Lists sind Teil einer Firewall und haben die Funktion, Netzverkehr zu filtern. IP-Adressen und höhere Protokolle (upper-layer protocols) werden anhand dieser Tabellen zwischen Quell- und Zielrechner (auch s) verwaltet. Jedes Packet wird mit Hilfe der Accessliste geprüft und entsprechend weitergeleitet oder geblockt. Für jedes Protokoll müssen die Filter-Bedingungen einzeln für jedes Interface definiert werden. Die Filterung an den Interfaces kann bei Eintreffen oder bei Austreten der Daten geschehen. Die Reihenfolge der Bedingungen ist wichtig, da beispielsweise Ablehnungen von bestimmten Paketen nach Freigabe aller Pakete nicht mehr beachtet werden, da, wenn eine erste Bedingung zutrifft, nachfolgende Bedingungen nicht mehr beachtet werden. Am Ende einer jeden ACL steht ein implizites deny any, d.h. alles, was nicht explizit erlaubt ist, ist verboten. ACLs können in einem Standardmodus (standard ACLs) oder in einem erweitertem Modus (extended ACLs) bearbeitet werden. Standard ACLs erlauben es nur, den gesamten Datenverkehr von einem Netz oder einer Protokollgruppe zuzulassen oder abzuweisen. Sie prüfen von daher die Absenderadresse eines Paketes. Im Gegensatz dazu können bei Extended ACLs komplexere Adressspezifikation-en und ganz bestimmte Protokolle zugelassen oder abgewiesen werden. Je nach Modus muss man die Accessliste mit der entsprechenden Accesslistennummer versehen, die Nummern 1 bis 99 stehen für die Standard Accesslisten, 100 bis 199 für die erweiterten. Anhand von IP-Adressen und sogenannter Wildcard-Masken kann definiert werden, welcher Teil der IP-Adresse überprüft werden soll. Eine Wildcard-Maske besteht aus 32-Bit (4 mal 8 Bits bzw. 4 Oktetten) und beschreibt, welche Bits der IP-Adresse geprüft werden sollen. 0 steht für überprüfen des entsprechenden Bit-Wertes, 1 für nicht prüfen des entsprechenden Bit-Wertes. D.h hinter der IP-Adresse lässt alle einkommenden Bits der Adresse prüfen, prüft nur die ersten drei Oktetts in einer IP-Adresse, bei ( 255 entspricht 1 ) werden keine der ankommenden Bits geprüft usw.. Nach Definition einer ACL wird diese einem oder mehreren Routerinterfaces außen oder innen zugeordnet. Es kann nur eine ACL pro Router- und Richtung angelegt werden. Wenn Bedingungen einer ACL geändert werden sollen, muss die gesamte Tabelle gelöscht und wieder neu erstellt werden. Im Unterschied zu einfachen ACLs können bei den erweiterten ACLs sowohl die Quell- als auch Zielrechneradressen überprüft werden. Spezifische Protokolle, nummern und andere Parameter können nur in diesem Modus gefiltert werden. Einfache Listen prüfen nur die Quelladresse und erlauben oder verweigern dann gesamte Protokollgruppen. Syntax einer ACL ist unter CiscoPedia nachzuschlagen oder ist in der Zwischenpräsentation zu finden. Cisco-Curriculum: Semester 3 Kapitel 6 12/17

13 2. Acceptable Use Policy (AUP) Eine AUP ist die Grundlage für ein Sicherheitskonzept, in der die Regeln für die umzusetzende Topologie definiert sind. 3. File Transfer Protocol (FTP) Es sind hier zwei Arten von File-Transfer auf TCP-Ebene zu unterscheiden: aktiv und passiv. Im aktiven Modus baut der anfragende Rechner eine Verbindung von einem, der größer als 1023 ist, zum 21 des Servers auf (-> Kommando-Kanal). Der Server bestätigt die Verbindung und baut eine Verbindung von seinem 20 zu einem der größer als 1023 des Client auf (Daten-Kanal). Im passiven Modus werden die Verbindungen vom Client aus auf den 21 des Servers aufgebaut. Dieser teilt dem Client auf Anforderung (PASV=passiv) eine nummer mit, zu der der Client die Verbindung aufbaut. 4. Kommunikationscharakteristika von Web-, Mail-, FTP- und DNS-Servern In den nachfolgenden Abbildungen ist der jeweilige Verbindungsaufbau zwischen verschiedenen Diensten dargestellt. Dabei werden zu jedem Kommunikationsprofil auf den Firewall-Versuch bezogene Beispiele in Tabellenform angegeben. Webserver Client Server Http/GET; TCP Http/RESPONSE; TCP 80 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netzwerk >1023 Internet/DMZ 80 TCP DMZ >1023 Internet 80 TCP Internet >1023 DMZ 80 TCP 13/17

14 Mail-Server (SMTP) Client Server Anfrage; TCP Antwort; TCP 25 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netzwerk >1023 DMZ 25 TCP DMZ >1023 Internet 25 TCP Internet >1023 DMZ 25 TCP Mail-Server (POP3) Client Server Anfrage; TCP Antwort; TCP 110 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netzwerk >1023 DMZ 110 TCP Internet >1023 DMZ 110 TCP 14/17

15 DNS-Server DNS-Client DNS-Server Anfrage; UDP/TCP Antwort; UDP/TCP 53 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netzwerk >1023 DMZ 53 UDP/TCP DNS-Server DNS-Server 53 () 53 () Lookup-Anfrage; UDP (TCP) Lookup-Antwort; UDP (TCP) 53 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse DMZ 53 Internet 53 UDP DMZ >1023 Internet 53 TCP 15/17

16 FTP-Server (aktiv) FTP-Client 2000 control connection ; SYN Control connection control connection ; PORT 2000 control connection data connection; SYN data connection FTP-Server control connection data connection von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse DMZ >1023 Internet 21 TCP Internet >1023 DMZ 21 TCP DMZ 20 Internet >1023 TCP Internet 20 DMZ >1023 TCP FTP-Server (passiv) FTP-Client control connection ; SYN Control connection control connection ; PASV control connection; OK 4000 data connection; SYN data connection; FTP-Server control connection data connection von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 DMZ 21 TCP Locales Netz >1023 DMZ >1023 TCP DMZ (Internet) >1023 Internet (DMZ) 21 TCP DMZ (Internet) >1023 Internet (DMZ) TCP 16/17

17 5. scanner Mit einem scanner können offene s auf verschiedenen Rechnern untersucht werden, dabei kann zwischen bekannten oder unbekannten s gesucht werden. scans können zum Eindringen in andere Systeme benutzt werden, dabei ist es sogar möglich, die eigene IP-Adresse zu maskieren. Einzelne Flags (siehe Aufbau von TCP) können ebenfalls eingestellt und somit die Art der Verbindung überprüft werden. Beispiel: TCP-SYN-Scanning oder auch half open scan genannt. Hier wird nur ein SYN-Paket an einen geschickt und anhand der Antwort (SYN-ACK oder RST) festgestellt, dass ein bereits aktiv ist. Bei UDP erfolgt eine Bestätigung von Seiten des zu überprüfenden Rechners oft durch ein ICMP-unreachable-Paket, wenn an dem kein spezieller Dienst gebunden ist. Links: 6. Weitere Links, Büchertipps Erkennen und Behandlung von Angriffen aus dem Internet Wolf, Häger und Schorn Sicherheit in Netzen Plate und Holzmann Büchertipps: TCP/IP Illustrated - Volume1 The Protokolls (Richard Stevens) Das Firewall Buch - Wolfgang Barth Computernetzwerke Andrew S. Tanenbaum 17/17