Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

Transkript

1 Linux-Netzwerke Aufbau, Administration, Sicherung Dr. Stefan Fischer, Ulrich Walther SuSE PRESS

2 I Grundlagen 1 1 Einführung Motivation Aufbau des Buches 5 2 Geschichte, Entwicklung und Aufbau des Internet Entstehungsgeschichte Größenentwicklung Aufbau des Internet Gemeinsames Adressierungsschema Client-Server-Modell Server im Internet? Client-Zugriff auf Server Dienste im Internet 12 3 Das Internet-Referenzmodell Schichtenmodelle für die Netzwerkkommunikation Architektur Datenfluß im Schichtenmodell Behandlung des Pakets während der Übertragung Das ISO/OSI-Schichtenmodell Schichtenmodell des Internet Architektur 19 V

3 3.3.2 Netzzugangsschicht Internetschicht Transportschicht Anwendungsschicht 22 4 Ein paar Worte zu Linux Die Entstehung von Linux Linux-Distributionen 27 II Internet-Technik 29 5 Die TCP/IP-Protokolle 5.1 Installation von Netzwerkkarten Neuinstallation Einbau einer Karte 5.2 Internet Protocol IP Aufbau der IP-Pakete (Datagramme) Adressierung im IP IP-Subnetze und IP-Subnetzmasken Klassenlose IP-Adressen IP-Adressen für die Blumenpeter GmbH Fragmentierung von Datagrammen Routing Routing im Internet Direkte und indirekte Auslieferung von Paketen Routing-Tabellen Ein Routing-Beispiel Standard- und hostspezifische Routen Der Routing-Algorithmus des IP Konfiguration von Routing-Tabellen in Linux Weiterführendes 5.4 Ausblick: IP Version 6 (IPv6) Merkmale von IPv Das IPv6-Paket im Vergleich VI

4 5.4.3 Syntax von IPv6-Adressen Aktueller Status von IPv Wichtiges Konzept: Tunneling Internet Control Message Protocol (ICMP) Transport Control Protocol (TCP) Überblick Zuverlässige Übertragung Verbindungsorientierte Übertragung TCP-Paketformat Verbindungsaufbau Portnummern User Datagram Protocol (UDP) Zusammenfassung 69 6 Client-Server-Kommunikation Client-Server im Internet Ablauf einer Kommunikationsbeziehung Lokalisierung des Servers Well-Known Ports Client-Server-Anwendungen selbst programmieren Idee der Socket-Schnittstelle Funktionen der Socket-Schnittstelle Ablauf einer Client-Anwendung basierend auf der Socket- Schnittstelle Ablauf eines Server-Programms Zusammenspiel der Anwendungen Sockets in Java Zusammenfassung 84 7 Internet-Dienste Simple Mail Transfer Protocol (SMTP) Mail-Server-Programm Mailing-Tools 89 VII

5 7.1.4 Funktionsumfang moderner Mailprogrammen Heutige -Programme Besonderheit: Mailinglisten Network News Diskussionsgruppen (Newsgroups) im Internet News-Server Funktionsweise von NNTP News-Reader Einrichten eines News-Servers unter SuSE Linux News-Clients unter Linux 7.3 File Transfer Protocol (FTP) Aufgaben, Architektur und Eigenschaften AnonymousFTP FTP-Server FTP-Clients Eine FTP-Sitzung Konfiguration des WU-FTP-Servers für Linux 7.4 World Wide Web (WWW) Einführung Uniform Resource Locators (URLs) HTML Hypertext Transfer Protocol (HTTP) Web-Server Web-Browser Installation und Konfiguration des Apache-Web-Server unter Linux Zusammenfassung Domain Name Service (DNS) VIII 8.1 Symbolische Namen und IP-Adressen Motivation Erste Ansätze zur Namensverwaltung 8.2 Symbolische Namen Aufbau der DNS-Namensbereiche....

6 8.2.2 Einrichtung eines symbolischen Namens für einen Rechner Aufbau der DNS-Datenbank Nameserver Abfrage der DNS-Datenbank DNS und SuSE Linux Szenario Umsetzung in eine DNS-Datenbank für BIND v Start des Systems Test des Nameservers BIND in der Version Zusammenfassung 135 III Sicherheit Gefahren und Risikoabschätzung Was ist Sicherheit? Konzeptionelle Probleme des Netzwerkbetriebs Detaillierte Kommunikations- und Risikoanalyse Kommunikationsbedarf Wichtige Fragen bei der Risikoanalyse Risiken durch Benutzer Risiken durch Würmer, Viren und Trojanische Pferde Sicherheitsrisiken der verwendeten Protokolle und Dienste Zusammenfassung Angriffe SYNFlooding Idee von SYN Flooding Funktionsweise des SYN Flooding Verteilte Denial-of-Service-Attacken Idee der verteilten Denial-of-Service-Attacken Der Vorfall 156 IX

7 trinoo Tribe Flood Network IP Spoofing/Sequence Number Attack Idee von IP Spoofing Ablauf des Angriffs DNS Spoofing Kurzer Rückblick: DNS Ziel des DNS Spoofing Idee des Angriffs Effekt des Angriffs Vorgehen beim DNS Spoofing am Beispiel Smurf- und Fraggle-Attacken Idee und Ziel des Angriffs Initiative gegen Smurf-Angriffe PingofDeath Internet Worm Der Vorfall Funktionsweise des Wurms Ziel des Angriffs Der Loveletter-Wurm Trojanische Pferde und andere Hintertüren lo.logegenmaßnahmen Zusammenfassung Sicherheitskonzepte 11.1 Allgemeine Sicherheitskonzepte Keine Sicherheit Sicherheit durch Verschleiern Sicherheit auf Rechnerebene Sicherheit auf Netzebene 11.2 Sicherheitspolitik Vorgehen zur Umsetzung eines Sicherheitskonzepts Aufstellen der Sicherheitspolitik Umsetzung X

8 i Kontrolle 176. ' 11.3 Systemwerkzeuge zur Netzwerkdiagnose ping traceroute ifconfig netstat tcpdump ntop bing rpcinfo nmap und xnmap Programme zur Prüfung der Netzsicherheit Funktionsweise von Netzwerkscannern Fähigkeiten von Netzwerkscannern SAINT unter Linux Nessus unter Linux Verdächtige Portnummern Zusammenfassung Firewalls Eigenschaften von Firewalls Was ist ein Firewall? Was ein Firewall kann Was ein Firewall nicht kann Typen von Firewall-Komponenten Paketfilter Architektur Was Paketfilter damit beispielsweise können Was Paketfilter damit beispielsweise nicht können Vorteile von Paketfiltern Nachteile von Paketfiltern Zentrale Komponente eines Paketfilters: Filterregeln Bastion Hosts Grundlagen 229 XI

9 Spezielle Bastion Hosts Eigenschaften des Bastion Host Vorgehen beim Einrichten eines Bastion Hosts 12.4 Proxy Server (Application Gateways) Architektur Warum Proxy Server? Funktionsweise eines Proxy Servers Vor- und Nachteile von Proxies Firewall-Konfigurationen Dual-Homed Host-Architektur Screened-Host-Architektur Screened Subnet-Architektur Variationen 12.6 Interne Firewalls 12.7 Auswahl und Betrieb eines Firewalls Firewall unter Linux: ipchains Arbeitsweise ipchains Konfiguration mit gfcc 12.9 Application Proxy Server: Squid Funktionalität Konfiguration Zugriffskontrolle Squid als transparenter Proxy Zusammenfassung 13 Weitere Sicherheitsmaßnahmen 13.1 Private IP-Adressen Idee privater IP-Adressen Adreßraum privater IP-Adressen Regeln für die Verwendung 13.2 IP Masquerading und Network Address Translation (NAT) Grundidee von Network Address Translation Beispiel für NAT XII

10 Konfiguration des Kernels Grundidee von IP Masquerading/PAT Beispiel für Masquerading IP Masquerading in SuSE Linux Secure Socket Layer (SSL) Ziele Zertifizierung in SSL Lage im Schichten-Modell Generelle Funktionsweise des Protokolls Handshake-Protokoll Protokollablauf beim Handshake Fehlerbehandlung Sicherheit von SSL Virtual Private Networks (VPN) Einführung Beispiel für ein VPN Motivation für den Einsatz von VPNs Verfahren zur Abschottung von VPNs VPN-Konfigurationen Typen von VPNs Realisierung von Network-Layer-VPNs VPNs durch IP-in-IP Tunneling VPNs mit Firewalls VPNs mit IPsec VPNs mit PPTP Konfiguration eines VPN am Beispiel der Blumenpeter GmbH Installation und Konfiguration von FreeS/WAN Konfiguration von ipchains Zusammenfassung 282 Literaturhinweise 283 XIII