5 Firewall und Masquerading



Ähnliche Dokumente
Guide DynDNS und Portforwarding

Grundlagen Firewall und NAT

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Anbindung des eibport an das Internet

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

ICS-Addin. Benutzerhandbuch. Version: 1.0

Tutorial -

How-to: Webserver NAT. Securepoint Security System Version 2007nx

WLAN Konfiguration. Michael Bukreus Seite 1

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Technische Grundlagen von Internetzugängen

Professionelle Seminare im Bereich MS-Office

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Step by Step Webserver unter Windows Server von Christian Bartl

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Gefahren aus dem Internet 1 Grundwissen April 2010

IPTables und Tripwire

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Kontrollfragen Firewalltypen

Statuten in leichter Sprache

COMPUTER MULTIMEDIA SERVICE

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Firewalls für Lexware Info Service konfigurieren

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Schritt 1: Starten Sie Hidemyass, wählen Sie "IP: Port Proxies"

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Anleitung zur Installation des Printservers

mit ssh auf Router connecten

Leichte-Sprache-Bilder

Internet Security 2009W Protokoll Firewall

Was ich als Bürgermeister für Lübbecke tun möchte

Wenn wir also versuchen auf einen anderen PC zuzugreifen, dann können wir sowohl per Name als auch mit der Adresse suchen.

icloud nicht neu, aber doch irgendwie anders

Was meinen die Leute eigentlich mit: Grexit?

ASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel

Primzahlen und RSA-Verschlüsselung

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Übung - Konfigurieren einer Windows Vista-Firewall

ISA Server 2004 Einzelner Netzwerkadapater

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Firewalls für Lexware Info Service konfigurieren

DAVID: und David vom Deutschlandlabor. Wir beantworten Fragen zu Deutschland und den Deutschen.

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Virtual Private Network

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Alle gehören dazu. Vorwort

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Konfiguration eines DNS-Servers

DynDNS Router Betrieb

Enigmail Konfiguration

Root-Server für anspruchsvolle Lösungen

Printserver und die Einrichtung von TCP/IP oder LPR Ports

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Netzwerk einrichten unter Windows

Urlaubsregel in David

Lizenzen auschecken. Was ist zu tun?

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

BEDIENUNG ABADISCOVER

ALEMÃO. Text 1. Lernen, lernen, lernen

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Einführung. zum Thema. Firewalls

FTP-Server einrichten mit automatischem Datenupload für

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Einrichtung von VPN-Verbindungen unter Windows NT

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

STRATO Mail Einrichtung Mozilla Thunderbird

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Technical Note ewon über DSL & VPN mit einander verbinden

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

ANYWHERE Zugriff von externen Arbeitsplätzen

Zugriffssteuerung - Access Control

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

HTBVIEWER INBETRIEBNAHME

Papa - was ist American Dream?

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Reporting Services und SharePoint 2010 Teil 1

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer PPPOE-Einwahl (DSLmobil per Funk)

Anleitung über den Umgang mit Schildern

Datenbanken Kapitel 2

Wir machen neue Politik für Baden-Württemberg

EDI Connect goes BusinessContact V2.1

Kurzanleitung So geht s

Übung - Konfigurieren einer Windows 7-Firewall

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

FTP Server unter Windows XP einrichten

Transkript:

5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration kennen. die Kommandos nmap und netstat kennen (LPI 1: 110.1). 5.1 Übersicht über verschiedene Firewall-Architekturen Um eine Firewall zu bauen, stehen im Wesentlichen zwei Hauptinstrumente zur Verfügung: 5.1.1 Screening Router oder Paketfilter Ist ein Rechner oder ein Router, der sich auf IP-Ebene und Transportschichtebene die Header aller durchlaufenden Pakete anschaut, und anhand der Quell- und Ziel-IP- Adresse und des Quell- und Zielports, sowie anhand von Protokoll, Interface und Richtung des Verbindungsaufbaus entscheidet, ob ein Paketverworfen wird, oder nicht. Screening Router =Paketfilter Firewall filtert auf: IP Ebene Transportschicht Ebene verwirft unerwünschte Pakete Läßt Verkehr meist nur in eine Richtung durch Unter Linux verwirklicht durch: ipfwadm ipchains iptables 75

Firewall und Masquerading Ziel eines Screening Routers ist es, alle unerwünschten Pakete auszusondern. Meist wird dieser so konfiguriert, dass er zwar Verbindungen vom Intranet ins Internet erlaubt, aber Verbindungen vom Internet ins Intranet nur auf wenige Rechneroder Dienste zulässt, etwaeinem öffentlichen Web-Server. 5.1.2 Dual-Homed-Gateway oder Proxy-Server Da auch viele Angriffe oder unerwünschte Daten sich innerhalb des Anwendungsschicht-Protokolls abspielen, ist dafür ein Paketfilter ungenügend. Man deaktiviert daher das IP-Forwarding und stattdessen müssen sich nun alle -Client-Prozesse mit dem Proxyserver auf dem Gatewayrechner verbinden. Dieser wiederum verbindet stellvertretend für die -Rechner mit den Rechnern im Internet. Dual Homed Gateway ("Proxy Server") Proxy server arbeitet auf: Anwendungsschicht Ebene kann daher Inhalte filtern (z. B. Schmuddelfilter, Virenfilter) Kein Routing aktiviert Proxy Prozeß kontaktiert das Internet stellvertretend für Rechner bekannte Proxies: squid (HTTP, FTP, HTTPS) junkbuster (werbebanner) Mail Server als Gateway Dadurch hat der Proxyserver nun die volle Kontrolle über alle durchfließenden Daten. FernerkannernochvielfeinereZugriffsmechanismenverfügen, zum Beispiel das Filtern vonmeta-tagsimhtml-protokoll (verboteneinhaltefiltern) oderdiegewährung von Zugriff auf Tageszeitbasis für bestimmte Hosts. Meist hat ein Proxy-Server auch noch einen eingebauten Cache, der den Zugriff aufs Web für häufig benutzte Seiten drastisch beschleunigt. 5.1.3 KombinierteArchitektur mit demilitarisierterzone Die obigen, simplen Architekturen haben einen gravierenden Nachteil: Ist der Firewall Rechner gekapert worden, so ist das lokale Netz schutzlos. 76

5.1 Übersichtüber verschiedene Firewall-Architekturen Dies spielt besonders einerolle, wenn öffentliche Dienste im Internet angeboten werden sollen, man also vom Internet aus auf gewisse Server zugreifen muss. Würden diese Server im lokalen Netz stehen, so könnte man wieder ans lokale Netz dadurch, dass man in den Server einbricht, denn der Verkehr zum Server muss ja gestattetsein. Deswegen stellt man Server, die öffentliche Internet-Dienste anbieten in ein eigenes Physikalisches Netz, die so genannte Demilitarisierte Zone. Durch Paketfilterregeln schottet man die demilitarisierte Zone gegenüber dem Intranet ab. Damit kann ein Angreifer sich nur innerhalbdieserdemilitarisierten Zone bewegen, hat jedoch auf das keinen Zugriff. Firewall mit DMZ (aufwendige Architektur) Web Server DMZ Diese Architektur ist aber sehr teuer, denn es stehen müssen gar zwei Paketfilter eingesetzt werden, vonden notwendigen Hubs, Switches und Kabeln ganz zu schweigen. Daher verwendet man auch folgende einfachere (aber auch nicht mehr so sichere) Architektur. Dabei muss in den Screening-Router für die DMZ eine dritte Netzwerkkarte eingebaut werden: 77

Firewall und Masquerading Firewall mit DMZ (einfache Architektur) Web Server DMZ 5.2 Paketfilter mit ipchains Um einenpaketfilterkonfigurieren zu können, werden wir einen Überblick über Funktionsweise und Benutzung von ipchains gewinnen, das unter Linux für Masquerading und Paketfilterung zuständig ist. ipchains ist ein Shell-Kommando, das direkt mit dem Kernel kommuniziert. AbKernel 2.4 ist auch das neuere iptables verfügbar. Auch ipchains lässt sich ab Kernel 2.4 weiterverwenden, jedoch kann es nicht gleichzeitig mit iptables eingesetzt werden, sodassman in diesemfalle auf dessen neue Funktionen verzichten muss. Der Name dieser Tools rührt daher,dass Regellisten eben die so genannten Chains der Reihe nach abgearbeitet werden: 78

5.2 Paketfiltermit ipchains ipchains Architektur der Regellisten loopback Interface ACCEPT Check Summe Gültig keit input chain Demasq Routing forward chain output chain DENY DENY Lokaler Prozeß DENY/ REJECT DENY/ REJECT DENY/ REJECT Ein Paketdurchläuft ipchains von links nach rechts: Checksumme Zuerst wird überprüft, ob das Paket keine Übertragungsfehler enthält. Ist das Paket fehlerhaft, so wird es sang- und klanglos weggeworfen, ohne dem Absender davon etwas mitzuteilen (DENY). Gültigkeit Manche verunstalteten Paketebringenauchipchains durcheinander,deswegen wollen wir auch diese wegwerfen (DENY). Input Chain Diese erste Regelliste testet ein Paket, das gerade zu irgend einer Netzwerkschnittstelle herein gekommen ist. Je nach Regel kann dieses entweder weggeworfen (DENY), zurückgewiesen (REJECT), auf einen anderen Port umgeleitet (REDIRECT) oder angenommen werden (ACCEPT). REJECT macht prinzipiell das selbe wie DENY, nur dass der Absender benachrichtigt wird. Normalerweise wird man nur vertrauten Hosts gegenüber so freundlich sein, denn für einen Cracker kann diese Antwort eine wertvolle Information sein. Überdies lässt sich der Host damit fast lahm legen, indem man einfach massenweise Pakete an diesen Port schickt; unser Rechner muss dann brav antworten, was durchaus einen Großteil der System- und Netzwerkresourcen konsumieren kann. Dieses nicht gerade freundliche Verfahren nennt man einen denial of Service-Angriff.Täuscht der Absender auch noch eine falsche IP-Adresse vor, so bekommt die Antwortkaskaden möglicherweise irgend ein anderer unschuldiger Rechner auf dem Internet ab, was dann einen smurf-angriff darstellt. Zuderartigen Angriffen und anderen Unliebsamkeiten lese man die Web-Seite der Internet-Feuerwehr CERT(Computer Emergency ResponseTeam), http://www.cert.org. 79

Firewall und Masquerading ACCEPT nimmt das Paketanund leitet es zur nächsten Instanz weiter. REDIRECT leitet ein Paket, das eigentlich wo anders hin wollte, auf einen anderen Port des eigenen Rechners um. Dies ist praktisch, wenn man zum Beispiel allen Web-Verkehr durch einen Proxy-Server leiten will, ohne dass die Benutzer davon etwas merken. Demasq Haben wir nur eine offizielle IP-Adresse zur Verfügung und wollen aber ein ganzes Netz ans Internet bringen, so kann unser Firewall-Rechner Adressübersetzung (Masquerading)durchführen. Dabei bekommen alle ins Internet gehenden Pakete die Absenderadresse der Firewall verpasst; gleichzeitig wird auch der Quellport verändert. Trifft nun eine Antwort auf ein solches Paket ein, erkennt die Firewall an der Portnummer des Pakets, an welchen Rechner im lokalen Netz dieses geschickt werden soll. Dieses Vorgehen hat einige köstliche Vorteile: Der Rechner im lokalen Netz merkt davon überhaupt nichts, als Konfiguration ist lediglich die Firewall als Standard-Gatewayeinzustellen. NachaußenhinistdaslokaleNetzvollkommen unsichtbar,dennscheinbar verschickt und empfängt nur der Firewall-Rechner Pakete. Dieser arbeitet dadurch als eine Art Proxy(Stellvertreter). WeilnureineIP-Adresseverwendet wird, und sichmehrere Rechnereinen gemeinsamen Internetzugang teilen, werden Kosten gespart. Auf dem Firewall-Rechner ist es sehr einfach zu bewerkstelligen. Routing Hier entscheidet sich,wohin das Paketletztendlich geschicktwird. Dieskann entweder ein lokaler Prozess sein oder irgendein anderer Rechner. Imletzteren Falle wird das Paket an die forward chain weitergereicht. Sendet ein lokaler Prozess Pakete, so verlassendiese direkt über die output chain den Rechner. Forward Chain Diese Regelliste überprüft alle Pakete, die versuchen, den Rechner von Schnittstelle zu Schnittstelle zu durchqueren. Dies ist nur möglich, wenn man vorher IP-Forwarding aktiviert hat. Dazudient folgende Kommandozeile: echo "1" > /proc/sys/net/ipv4/ip_forward Ist das IP-Forwarding deaktiviert, können keine Pakete vom Internet ins lokale Netz und umgekehrt. Hat sich jedoch im Firewall-Rechner ein ungebetener Gast eingenistet, so steht das lokale Netz offen. Output Chain Jedes Paket, dassden Rechner durch irgendeine Netzwerkschnittstelle verlässt, muss letztendlich durch diese Regelliste laufen. 80

5.3 ipchains-handwerkszeug für Einsteiger Loopback Interface Spricht die Firewall mit sich selbst, so tut sie das über das loopback-interface lo mit der IP-Adresse 127.0.0.1. Das loopback-interface wirkt wie eine Drahtschleife: Kaum hat ein Paket die output chain verlassen, so wird es wieder anden Anfang der Kette geleitet. Diese Konstruktion sieht auf den ersten Blick kompliziert aus, aber für die Praxis genügt es, zu wissen, welche Aufgaben die input-, output- und forward-chain erfüllen. 5.3 ipchains-handwerkszeug für Einsteiger Zur Verwaltung der Regellisten dient der Befehl ipchains. 5.3.1 Benutzerdefinierte Regellisten Um die eingebauten Regellisten übersichtlicher zu gestalten, lassen sich benutzerdefinierte Regellisten einrichten. Die Namen dieser Chains dürfen bis zu acht Zeichen lang sein und sollen in Kleinbuchstaben gehalten werden. Ihre Aufgabe ist am ehesten mit Unterprogrammen in einer Programmiersprache vergleichbar. -N chain Eine neue Regelliste erzeugen -X [chain] löscht eine leere, benutzerdefinierte Regelliste. Die eingebauten Regellisten können nichtgelöscht werden. 81

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback