Sicherheits-Richtlinien

Ähnliche Dokumente
Grundlagen Firewall und NAT

Frank Nussbächer. IP-Tables. Was sind IP-Tables? Unterschied zwischen IP-Tables und IP-Chains

Firewalls mit Iptables

Firewall Implementierung unter Mac OS X

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Linux Netfilter/iptables

Firewall - Techniken & Architekturen

Packet Filters - iptables

Das Netzwerk von Docker. Java Stammtisch Goettingen

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Architekturen für echte Firewalls I. (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel (A)

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

NAT Network Adress Translation

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

IPTables und Tripwire

MultiNET Services GmbH. iptables. Fachhochschule München, Dr. Michael Schwartzkopff, MultiNET Services GmbH

IT-Security. Teil 4: Implementierung von Firewalls

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

IRF2000 Application Note Port - Weiterleitung

[4-6]

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Ein Paketfilter. netfilter/iptables. Bernd Kohler. 19. September UMIC Research Centre RWTH Aachen

Firewall Lösungen mit Linux Kurs 1004

Grundkurs Routing im Internet mit Übungen

Internet Security 2009W Protokoll Firewall

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Computer-Sicherheit SS Kapitel 5: Sicherheitsmechanismen

Iptables & NAT. R. Mutschler, inf

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Einführung in Firewall-Regeln 1

15 Iptables(Netfilter)

Praxisarbeit Semester 1

Gruppen Di-T14 / Mi-T25

Port-Weiterleitung einrichten

Netzwerk Teil 2. Zinching Dang. 11. Januar 2016

Fachbereich Medienproduktion

Netzwerk-Zugriffskontrolle mit einer DMZ

Quality of Service - QoS

Sieb im Netz Das Netfilter Framework

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

In meinem Beitrag "Einrichten eines 6in4 static Tunnels mit SIXXS unter Linux" habe ich beschrieben, wie man einen IPv6 Tunnel einrichtet.

Quick Reference Guide

1. Linux Firewall (iptables) Standard NUR BIS FEDORA 17!

DSL Router und Masquerading mit SuSE 7.3 (Kernel2.4 und iptables)

Sicherheit unter Linux Workshop

Sinn und Unsinn von Desktop-Firewalls

TCP/IP im Überblick IP ARP ICMP TCP UDP DNS... 25

mit ssh auf Router connecten

Firewalls. Mai Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Zehn SSH Tricks. Julius Plen z

Adressen im Internet (Wdh.)

Firewall mit Netfilter/iptables

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Fernzugriff auf Heimnetz über IPv6

Collax PPTP-VPN. Howto

Collax Windows-L2TP/IPsec VPN Howto

STUN/TURN Server Topologien. Best Practice

Firewalls Hager Björn Wegenast Jakob Zagovic Vahid

Firewalls. Krypto Christian Kawalar, Tim Ungerhofer. June 9, 2017

#!/bin/tcsh. Das Skript wird in der Umgebung der tcsh Shell aufgerufen und ausgeführt.

Praktikum IT-Sicherheit. Firewall

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

T-Online Speedport. Login. Sicherheit

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Collax ios-vpn Howto. Inhalt

Firewall Einstellungen und weitere ggf. notwendige Grundeinstellungen für die Nutzung der Dienste der SIP-Tk-Anlage CentrexX bzw.

Linux-Firewalls Ein praktischer Einstieg

Kommunikation im lokalen Netz

Konfiguration Agenda Anywhere

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

15. Firewall 15. Firewalls unter Unix

Netzwerk-Programmierung. Netzwerke. Alexander Sczyrba Michael Beckstette.

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Firewall-Versuch mit dem CCNA Standard Lab Bundle

IT-Sicherheitsmanagement Teil 10: Implementierung von Firewalls

nftables Der neue Paketfilter im Linux-Kernel

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier.

Konfiguration Agenda Anywhere

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Transkript:

Sicherheits-Richtlinien Sicherheits-Richtlinien oder Security Policies sollen Bedrohungen verhindern Durch die Dynamik der IT ist ein 100% Schutz nicht möglich Erkannte neue Bedrohungen verbreiten sich schneller als die Gegenmittel Aber es gilt, den Schaden zu minimieren!

Sicherheitsvorschriften und -konzepte Welche Daten sind schützenswert? Welche Unternehmensbereiche sollen geschützt werden? Wie geschult sind die Nutzer in Sicherheitsfragen? Welche Dienste werden benötigt? Welche Netzwerkstruktur ist vorhanden? und viele weitere Faktoren

Regeln für Nutzer Verwenden Sie sichere Passworte Wechseln Sie ihr Passwort nach einiger Zeit und nicht die eingestellten Prozeduren austricksen! Achten Sie auf Auffälligkeiten Vorsicht beim Einlogen außerhalb des lokalen Netzwerkes Führen sie keine externen Programme aus, auch wenn sie die Quelle kennen!

Hinweise für Administratoren Nutzer informieren und sensibilisieren Selbst informiert bleiben Patches, Updates, Konfig-Änderungen sofort umsetzen wenn security-relevant Stellvertreter definieren und informieren Alles dokumentieren Verhalten im Störfall üben

Sicherheit Einzelsysteme Betrifft Server, PCs, Notebooks, Thin Clients, Tablets, Smartphones: Abschließen, wegschließen, abschalten, verbieten. Eingriffe beim Systemstart unterbinden Nicht benötigte Software entfernen Dto. Netzwerkdienste abschalten Gast- und Standardaccounts blockieren Zeitnahe Updates und Patches Sicherheitsrelevante Vorgänge loggen Eigenen Kernel kochen (???)

Netzwerk-Sicherheit Einsatz des jeweils sichersten Dienstes oder Protokolls, wenn möglich Zugriff beschränken Informationen nicht öffentlich machen Firewall richtig konfigurieren Netzwerk auf ungewöhnliches Verhalten hin beobachten (IDS) Wenn's brennt: Stecker raus!

Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe

Quellen im WWW http://www.netfilter.org https://www.frozentux.net/category/linux/iptables/ http://www.tecchannel.de http://www.harry.homelinux.org/index.php... selber suchen!...

Aufgaben einer Firewall Kontrolle des Netzwerksverkehrs zwischen einem geschützten und einem öffentlichen Datennetz Geschütztes oder inneres Netz ist oft identisch mit dem LAN oder Intranet Öffentliches oder äusseres Netz ist zumeist das Internet Bestimmte Dienste, Computer und / oder Benutzer werden reguliert

Fragen zur Einrichtung einer Firewall Welche Internet-Dienste dürfen vom Intranet aus genutzt werden? Welche Dienste darf die ganze Welt in Anspruch nehmen? Welche Dienste dürfen ausgewählte Benutzer oder Computer in Anspruch nehmen? Welche Dienste dürfen nur lokal genutzt werden?

Grundlegende Funktionsweise Zwischen den Teilnehmern im Netz werden Pakete ausgetauscht (IP: TCP, UDP, ICMP) Jedes IP-Paket hat eine Source Address und eine Destination Address sowie einen Protokoll-Typ (z.b. ICMP, TCP, UDP). Jedes TCP oder UDP Paket hat einen Source- und einen Destination-Port. ICMP Pakete haben einen Nachrichtentyp, der den Dienst beschreibt.

Paketfilterung Aufgrund der IP-Adressen, der Portnummern, Flags und dem Verbindungs-Status kann bei jedem Paket entschieden werden, wie damit zu verfahren ist. Ausserdem muss unterschieden werden, welches Netz (angeschlossen über ein Interface ) das innere und welches das äussere Netz und ggf. eine DMZ ist. Daraus kann man dann Regeln zur Filterung der Pakete ableiten.

Kriterien für Paketfilterung Netzwerkschnittstelle (innen / aussen), IP-Adressen (Quelle / Ziel), Portnummern bei TCP und UDP, Nachrichtentypen bei ICMP, SYN- und ACK-Flags im TCP-Header, Flussrichtung (ein- oder ausgehend).

Filter-Regeln (1) Wir betrachten hier Linux, siehe: www.netfilter.org netfilter kann Pakete filtern (sic!), manipulieren (mangle) und NAT/Masquerading betreiben. Aufgrund der vorgenannten Kriterien wird eine Menge von Regeln definiert. Diese werden als Regel-Listen (chains) im Linux- Kernel hinterlegt, die chains sind wiederum in Tabellen (tables) organisiert.

Filter-Regeln (2) Bei jedem IP-Paket wird bis zur ICMP-, TCP- und UDP-Ebene das Regelwerk im Kernel durchlaufen, bis eine passende Regel gefunden wird. Daraufhin wird das Paket durchgelassen oder verworfen ( Policy, siehe unten). Merke: Der Kernel macht die Arbeit, zur Regel- Eingabe benötigt man ein User-Interface! Auf shell-ebene heißt dieses iptables gilt seit Kernel-Version 2.4 heute als Standard.

Filter-Policies Die Verhaltensweise, die aus einer Filter- Regel resultiert, heisst Policy oder Target. Die wichtigsten Policies sind: ACCEPT (annehmen) DROP (ablehnen und wegwerfen) Eine weitere Policy namens REJECT lehnt das Paket ab und sendet es mit Fehlermeldung an die Quelle zurück.

Tables und Chains (1) Es gibt 3 Tables (mangle, nat, filter), die wiederum jeweils mehrere Chains enthalten. Die filter Tabelle enthält die Regel-Listen für die eigentliche Paketfilterung. Die Tabelle nat dient der NAT-Funktion, mangle der Manipulation von Paketen. Man unterscheidet für den Firewall-Rechner bestimm-te Pakete (INPUT), von ihm selbst zu versendende (OUTPUT) und durchzuleitende (FORWARD) Pakete. Es gibt dazu je eine Chain in filter, sowie noch Chains für PREROUTING und POSTROUTING (mangle, nat).

Tables und Chains (2) Die Pakete durchlaufen je nach Source und Destination auf verschiedene Weise die Tables und Chains. Typische Reihenfolge der Chains: PREROUTING INPUT (-> Firewall) OUTPUT POSTROUTING (Firewall ->) PREROUTING - FORWARD POSTROUTING (für durchzuleitende Pakete) Einzelheiten dazu siehe http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Umgang mit den Regeln Die Regeln werden über Linux-Kommandos an den Kernel geschickt, zweckmässigerweise durch eine Skript-Datei mit iptables-kommandos. Der Kernel speichert sie in der entsprechenden internen Struktur ab. Ansehen kann man sie mit iptables -L Tools: yast und fwbuilder (fortgeschritten) iptables-generator: www.harry.homelinux.org

Firewall-Skript Kommando zum Handling der Regeln: iptables <options> <functions> z.b.: iptables -list Da es hunderte von Regeln geben kann, schreibt man sie wie ein Programm in eine Skript-Datei. Siehe: /etc/init.d/susefirewall oder ein entsprechendes eigenes Skript dort. iptables-save und iptables-restore tun das, wonach es sich anhört ;)

Network Address Translation... oder auch NAT oder Masquerading. Dient dazu, ein ganzes Netzwerk aus internen (meist privaten) Adressen hinter einer einzigen öffentlichen IP-Adresse zu betreiben. Eigentlich eine Router-Eigenschaft, unter Linux aber in ipchains / iptables integriert. Funktioniert zusammen mit Port-Mapping. NAPT = Network Address Port Translation

NAT und Portmapping Beim Verbindungsaufbau von innen nach aussen legt der Router eine Tabelle an: IP 1 /Port 1 <--> IP 2 /Port 2 Dabei bedeutet Index 1 innen, Index 2 aussen. Port 2 wird neu angelegt und dient als Verbindungs-Port zur äusseren IP-Adresse. Portmapping (oder Port Forwarding) definiert, was mit Verbindungswünschen geschieht, die von aussen für einen bestimmten Port eingehen.

Beispiel NAT IP 10.0.0.1 will mit Port 80 an 193.175.21.160 Verbindung aufnehmen. Der Verbindungswunsch wird von einem NAT- Router abgefangen. Der NAT-Router allokiert einen neuen Port an seiner eigenen Aussen-Adresse. Der NAT-Router trägt 10.0.0.1:xx/193.175.21.160:80 unter der neuen Portnummer in seine NAT-Tabelle ein. Von dem neuen Port aus nimmt er Verbindung mit dem Ziel auf. Alle eingehenden Daten auf diesem Port werden an 10.0.0.1 geleitet. Für 10.0.0.2:yy -> 193.175.21.160:80 wird ein anderer neuer Port an der Aussenadresse des NAT-Routers benutzt.

Aufgabenstellung Firewall einrichten mit yast2 Regeln einrichten soweit mit yast möglich NAT einrichten (nicht bei Clients) Firewall aktivieren iptables --list analysieren Skriptfile finden Skriptfile analysieren

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback