Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 22. Januar 2001, 00:00

Firewall - Teil 4

6 Weitere Sicherheitsvorkehrungen

Mit dem Aufsetzen einer Firewall alleine ist es nicht getan. Eine sichere Netzwerkumgebung besteht aus vielen Komponenten, in der die Firewall nur ein Glied der Kette darstellt. Sicherheit beginnt auf den Arbeitsplatzrechnern durch trivial anmutende Dinge wie Paßwortvergabe, usw. Zusätzlich gilt es, sich vor Attacken aus dem Internet zu schützen, in dem man verdächtige Ereignisse frühzeitig erkennt und abblockt. Besser noch wäre eine automatische Abwehr derselben.

6.1 Netzwerkdienste1

Die Firewall selber sollte nach Möglichkeit keine weiteren Netzwerkdienste anbieten oder in Anspruch nehmen. Sie sollte nur ihrer Tätigkeit, nämlich IP-Datenverkehr zu filtern, nachgehen. Jeder weitere Netzwerkdienst stellt einem potentiellen Eindringling mehr Angriffsfläche, z.B. durch in den Diensten enthaltene Sicherheitslücken oder Programmierfehler, zur Verfügung. Gefährliche Dienste wie Telnet haben unter gar keinen Umständen einen Berechtigungsgrund, auf der Firewall zu laufen. Da bei Telnet Daten unverschlüsselt übertragen werden, ist es für Angreifer ein leichtes, wichtige Daten wie z.B. Paßwörter mitzuprotokollieren.

Je mehr unsichere Dienste auf der Firewall laufen, um so mehr kann die eigentliche Aufgabe der Firewall, gefährlichen Netzwerkverkehr zu blocken, untergraben und damit nutzlos gemacht werden.

Gängige Linuxdistributionen stellen die passenden Tools (Runlevel Editor) bereit, um Netzwerkdienste bequem zu starten oder stoppen.

Runlevel-Editor unter Red Hat Linux 6.1

Felix Mack

Runlevel-Editor unter Red Hat Linux 6.1

6.2 Ports

Auf einem Linuxsysytem werden die meisten Netzwerkdienste über den Internetdaemon inetd gestartet. Ein Daemon ist ein Hintergrundprozeß, der erst aktiv wird, wenn er durch ein Kommando aufgerufen wird.

Wird z.B. versucht, den Computer per Telnet zu erreichen, wird der inetd aktiv. Er bemerkt den Versuch, eine Verbindung auf Port 23 (Telnet) aufzubauen. Nun prüft der inetd die Datei /etc/services und findet unter Port 23 den Dienst Telnet. In seiner Konfigurationsdatei /etc/inetd.conf ist vermerkt, welches Programm für Telnetverbindungen zu starten ist. Schließlich wird das passende Programm aufgerufen.

Es sollten deshalb alle Dienste, die nicht benötigt werden, deaktiviert werden. In den meisten Linux-Ditributionen sind zahlreiche dieser Ports aktiviert, obwohl die Dienste nicht benötigt werden. Das Deaktivieren der Dienste geschieht durch einfaches Auskommentieren der Einträge in der Konfigurationsdatei des inetd-Daemons /etc/inetd.conf. Die Datei /etc/services kann, muß aber nicht editiert werden, da es reicht, wenn einem Dienst kein Programm zugeordnet ist.2

Ein Auszug der Datei /etc/services:

daytime 13/tcp
daytime 13/udp
netstat 15/tcp
qotd 17/tcp quote
ftp-data 20/tcp
ftp 21/tcp
fsp 21/udp fspd
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol
telnet 23/tcp
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
tftp 69/udp
gopher 70/tcp # Internet Gopher
gopher 70/udp
# finger 79/tcp
www 80/tcp http # WorldWideWeb HTTP
www 80/udp # HyperText Transfer Protocol
# pop-2 109/tcp postoffice # POP version 2
# pop-2 109/udp
# pop-3 110/tcp # POP version 3
# pop-3 110/udp
imap2 143/tcp imap # Interim Mail Access Proto v2
imap2 143/udp imap
https 443/tcp
https 443/udp

Auszug aus der Konfigurationsdatei /etc/inetd.conf:

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung