Firewall - Teil 4
6 Weitere Sicherheitsvorkehrungen
Mit dem Aufsetzen einer Firewall alleine ist es nicht getan. Eine sichere Netzwerkumgebung besteht aus vielen Komponenten, in der die Firewall nur ein Glied der Kette darstellt. Sicherheit beginnt auf den Arbeitsplatzrechnern durch trivial anmutende Dinge wie Paßwortvergabe, usw. Zusätzlich gilt es, sich vor Attacken aus dem Internet zu schützen, in dem man verdächtige Ereignisse frühzeitig erkennt und abblockt. Besser noch wäre eine automatische Abwehr derselben.
6.1 Netzwerkdienste1
Die Firewall selber sollte nach Möglichkeit keine weiteren Netzwerkdienste anbieten oder in Anspruch nehmen. Sie sollte nur ihrer Tätigkeit, nämlich IP-Datenverkehr zu filtern, nachgehen. Jeder weitere Netzwerkdienst stellt einem potentiellen Eindringling mehr Angriffsfläche, z.B. durch in den Diensten enthaltene Sicherheitslücken oder Programmierfehler, zur Verfügung. Gefährliche Dienste wie Telnet haben unter gar keinen Umständen einen Berechtigungsgrund, auf der Firewall zu laufen. Da bei Telnet Daten unverschlüsselt übertragen werden, ist es für Angreifer ein leichtes, wichtige Daten wie z.B. Paßwörter mitzuprotokollieren.
Je mehr unsichere Dienste auf der Firewall laufen, um so mehr kann die eigentliche Aufgabe der Firewall, gefährlichen Netzwerkverkehr zu blocken, untergraben und damit nutzlos gemacht werden.
Gängige Linuxdistributionen stellen die passenden Tools (Runlevel Editor) bereit, um Netzwerkdienste bequem zu starten oder stoppen.
){kind=small}
Felix Mack
Runlevel-Editor unter Red Hat Linux 6.1
6.2 Ports
Auf einem Linuxsysytem werden die meisten Netzwerkdienste über den Internetdaemon inetd gestartet. Ein Daemon ist ein Hintergrundprozeß, der erst aktiv wird, wenn er durch ein Kommando aufgerufen wird.
Wird z.B. versucht, den Computer per Telnet zu erreichen, wird der inetd aktiv. Er bemerkt den Versuch, eine Verbindung auf Port 23 (Telnet) aufzubauen. Nun prüft der inetd die Datei /etc/services und findet unter Port 23 den Dienst Telnet. In seiner Konfigurationsdatei /etc/inetd.conf ist vermerkt, welches Programm für Telnetverbindungen zu starten ist. Schließlich wird das passende Programm aufgerufen.
Es sollten deshalb alle Dienste, die nicht benötigt werden, deaktiviert werden. In den meisten Linux-Ditributionen sind zahlreiche dieser Ports aktiviert, obwohl die Dienste nicht benötigt werden. Das Deaktivieren der Dienste geschieht durch einfaches Auskommentieren der Einträge in der Konfigurationsdatei des inetd-Daemons /etc/inetd.conf. Die Datei /etc/services kann, muß aber nicht editiert werden, da es reicht, wenn einem Dienst kein Programm zugeordnet ist.2
Ein Auszug der Datei /etc/services:
daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp fsp 21/udp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp # SSH Remote Login Protocol telnet 23/tcp domain 53/tcp nameserver # name-domain server domain 53/udp nameserver tftp 69/udp gopher 70/tcp # Internet Gopher gopher 70/udp # finger 79/tcp www 80/tcp http # WorldWideWeb HTTP www 80/udp # HyperText Transfer Protocol # pop-2 109/tcp postoffice # POP version 2 # pop-2 109/udp # pop-3 110/tcp # POP version 3 # pop-3 110/udp imap2 143/tcp imap # Interim Mail Access Proto v2 imap2 143/udp imap https 443/tcp https 443/udp
Auszug aus der Konfigurationsdatei /etc/inetd.conf:
