Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 17. April 2000, 00:00

Firewalling unter Linux

Einführung

Was ist eigentlich eine Firewall?

Das Wort »Firewall« stammt aus der englischen Sprache und bedeutet »Feuerwand«. Diese »Feuerwand« hat eigentlich die Aufgabe, ein bestimmtes Gebiet vor dem Übergreifen von Feuer zu schützen.

In der Informatik wird Firewall als Bezeichnung für einen Computer benutzt, der die Schnittstelle zwischen Computernetzen darstellt, und gleichzeitig bestimmte Bereiche der Computernetze vor Angriffen und/oder unerwünschten Zugriffen schützt.

Es kann sich bei einer Firewall auch um eine ganze Gruppe von Computern handeln, von denen jeder einen bestimmten Bereich des Netzes bearbeitet.

Warum wird eine Firewall benötigt?

Die Zeiten, in denen die einzige Bedrohung für Computer von Viren ausging, welche mit herkömmlichen Datenträgern wie Disketten oder CD-ROMs übertragen wurden, sind vorbei.

Durch die zunehmende Vernetzung von Firmen, Privathaushalten, Schulen und anderen öffentlichen Einrichtungen und deren Anbindung an das globale Internet müssen diese »lokalen und kleinen« Netze (sogenannte LANs, Local Area Networks) vor Angriffen und Viren, zum Beispiel aus dem Internet, geschützt werden. Doch auch Angriffe die aus »kleinen und lokalen« Netzen, wie zum Beispiel einer anderen Abteilung eines Unternehmens (oder eines anderen Netzes einer Schule, einer Universität), sind keine Seltenheit. Der Angreifer sitzt nicht immer im Internet!

Ohne eine Firewall bemerken die Besitzer dieser LANs die Einbrüche durch Angreifer aus anderen kleinen Netzen oder dem Internet oftmals nicht.

Eine Firewall kann jedoch nur vor Angriffen schützen die, auch durch die Firewall gehen müssten. Es muss deshalb sichergestellt werden, dass die Firewall die einzige Schnittstelle zwischen den angrenzenden Netzen ist. Ist es für den Angreifer möglich, die Firewall zu umgehen, so kann sie die Netze dahinter nicht ausreichend schützen.

Auch die gesamte Sicherheitsphilosophie des Netzwerk-Betreibers muss beachtet werden. So macht macht es zum Beispiel keinen Sinn, eine Tür aus 8 Zoll dickem V4A-Stahl in einem Holzhaus zu installieren.

Beachten Sie also die Sicherheitsstufen des gesamten Sicherheitssystems, bevor sie eine sehr mächtige Firewall installieren, und am Ende die eigentlich geschützten Daten über Disketten gestohlen werden können.

Aufgaben einer Firewall

Eine Firewall sollte:

  • Angriffsversuche aus anderen Netzen (andere LANs oder dem Internet) abwehren und dem Administrator des angegriffenen Netzes melden
  • die übertragenen Daten auf Viren und andere unerwünschte Inhalte prüfen und diese herausfiltern
  • NAT (Network Address Translation) und/oder Masquerading unterstützen und ausführen können
  • sich für die Benutzer der angeschlossenen Netze transparent verhalten
  • beliebig viele Netzwerksegmente unterstützen
  • fernadministrierbar sein
  • ausfallsicher sein

Da bei Firewalls die Ausfallsicherheit eines der wichtigsten Kriterien ist, entscheiden sich die meisten Systemadministratoren für UNIX oder ein UNIX-Derivat als Betriebssystem.

Ich selbst empfehle Linux, da es eine sehr gute Leistung und ein ebenso gutes Preis-Leistungsverhältnis bietet.

Da die Linux-Firewall auch gleichzeitig Router ist, läßt sich diese Kombination aus Firewall und Router feiner einstellen als bei getrennten Geräten. Es empfiehlt sich generell, an einer Linux-Firewall die vielen Netzwerksegmente eines LANs zusammenzuführen. Bei anderen »fertigen« Firewalls ist die Anzahl der Netzwerkschnittstellen auf zwei, manchmal drei begrenzt, weshalb man bei diesen Lösungen nicht die gleichen Freiheiten hat wie mit einer Linux-Firewall.

Angriffe

Mögliche Angriffe aus einem anderen Netz

Es gibt verschiedene Möglichkeiten und Ziele von Angriffen auf Firewalls oder einzelne Rechner in Netzen.

Hier ein Überblick:

»Source-routed-traffic«-Angriff

Normalerweise wird der Weg (die Route), den ein IP-Paket zurücklegt, um von seinem Ausgangspunkt zu seinem Ziel zu gelangen, nur durch die Router zwischen Ausgangspunkt und Zielpunkt festgelegt. Das Paket selbst sagt nur, wohin es will. Nicht, welchen Weg es dorthin zurücklegen möchte.

Es gibt aber die Möglichkeit, in einem IP-Paket Informationen zu speichern, welche genau festlegen, welchen Weg ein Paket gehen will. Diese Information wird von den Routern verarbeitet und das Paket dementsprechend geleitet.

Nun kann jemand IP-Pakete generieren, die die Information enthalten, dass sie von dem Netz innerhalb der Firewall (also aus dem geschützten Bereich) zu kommen scheinen. Ist das Ziel dieser Pakete innerhalb des geschützten Bereiches, so wird die Firewall das Paket dorthin senden. Der Angreifer hätte es in diesem Fall also geschafft, IP-Pakete in den eigentlich geschützten Bereich zu senden. Deshalb sollte man »source-routed-traffic« nicht durch die Firewall leiten, sondern immer abblocken.

»ICMP redirects« und »redirect bombs«

Ein »ICMP redirect« (ein spezielles Datenpaket) weist das Empfänger-System an, seine Routing-Tabelle zu verändern. Normalerweise werden ICMP-Pakete von Routern an Hosts versendet, um diesen mitzuteilen, dass die vom Host vorgeschlagene Route zu langsam oder funktionsunfähig ist, zum Beispiel wenn der Host das Paket an den falschen Router gesendet hat. Der »falsche Router« sendet dann ein ICMP-Paket an den Host, in dem er diesem eine bessere Route vorschlägt. Diese neue Route wird vom Host über die vorherige Route in seiner Routing-Tabelle geschrieben (die alte Route ist somit gelöscht.)

Wenn man es nun schafft, ICMP-Pakete künstlich zu generieren und an einen Host zu senden, der auf diese Pakete sogar reagiert, so kann man dessen Routingtabelle verändern. Man kann sie so verändern, dass man unter Umständen das Sicherheitskonzept des Administrators unterwandert, indem man die Firewall anweist, die Pakete in einen Netzwerk-Bereich zu routen, der eigentlich für die Firewall gesperrt ist (da der Administrator der Firewall bewusst keine Route in diesen Bereich zugewiesen hat, um den Bereich zu schützen.) Auf dieser neuen Route können dann IP-Pakete in einen Netzwerkbereich transportiert werden, in den es eigentlich über die Firewall keinen Zugang gibt.

»denial of service«-Angriffe mit ICMP-Paketen

Hierbei handelt es sich um Angriffe, bei denen der angegriffene Host funktionsunfähig wird, indem man ihm suggeriert, dass es verschiedene Probleme mit seiner Netzwerkverbindung gibt.

Man kann einem Host ein ICMP-Paket senden, welches ihm mitteilt, dass er eine neue Route verwenden soll, die überhaupt nicht funktioniert. Der Host wird also seine Pakete in die falsche Richtung senden und sein Ziel nicht erreichen.

Oder man sendet ihm ein »ICMP Network Unreachable«-Paket, welches dem Host mitteilt, dass er Pakete in dieses Netzwerk nicht mehr senden kann, da es unerreichbar ist. Der Host geht dann davon aus, dass er wirklich keinen Zugang mehr in die von dem Angriff betroffenen Netze hat, und verweigert das Senden von weiteren IP-Paketen in diese Netze.

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung