Firewall - Teil 1
Der TCP Verbindungsaufbau
Der Verbindungsaufbau bei TCP läuft in folgenden Schritten ab:
Ein Webserver läuft auf einem Computer im Internet und wartet auf Verbindungen auf dem TCP-Port 80. Ein Benutzer greift auf den Webserver zu, indem er eine Webseite dieses Servers abruft. Er gibt dazu die URL23 in seinen Browser ein. Die URL wird durch einen Nameserver in die IP-Adresse des Hosts aufgelöst. Der Browser belegt nun einen unprivilegierten Port, z.B. 24000, und sendet eine Verbindungsanfrage an den Webserver. Dieses TCP-Paket hat z.B. folgenden Header:
Protokoll: TCP Quelladresse: 114.115.12.11 Quellport: 24000 Zieladresse: 195.20.202.1 Zielport: 80 Flags: SYN (connection synchronization request)
Das SYN Flag wird immer bei einem Verbindungsaufbau gesendet. Diesem SYN Flag folgt eine Synchronisations Sequenz Nummer, die vom Client vergeben wird (hier beispielsweise 14000).
Der Webserver empfängt das Paket des Clients. Er antwortet auf das SYN-Flag mit einer Bestätigung, dem ACK-Flag. Der Server teilt dem Client dadurch mit, daß er seine Verbindungsanfrage empfangen hat. Diesem ACK-Flag folgt die Synchronisations-Sequenz-Nummer des Clients, die vom Server um eins erhöht wurde (14001). Außerdem sendet der Server nun ein weiteres SYN-Flag, mit dem er ebenfalls einen Verbindungsaufbau bekanntgeben will. Der Server gibt diesem Flag seine eigene Synchronisations-Sequenz-Nummer (z.B. 34008). Die Verbindung ist nun halb geöffnet.
Dies ist der Header des vom Server zurückgesendeten TCP Pakets:
Protokoll: TCP Quelladresse: 195.20.202.1 Quellport: 80 Zieladresse: 114.115.12.11 Zielport: 24000 Flags: ACK (acknowledgement), SYN (connection synchronization request)
Der Client-Rechner empfängt das Paket des Servers und antwortet auf das SYN-Flag des Servers mit einem ACK-Flag und einer um eins erhöhten Synchtonisations-Sequenz-Nummer, die dem Flag vom Server zugewiesen wurde (34009). Von nun an werden keine weiteren SYN-Flags mehr benötigt, die Server verständigen sich nur noch über ACK-Flags.
Der Header des vom Client gesendeten Pakets:
Protokoll: TCP Quelladresse: 114.115.12.11 Quellport: 24000 Zieladresse: 195.20.202.1 Zielport: 80 Flags: ACK
Die beiden Flags SYN und ACK sind sehr wichtig für das Aufsetzen einer Firewall. Das SYN-Flag wird gesetzt, wenn ein Client und ein Server die ersten beiden Pakete beim Verbindungsaufbau austauschen. Alle weiteren Pakete haben nur das ACK-Flag gesetzt. Beim Beenden einer Verbindung gibt es noch weitere Flags, die jedoch für eine Paketfilter-irewall nicht zur Auswertung zur Verfügung stehen und deshalb nicht von Interesse sind.
Verweise im Text
1 Vgl. Grennan, Mark. Firewall and Proxy Server HOWTO, S.5
2 Vgl. Stähle, Samuel. Firewalling unter Linux, S.2
3 Vgl. Stähle, Samuel. Firewalling unter Linux, S.2
Vgl. Bernard, Frank. Brandschutz 2.2, S.86
4 Weitere Maßnahmen werden in Kapitel 5 vorgestellt
5 Vgl. Bernard, Frank. Brandschutz 2.2, S.86
6 Siehe Kapitel 2.5 NAT - Masquerading
7 Weitere Informationen zu Application Level Gateways finden sich auf folgenden Webseiten:
http://www.informatik.uni-halle.de/~rauber/firewalls_dir/uhlig/anwen_ag.htm
http://www.genua.de/sicherheit/broschuere-97/node18.html
8 Vgl. Diedrich, Oliver; Lubitz, Holger. Sichere Reise - Ein Firewall mit Linux, S.154f
9 Vgl. Request for Comments (RFC) 1918, http://www.denic.de
10 Vgl. ftp://venera.isi.edu/in-notes/iana/assignments/multicast-addresses
Vgl. Request for Comments (RFC) 1112, http://www.faqs.org
11 Vgl. Request for Comments (RFC) 1812, http://www.faqs.org
12 Siehe Kapitel 4.7.9 IP Spoofing: IANA Adreßbereiche
13 Vgl. Diedrich, Oliver; Lubitz, Holger. Sichere Reise - Ein Firewall mit Linux, S.154f
14 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
15 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
16 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
17 Vgl. Ziegler, Robert. Linux Firewalls, S.7
18 Vgl. Ziegler, Robert. Linux Firewalls, S.7
19 Vgl. Emmrich, Henning. Netzwerk in Ketten, S.194f
20 Vgl. Stähle, Samuel. Firewalling unter Linux, S.6f
21 Vgl. Kofler, Michael. Linux - Installation Konfiguration Anwendung, S367f und S.387f
22 Vgl. Ziegler, Robert. Linux Firewalls, S.9f
23 URL steht für "Uniform Ressource Locator", z.B. http://www.pro-linux.de
