ebook img

Firewall Handbuch für LINUX 2.0 und 2.2 PDF

444 Pages·1999·2.067 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Firewall Handbuch für LINUX 2.0 und 2.2

Firewall Handbuch für LINUX 2.0 und 2.2 Online Suche im Handbuch LITTLE-IDIOT NETWORKING Firewall Handbuch für LINUX 2.0 und 2.2 Guido Stepken ( [email protected]) Version 3.0, 30. August 1999 Dieses Handbuch beschreibt detailiert den Aufbau von LINUX Firewalls mit ipfwadm, ipchains und der SF Firewall von Robert Muchsel und Roland Schmidt von der ETH Zürich. Die Handbücher zu diesen Firewalls sind in diesem Buch vollständig in deutsch enthalten. Weiterhin ist eine recht umfangreiches Nachschlagewerk zu allen üblichen Protokollen enthalten, beginnend mit telnet, über ftp, sql,..bis hin zu einer genauen Beschreibung des netmeeting Protokolls, und einer Analyse, warum man hierfür besser keinen Firewallproxy einsetzen sollte. Dem Thema Denial of Service Angriffe wird hier besondere Aufmerksamkeit gewidmet. Es werden mögliche DoS Angriffe auf kommerzielle Firewalls und die verwendeten Werkzeuge detailliert vorgestellt. Damit der Leser einen Eindruck davon bekommt, wie echte Cracker vorgehen, um sich Zugang zu Servern in Unternehmen zu verschaffen, welche Informationen sie sich wie beschaffen, sind hier einige äußerst praxisnahe Beispiele anschaulich beschrieben. Wer wissen möchte, wie groß die tatsächliche Zahl von Angriffen auf Internet und Intranet Server ist, der mag sich diesen Abschnitt durchlesen: Die tatsächliche Zahl von Angriffen auf Unternehmen. Ein eigener Abschnitt wurde der Erstellung einer Security Policy in einem größeren Netzwerk gewidment. Ein großer Fragenkatalog mag hier dem erfahrenen Systemadministrator Hilfestellung bei der Erstellung der firmeneigenen Security Policy geben. Zum Schluß wird noch eine, nach meinen bescheidenen Kenntnissen absolut sicheren, Graphical Firewall vorgestellt, die bereits erfolgreich bei einigen Unternehmen installiert ist, die höchste Sicherheitsanforderungen stellen. Diese Firewall ist recht einfach zu installieren und kostenlos. Die Firewall ist deswegen so sicher, weil nur unschädliche Pixelinformationen übertragen werden. Dieses Handbuch ist als begleitende Information für monatlich stattfindende Seminare gedacht. Es ist sowohl als Nachschlagewerk und Anleitung für den Aufbau von LINUX Firewalls geeigenet, soll aber auch die oft unbekannten Zusammenhänge zwischen möglichen Sicherheitsproblemen beleuchten. Keinesfalls sind diese Informationen als Aufforderung zu Straftaten zu betrachten, sondern sie sollen ausschließlich dokumentieren, wie Cracker tatsächlich vorgehen. Diese meine Praxiserfahrungen habe ich persönlich noch in keinem käuflichen Buch über Firewalls gelesen. Ich habe vielmehr festgestellt, daß es zwar viele Firewallbücher gibt, die Theorie vermitteln, deren Autoren es jedoch offensichtlich an Praxiserfahrungen mangelt. Nur so ist zu erklären, warum in diesen Büchern völlig irrelevante und oft auch definitiv falsche und gefährliche Informationen aus grauer Vorzeit enthalten sind. Cracker gehen heutzutage völlig anders vor. Dies ist der Hauptgrund, warum ich dieses Buch geschrieben habe. Daher ist in einem eigenen Kapitel Architektur von Firewalls auch genau beschrieben, was man aufgrund neuerer Erkenntnisse nicht mehr riskieren sollte. Nun viel Spaß beim Lesen...! Vorankündigung ! Die neue Version 4.0, fehlerbereinigt und stark erweitert, ist nun fast fertig und wird Themen wie Virenscanner unter LINUX, IDS-Systeme, eine vollständige, deutsche Beschreibung für Netfilter für den bevorstehenden Kernel 2.4, Quality of Service + Traffic Control (QoS+TC) u.s.w. enthalten. Es wird dann auch eine PDF Version verfügbar sein, die allerdings so umfangreich geworden ist (> 1200 Seiten A4 ), daß sie ein Buch allein sprengt. Ich muß sie leider auf CDROM Brennen lassen, ein Download wäre unzumutbar. Jeder mag sich dann die interessanten Kapitel selber ausdrucken. Die HTML Version wird natürlich auch enthalten sein. Der Preis wird etwa in Höhe der Unkosten sein, jedenfalls noch unter 25 EUR. Aufgrund der unglaublichen Nachfrage wird für sämtliche staatlichen Institutionen, wie Behörden, Schulen, Universitäten, u.s.w. der Druck freigegeben, d.h. konkret, daß die Handbücher ohne Begrenzung der Auflage gedruckt und /oder hausintern verteilt werden dürfen. Das Spiegeln der Online-Version und Mirroring ist dann auch weiterhin natürlich erlaubt und auch ausdrücklich gewünscht. file:///E|/FireWall/firewall.html (1 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 Da es viele Anfragen auch bezüglich des MySQL Datenbankhandbuches gegeben hat, wird auch diese Version nach Ostern dann freigegeben werden. Darüber hinaus ist gerade das neue LINUX Systemadministrationshandbuch fertiggestellt. Es ist die Gradwanderung, die versucht, auch Einsteigern die professionelle Systemadministration von LINUX zu ermöglichen. Hierbei wird fast jedes Programm unter LINUX genau beschrieben, wie Diskless Workstations, SQUID, Apache, SAMBA u.s.w. Auch der Umfang dieser Bücher sprengt leider inzwischen dem Umfang eines dicken Buches. Zusammengefasst dürften diese Handbücher inzwischen mehrere tausend A4 Seiten betragen. Leider zuviel, um überhaupt an einen Druck in größerer Auflage zu denken. Die Kosten des Druckes auch in höherer Auflage würde auch meine persönliche Schmerzgrenze von 25 EUR glatt um 400% überschreiten. Abgesehen davon ist ein Druck angesichts der Halbwertszeit von 4 Monaten bei LINUX - Dokumentationen der Umwelt nicht mehr zuzumuten. Der Leser bzw. Administrator wird sich also sicher auf Online Bücher umstellen müssen, wobei er dann dennoch einzelne Kapitel ausdrucken kann. Für alle anderen Leser wird die Online Version weiterhin zur Verfügung stehen. Eine käufliche CDROM - Version mit einer Lizenz zum einmaligen Ausdruck der PDF Dateien wird es voraussichtlich zum Preis von 25 EUR geben. Eine gedruckte Version wird es entgegengesetzt einiger meiner Vorankündigungen nicht geben, die Papierverschwendung wäre zu hoch. Also bis nach Ostern ! Ich wünsche allen ein frohes Osterfest ! Gru/3, Guido Stepken 1. Neue Kapitel und Ergänzungen l 1 .1 Dringende Fehlerkorrekturen in Versionen vor 3.0 ! l 1 .2 Ergänzungen in Version 3.0 2. Todo-Liste 3. Download des Handbuches 4. Kommerzieller Support l 4 .1 Kommerzieller Support für SINUS Firewall l 4 .2 Kommerzielle Firewalls auf LINUX basierend l 4 .3 Liste deutscher Anbieter von Firewalls 5. Einführung l 5 .1 Feedback 6. Copyright 7. Häufig gestellte Fragen (FAQ) file:///E|/FireWall/firewall.html (2 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 8. Weitere Firewalls kurz vorgestellt l 8 .1 DELEGATE l 8 .2 SOCKS 5 l 8 .3 Das TIS Firewall-Toolkit 9. Aufbau der LINUX Firewall mit ipfwadm l 9 .1 Auswahl von Hard- und Software l 9 .2 Benötigte Hardware l 9 .3 Installation der Software l 9 .4 Kernel Optionen l 9 .5 Die Firewall Policy l 9 .6 Das Loopback Interface l 9 .7 Regeln für die Netzwerkkarten l 9 .8 SPOOFING ! l 9 .9 Die Reihenfolge der Regeln l 9 .10 Masquerading und NAT l 9 .11 Dienste mit UDP Protokollen l 9 .12 Protokolle und Dienste l 9 .13 Die Clients l 9 .14 Gefahren mit Ports > 1024 l 9 .15 Die kompletten Firewall - Regeln l 9 .16 Die Dienste auf einer Firewall 10. Überprüfung der Firewallregeln l 1 0.1 Überprüfung der forwarding Regeln l 1 0.2 Überprüfung der ausgehenden Regeln l 1 0.3 Überprüfung der eingehenden Regeln l 1 0.4 Das Testen der Regeln l 1 0.5 Zählen von Paketen (Accounting) l 1 0.6 Die Überprüfung der UNIX Sicherheit l 1 0.7 Logging von Ereignissen 11. Aufbau eines LINUX ISDN Firewall-Routers file:///E|/FireWall/firewall.html (3 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 12. Aufbau einer Firewall mit ipchains l 1 2.1 Was ist ipchains ? l 1 2.2 Verbesserungen in Linux 2.2 l 1 2.3 Update von Linux 2.0 Kerneln ? l 1 2.4 Die Homepage von IPCHAINS l 1 2.5 Fallstricke mit Kernel Optionen für LINUX 2.0 und 2.2 l 1 2.6 Installation von ipchains im Kernel l 1 2.7 Beschreibung des ipchains Administrationswerkzeuges l 1 2.8 Beschreibung des Aufbaus der Firewall l 1 2.9 Die Programmierung von ipchains. l 1 2.10 Interne Abläufe der Firewall l 1 2.11 Operationen auf eine ganze chain l 1 2.12 Praktische, sinnvolle Beispiele l 1 2.13 Verschiedenes l 1 2.14 Troubleshooting !!!!!! l 1 2.15 Anhang: Unterschiede zwischen ipchains und ipfwadm l 1 2.16 Quick-Index für Umsteiger von ipfwadm 13. Problem Fernwartung einer LINUX Firewall 14. Die SINUS Firewall-1 l 1 4.1 Leistungsübersicht l 1 4.2 Einsetzbare Hardware l 1 4.3 Skalierbarkeit l 1 4.4 Administrierbarkeit l 1 4.5 Protokollunterstützung l 1 4.6 Unterstützung für folgende Dienste l 1 4.7 Kontrolle aus UDP und TCP kombinierter Dienste l 1 4.8 Einsatz erweiterter, dynamischer Firewallregeln l 1 4.9 LOG Eigenschaften l 1 4.10 Interne Architektur des TCP/IP Stacks l 1 4.11 Einsatzgebiet der Firewall bei ISP´s l 1 4.12 Logging l 1 4.13 Counter intelligence l 1 4.14 Interner Aufbau der Firewall l 1 4.15 Sicherheit oder Verfügbarkeit ? l 1 4.16 Fernwartung und Sicherheit l 1 4.17 Erweiterungen in der SINUS Firewall file:///E|/FireWall/firewall.html (4 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 l 1 4.18 SINUS Firewall-1 TCP/IP Stack l 1 4.19 TCP sequence number checking l 1 4.20 Design der internen Kommunikation l 1 4.21 SINUS Firewall-1 und der LINUX Kernel l 1 4.22 Übersicht l 1 4.23 Komponenten der SINUS Firewall-1 l 1 4.24 Starten des Firewall-Dämons l 1 4.25 Konfiguration der Filterfunktionen durch das Firewall-Device l 1 4.26 Counter Intelligence l 1 4.27 Firewall Konfiguration l 1 4.28 Der Packetfilter 15. SINUS Firewall Installation l 1 5.1 Änderungen im Kernel l 1 5.2 Entpacken des Firewall Quellcodes l 1 5.3 Programmierung der Firewall l 1 5.4 Start und Überwachung der Firewall l 1 5.5 Überprüfung der Konfiguration l 1 5.6 Anzeige der gültigen Regeln l 1 5.7 Counter Intelligence l 1 5.8 Installation des JAVA Interface l 1 5.9 Die Benutzeroberfläche der SINUS Firewall l 1 5.10 Grenzen der SINUS Firewall-1 16. Allgemein: Architektur von Firewalls l 1 6.1 Fallstricke beim Aufbau der Firewall 17. Filterregeln und Erklärungen l 1 7.1 Das ACK - Bit l 1 7.2 Sicherheitshinweise zur Generierung von Firewallregeln 18. Übersicht Filterregeln l 1 8.1 Mail Dienste l 1 8.2 FTP (Filetransfer) l 1 8.3 TELNET (Administration) l 1 8.4 R-Kommandos von BSD l 1 8.5 NNTP Dienste Newsgroups file:///E|/FireWall/firewall.html (5 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 l 1 8.6 HTTP (WWW-Dienste) l 1 8.7 Datenbank Dienste l 1 8.8 Kommunikation, Information l 1 8.9 DNS Dienste l 1 8.10 Logging Dienste l 1 8.11 Routing Dienste l 1 8.12 Sonstige Dienste l 1 8.13 Generelle Gefahren bei UDP - Protokollen 19. Firewall mit bastion host und DMZ l 1 9.1 Innere Firewall mit bastion host und Grenznetz l 1 9.2 Äußere Firewall mit bastion host und Grenznetz l 1 9.3 Einrichtung des bastion hosts 20. Firewall mit Screened Host Architektur 21. Firewall Tuning l 2 1.1 Einsatz bei ISP's l 2 1.2 Einsatz in Intranets l 2 1.3 Einsatz als Firewall-Router l 2 1.4 Firewall-Router mit SQUID - Proxy l 2 1.5 ATM Netzwerke mit LINUX Firewalls l 2 1.6 Verbrauch an CPU Zyklen pro Paket l 2 1.7 Tuning der TOS Bits in TCP/IP - Paketen 22. Grundlagen zur Installation von Linux l 2 2.1 Kompilierung des Kernel l 2 2.2 Einspielen von Patches und Updates l 2 2.3 LILO, der Bootmanager l 2 2.4 Konfiguration der Netzwerk Interfaces l 2 2.5 DNS-Adressen l 2 2.6 Absicherung von Servern mit chroot() l 2 2.7 Warum Filter anfällig gegen buffer overflows sind l 2 2.8 Installation von Servern mit CHROOT l 2 2.9 Kurzeinführung CHROOT() für WWW-Server file:///E|/FireWall/firewall.html (6 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 23. Hackers Guide oder was man über Cracker wissen muß l 2 3.1 Firewalls - eine Beschreibung der Eigenschaften l 2 3.2 Angriffe auf den TCP/IP-Stack l 2 3.3 Buffer overflow Angriffe l 2 3.4 Zeitaufwand und Einbruchswerkzeuge l 2 3.5 Einarbeitungszeiten in Angriffswerkzeuge l 2 3.6 Beispiele: Angriffe auf Firewalls l 2 3.7 Angriffe auf Application Level l 2 3.8 Wie wird ein Angriff verborgen ? l 2 3.9 Blinde Angriffe (blind attacks) l 2 3.10 Zeitversatz zwischen Angriffen und die Analyse von Logfiles l 2 3.11 Wie schnell ein Angriff auf einen Server erfolgt l 2 3.12 Der unbemerkte Diebstahl von Daten l 2 3.13 DNS-Sicherheit und Entführung von E-Mails l 2 3.14 Firewalls für Verbindungen von außen mit FTP öffnen l 2 3.15 Veränderungen an Adreßbüchern für E-Mail l 2 3.16 Beschreibung von Back Orifice, genannt BO l 2 3.17 Probleme beim Download von Software aus dem Internet 24. Trojanische Pferde der gemeinen Art l 2 4.1 Analyse eines Programmes aus dem Internet l 2 4.2 Auswertung der Informationen l 2 4.3 Konsquenzen 25. Makroviren Melissa & Co beleuchtet 26. Sicherung von SQL-Datenbanken l 2 6.1 Auslesen der Backoffice Datenbank mit einem Winword Makro l 2 6.2 Angriff auf S.u.S.E. LINUX und MySQL l 2 6.3 Helfen SQL Proxy´s ? l 2 6.4 10 wichtige Punkte zur Absicherung 27. Aufbau von VPN´s unter LINUX l 2 7.1 PPTP unter LINUX und Windows file:///E|/FireWall/firewall.html (7 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 28. Erstellung einer Security Policy l 2 8.1 Grundlegende Fragen für die Erstellung einer security policy l 2 8.2 Beispiel: Security Policy für User l 2 8.3 Grundregeln für den Nutzer l 2 8.4 Verfahren zur Sicherung von Servern 29. Security Auditing 30. PERL Sicherheit bei WWW-Servern l 3 0.1 Allgemeine Tips l 3 0.2 Typische Schwachstellen bei PERL Skripten l 3 0.3 Lösungsmöglichkeiten l 3 0.4 Der Taint Modus bei PERL l 3 0.5 Gefährliche Parameter bei Variablen l 3 0.6 Beispiele der Absicherung von PERL-Skripten l 3 0.7 Gefährliche Operationen l 3 0.8 Hinweise auf weiterführende Literatur 31. Seriösität von Security Consultants 32. Was Hersteller kommerzieller Firewalls verschweigen 33. Firewall Auditing 34. Werkzeuge für Auditing 35. Die GRAPHICAL Firewall, eine unkonventionelle Lösung 36. Stories zum Nachdenken l 3 6.1 Fehlkonfiguration in einem süddeutschen Elektrogroßhandel l 3 6.2 Sicherheit der PIN CODES von Chipkarten l 3 6.3 Die Forschungsabteilung eines Chemieunternehmens 37. Lösungen für die in diesem Handbuch aufgeführten Sicherheitsprobleme file:///E|/FireWall/firewall.html (8 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2 38. Danksagung an alle LINUX´ler Diese Website des Deutschen Crypto & Privacy Webring wurde von Guido Stepken eingerichtet Wollen Sie am Webring teilnehmen ? [Vorherige überspringen] [Vorherige] [Nächste] [Nächste überspringen] [Zufallswahl] [die nächsten 5] [ Alle Sites auflisten] Online Suche im Handbuch LITTLE-IDIOT NETWORKING file:///E|/FireWall/firewall.html (9 von 9) [29.12.2000 18:54:34] Firewall Handbuch für LINUX 2.0 und 2.2: Neue Kapitel und Ergänzungen Online Suche im Handbuch LITTLE-IDIOT NETWORKING 1. Neue Kapitel und Ergänzungen Charlie Kaufman says: "Firewalls are the wrong approach. They don't solve the general problem, and they make it very difficult or impossible to do many things. On the other hand, if I were in charge of a corporate network, I'd never consider hooking into the Internet without one. And if I were looking for a likely financially successful security product to invest in, I'd pick firewalls." Im Prinzip ist dem nichts hinzuzufügen. Ich verwende dieses Zitat gerne deswegen, weil es den Nagel auf den Kopf trifft. Eine Firewall schützt im Prinzip vor nichts. Dabei ist es völlig egal, von welchem Hersteller, oder welcher Person diese Firewall installiert wurde. Eine Firewall kann, aufgrund der Möglichkeit, den Datenverkehr mit zu loggen, natürlich feststellen, ob und wohin evtl. Daten von Crackern entführt wurden. Ob ein Einbruch bemerkt wird, ist natürlich von der Ausbildung und vom Skill (den Fähigkeiten, wie die Amerikaner sagen) des Systemadministrators abhängig. Angesichts der interessanten Erfahrungen, die z.B. ich als SysOP von vielen Netzwerken gemacht habe, kann ich durchaus behaupten, daß Cracker durchaus auch heute noch in fast alle Netzwerke einbrechen können. Ich zumindest traue mir nicht zu, ein Netzwerk gegen einen erfahrenen Cracker abzusichern. Die einzige Ausnahme ist die in Kapitel GRAPHICAL FIREWALL vorgestellte Firewall, von der ich genau weiß, daß sie nach meinem Wissen nicht zu knacken ist. Ich denke, daß auch Sie nach dieses Handbuches wissen, daß Sie bisher einiges noch nicht wußten. Online Suche im Handbuch LITTLE-IDIOT NETWORKING file:///E|/FireWall/zusammen-1.html [29.12.2000 18:54:43]

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.