Linux Firewalls { Ein praktischer Einstieg Version 1.0 Andreas G. Lessig 3. Juli 2003 ii Inhaltsverzeichnis Einleitung ix 1 Wer braucht eine Firewall? 1 2 Was ist eine Firewall? 5 2.1 Was eine Firewall kann. . . . . . . . . . . . . . . . . . . . . . . . 5 2.2 Was eine Firewall nicht kann . . . . . . . . . . . . . . . . . . . . 7 2.3 Typische Einsatzszenarien fu(cid:127)r Firewalls . . . . . . . . . . . . . . 9 2.3.1 Der Privathaushalt . . . . . . . . . . . . . . . . . . . . . . 10 2.3.2 Das Studentenwohnheim . . . . . . . . . . . . . . . . . . . 11 2.3.3 Die Firma . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3 Netzwerkgrundlagen 15 3.1 TCP/IP im U(cid:127)berblick . . . . . . . . . . . . . . . . . . . . . . . . 16 3.2 IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.3 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.4 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.5 TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.6 UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.7 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4 Welche Angri(cid:11)e gibt es? 27 4.1 Denial-of-Service-Angri(cid:11)e . . . . . . . . . . . . . . . . . . . . . . 27 4.1.1 Flooding. . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.1.2 Angri(cid:11)e mittels ICMP . . . . . . . . . . . . . . . . . . . . 30 4.2 Cracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2.1 Auswahl eines Ziels. . . . . . . . . . . . . . . . . . . . . . 31 4.2.2 Informationsbescha(cid:11)ung . . . . . . . . . . . . . . . . . . . 31 4.2.3 Einbruch in den Rechner . . . . . . . . . . . . . . . . . . 35 4.2.4 Rootrechte erlangen . . . . . . . . . . . . . . . . . . . . . 41 4.2.5 Sicherungsma(cid:25)nahmen . . . . . . . . . . . . . . . . . . . . 42 4.2.6 Lokale Aktivit(cid:127)at . . . . . . . . . . . . . . . . . . . . . . . 43 4.2.7 Den n(cid:127)achsten Angri(cid:11) vorbereiten . . . . . . . . . . . . . . 44 4.3 Trojaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 iii iv INHALTSVERZEICHNIS 4.4 Angri(cid:11)e auf die Privatsph(cid:127)are . . . . . . . . . . . . . . . . . . . . 54 4.5 Aktive Inhalte von HTML-Seiten . . . . . . . . . . . . . . . . . . 57 5 Firewall-Architekturen 61 5.1 Paket(cid:12)lter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5.2 Proxies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 5.3 Network Address Translation . . . . . . . . . . . . . . . . . . . . 64 5.3.1 Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . 65 5.3.2 Redirection . . . . . . . . . . . . . . . . . . . . . . . . . . 66 5.4 Kombinierte Konzepte . . . . . . . . . . . . . . . . . . . . . . . . 67 5.4.1 Screened Host. . . . . . . . . . . . . . . . . . . . . . . . . 67 5.4.2 Screened Subnet . . . . . . . . . . . . . . . . . . . . . . . 68 6 Eine Firewall auf einer Floppy 71 6.1 Voru(cid:127)berlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.2 Coyote Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 6.2.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 75 6.2.2 Ein erster Rundgang . . . . . . . . . . . . . . . . . . . . . 80 6.2.3 Die Kon(cid:12)guration anpassen . . . . . . . . . . . . . . . . . 83 6.3 (cid:13)i4l. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 6.3.1 Kon(cid:12)guration . . . . . . . . . . . . . . . . . . . . . . . . . 89 6.3.2 Ein erster Rundgang . . . . . . . . . . . . . . . . . . . . . 98 7 Planung einer normalen Installation 103 7.1 Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 7.1.1 Eine Policy fu(cid:127)r ein Studentenwohnheim . . . . . . . . . . 104 7.1.2 Eine Policy fu(cid:127)r eine Firma . . . . . . . . . . . . . . . . . . 105 7.1.3 Richtlinien und Spezi(cid:12)kationen . . . . . . . . . . . . . . . 106 7.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 7.3 Vorgehen bei der Implementation . . . . . . . . . . . . . . . . . . 110 7.4 Rechnerdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 7.5 Partitionen und ihre Mountpoints festlegen . . . . . . . . . . . . 111 8 Installation der Software 115 8.1 Installation der ben(cid:127)otigten Software . . . . . . . . . . . . . . . . 115 8.1.1 SuSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 8.1.2 Red Hat . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 8.1.3 Debian. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 8.2 Der Bootvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 8.2.1 Das BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 8.2.2 LiLo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 8.2.3 Init . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 8.3 Hardware-Integration durch Kompilation . . . . . . . . . . . . . 136 8.3.1 Grundlagen: Modularer vs. monolithischer Kernel. . . . . 137 8.3.2 Kon(cid:12)guration eines Kernels der Serie 2.2 . . . . . . . . . 138 8.3.3 Kon(cid:12)guration eines Kernels der Serie 2.4 . . . . . . . . . 142 INHALTSVERZEICHNIS v 8.3.4 Kernelkompilation . . . . . . . . . . . . . . . . . . . . . . 146 8.3.5 Kompilation und Installation der Module . . . . . . . . . 148 8.3.6 Der Boot Loader LiLo . . . . . . . . . . . . . . . . . . . . 149 8.3.7 Eintrag in die modules.conf . . . . . . . . . . . . . . . . . 154 8.3.8 Laden der Module durch ein Runlevel-Skript . . . . . . . 156 8.3.9 Kon(cid:12)guration des /proc-Dateisystems . . . . . . . . . . . 157 8.3.10 Neustart . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 9 Das System sicher kon(cid:12)gurieren 163 9.1 Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 9.2 Der inetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 9.3 Entfernenunn(cid:127)otigerProgramme,Dienste,DateirechteundDateien172 9.3.1 Automatisch gestartete Programme . . . . . . . . . . . . 173 9.3.2 Dateirechte . . . . . . . . . . . . . . . . . . . . . . . . . . 177 9.3.3 Spezielle Dateien . . . . . . . . . . . . . . . . . . . . . . . 188 9.3.4 Automatisieren der Suche . . . . . . . . . . . . . . . . . . 192 9.4 Das Systemprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . 196 10 Das Netzwerk einrichten 199 10.1 Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 10.2 Kon(cid:12)guration der Netzwerkkarte . . . . . . . . . . . . . . . . . . 199 10.3 Einrichten von DSL . . . . . . . . . . . . . . . . . . . . . . . . . 205 10.4 Einrichten der ISDN-Karte . . . . . . . . . . . . . . . . . . . . . 213 10.5 Einrichten eines Modems. . . . . . . . . . . . . . . . . . . . . . . 223 10.6 Eintrag des DNS-Servers . . . . . . . . . . . . . . . . . . . . . . . 230 10.7 Eintragen der lokalen Rechnernamen . . . . . . . . . . . . . . . . 231 10.8 Verbindungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 10.8.1 Mit ipchains (Kernel 2.2.x) . . . . . . . . . . . . . . . . . 233 10.8.2 Mit iptables (Kernel 2.4.x) . . . . . . . . . . . . . . . . . 239 11 Kon(cid:12)guration der Paket(cid:12)lter mit ipchains 247 11.1 Die Idee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 11.2 Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 11.3 Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 11.3.1 Muster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 11.3.2 Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 11.3.3 Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 11.4 Verwaltung von Chains . . . . . . . . . . . . . . . . . . . . . . . 252 11.5 Besondere Masquerading-Befehle . . . . . . . . . . . . . . . . . . 253 11.6 Testen von Chains . . . . . . . . . . . . . . . . . . . . . . . . . . 253 11.7 Sichern und Wiederherstellen der Firewallkon(cid:12)guration . . . . . 254 11.8 Einige Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 11.8.1 Die absolut sichere Firewall . . . . . . . . . . . . . . . . . 255 11.8.2 Schutz vor Spoo(cid:12)ng . . . . . . . . . . . . . . . . . . . . . 255 11.8.3 Das Loopback-Interface . . . . . . . . . . . . . . . . . . . 257 11.8.4 NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 vi INHALTSVERZEICHNIS 11.8.5 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 11.8.6 Eigene Chains . . . . . . . . . . . . . . . . . . . . . . . . 260 11.8.7 Blockieren des Zugri(cid:11)s auf lokale Serverdienste . . . . . . 262 11.8.8 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 11.8.9 Ident (Auth) . . . . . . . . . . . . . . . . . . . . . . . . . 264 11.8.10Einfache Anwendungsprotokolle u(cid:127)ber TCP . . . . . . . . 264 11.8.11Server und Proxies auf der Firewall. . . . . . . . . . . . . 269 11.8.12Transparente Proxies . . . . . . . . . . . . . . . . . . . . . 271 11.8.13FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 11.8.14Logging ungew(cid:127)ohnlicher Pakete . . . . . . . . . . . . . . . 274 11.9 Eintragen der Regeln in die Systemdateien. . . . . . . . . . . . . 275 12 Kon(cid:12)guration der Paket(cid:12)lter mit iptables 287 12.1 Die Idee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 12.2 Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 12.3 Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 12.3.1 Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 12.3.2 Muster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 12.3.3 Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 12.4 Verwalten von Chains . . . . . . . . . . . . . . . . . . . . . . . . 294 12.5 Einige Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 12.5.1 Die absolut sichere Firewall . . . . . . . . . . . . . . . . . 295 12.5.2 Schutz vor Spoo(cid:12)ng . . . . . . . . . . . . . . . . . . . . . 296 12.5.3 Ident (Auth) . . . . . . . . . . . . . . . . . . . . . . . . . 297 12.5.4 Unerwu(cid:127)nschter Aufbau von Verbindungen . . . . . . . . . 298 12.5.5 Das Loopback-Interface . . . . . . . . . . . . . . . . . . . 299 12.5.6 NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 12.5.7 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 12.5.8 Eigene Chains . . . . . . . . . . . . . . . . . . . . . . . . 302 12.5.9 Blockieren des Zugri(cid:11)s auf lokale Serverdienste . . . . . . 302 12.5.10DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 12.5.11Einfache TCP-basierte Protokolle. . . . . . . . . . . . . . 305 12.5.12Server und Proxies auf der Firewall. . . . . . . . . . . . . 310 12.5.13Transparente Proxies . . . . . . . . . . . . . . . . . . . . . 311 12.5.14FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 12.5.15Logging ungew(cid:127)ohnlicher Pakete . . . . . . . . . . . . . . . 313 12.5.16Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . 314 12.6 Regeln in Systemdateien eintragen . . . . . . . . . . . . . . . . . 315 13 Eine DMZ { Demilitarized Zone 329 13.1 Das Netzwerk planen . . . . . . . . . . . . . . . . . . . . . . . . . 329 13.2 Proxy-ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 13.3 Paket(cid:12)lter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 13.3.1 Paket(cid:12)lterung mit ipchains . . . . . . . . . . . . . . . . . 336 13.3.2 Paket(cid:12)lterung mit iptables . . . . . . . . . . . . . . . . . 351 INHALTSVERZEICHNIS vii 14 Proxies 371 14.1 Einrichten eines Webproxies . . . . . . . . . . . . . . . . . . . . . 371 14.1.1 squid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 14.1.2 Internet Junkbuster . . . . . . . . . . . . . . . . . . . . . 377 14.1.3 http-gw und ftp-gw aus dem TIS FWTK . . . . . . . . . 386 14.2 Einrichten eines DNS-Servers . . . . . . . . . . . . . . . . . . . . 395 14.2.1 Grundkon(cid:12)guration . . . . . . . . . . . . . . . . . . . . . 395 15 Abnahmetests 401 15.1 Vorarbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 15.1.1 Testaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . 401 15.1.2 Simulation einer Einwahl . . . . . . . . . . . . . . . . . . 402 15.1.3 Die Kon(cid:12)guration der Testrechner . . . . . . . . . . . . . 404 15.2 Funktionstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 15.3 Port Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 15.3.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . 407 15.3.2 Die Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 16 Wie sorge ich dafu(cid:127)r, da(cid:25) meine Firewall sicher bleibt? 413 16.1 Checksummer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 16.1.1 Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 16.1.2 md5sum . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 16.1.3 Tripwire . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 16.2 Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 16.2.1 Sicherung der Partitionierungsdaten . . . . . . . . . . . . 436 16.2.2 tar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 16.2.3 Das Erstellen des Backups . . . . . . . . . . . . . . . . . . 440 16.2.4 Das Zuru(cid:127)ckspielen des Backups . . . . . . . . . . . . . . . 445 16.3 Auswerten der Systemprotokolle . . . . . . . . . . . . . . . . . . 450 16.3.1 Logrotation . . . . . . . . . . . . . . . . . . . . . . . . . . 451 16.3.2 Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 16.3.3 Bewertung der Meldungen . . . . . . . . . . . . . . . . . . 468 16.4 Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 16.5 Schulung der Benutzer . . . . . . . . . . . . . . . . . . . . . . . . 481 16.6 Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484 17 Vorfallsbehandlung 487 17.1 Warnsignale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 17.2 Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 17.3 Bestandsaufnahme . . . . . . . . . . . . . . . . . . . . . . . . . . 492 17.4 Die Kontrolle wiedererlangen . . . . . . . . . . . . . . . . . . . . 497 17.5 Spurensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 17.6 Autopsie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 17.6.1 Kompilieren des Coroner’s Toolkit . . . . . . . . . . . . . 503 17.6.2 Ver(cid:127)anderte Programme und Dateien . . . . . . . . . . . . 504 17.6.3 MAC-Zeiten. . . . . . . . . . . . . . . . . . . . . . . . . . 517 viii INHALTSVERZEICHNIS 17.6.4 Gel(cid:127)oschte Dateien . . . . . . . . . . . . . . . . . . . . . . 529 17.6.5 Autopsiebericht . . . . . . . . . . . . . . . . . . . . . . . . 544 17.7 Wiederherstellen des Systems . . . . . . . . . . . . . . . . . . . . 544 17.8 Nachlese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 A Internet-by-Call ohne Anmeldung 547 A.1 Arcor-Internet by Call . . . . . . . . . . . . . . . . . . . . . . . . 547 A.2 Freenet Super Call by Call. . . . . . . . . . . . . . . . . . . . . . 548 A.3 Yello Internet by Call . . . . . . . . . . . . . . . . . . . . . . . . 548 B Der vi 551 C Copyright-Informationen 557 C.1 GNU Free Documentation License . . . . . . . . . . . . . . . . . 558 C.2 GNU General Public License . . . . . . . . . . . . . . . . . . . . 566 Literaturverzeichnis 575 Einleitung Das vorliegende Buch erkl(cid:127)art die Grundlagen des Firewalling unter Linux und richtet sich an Personen, die u(cid:127)ber generelle Erfahrungen mit Computern und Grundkenntnisse in Linux verfu(cid:127)gen. Als Leser dieses Buches sollten Sie daher schon einmal ein Linux administriert haben, sich auf der Kommandozeile aus- kennen und auch in der Lage sein, Shellskripte zu verstehen und anzuwenden. Auch gehe ich davon aus, da(cid:25) Sie sich in der Verzeichnishierarchieeines norma- len Linux zurecht(cid:12)nden und wissen, wie Benutzer und Pa(cid:25)w(cid:127)orter unter Linux verwaltet werden. Im Mittelpunkt dieses Buches stehen kleinere und mittlere Firewallinstalla- tionen. Das Buch beschreibt, wie man mehrere Rechner absichert, indem man an ihrem Zugang zum Internet einen zus(cid:127)atzlichen PC postiert, der alle Zugri(cid:11)e kontrolliert und gegebenenfalls verhindert. Dabei gehen die hier vorgestellten Szenarien davon aus, da(cid:25) mehrere Ar- beitsplatzrechner und vielleicht ein oder mehrere Webserver an das Internet angeschlossen werden sollen. Ferner wird vorausgesetzt, da(cid:25) keiner der an das Internet angeschlossenen Server eine Verbindung zu den Arbeitsplatzrechnern aufmachen mu(cid:25). Eswirdnichtbeschrieben,wiemaneineneinzelnenArbeitsplatzrechnerzum sicheren Surfen kon(cid:12)guriert oder darauf eine Personal Firewall einrichtet. Auch der Betrieb komplexer E-Commerce-Applikationen liegt au(cid:25)erhalb des Berei- ches, den dieses Buch abdeckt. Wenn Sie also z.B. ein System aufbauen wol- len, bei dem ein Webserver Bestellungen entgegennimmt, die dann an Versand, Produktions- und Lagersysteme im lokalen Netz weitergegeben werden, so wer- den Sie in diesem Buch keine L(cid:127)osung (cid:12)nden. Zwar unterscheidet sich die L(cid:127)osung, die Sie brauchen, nur in einigen Fire- wallregeln von den hier vorgestellten, aber es gibt viele Aspekte, die ich hier nicht abdecken kann. Wenn Sie den Zugri(cid:11) auf Server im lokalen Netz erlau- ben, so mu(cid:127)ssen Sie vorher sicherstellen, da(cid:25) dieser Zugri(cid:11) nicht dazu genutzt werden kann, den Server zu kompromittieren. Andernfalls verscha(cid:11)en Sie dem Angreifer einen direkten Zugang zu den wichtigsten Systemen in Ihrem Netz. Einem solchen Projekt sollte eine grundlegende sicherheitstechnische Untersu- chung der benutzten Protokolle, der u(cid:127)bertragenen Daten und der verwendeten Softwarevorausgehen.Diesalleszubeschreibenwu(cid:127)rdedenRahmendesBuches aber sprengen. ix x Einleitung Fu(cid:127)r welches Linux wurde dieses Buch geschrie- ben? Wenn man ein Buch u(cid:127)ber Linux schreibt, mu(cid:25) man sich auch daru(cid:127)ber klar- werden, welche Distribution man beschreibt. Man kann es sich einfach machen undsagen: LinuxistLinux.\Dabei u(cid:127)bersiehtmanallerdings,da(cid:25)dieeinzelnen " Distributionen sich deutlich unterscheiden. Jede Distribution verwendet eigene Werkzeuge zur Systemkon(cid:12)guration, wichtige Systemdateien liegen in verschie- denenVerzeichnissen,undauchderUmfangdermitgeliefertenSoftwarevariiert zwischen einer und sieben CDs. Wennmanalsoehrlichist,bleibeneinemnurzweiM(cid:127)oglichkeiten.Mankann explizitsagen,aufwelcheVersionmansichbezieht,odereinenMinimalstandard annehmen und jegliche daru(cid:127)ber hinausgehende Software manuell installieren oder selbst schreiben. IndiesemBuchhabeicheinenMittelweggew(cid:127)ahlt.Obwohlichhaupts(cid:127)achlich SuSE einsetze, habe ich meine Anleitungen auch unter Red Hat und Debian nachvollzogen und die Ergebnisse ebenfalls beschrieben. Daru(cid:127)ber hinaus habe ich nach M(cid:127)oglichkeit darauf verzichtet, spezielle Werkzeuge einer Distribution einzusetzen,wenndasgleicheZielmitvertretbaremAufwandauchmitallgemein gu(cid:127)ltigen Methoden erreichbar war. Gegenw(cid:127)artig beschreibt das Buch SuSE 8.0, Red Hat 8.0 und Debian 3.0. Wie dieses Buch aufgebaut ist Dieses Buch beginnt mit einem theoretischen Teil, den Kapiteln 1 bis 5. Hier werden erst einmal die technischenGrundlagenerkl(cid:127)art, die fu(cid:127)r den Aufbau und BetriebvonFirewallsnotwendigsind.Anschlie(cid:25)endfolgteinAus(cid:13)ugindieWelt der Mini-Linuxe, die gezielt fu(cid:127)r den Einsatz als einfache Firewall gedacht sind (Kapitel 6). Schlie(cid:25)lich wird im letzten Block, den Kapiteln 7 bis 16, erkl(cid:127)art, wiemanausgehendvoneinerStandarddistributioneineFirewallvonGrundauf neu aufsetzt, testet und wartet. Im einzelnen (cid:12)nden Sie in diesem Buch die folgenden Kapitel: Kapitel1,WerbrauchteineFirewall?,besch(cid:127)aftigtsichmitderFrage,welche Gefahren Ihnen durch Angri(cid:11)e aus dem Internet drohen. Kapitel 2, Was ist eine Firewall?, beschreibt auf einer abstrakten Ebene, was eine Firewall leisten kann und was nicht. Anhand von drei Anwendungs- szenarienwirddargestellt,wieunterschiedlicheBedu(cid:127)rfnissezuunterschiedlichen technischen und organisatorischen L(cid:127)osungen fu(cid:127)hren. Kapitel3,Netzwerkgrundlagen,enth(cid:127)alteinekurzeEinfu(cid:127)hrungindieGrund- lagen der relevanten Netzwerkprotokolle. Kapitel4,WelcheAngri(cid:11)egibtes?,gibteinenU(cid:127)berblicku(cid:127)berdieg(cid:127)angigsten Angri(cid:11)e, denen Rechner im Internet ausgesetzt sind. Kapitel 5, Firewall-Architekturen, erkl(cid:127)art aus technischer Perspektive die unterschiedlichen Bausteine, aus denen sich eine Firewall zusammensetzt.