Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Veröffentlicht von:Erdmut Karstetter Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005."—  Präsentation transkript:

1 Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005

2 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de2 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables – der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln Spanning Tree Protocol

3 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de3 Warum Bridgefirewalls? Linux ist ein etabliertes Firewall-Betriebssystem Ab Kernel 2.2 Bridging-Code fester Bestandteil Arbeitet auf OSI-Layer 2 Protokollunabhängig Keine eigene IP-Adresse, daher schwer angreifbar Einfache Installation Einfache Integration in ein bestehendes Netzwerk

4 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de4 Installation der Bridge (I) 2 Netzwerkkarten notwendig Bridging-Code muss im Kernel aktiviert sein (bei Suse Standard) Bridge-Utils (Einfache Konfiguration der Bridge) IPtables ARPtablesPakete zum Filtern EBtables TCPdump - Paketanalyse

5 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de5 Installation der Bridge (II) root@bridge:# echo 1 > /proc/sys/net/ipv4/ip_forward root@bridge:# brctl addbr br0 root@bridge:# brctl addif br0 eth0 root@bridge:# brctl addif br0 eth1 root@bridge:# brtcl stp br0 off root@bridge:# ifconfig eth0 0.0.0.0 up root@bridge:# ifconfig eth1 0.0.0.0 up root@bridge:# ifconfig br0 up Überprüfung der Verbindungen mit tcpdump Mit brctl showmacs br0 kann man sich die gesammelten MAC-Adressen auflisten lassen

6 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de6 IPtables – der Paketfilter unter Linux (I) IPtables dient zum Filtern von Netzwerk-Paketen im Kernel Kernelunterstützung seit Kernel 2.4 3 eingebaute Tables (INPUT, OUTPUT, FORWARD) Überprüfung der Verbindungsstatus (NEW, ESTABLISHED, RELATED, INVALID) Allgemeine Policies für Tables

7 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de7 IPtables – der Paketfilter unter Linux (II) Connection Tracking (Filtern nach TCP, UDP, ICMP, andere Protokolle verfügbar) Logging einzelner Verbindungen Verhindern von Denial-of-Service-Attacken Erkennen der ICMP-Typen Rejects mit einstellbarem Verhalten Möglichkeit des SNAT, DNAT und Masquerading

8 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de8 DNAT, SNAT und Masquerading

9 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de9 Funktionsweise von IPtables (I)

10 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de10 Firewallregeln Filterregeln in ein Bash-Skript schreiben Überlegen, welche Dienste gesperrt bzw. erlaubt sein sollen Alle Table-Policies auf DROP setzen und dann einzelne Ports öffnen Regeln an Netzwerk-Interfaces binden, da Bridges symmetrisch aufgebaut Beispiel (WWW-Zugang mit HTTP): root@bridge:# iptables -A FORWARD -p tcp -s eth0 -d eth1 --dport 80 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

11 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de11 Stateful Regeln Hierbei wird der Status der Verbindung geprüft Besonderen Augenmerk auf den NEW-Status legen Alle ESTABLISHED- und RELATED-Pakete können durchgelassen werden

12 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de12 Vielen Dank für Ihre Aufmerksamkeit! Danke!

13 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de13 EBtables und ARPtables EBtables: NAT über die MAC-Adressen Brouting – Router und Bridge in einem VLAN-Filterung und Routing Blocken von bestimmten Protokoll-Headern Ändern der MAC-Adressen im Ethernet-Frame Logging möglich Filterung fast nur auf Layer-2

14 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de14 Spanning Tree Protocol (I) Möglichkeit der Hochverfügbarkeit von Bridges Ein Root-Switch übernimmt die Kontrolle über alle beteiligten Switches Gegenseitige Überwachung der Funktionstüchtigkeit Bei Ausfall wird der defekte Switch umgangen Festlegung der Root-Bridge durch Priorität Auf Bridgefirewall sollte STP deaktiviert sein, da die Firewall sonst eher angreifbar

15 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de15 Spanning Tree Protocol (II)

16 Bridgefirewall08.04.05Thomas.Roehl@rrze.uni-erlangen.de16 Funktionsweise von IPtables (II) Eingehende Pakete Ausgehende Pakete Weg beim Einsatz einer Bridgefirewall

Herunterladen ppt "Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005."

Ähnliche Präsentationen

07.03.2003 Wake on LAN.

Wake on LAN.
Einführung/Praxisbeispiel:

Einführung/Praxisbeispiel:
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Netzwerk-Technologien

Netzwerk-Technologien
Überwachung des Nagios-Servers

Überwachung des Nagios-Servers
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Firewall und Tunneling

Firewall und Tunneling
Firewalls.

Firewalls.
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Netze Vorlesung 11 Peter B. Ladkin

Netze Vorlesung 11 Peter B. Ladkin
Einführung eines Remote Desktop Systems am RRZE

Einführung eines Remote Desktop Systems am RRZE
Notebooks am RRZE Sebastian Welker 02. Juni 2005.

Notebooks am RRZE Sebastian Welker 02. Juni 2005.
Tischtennis: Material und Regeln

Tischtennis: Material und Regeln
Gliederung Was ist Routing ? Router Routing-Tabelle Routing-Grundsätze

Gliederung Was ist Routing ? Router Routing-Tabelle Routing-Grundsätze
Fussball Christian Rietz 21.04.2010.

Fussball Christian Rietz
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Ebay - Tipps und Tricks Sven Wölfel 19. Dezember 2003.

Ebay - Tipps und Tricks Sven Wölfel 19. Dezember 2003.
Linux-HA-Cluster – Heartbeat mit DRBD

Linux-HA-Cluster – Heartbeat mit DRBD
Autoinstallation von SuSE Linux 9.3 Roland Mohl 2. Juni 2005.

Autoinstallation von SuSE Linux 9.3 Roland Mohl 2. Juni 2005.

Ähnliche Präsentationen

Google-Anzeigen