Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Slides:



Advertisements
Ähnliche Präsentationen
Wake on LAN.
Advertisements

Einführung/Praxisbeispiel:
Sichere Anbindung kleiner Netze ans Internet
Netzwerk-Technologien
Überwachung des Nagios-Servers
für das Schulnetz der BS Roth
Firewall und Tunneling
Firewalls.
Die Firewall Was versteht man unter dem Begriff „Firewall“?
1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Netze Vorlesung 11 Peter B. Ladkin
Einführung eines Remote Desktop Systems am RRZE
Notebooks am RRZE Sebastian Welker 02. Juni 2005.
Tischtennis: Material und Regeln
Gliederung Was ist Routing ? Router Routing-Tabelle Routing-Grundsätze
Fussball Christian Rietz
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Ebay - Tipps und Tricks Sven Wölfel 19. Dezember 2003.
Linux-HA-Cluster – Heartbeat mit DRBD
Autoinstallation von SuSE Linux 9.3 Roland Mohl 2. Juni 2005.
Unterschiede zwischen CRT & TFT
Der IPCOP-Router Bastian Neubarth
Erstellen eines Internetzugangs für Kongressteilnehmer
Webcamüberwachung Jürgen Liebl Kommunikationssysteme November 2004.
Redundanter Fileserver mit Heartbeat2 und DRBD - Linux-HA-Cluster
WhatsUp Gold
Terminalserver am RRZE
Eine Präsentation von Fabian Wilhelm
Methoden des Ausdauertrainings
Ideen für ein campusweites VLAN-Konzept
CCNA2 – Module 11 Access Control Lists
Risiken des Freiberuflers und deren Reduzierung in den Bereichen Umsatzsteuer und Wettbewerbsverbote Rechtsanwalt und Mediator (DAA) Dr. Benno Grunewald.
Projekt Vorlagenkatalog Projektbesprechung 4. August 2006.
Projekt Vorlagenkatalog Projektbesprechung 13. Dezember 2006.
Netzwerkkomponenten (Hardware)
IPv6 in Virtualisierungsumgebungen
Arbeitsweise und Typen von Bridges
Learning By Doing TCP/IP Netzwerke mit TCP/IP Das Internet verwendet weitgehend das rund 30-jährige TCP/IP-Protokoll (TCP: Transmission Control Protocol,
VPN Virtual Private Network
Funktionsweise, Vorteile und Nachteile der verschiedenen Mausarten
Uni-TV Stefanie Kamionka 08.April Gliederung Partnerschaften Videoübertragung Aufzeichnung.
Freifach Netzwerktechnik mit Übungen
18. November 2006 Einführung in die Welt der fast 1000 Digital Möglichkeiten / Stefan Schmid / Herzlich willkommen Einführung.
Service Orientierte Architektur
Julia Grabsch Florian Hillnhütter Fabian Riebschläger
Warum gibt es Netzwerke?
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3:
Netzwerke.
IPv6-Basisregelwerk mit ip6tables
Konversionwww.journalistenakademie.de1/15 Konversionsorientiertes Schreiben Im Direktmarketing spricht man von „Konversion“, wenn man eine bestimmte Aktion.
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
Regeltest Online auf Regeltest Online auf
© 2002 greyhat.de – Oliver Karow – – Firewallprüfung Am Beispiel von Checkpoint FW1 Oliver Karow 03/2002.
VLAN als Thema der IHK-Prüfung
Webinterface für IPTABLES
Fischer‘s Software Service Uwe Fisher Ihr Partner für professionelle Lösungen Consulting – Softwareentwicklung – Personal Training.
von Prof. Thomas Deutsch
Universität Heidelberg Rechenzentrum H. Heldt / J. Peeck Laptop-Zugang zum HD-Net Netzfort
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4:
User Mode Linux Sven Wölfel 1. Juni User Mode Inhalt  Was ist UML?  Wofür kann man UML benutzen?
Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte.
LINUX II Harald Wegscheider
Datenkommunikation Prof. Dr. Marke SS 2006 Seminar-Thema : IPTABLE Aufbau und Funktion Vortrag : Kulyk Nazar.
Netzwerkgrundlagen Franz Schäfer LV Linux: Effiziente Anwendung an Hand von Fallbeispielen.
Firewall.
PC2 PC1 Router IP: MAC: AA:AA:AA:11:11:11
Spanning Tree Protocol
Spanning Tree Protocol
 Präsentation transkript:

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005

Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables – der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln Spanning Tree Protocol

Warum Bridgefirewalls? Linux ist ein etabliertes Firewall-Betriebssystem Ab Kernel 2.2 Bridging-Code fester Bestandteil Arbeitet auf OSI-Layer 2 Protokollunabhängig Keine eigene IP-Adresse, daher schwer angreifbar Einfache Installation Einfache Integration in ein bestehendes Netzwerk

Installation der Bridge (I) 2 Netzwerkkarten notwendig Bridging-Code muss im Kernel aktiviert sein (bei Suse Standard) Bridge-Utils (Einfache Konfiguration der Bridge) IPtables ARPtablesPakete zum Filtern EBtables TCPdump - Paketanalyse

Installation der Bridge (II) echo 1 > /proc/sys/net/ipv4/ip_forward brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 brtcl stp br0 off ifconfig eth up ifconfig eth up ifconfig br0 up Überprüfung der Verbindungen mit tcpdump Mit brctl showmacs br0 kann man sich die gesammelten MAC-Adressen auflisten lassen

IPtables – der Paketfilter unter Linux (I) IPtables dient zum Filtern von Netzwerk-Paketen im Kernel Kernelunterstützung seit Kernel eingebaute Tables (INPUT, OUTPUT, FORWARD) Überprüfung der Verbindungsstatus (NEW, ESTABLISHED, RELATED, INVALID) Allgemeine Policies für Tables

IPtables – der Paketfilter unter Linux (II) Connection Tracking (Filtern nach TCP, UDP, ICMP, andere Protokolle verfügbar) Logging einzelner Verbindungen Verhindern von Denial-of-Service-Attacken Erkennen der ICMP-Typen Rejects mit einstellbarem Verhalten Möglichkeit des SNAT, DNAT und Masquerading

DNAT, SNAT und Masquerading

Funktionsweise von IPtables (I)

Firewallregeln Filterregeln in ein Bash-Skript schreiben Überlegen, welche Dienste gesperrt bzw. erlaubt sein sollen Alle Table-Policies auf DROP setzen und dann einzelne Ports öffnen Regeln an Netzwerk-Interfaces binden, da Bridges symmetrisch aufgebaut Beispiel (WWW-Zugang mit HTTP): iptables -A FORWARD -p tcp -s eth0 -d eth1 --dport 80 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

Stateful Regeln Hierbei wird der Status der Verbindung geprüft Besonderen Augenmerk auf den NEW-Status legen Alle ESTABLISHED- und RELATED-Pakete können durchgelassen werden

Vielen Dank für Ihre Aufmerksamkeit! Danke!

EBtables und ARPtables EBtables: NAT über die MAC-Adressen Brouting – Router und Bridge in einem VLAN-Filterung und Routing Blocken von bestimmten Protokoll-Headern Ändern der MAC-Adressen im Ethernet-Frame Logging möglich Filterung fast nur auf Layer-2

Spanning Tree Protocol (I) Möglichkeit der Hochverfügbarkeit von Bridges Ein Root-Switch übernimmt die Kontrolle über alle beteiligten Switches Gegenseitige Überwachung der Funktionstüchtigkeit Bei Ausfall wird der defekte Switch umgangen Festlegung der Root-Bridge durch Priorität Auf Bridgefirewall sollte STP deaktiviert sein, da die Firewall sonst eher angreifbar

Spanning Tree Protocol (II)

Funktionsweise von IPtables (II) Eingehende Pakete Ausgehende Pakete Weg beim Einsatz einer Bridgefirewall

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.