Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte.

Veröffentlicht von:Axel Martin Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte."—  Präsentation transkript:

1 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte

2 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Prinzip Internet Jeder Rechner muß gegen Angriffe geschützt werden (aufwendig) LAN Firewall Der Firewall stellt einen zentralen Zugangs-/ Kontrollpunkt dar

3 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Warum Firewall statt host based security ? entscheidend ist der schwächste Punkt Einfach –Kontrollierte Umgebung, spez. Hard-/Software gestaffelte Verteidigung Nadelöhr (choke point) Ausfallsicherung Etablierung einer Sicherheitspolitik Security through obscurity

4 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Was ist ein Firewall If it's supposed to keep the bad guys out of your network, it's a firewall. If it succeeds in keeping the bad guys out, while still letting you happily use your network, it's a good firewall, if it doesn't, it's a bad firewall (Zwicky, Cooper, Chapman, Building Internet Firewalls, O'Reilly) A firewall is a form of protection that allows a network to connect to the Internet while maintaining a degree of security Ist ein Paketfilter ein Firewall ? Ein NAT-Router ? Ein Proxy ? Ein... ? Firewall kontrolliert/filtert Verkehr zwischen LAN und Internet Verschiedene Architekturen, Komponenten: Paketfilter und Proxy

5 Linux-basierte Firewall Konzepte © 2001 Till Hänisch dual homed host Internet dual homed host keine 'direkte' Verbindung zwischen den Netzen

6 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Router Internet Router leitet Pakete weiter, vom LAN ins Internet, vom Internet ins LAN Screening Router (Paketfilter) leitet nur Pakete weiter, die festgelegten Regeln gehorchen

7 Linux-basierte Firewall Konzepte © 2001 Till Hänisch (Paket-) Filter eingehende (IP) Pakete Regeln DENY ACCEPT REJECT

8 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Wer filtert was ? Bitübertragung (physikal. Verbindung) Zugriffs-Steuerung Sicherung (LLC) Internet-Protocol TCPUDP TFTP BOOT P DHCP DNS SMTP RloginFTP Telnet SNM P HTTP IEEE 802.2... Paketfilter Proxy Paketfilter kann IP (und TCP,UDP) Informationen auswerten Proxy kann Applikationsinformationen (z.B. HTTP) auswerten Proxy versteht (typ.) nur ein Protokoll

9 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Paketfilter + Proxy Internet Router leitet nur Pakete vom/zum bastion host ins Internet weiter (z.B. http Proxy)

10 Linux-basierte Firewall Konzepte © 2001 Till Hänisch screened subnet (DMZ) Internet äußerer Router innerer Router bastion host DMZ

11 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux als Plattform für Firewalls Warum Linux ? –Open source –Umfangreiche, (relativ) performante TCP/IP-Unterstützung Beispiele mit SuSe Linux –Paketfilter im Kernel, Proxies separate Applikationen dual homed host Paketfilter –ipchains (2.2+ Kernel) –iptables (2.4+) Kernel (u.A. stateful inspection) Proxy –SQUID (HTTP) spezielle Distributionen –LRP,trinux

12 Linux-basierte Firewall Konzepte © 2001 Till Hänisch dual homed host Rechner mit zwei Netzwerkkarten (in untersch. Netzen) ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:50:FC:3A:43:72 inet addr:192.168.1.109 Bcast:192.168.1.255 Mask:255.255.255.0 ifconfig eth1 eth1 Link encap:Ethernet HWaddr 00:E0:7D:AA:3C:F3 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 Routing ausschalten IP_FORWARD="no" !! echo 0 > /proc/sys/net/ipv4/ip_forward Accounts bzw. Dienste einrichten, z.B. Account für jeden User http (Zugriffsrechte) ftp Server

13 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Proxy (Beipiel: SQUID) SQUID von http://www.squid-cache.org/ runterladen, installieren Konfiguration: z.B. Spezielle Clients (IP) nur bestimmte Adressen (auch mit Paketfilter möglich) http_access allow Nur bestimmte User (proxy_auth) (Filter kennt nur IP-Adressen, keine User) acl proxy_auth till http_access allow URL's filtern (Filter weiss nichts von URL's) acl url_regex -i sex IP-Header TCP-Header GET / HTTP1.0 Host: www.uni-ulm.de Browser Proxy Internet Proxy untersucht HTTP und erzeugt neue Anfrage zum Webserver Browser schickt Anfrage an Proxy (d.h. Browser muß konfiguriert werden)

14 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Proxy contd. Transparent proxy vermeidet Client-Konfiguration, leitet allen http-Verkehr (portbezogen) auf Proxy um) http://www.transproxy.nlc.net.au/, oder direkt mit SQUID Komplexe protokollspezifische Filter, z.B. email bei T.Rex Attachments mit best. Dateitypen nicht weiterleiten denyx from * to * ext = bat sequester denyx from * to * ext = com sequester denyx from * to * ext = eml sequester denyx from * to * ext = exe sequester Nachteile Proxy: Clients müssen konfiguriert werden Keiner will Proxy verwenden Vorteile Proxy: Versteht das jeweilige Protokoll, also Filterreglen auf Basis der Inhalte (z.B. URL, Attachment,...) zus. evtl. Beschleunigung (cache) Kennt Benutzer

15 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Paketfilter unter Linux Vorprüfunginput chaindemasquerade routing Prüfung forward chain Regellisten heißen "chain" (Kette von Regeln) DENYDENY/ REJECT ACCEPT/ REDIRECT output chain ACCEPT DENY/ REJECT lokal In jeder chain können Regeln definiert werden Häufig genügt eine (z.B. input), mehrere sinnvoll etwa bei mehreren Interfaces Regel enthält Source+Destination Adresse (und ggf. Port), Protokoll, Optionen und Ziel (benutzer-chain, ACCEPT, DENY, REJECT, MASQ, REDIRECT, RETURN) z.B. ipchains -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 www -j ACCEPT

16 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Paketfilter (Beispiel) Rechner mit zwei Netzwerkkarten, z.B. 192.1.2.0/24 intern, 217.25.78.40 extern Regeln z.B. mit ipchains # Routing einschalten echo 1 > /proc/sys/net/ipv4/ip_forward # Chains leeren ipchains -F input... # Zugriff auf externe Webserver erlauben ipchains -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 www -j ACCEPT # DNS erlauben ipchains -A input -p UDP -s 192.1.2.0/24 -d 0.0.0.0/0 domain -j ACCEPT # Alles andere verbieten ipchains -P input DENY # Antworten der Webserver erlauben ipchains -I input -p tcp -s 0.0.0.0/0 www -d 192.1.2.0/24 -j ACCEPT # DNS erlauben ipchains -I input -p UDP -s 0.0.0.0/0 domain -d 192.1.2.0/24 -j ACCEPT # eingehende TCP-Verbindungen verbieten ipchains -A INPUT -p tcp --syn -j DENY

17 Linux-basierte Firewall Konzepte © 2001 Till Hänisch User friendly (Checkpoint Visual Policy editor)

18 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Paketfilter + Proxy Internet 192.1.2.2 WWW-Zugang ins Internet nur über Proxy: # Proxy darf ins Web ipchains -A input -p tcp -s 192.1.2.2/32 -d 0.0.0.0/0 www -j ACCEPT # allen anderen den Zugriff auf externe Webserver verbieten ipchains -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 www -j DENY # DNS erlauben ipchains -A input -p UDP -s 192.1.2.0/24 -d 192.1.2.0/24 domain -j ACCEPT ipchains -A input -p UDP -s 0.0.0.0/0 domain -d 192.1.2.0/24 -j ACCEPT # Alles andere verbieten ipchains -P input DENY alternativ: REDIRECT Target CONFIG_IP_TRANSPARENT_PROXY Alle Pakete, für die die Regel zutrifft, werden auf einen anderen Port umgeleitet HTTP-Proxy auf Port 8080 ipchains -A input -p tcp -s 192.1.2.0/24 -d 0.0.0.0/0 www -j REDIRECT 8080

19 Linux-basierte Firewall Konzepte © 2001 Till Hänisch personal firewall, NAT # Nur ssh von einem Rechner iptables -A INPUT -p tcp --syn --destination-port 22 -s 217.24.3.37 -j ACCEPT # Zugriff auf Webserver iptables -A INPUT -p tcp --syn --destination-port 80 -j ACCEPT # Keine Verbindungen von aussen iptables -A INPUT -p tcp --syn -j DROP Network Address Translation (IP-Masquerading) private Adressen z.B. 192.168.1.1 Router hat intern private, extern öffentliche Adresse (z.B. durch PPP) Internet Private Adressen werden (im Internet) nicht geroutet, NAT-Router ersetzt in ausgehenden IP-Paketen die Absenderadresse durch seine öffentliche --> Von außen ist nur der Router sichtbar (Security by Obscurity) ipchains -A forward -i ppp0 -j MASQ

20 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Zusammenfassung Linux stellt eine leistungsfähige Plattform für Firewalls dar Wichtigste Werkzeuge: Paketfilter, proxies –open source, meist in Distributionen enthalten open ends –Absicherung des FW-Rechners Dienste, Fixes, Readonly/Write-Once Medien,... spezielle Distributionen –stateful inspection (Fragmentierung, RPC,...) –intrusion detection –QOS/Bandwidth management –kommerzielle Produkte/Appliances

21 Linux-basierte Firewall Konzepte © 2001 Till Hänisch Probleme Paketfilter und Fragmentierung –Der (TCP|UDP,...) Header ist nur im ersten Fragment --> stateful inspection iptables -A INPUT --fragment -j DROP –Problem: MTU Path discovery funktioniert nicht mehr besser: CONFIG_IP_ALWAYS_DEFRAG (in <=2.4) setzen Wie unterscheidet der Firewall zwischen Business und Angriff ? (insb. z.B. bei http) Denial of Service –z.B. TCP SYN Flood IP-Spoofing –Pakete mit internen Adressen auf dem externen Interface !!! ipchains -A input -s -d 0.0.0.0/0 -i -j DENY Viren –Proxy

22 Linux-basierte Firewall Konzepte © 2001 Till Hänisch NAT (Network Address Translation) Router Porttabelle Von: 192.168.1.1:1234 An: 134.60.241.2:80 Von: 192.168.1.2:2345 An: 194.44.33.99:21 Von: 192.168.1.2:3456 An: 212.185.126.222:80 Von: 192.168.1.3:4567 An: 222.33.44.1:80 Von: 192.168.1.4:5678 An: 134.60.241.2:32 Von: 192.168.1.5:6789 An: 134.60.241.2:80 Von: 134.60.241.2:80 An: 194.12.34.56:50000 Von: 194.44.33.99:21 An: 194.12.34.56:50001 Von: 212.185.126.222:80 An: 194.12.34.56:50002 Von: 222.33.44.1:80 An: 194.12.34.56:50003 Von: 134.60.241.2:32 An: 194.12.34.56:50004 Von: 134.60.241.2:80 An: 194.12.34.56:50005 50005: 192.168.1.5:6789 50004: 192.168.1.4:5678 50003: 192.168.1.3:4567 50002: 192.168.1.2:3456 50001: 192.168.1.2:2345 50000: 192.168.1.1:1234

23 Linux-basierte Firewall Konzepte © 2001 Till Hänisch IP -Header (V4) IP-Header Datenbereich OptionenPadding Empfängeradresse Senderadresse TransportKopfprüfsumme Lebensz. TTL IdentifikationFlagsFragment Abstand VersionLängeServicetypen(gesamte) Paketlänge

24 Linux-basierte Firewall Konzepte © 2001 Till Hänisch TCP-Header Datenbereich OptionenPadding Prioritätsanzeiger Prüfsumme OffsetRes.FlagsFensteranzeiger Acknowledgenummer Sequenzernummer ZielportQuellport

Herunterladen ppt "Linux-basierte Firewall Konzepte © 2001 Till Hänisch Linux basierte Firewall Konzepte  Prinzip  Konzepte  Implementierung mit Linux basierte."

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
Firewall und Tunneling

Firewall und Tunneling
Firewalls.

Firewalls.
Die Firewall in der Musterlösung

Die Firewall in der Musterlösung
© 2003 Guido Badertscher Spontane Vernetzung - UPnP 9. Jänner 2004 Spontane Vernetzung Guido Badertscher.

© 2003 Guido Badertscher Spontane Vernetzung - UPnP 9. Jänner 2004 Spontane Vernetzung Guido Badertscher.
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Beispiel-Netzwerk eines vernetzten IT-Systems:

Beispiel-Netzwerk eines vernetzten IT-Systems:
Webserver, © Till Hänisch 2002 Apache The open way.

Webserver, © Till Hänisch 2002 Apache The open way.
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Firewalls Firewalls von Hendrik Lennarz.

Firewalls Firewalls von Hendrik Lennarz.
Firewalls Holger Stengel Vortrag am 1999-12-20. Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.

Firewalls Holger Stengel Vortrag am Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Netzwerkkomponenten (Hardware)

Netzwerkkomponenten (Hardware)

Ähnliche Präsentationen

Google-Anzeigen