Anzeige:
Anzeige:
Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 

IPTables / Firewall


Firewall im insbesonderen iptables

1.Sinn und Zweck einer Firewall
2.Kurzerklärung ipfwadm & ipchains & iptables +
Kernelcompilern
3.Save und Restore IPTables/IPChains
4.Unterschied zwischen iptables und ipchains
5.Der Befehl ipchains
6.Der Befehl iptables
7.IPtable-save & IPtable-restore (inkl. chains)
8.Filtermöglichkeiten des Paketfilters in der Theorie

 


1.Sinn und Zweck einer Firewall
Eine Firewall ist ein Sicheres System zwischen einem
Internen und Externen (Internet) Netzwerk System.
Nach diversen Regeln wird bestimmt ob und wohin der
Datenverkehr fließen darf, oder ob er gänzlich
gesperrt werden soll.
Blocken von Böswilligen und unabsichtlich schädlichen
Daten, überprüfen von Daten die rein und rausgehen ist
die Hauptaufgabe einer FW.
Doch auch das Masquerading ist ein interessanter
Punkt. Mehrere Ips werden zu einer (meist)
öffentlichen IP zusammengefasst.
Meist aus Kostengründen, aber auch ein gewisser Schutz
besteht nun, da unser Netzwerk leicht versteckt ist.
Da alles über die FW geht, ist eine leichte und gute
Verteidigungslinie ausbaubar.
Um Virtuelle Server zu erstellen ist Portforwarding
ein guter Ansatzpunkt.


2. Kurzerklärung ipfwadm & ipchains & iptables +
Kernelcompilern
Ip-FW's und Masquerade gab es schon lange. Bei Linux
sind diese Programme Kernelabhängig.
Linux baut auf einem Kernel auf. Das Herz. Ohne ihn
würde nichts laufen.
Jeder Kernel hat eine Nummer.
2.0.x hatte denn Befehl ipfwadm.
2.2.x Ipchains
2.4.x Iptables
Sollte die Firewallunterstützung nicht im Kernel
vorhanden sein, so kommt der Befehl "make config" ins
spiel.
Folgendes sollte dann eincompilert werden.
Auf 2.0 gehe ich nicht ein, da es dem Stande der
Technik nicht mehr entspricht.


2.2
"Network Firewall"
"TCP/IP Networking"
"IP:firewalling"
"IP:transparant proxy support"
"IP:masquerading"
"ICMP masquerading"

 

2.4
"Network packet filtering (replaces ipchains)"
"IPtables support (required for filtering/masq/NAT)"
"Packet filtering"

Es gibt mehrere erweiterte Target- und
Muster-Regel-Module, die auch eincompilern werden
können.


3. Save und Restore iptables/ipchains
Wenn die Regeln für ipchains fertig sind, können sie
diese mit ipchains-save speichern.
Der Befehl ipchains-restore restauriert die Regeln
nach einem Neustart.
Das gleiche gilt für die iptables.
iptables-save && iptables-restore.


4. Unterschied zwischen iptables und ipchains
iptables sind abwärtskompatible zu ipchains.
Einstellbar über netfilter.
iptables sind denn ipchains ähnlich, aber stark
erweitert.


8.Filtermöglichkeiten des Packetfilters in der Theorie

Empfohlene Filtermöglichkeiten

 

- Gefälschte Adressen erkennen

 

-- Externes Interface

 

--- LAN-Adressen
Private Klasse A 10.0.0.0-10.255.255.255
Private Klasse B 172.16.0.0-172.31.255.255
Private Klasse C 192.168.0.0-192.168.255.255

 

--- Broadcast
0.0.0.0
255.255.255.255

 

-- Externes wie Internes Interface

 

--- Klasse A (Null-Netzwerk)
0.0.0.0-0.255.255.255

 

--- Local-Link
169.254.0.0-169.254.255.255

 

--- Testnet (Für Testzwecke)
192.0.2.0-192.0.2.255 (Nicht mit Priv. Klass C zu
verwechseln)

 

--- Klasse D (Multicast-Adressen)
224.0.0.0-239.255.255.255

 

--- Klasse E
240.0.0.0-247.255.255.255

 

--- Loopback
127.0.0.0-127.255.255.255 (besser als
localhost=127.0.0.1 bekannt)

 

--- Die eigene Adresse
Die Adresse des Internen Interfaces sollte nicht auf
dem Externen erscheinen und umgekehrt

 

- Geheimer Scan (Stealth Scan)

 

-- TCP 3 Wege Handshake
Ein Normaler TCP Handshake würde aber so aussehen
CLIENT: SYN
SERVER: SYN,ACK
CLIENT: SYN

 SYN ACK


...

 

Täter: SYN
Opfer: SYN,ACK
Täter: RST

 

SYN, ACK, RST, FIN usw. sind FLAGS
SYN = Verbindungsaufbau
ACK = Bestätigung
RST = Reset (Verbindungsabbruch)

 SYN ACK iptables

 

Durch den Frühzeitigen RST kommt keine vollständige
TCP Verbindung zu Stande.
Nun könnten alle Fälle 'SYN SYN,ACK RST' z.B. eine
Sperrung der IP hervorrufen welches das weitere
Portscanning verhindern würde.
Denkbar wäre auch das sperren einzelner riskanter
Dienste (Ports) für diese IP (BIND, FTP ...)

-- Weitere Stealth Scans

 

--- SYN FIN gleichzeitig
'SYN,FIN SYN,FIN'

 

--- Keine FLAGS
''

 

--- FIN RST gleichzeitig
'FIN,RST FIN,RST'

 

--- FIN ohne ACK
'ACK,FIN FIN'

 

Weitere Infos : http://www.ietf.org/rfc/rfc793.txt

 

- ICMP UNREACHABLE
ICMP ist ein Ping
Diese können gesperrt werden.
Der Vorteil liegt darin das bei schnellen und großen
Scans der HOST als Down registriert wird und somit ein
klein wenig Unsichtbarer ist.
Trotz allem ist es möglich diese Filtervariante mit
speziellen Scanmethoden zu erkennen.

 

- Policy
Verhalten einer Paketfilterfirewall für ein IP Paket
welches in keine der Regeln passt.


-- Policy Externes Interfaces
Alle Packete sollten verworfen werden, welche nicht
explizit erlaubt sind.
Als Auswahl gibt es 'DROP' welches alles einfach
ignoriert und 'REJECT' wo eine Fehlermeldung
zurückschickt.
Im Allgemeinen wird empfohlen DROP zu verwenden da so
der Traffic geringer gehalten wird und die Antworten
nicht für nicht legitime Zwecke verwendet werden
können.

-- Policy Internes Interface
Für Anfänger ist es einfacher alles auf 'ACCEPT' zu
setzen.
Einen gesteigerten Sicherheitsstandard erreichen wir
aber mit 'REJECT' (zurückweißen) und 'DROP'
ignorieren.

 

- Sperren von sources routed Paketen

 

- Protokollierung
Logs können für alle gefährlichen Packete geschrieben
werden (Stealth Scan, Source Routing, gefälschte
Adressen)

 

- Limit
Erstellen von LIMITS welches die Anzahl von z.B. 5
Pings die Minute haben nie geschadet.

 

 

Autor : poiin2000 at yahoo.de

Weiterführende internen Links
Firewall

Weitereführende externen Links

http://www.pl-forum.de/t_netzwerk/iptables.html
http://iptables-tutorial.frozentux.net/iptables-tutorial.html (engl)