Firewall II

imagesErkenntnis

Auch bei der einfachen, statischen Paketfilterung ist es nicht möglich, auch nur eine einzige funktionierende Firewall-Regel, wenn man sich nicht vorab grundlegende Gedanken und einen Kommunikationsplan gemacht hat. Es sind mindestens die vorgenannten Gedankengänge zugrunde zu legen. Ein ausführlicher Plan, der noch mehr Überprüfungskriterien mit einbezieht.

Diese Gedankengänge sind sehr komplex. Insofern ist es auch nicht verwunderlich, das Microsoft Betriebssysteme wie Win7 gleich drei Basiskonfigurationen einer Firewall anbieten. Der normale Benutzer erreicht dadurch einen gewissen Basis-Schutz. Natürlich können drei vorgefertigte Regelketten (Heimnetz, Arbeitsplatz, Öffentlicher Bereich) keinen Rundumschutz bieten. Besondere Ansprüche an ganz bestimmte Dienste können hier natürlich nicht berücksichtigt werden.

Jedoch gibt es mittlerweile (ab Windows Vista) erweiterte Einstellmöglichkeiten, die jedoch nur von Fachinformatikern genutzt werden sollten. Ein einfacher Benutzer dürfte auch hier überfordert sein.

Die statische Paketfilterung wird heutzutage grundsätzlich nicht mehr angewandt bzw. nur noch in seltenen Fällen. Dies liegt an der Tatsache, dass bei den Filterregeln kein Verbindungsstatus berücksichtigt wird. Dies hieße beispielsweise, bei einer Regel, welche dem Host erlaubt eine Verbindung zu einem z.B. Webserver auf Port 80 aufzunehmen, der müsste eine eingehende Verbindung des Quellports 80 ebenfalls erlauben. Wenn nun ein kleiner Bösewicht von dem Quellport 80 eine Verbindung zu uns aufnehmen würde, so könnte er, aufgrund der INPUT Regel, in unser System gelangen. Dies wäre nun erheblich schwieriger, wenn nur eingehende Verbindungen erlaubt werden würden, welche vorher einen Verbindungsaufbau unsererseits durchlaufen haben, könnte ein höheres Maß an Sicherheit erreicht werden. Natürlich ist anzumerken, dass es eine wirkliche Sicherheit nie geben kann und wird.

Eine Firewall gilt als unüberwindlich, wenn sie einen potenziellen Eindringling, welcher nach neuesten Erkenntnissen ins System einzudringen versucht, 24 Stunden abhalten kann. Dies heißt natürlich, dass spätestens nach 24 Stunden ein Eindringlich jede noch so gute und somit vermutlich teure Firewall überwunden hat und unsere Dateien stehen kann.

Es wird davon ausgegangen, dass nach einem 24-stündigen Angriffsversuch der Angreifer einen Fehler begeht und somit den Angriff in irgendeiner Form bemerkt werden könnte.

Insofern ist unsere Firewall, egal ob statisch oder dynamisch, sicher nicht als der Weisheit letzter Schluss. Allerdings basiert derzeit nahezu jede Firewall auf einer „Statefull Packet Inspection (SPI)“.

Ein Beispiel einer dynamischen Paketfilterung unter Linux könnte etwa so aussehen:

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

In diesem Fall werden alle eingehenden Pakete gestattet, welche durch eine entsprechende OUTPUT Rule, von uns angefordert wurde. Im Regelfall werden natürlich die INPUT Pakete korrekt deklariert, aber faul wie unser Lehrer ist… 🙂

Ergänzen sie also ihr bisheriges Ruleset durch die dynamischen Komponenten. Auf einem Router, ist natürlich die FORWARD Rule ebenfalls korrekt anzupassen. Bedenken Sie hierbei die Kommunikationsrichtungen.

Frage:

Wie kann bei einem verbindungslosen Transportprotokoll wie UDP ein Verbindungsstatus überprüft werden?

http://www.selflinux.de/selflinux/html/iptables08.html

iptables.up.rules

Print Friendly, PDF & Email

Schreibe einen Kommentar