Firewalls für kleine und mittelständische Unternehmen auf Basis des
Contents
1. http Awww google de services 192 168 150 1 45 amp Y me E Abbildung 4 1 Screenshot des IPCop Startbildschirm 4 1 1 Updates In der aktuellen Version 1 4 18 wurde der Punkt Updates erneuert Dem IPCop ist es nun m glich direkt aus der Weboberfl che heraus neu angek ndigte Updates direkt herunterzu laden und zu installieren In den fr heren Versionen war nur die automatische Ank ndigung implementiert Das Update musste manuell heruntergeladen und vom WebGUI aus hochge laden werden Ebenfalls neu ist die absteigende Sortierreihenfolge der bereits installierten Updates 37 Kapitel 2 1 1 4 1 2 Passw rter Auf diesem Bildschirm k nnen die Passw rter f r den administrativen Webzugang admin so wie dem eingeschr nktem Webnutzer dial ge ndert werden Der Benutzer dial hat nur das Kapitel 4 Konfiguration und Einrichtung der Basismodule 26 Recht eine Verbindung zu beenden und erneut aufzubauen Er steht zudem nur zur Verf gung wenn der IPCop zur Einwahl konfiguriert wurde Dies bietet sich an wenn der Administrator den Benutzern erlauben m chte die Verbindung zu steuern ohne ihnen administrative Rechte zu geben Der Bentzer roor f r den Shellzugriff kann nur direkt ber eine Konsole im Setup programm ge ndert werden 37 Kapitel 2 1 2 4 1 3 SSH Zugriff Hinter diesem Men punkt verbirgt sich die Einstellung ob eine Verbindung ber eine Conso le via Putty oder hnliches erlaubt2. Tabelle 7 1 bersicht Addons Funktionsumfang Nutzen AddOn Proxy Perfor Sicher Stabi Logging Bemerkung mance heit lit t Quality of Ser di x Bandbreiten vice reglementierung BlockoutTraffic EER d Traffic reglementierung Advanced nn ae Umfangreicher Proxy Proxy Update Acce Zwischenspeicher lerator f r gro e Down loads Calamaris a Proxylog Analyse URL Filter EE Blocken nichter w nschter Web seiten Copfilter u EEX EE SPAM Virenfilter Ucarp ERF Uberpr fung des Verf gbarkeit Webalizer ER Proxylog Analyse Line Test Hr berpr fung des Verbindungssta tus GUI Ports s nderung der Standard IPCop Ports UPS di berpr fung der Stromversorgung SystemInfo da System Analyse SnortALog ER Log Analyse FirewallLog ET vi Log Analyse RootKitHunter ei Untersuchung auf RootKits Coptime gt Auswertung der Stabilit t GLOSSAR Glossar ACK AddOns ARP Das ACK Flag steht f r die Empfangsbest tigung einer TCP Verbindung 30 S 8 Programme zur Erweiterung einer Software um weitere Funktionen S 2 Address Resolution Protocol zur Umsetzung von Hardwareadressen zu Netzwerk adressen MAC Adresse lt gt IP Adresse 30 S 7 Bundestrojaner Umgangssprachliche Bezeichnung einer staatlich durchgef hrten Online Durchsuchung S 5 Community Zusammenschluss einer Gruppe von Personen innerhalb des Internets di
3. sc ee en 24 E Updatesti a pta ee ee i a ae ee ee ee 25 AZ P ssW tter podia ae ee dl EEE Se ee 25 41 3 SSH ZUEAE as see elek 26 4 1 4 Einstellungen der Benutzeroberfl che 26 4 1 5 Datensicherung zu 2 0 Sr a PARA en 21 4 1 6 x Her nterfahren s s can ea mr nd 27 4 Dank amao sp Bi ses ec lege geh EGA E SE a 21 4 2 gt Statusmeldinsen u pi a ee ee IA 21 4 2 1 Systemstatus und Diagramme 2 2 2 cn nn 28 4 2 2 Verbindungen A ee eek ee ee eye ee 29 4 35 NEIZWELK o o do E I a eh EA 29 44 Diensten ras pl ar ar dla dica 31 PAL WEDETO A ip E aa crea a 31 AZ DNI DEE ET IA o EL EEE 32 443 DHCP Dienst y siss aan ala an 32 AAA LOSCIC gt a Sp ari aeiaai a ee ea ee ee ee 33 4 4 5 Dynamisches DNS ee a a EA 33 4 4 6 Intrusion Detection 00 ad ar a 34 44 7 Irae Shaping s aus a Se De a 35 4 3 Firewall aeg oa A a e Se tere Gn 35 4 5 1 Port Forwarding smart ar rn 35 45 2 Prtemer Zugang 36 4 5 3 DMZ gt Schl upfl cher 2 2 2 28 2 na Sana En 36 4 5 4 Firewall Optionen u as aa en 36 ADO VPE a a iR Er Er e aS 37 5 Weitere Funktionen und Dienste AddOns 39 3 1 OMA of Servic A AAA Re gegen 41 352 A 2ER PER De a 43 5 3 Advanced Proxy ar ar Er Ra a 46 5 3 1 Update ACERA ca ya rag ra nn 51 9 3 2 Calamars oa Dur E oE o E E a i E o e EE E G 52 SA UREM 0 en EA AA AS 54 Inhaltsverzeichnis VI 3 93 Copfilter z Sue ar 5 5 1 Quarant ne 5 5 2 MON re
4. 5 2 BlockOutTraffic Wie in Abbildung 3 2 gezeigt sind nicht alle Verbindungswege gesperrt BlockOutTraffic BOT ist ein Addon welches diese Verbindungen nachtr glich blockiert Verbindungen sind nur noch dann erlaubt wenn dazu eine entsprechende Regel erstellt wurde Durch dieses Ad dOn wird die Firewall wesentlich sicherer da nur noch gewollte Verbindungen durchgelassen werden was jedoch einen erheblicheren Planungsaufwand bei der Konfiguration bedeutet Zu dem wird dadurch eine flexiblere Kontrolle der Verbindungen zur Firewall und durch die Fire wall m glich Die Regeln werden ber das Webfrontend des IPCops erstellt und verwaltet 55 Abbildung 5 2 zeigt die auf einem IPCop bereits erstellten Regeln Aktuelle Regeln Anderes Netzwerk Outside Netz Netz i n face Quelle Log Iface Ziel Anmerkung Aktion 1 Green Network a Any Any Default Dienste PCs im LAN d rfen Internet Dienste benutzen v 8 LA MY IPCop Zugriff Netz i a face Quelle Log Ziel Anmerkung Aktion t Green Network a IPCop IPCop Dienste PCs im LAN d rfen IPCop Dienste benutzen vl 0 Pr im AV 2 E Admins 3 IPCop IPCop Admin Admin Dienste f r die Admin PCs Y Y Pe m MS Any a IPCop pop3 8110 IP ADAv Logging Aktiviert Logging Deaktiviert Standard Accept Logging Erweiterte Accept 3 klicken um zu klicken um zu P Block Regel 3 Regel nur Regel ffnet die Legende A deaktivieren A Aktivieren Y Regel i Fire
5. 48668 90664 Genera ted by Webalizer Xtended RB20 by Patrick Frei based on Webalizer Version 2 01 Abbildung 5 8 Screenshot Bericht des Webalizer AddOns 5 8 LineTest Mit dem AddOn Linetest ist es m glich eine Internetverbindung zu berwachen um dann bei Problemen der Verbindung zu einer anderen Verbindung zu wechseln Dazu wird eine Hauptleitung festgelegt auf der in regelm igen Abst nden vorher festgelegte Hosts kontak tiert werden Stellt das AddOn fest dass die Server nicht erreichbar sind geht es davon aus dass die Hauptleitung ausgefallen ist Nun rekonfiguriert LineTest die Internetverbindung und schaltet auf Ersatzleitung um Entweder bleibt diese solange bestehen bis manuell wieder auf die Hauptleitung umgeschaltet oder aber ein Cronjob berpr ft in regelm igen Abst nden ob die Hauptleitung wieder verf gbar ist 18 Obwohl der IPCop bereits ein hnlich Funktion bereitstellt eignet sich diese AddOn beim Ein satz mehrerer Verbindungsarten IPCop erlaubt es nur zwischen definierten Einwahlprofilen zu wechseln Ein automatische Umschaltung auf das erste Profil ist jedoch nicht vorgesehen Zudem f llt diese M glichkeit aus sobald IPCop ber eine statische IP Adresse ber einen vorgelagerten DHCP Server oder ber eine ISDN Karte die Verbindung herstellt Kapitel 5 Weitere Funktionen und Dienste AddOns 69 Installation Das AddOn wird installiert indem das Paket auf den IPCop in ein tempor
6. Christian Werner Meier dotzball enricoballa Fast Edi Dirk Linnenfelser IPCop Administrationshandbuch 1 edition 2006 http www ipcop forum de manuals other ipcop admin de 1 4 x paf Bitkom Private computernutzung steigt in deutschland auf 70 prozent http www bitkom org de presse 30739_49655 aspx Jeremy Chartier About snortalog http jeremy chartier free fr snortalog R Droms Dynamic host configuration protocol http tools ietf org html r fc2131 R Droms Glossary of spam terms http www sophos com security spam glossary html Literaturverzeichnis 11 12 13 14 15 16 17 18 19 20 21 22 R Droms The mime multipart related content type http tools ietf org html rfc2387 Tom Eichstaedt Ipcop v1 4 x sysinfo gui addon http www ipadd de binary html Stephan Feddersen Guiports http www h loit de index php option com_content amp task view amp id 28 amp Itemid 5l Stephan Feddersen Installation des guiports addon http www h loit de index php option com_content amp task view amp id 87 amp Itemid 37 Stephan Feddersen Installation des linetest addons http www h loit de index php option com_content amp task view amp id 71 amp Itemid 77 Stephan Feddersen Installation des ups server addons http www h loit de index php option com_content amp task view amp id 12 amp Itemid 41l S
7. Er ist vor Zugriffen aus den anderen Bereichen ge sch tzt Blau Wireless Lan ber diese Schnittstelle werden WLAN Ger te be WLAN trieben Er kann mit dem gr nen Netzwerkverglichen werden mit dem unterschied das von hier aus kein di rekter Zugriff auf alle anderen Schnittstellen m glich ist Dieser muss separat ber Regeln definiert werden Tabelle 3 2 Regelwerk im IPCop 37 Kapitel2 6 1 Quelle Ziel Status Zugriffsmethode Rot gt Firewall Geschlossen externer Zugang Rot gt Orange Geschlossen Port Weiterleitung Rot gt Blau Geschlossen Port Weiterleitung oder VPN Rot gt Gr n Geschlossen Port Weiterleitung oder VPN Orange gt Firewall Geschlossen Kein DNS oder DHCP Orange gt Rot Offen Orange gt Blau Geschlossen DMZ Schlupfl scher Orange gt Gr n Geschlossen DMZ Schlupfl scher Blau gt Firewall Geschlossen Zugriff auf Blau Blau gt Rot Geschlossen Zugriff auf Blau Blau gt Orange Geschlossen Zugriff auf Blau Blau gt Gr n Geschlossen DMZ Schlupfl scher oder VPN Gr n gt Firwall Offen Gr n gt Rot Offen Gr n gt Orange Offen Gr n gt Blau Offen Kapitel 3 IPCop 17 3 2 Netzwerkkonfiguration Je nach vorhandener IT Infrastruktur ergeben sich unterschiedliche Netzwerkarchitekturen In den nachfolgenden Abbildungen we
8. e E 1 The bad packets stop here _ Dienste Speicher Festplattenbelegung Inodes Belegung Uptime und Benutzer Geladene Module Kernel Version A Dienste El I Cron Server L UFT 1808 kB DHCP Server ANGEHALTEN DNS Proxyserver L UFT 1680 kB Intrusion Detection System GREEN ANGEHALTEN p Intrusion Detection System ORANGE ANGEHALTEN I Intrusion Detection System RED L UFT 96000 kB N Kernel Protokollierungs Server LAUFT 2040 kB NTP Server L UFT 3560 kB N Protokollierungs Server LAUFT 1604 kB UPS Server L UFT 4040 kB 1 VPN ANGEHALTEN l Web Proxy L UFT 69956 kB N Web Server L UFT 5064 kB 1 N 1 Speicher N 1 l j Gr e Benutzt Frei Prozent A o Spei o 7 Puffer 2wischonspeicher 415386 601376 mo aen ee j 5 p en er a zwischengespeichert 450052 wap lo l N 1 Festplattenbelegung i 1 l Ger t Mounted auf Gr e Benutzt Frei Prozent dev root ri 2842M 287M 2527M 11 dev harddisk1 boot 16M 4M 12M 25 dew harddisk2 var log 8470M 417M 7624M 6 N Fertig tiffy nettpix de 445 amp E Abbildung 4 3 Screenshot der IPCop Statusinformation Andererseits werden hier auch Diagramme ber den zeitlichen Verlauf vom Systemzustand vom Netzwerk 37 Kapitel 2 3 4 und vom Proxydienst 37 Kapitel 2 3 5 bereit gehalten Die se werden in der Standardeinstellung alle f nf Minuten aktualisiert und zeigen aufgesc
9. rchtung dass durch die Kommerzialisierung des Projekts die Entwicklung beeintr chtigt w rde Mittlerweile hat sich aus dem IPCop Projet ein weiterer Fork gebildet die Endian Firewall Diese vereint die Basisfunktionen des IPCops sowie einiger ausgew hlter AddOns in einer Distribution Hinter dem Projekt steht die Firma Endian s r l mit Sitz in Italien Die Soft ware unterliegt ebenfalls der GPL und ist ebenso frei verf gbar wird jedoch kommerziell mit geb ndelter eigener Hardware als Komplettl sung vertrieben Verkauft wird demnach die Hardware und der Support 53 3 1 Netzwerk IPCop unterteilt grunds tzlich in verschiedene Netzwerkschnittstellen 2 Seite 48 siehe Ab bildung 3 1 Auff llig dabei ist die Ampelkonstellation die in gewisser Weise die Gefahr trans parent darstellt Gr n ist das sichere Lokale Netzwerk rot hingegen ist das gef hrliche Internet von der die Bedrohung ausgeht und vor dem das gr ne Netz gesch tzt werden soll Orange bedeutet dagegen einen gewissen Schutz mit eventuellen Risiken und Gefahren und steht so mit f r die DMZ Die Farbe blau ist nicht assoziiert mit einer Bedeutung f r Gefahr oder Sicherheit Blau steht indes f r eine Funk verbindung Dabei gilt nach der Installation das Regelwerk wie es aus der Tabelle 3 2 zu entnehmen ist In der Grundkonfiguration steht dem Benutzer bereits ein sicheres System zur Verf gung Jeder Verkehr von au erhalb nach innen wird abgeblockt umgekehrt jedoch i
10. sst sich die Ausgabe durch Manipulation des URLs beeinflussen dies gleicht jedoch einem Ratesuchspiel Ebenfalls l sst sich die Anzahl der Zeilen einstellen um nicht st ndig bl ttern zu m ssen da die unterschiedlichen Logs pro Tag mehrere tausend Eintr ge haben k nnen In diesem Zusammenhang ist es ebenfalls wich tig die Dauer f r das Aufheben der Logs einzustellen Es k nnen durchaus einige Gigabytes an Daten zusammen kommen und je nach Gr e der verwendeten Festplatte kann diese voll laufen Dies gilt ebenso f r den Detailierungsgrad Wer einen Syslog Server f r Remotelogging betreibt kann diesen ebenfalls dazu verwenden die Logs des IPCops auf diesem zu speichern Dazu ist es n tig das Remotelogging zu akti vieren und den Syslog Server namentlich anzugeben Die Beschreibung zur Konfiguration ist jedoch weder in der deutschen noch in der englischen Dokumentation vorhanden Prinzipiell gibt es zwei Logs die sicherheitsrelevante Aufzeichnungen beinhalten Zum einen gibt es die Firewalllogs Die Eintr ge die sich hier drin befinden zeigen Verbindungsversu che zum Netzwerk die jedoch von der Firewall nicht durchgelassen wurden An diesen Logs l sst sich also feststellen welche potentiellen Angriffe auf das Netzwerk durchgef hrt wur den Dabei muss ein solcher Eintrag jedoch noch nicht bedeuten dass das Netzwerk gezielt angegriffen wurde Viele Eintr ge k nnen verursacht werden durch Tippfehler oder fehlerhaft konfigurier
11. tiffy nettpix de 445 cgi bin advproxy cgi SYSTEM STATUS NETZWERK DIENSTE FIREWALL YPNS LOGS COPFILTER amp al Cho The bad packets stop here ho Proxy Port 800 Sichtbarer Hostname Y Proxyserver Cache Administrator E Mail ipcop nettpix de Sprache der Fehlermeldungen German v Design der Fehlermeldungen IPCop X Yorgelagerter Proxy Proxy Adresse weiterleiten a Client IP Adresse weiterleiten Benutzernamen weiterleiten Keine verbindungsorientierte Authentifizierungsweiterleitung A Proxy Host Port Proxy Benutzername Y Proxy Passwort Y Protokolleinstellungen Protokoll aktiviert E Protokolliere Query Terms Ea Protokolliere Useragents E Cacheverwaltung Cachegr e im Arbeitsspeicher 64 MB Min Objektgr e KB 0 Anzahl der Level 1 Bil Unterverzeichnisse 16 Speicher Ersetzungsrichtlinie LRU x Cache Ersetzungsrichtlinie LRU x Aktiviere Offline Modus Cachegr e auf der Festplatte MB 1024 Max Objektgr e KB 1024 Diese Domains nicht zwischenspeichern eine pro Zeile Y Ziel Ports Zul ssige Standard Ports einer pro Zeile 80 http 21 ftp Fertig Zul ssige SSL Ports einer pro Zeile tiffynetipicde d45 E O Abbildung 5 3 Screenshot Konfigurationsmaske Advanced Proxy Der Entwickler hat zu diesen Funktionen noch den Update Acce
12. tzlichen Con tentFilter zu integrieren wie etwa das hier nicht besprochenen AddOn DansGuardian oder Privoxy aus dem AddOn Copfilter Dazu muss jedoch der Host und Port des Proxies mit ange geben werden Ist einen Authentifizierung erforderlich wird diese ebenfalls hier hinterlegt Danach erfolgt die Einstellung zur Protokollierung Dies kann aktiviert und deaktiviert wer den Zudem k nnen bei dynamischen Abfragen die Query Terms mit protokolliert werden Ebenso kann auch der UserAgent mit protokolliert werden Dieser erscheint jedoch nicht im GUI sondern nur im Verzeichnis var log squid useragent log Es sollte auch nur zur Fehler suche aktiviert werden das diese Datei ebenfalls sehr gro werden kann Die Einstellungen der Cacheverwaltung beeinflussen das Verhalten des Caches Es lassen sich wie im Standard IPCop Proxy die Cachegr e sowie die kleinste und gr te zu cachende Dateigr e angeben Ein weiterer Wert ist die Angabe des zu nutzenden Arbeitsspeichers Der hier angegebenen Wert wird f r negativ gecachte und In Transit Objekte verwendet Der n chste Wert beeinflusst die Anzahl der Level 1 Unterverzeichnisse des Festplattenca ches Dieser ist in der Voreinstellung auf 16 eingestellt Dies entspricht 4 096 Verzeichnissen Der Wert kann auf 256 erh ht werden was einer Gesamtzahl von 65 536 Verzeichnissen ent spricht Dieser Wert sollte nur erh ht werden wenn es erforderlich ist da der Startprozess dadurch signifikant ver
13. zuletzt und berhaupt 2 IPCop ist eine spezialisierte Linux Distribution komplett konfiguriert und fertig um Ihr Netzwerk zu sch tzen Ferner es f llt unter die GNU General Pu blic License http www gnu org licenses gpl html d h der komplette Quellco de kann heruntergeladen und berpr ft werden oder einfach von Ihnen f r Ihre pers nlichen Vorlieben oder aus eigenen Sicherheitsgr nden modifiziert und oder rekompiliert werden 3 IPCop ist eine Community wo Mitglieder einander helfen und alle sich be teiligen das Projekt und sich gegenseitig zu verbessern Diese Unterst tzung be ginnt beim simplen Networking 101 Typ durch Instruktionen und Anwei sungen bis hin zur Hilfestellung f r Mitglieder beim Anpassen ihrer IPCop um spezielle Bed rfnisse wie z B Net Phones VoIP oder Multiple B ro Integrit t zu bew ltigen 37 Die Abspaltung als eigenes Projekt aus dem bestehenden Projekt Smoothwall hatte mehrere Gr nde Als die Software 2001 als reine Firewall entwickelt wurde bestand der Wunsch der Entwickler eine Firewall zu entwickeln die im Gegensatz zu den bis dahin verf gbaren Fire walls zum einen unter der GNU General Public License f llt sowie der entwickelten Software eine Community zur Verf gung zu stellen Die SmoothWall wurde kommerziell und stand in der frei verf gbaren Version nur in einem eingeschr nkten Funktionsumfang zur Verf gung Kapitel 3 IPCop 15 Die Entwickler hatten die Bef
14. 10 Iptables ist die Weiterentwicklung des urspr nglichen Paketfilter ipchains Es er laubt die Definition von Regeln in Tabellen die aus mehreren Ketten bestehen die an Netfilter weitergegeben werden 52 S 9 Lightweight Directory Access Protocol ist ein Abfrageprotokoll f r Verzeichnis dienste S 46 Die Media Access Control dient der eindeutigen Identifizierung von Ger ten in einem Netzwerk 30 S 7 Multipurpose Internet Mail Extensions dient zur Ermittlung des bermittelten Da tentyps und Festlegung der Zeichenkodierung der bertragung 11 S 46 Ein stellt im Auftrag eines anderen Clients eine Verbindung her Er speichert zu dem den Internetdatenverkehr zwichen um ihn sp ter bei erneuter Anforderung schneller ausliefern zu k nnen 52 S 4 Remote Authentification Dial In User Service ist ein Protokoll zur Authentifizie rung von Benutzern bei Verbindungen im Netzwerk S 46 Remote Desktop Protokoll zum Betrieb von Terminaldiensten in einem Netzwerk zwischen zwei Rechnern S 15 Simple Mail Transfer Protokol zum Austausch von E Mails zwischen E Mail Servern und Clients S 6 SOCKS ist eine Abk rzung f r SOCKetS und ist ein Protokoll f r einen Circuit Relay Proxy der im Gegensatz zum Proxy auf Anwendungsebene den Verbin dungsaufbau f r den Benutzer transparent realisiert 65 S 10 GLOSSAR MI SSL SYN TCP UDP URL Secure Socket Layer ist ein Verschl sselungsprot
15. 54 Seite 9 pro Speicherzelle liegen Die Schreibzugriffe sollten soweit wie m glich minimiert werden Daher wurde die Original Distribution f r Compact Flashkarten angepasst Ebenso sorgt ein Algorithmus in der CompactFlash Karte daf r dass Kapitel 3 IPCop 20 nicht immer die gleichen Speicherzellen beschrieben werden Angepasste Versionen sind auf der deutschen Community Plattform im Downloadbereich verf gbar Nach der Installation k nnen CD ROM Tastatur und Monitor vom Rechner entfernt werden Die Wartung und Konfiguration erfolgt nun ausschlie lich ber das Netzwerk entweder ber das Webfrontend oder ber einen Shellzugang 3 4 2 Installationsvorgang Am einfachsten gestaltet sich die Installation mit einer bootf higen Installations CD Nach dem diese ins CD Laufwerk eingelegt und der Rechner gestartet wurde erscheint ein Infor mationsbildschirm mit einer Warnung 5 Kapitel 2 1 dass alle Daten auf der eingebauten Festplatte gel scht werden Nach Best tigung mit Enter startet der Bootvorgang des Linux Systems und das Setup wird gestartet Es erscheint nun als erstes eine Auswahlmaske zur Einstellung der Sprache Nach gew nschter Wahl folgt eine Begr ung des Benutzers zum Installationsprogramm Durch Best tigung wird der Benutzer gefragt von welchem Quell medium er das System installieren m chte Nach Auswahl der Option CDROM erfolgen die Partitionierung der Festplatte und die Erstellung des Dateisystems
16. Der Standard HTTP Port des IPCops ist 81 Hier kann der Port angepasst werden Der Standard HTTPS Port des IPCops ist 445 Hier kann der Port angepasst HTTPS Port 445 werden speichern und ndern Anmerkung Nach dem Dr cken des Buttons speichern und ndern werden die hier gemachten Einstellungen sofort und ohne Neustart bernommen Sollte der HTTPS Port ge ndert worden sein wirkt sich dies auch auf das Aufrufen des IPCop Webinterfaces aus Bitte nach dem ndern des HTTPS Ports das Webinterface des IPCops mit den neuen Einstellungen neu aufrufen Abbildung 5 9 Screenshot Konfigurationsmaske GUI Ports 5 10 UPS Das UPS Server AddOn von Stephan Feddersen bietet eine grafische Auswertung des aktu ellen Status einer angeschlossenen USV Diagramme ber den Verlauf der wichtigsten Daten zur USV und bietet dar ber hinaus die M glichkeit das System oder auch weitere Systeme via Remote sofern durch die USV unterst tzt bei einem Stromausfall herunterzufahren 19 Nachteilig bleibt jedoch zu erw hnen dass dieses AddOn nur mit unterbrechungsfreien Strom versorgungen der Firma APC zusammen arbeitet da es auf dem Projekt Apcupsd http www apcupsd com aufbaut Apcupsd ist der Daemon zur Kontrolle von unterbrechungs freien Stromversorgungen der Firma APC auf dem dieses AddOn basiert Die Abbildung 5 10 zeigt eine Zusammenfassung des AddOns von einer an den IPCop angeschlossenen unterbre chungsfreien Stromversorgung
17. Dieser Vorgang dauert je nach ausgestatteter Hardware mehrere Sekunden bis wenige Minuten Sobald dieser Vorgang abgeschlossen ist besteht die M glichkeit ein vorhandenes Backup nach Bedarf einzuspielen Nach der Wiederherstellung ist der Installationsvorgang beendet Soll keine Systemwiederherstellung durchgef hrt werden folgt die Konfiguration der Netz werkkarte f r das lokale gr ne Netzwerk In der Regel werden alle g ngigen Karten automa tisch erkannt Schl gt die automatische Erkennung fehl besteht zus tzlich die M glichkeit der manuellen Einrichtung durch Angabe des Modulnamens und der ben tigten Parameter f r den ausgew hlten Treiber Wird die Karte erfolgreich erkannt schlie t die Installation nach Ein gabe der IP Adresse 792 168 150 1 und Subnetzmake 255 255 255 0 f r das lokale Netzwerk Der Benutzer erh lt einen letzten Hinweis dar ber dass die Installation erfolgreich verlau fen ist er alle Medien aus bootf higen Laufwerken zu entfernen hat und anschlie end das Konfigurationsprogramm gestartet wird Abbildung 3 4 zeigt exemplarisch einige Screenshots der Installation und Konfigurationsdia loge Kapitel 3 IPCop 21 Anvin ill kill all Please be aware ation ALL YOUR EXISTING DATA HILL BE DESTROYED Press RETURN to boot IPCop default installation Or if you are having trouble you can try these options Type ia to disab IA detection PCMCIA USB detection chipset workarou
18. Firewall erstellt werden Gibt es etwa einen Webserver oder einen E Mail Server im internen Netz muss der jeweilige Port und der entsprechende Rechner in einer Regel fest gehalten werden Dazu wird das entsprechende Protokoll ausgew hlt der Quell und Zielport Kapitel 4 Konfiguration und Einrichtung der Basismodule 36 angegeben und eine entsprechende Ziel Adresse Ein Bemerkungstext zur einfacheren Identi fizierung der Regel kann ebenfalls angegeben werden 4 5 2 Externer Zugang Um bestimmte Dienste auf der Firewall auch von au erhalb des internen Netzes zu erreichen gibt es die M glichkeit auch daf r bestimmte Regeln zu definieren 37 Kapitel 2 6 4 Es ist beispielsweise m glich den IPCop ber eine SSH Verbindung f r den IPCop Port 222 fernzusteuern Genauso ist es m glich das Webfrontend des IPCop von extern ber eine hier definierte Regel zum Port 445 erreichbar zu machen Es ist jedoch nicht empfehlenswert die erstellen Regeln dauerhaft zu aktivieren Vielmehr sollten alle nicht erstellten Regeln deakti viert bleiben und nur nach Bedarf aktiviert werden um m gliche Angriffspunkte zu vermei den 4 5 3 DMZ Schlupfl cher Eine weitere Konfigurationsseite zur Regelerstellung verbirgt sich unter der Option DMZ Schlupfl cher 37 Kapitel 2 6 5 Sofern eine DMZ im Netzwerk eingesetzt wird m ssen f r die dort hinterlegten Dienste ebenfalls Regeln eingerichtet werden Die Konfiguration gestaltet sich hier
19. Kapitel 5 Weitere Funktionen und Dienste AddOns 71 UPS Zusammenfassung Thu 07 Feb 2008 15 48 38 Battery Capacity ES Run Time Remaining UPS Load Monitoring tiffy nettpix de UPS Server Version 3 12 4 UPS Model Back UPS BR 800 UPS Name tiffy Status ONLINE Last UPS Self Test NO Last Test Date Not found Utility Voltage 000 0 VAC 100 80 60 40 20 45 36 27 18 125 100 75 50 25 Line Minimum Not found VAC Line Maximum Not found VAC Output Freq 50 0 Hz UPS Temp 29 2 C x 100 0 41 2 mins 19101 Recent Events Mon Feb 04 14 11 00 CET 2008 UPS Server startup succeeded Mon Feb 04 14 10 35 CET 2008 UPS Server shutdown succeeded Mon Feb 04 14 10 35 CET 2008 Valid lock file for pid 29923 but not ours pid 29926 Mon Feb 04 14 10 35 CET 2008 UPS Server exiting signal 15 Sat Feb 02 04 37 26 CET 2008 Allowing logins Sat Feb 02 04 37 26 CET 2008 Power is back UPS running on mains z m Abbildung 5 10 Screenshot UPS Zusammenfassung Installation Das Paket wird auf dem IPCop in ein tempor res Verzeichnis bertragen und dort mittels tar entpackt Im daraufhin erstellten Verzeichnis wird die Installation durch Ein gabe des Befehls install gestartet Nach erfolgtem Start erwartet die Installation die Auswahl einer Option um das AddOn zu installieren Es stehen die Optionen smbclient msgclient und sendmail sowie eine Kombinati
20. Letztlich l sst sich IPCop noch mit einigen AddOns sch rfer einstellen und tr gt somit zu zus tzlicher Sicherheit bei Das AddOn BOT etwa in dem es generell alle Verbindungen sperrt und gewollte Verbindun gen manuell anhand von Regeln definiert werden m ssen Aber auch mit Copfilter der ein komplettes Paket an Tools mit sich bringt und auf dem IPCop unter anderem ein E Mail Relay erstellt welches Viren Spam und Phishingfilter enthalten Die Tabelle 7 1 dient der bersichtlichen Anschauung ber den Funktionsumfang und Nutzen des jeweiligen AddOns Die Anzahl der Sterne repr sentiert dabei den jeweiligen Funktions gewinn Die Voraussetzungen zur Nutzung des IPCop sind so gering das die Anschaffung neuer Hard ware in der Regel ausbleiben kann Die Kosten f r die Hardware liegen bei unter hundert Euro sofern keine neue Hardware angeschafft werden muss Die Einarbeitung und Installation ist innerhalb eines Tages abgeschlossen und f r die Wartung und Auswertung der Logs k nnen ungef hr 20 Minuten am Tag veranschlagt werden was einem w chentlichem Aufwand von zwei Stunden entspricht Die Kosten f r den Betrieb sind demnach berschaubar IPCop kann als flexible und kosteng nstige Alternative zu hochpreisigen Firewallsystemen konkurrieren Der Einsatz in kleinen bis mittelst ndichen Unternehmen zur Absicherung des Netzwerks wird empfohlen Kapitel 7 Zusammenfassung 88
21. Liste aktualisieren Anzeigen Export L schen 4 I l ea __ M Fertig tiffy nettpix de 445 amp c l ee I M M M M M U Abbildung 5 4 Screenshot Konfigurationsmaske Calamaris Installation Das von der Projektseite heruntergeladene AddOn wird in ein tempor res Ver zeichnis auf den IPCop bertragen Dort wird es mittels tar entpackt und anschlie end im entpackten Verzeichnis durch Eingabe des Befehls install gestartet Die Installation l uft au tomatisch durch und richtet einen zus tzlichen Men punkt im Logmen ein 44 Konfiguration Eine Konfiguration dieses AddOns ist nicht erforderlich Jedoch stehen f r die Erstellung eines Berichts einige Optionen zur Verf gung Abbildung 5 4 zeigt die Maske zur Erstellung eines Berichts Mit diesen Optionen lassen sich weitere detailliertere Informa tionen mit in den Bericht aufnehmen Diese sind ein Domainbericht der die am h ufigsten auf gerufenen Domains enth lt Top und 2nd level Ein Leistungsbericht der Aufschluss ber die Datenrate pro Stunde der Downloads gibt Ein Inhaltsbericht welcher die unterschiedli chen Inhalte nach content type und extension wiederspiegelt sowie ein Abfragebericht der alle Abfragen unterteilt nach UDP und TCP Abfragen enth lt Zus tzlich l sst sich ein Ver Kapitel 5 Weitere Funktionen und Dienste AddOns 54 teilungshistogramm erstellen Dieses zeigt die statistische Verteilung der Dateig
22. Quality of Service AddOn wird zur ebenfalls zur Bandbreitenregulierung eingesetzt Bandbreitenregulierung ist sinnvoll wo zu wenig Bandbreite vorhanden ist oder eine zu hohe Teilnehmerzahl sich die Bandbrei te teilen muss Zum Tragen kommen hier unterschiedliche Gr nde Ein ADSL Zugang hat eine geringe Uplink Bandbreite Dadurch entstehen Staus im Datenstrom was zu Verlusten von Paketen f hrt Auch gibt es h here Latenzen bei interaktiven Diensten wie SSH und oder Voip Die Aufgabe vom QoS ist es die Pakete zu sortieren um so die Leitung besser auszulas ten Es stehen zwei AddOns zur Verf gung QoS basierend auf der Methode Hierarchical Fair Service Curve HFSC und QoS NG basierend auf Hierarchical Token Bucket HTB W hrend HTB haupts chlich Token Bucket Filter TBF in eine hierarchische Struktur gliedert und dabei die wesentlichen Eigenschaften eines TBFs beibeh lt erlaubt der HFSC Algorithmus neben der proportionalen Aufteilung der Band breite zudem noch die Vergabe und Kontrolle von Latenzzeiten Dies erm glicht eine bessere und effizientere Nutzung der Leitung in Szenarien in denen sowohl bandbreiten intensive Daten Dienste und als auch interaktive Dienste sich eine Leitung teilen 28 Ein QoS wird in einem Netzwerk mit nur einem Client besser gesagt mit einem einzelnen Download keinen Vorteil haben Im Gegenteil der Download wird sogar langsamer durch die Sortierung der Pakete Allerdings sorgt das QoS daf r das in einem Ne
23. Thema zur Firewall selbst beziehungsweise behandeln in erster Linie das dort angebotene AddOn Weiterf hrende Informationen sind dort in der Regel nicht erh lt lich Die wohl wichtigsten Anlaufpunkte im Netz sind das deutsche Forum zum IPCop sowie die englischsprachige Projektseite Nach Fertigstellung dieser Arbeit beabsichtige ich die Arbeit weiter auszubauen und fort zuf hren Dann m chte ich auf tieferliegende Details eingehen die innerhalb dieser Arbeit nicht untersucht werden k nnen Die l ngerfristige Zielsetzung besteht darin ein deutsches Fachbuch zum IPCop zu schreiben welches prim r die Absicherung kleiner und mittlerer Netzwerke beschreibt Die Zielgruppe der vorliegenden Arbeit sind jedoch wie im Titel bereits definiert kleine und mittelst ndische Unternehmen Die Gr e der in Betracht kommenden Unternehmen sollte bei weniger als 50 Mitarbeitern Benutzer Clients liegen obwohl in weiteren Ausbaustufen auch eine gr ere Nutzergruppe m glich ist Vorwort II Bei der genannten Zielgruppe liegt allerdings in vielen F llen das Hauptziel in der Umset zung von I relevanten Themen zu einem geringen Preis Oft besteht die IT Abteilung eines solchen Unternehmens aus einem Team von einem bis drei Mitarbeitern inkl vorhandener Auszubildenden die sich mit allen EDV technischen Themen des Unternehmens besch fti gen Dazu geh rt unter anderem ein Benutzermanagement Sicherungsmanagement Installa tion u
24. Wechsel des Kernels die Endian Firewall eingesetzt 38 Seite 133 Obwohl der Einsatz in dieser Art m glich ist bricht die ser Aufbau die grunds tzlichen Regeln die in einem Firwallkonzept zur Sicherheit beitragen sollen Eine Firewall ist sicher vorausgesetzt die Firewallsoftware selbst unterliegt keinem Fehler Dies liegt daran dass nur Dienste angreifbar sind die angeboten werden Wird ein Angriff auf einen Webserver gefahren schl gt dieser bereits fehl wenn kein Webserver antworten kann weil dieser nicht aktiviert und so nicht erreichbar ist Eine Gefahr im Betrieb einer Firewall in einer virtuellen Umgebung liegt nun zum einen darin dass alle Datenpakete die zur Fire wall m ssen erst einmal das Hostsystem durchlaufen Dies wird zwar durch die Verwendung eigener IP Stacks die keine direkte Verbindung zwischen Host und Gastsystem erlauben un terbunden aber ein Fehler innerhalb des IP Stacks ist wie in jeder Software m glich Somit w re etwa ein Angriff auf ein virtuelles System denkbar Eine weitaus h here Gefahr geht Kapitel 3 IPCop 23 jedoch von den Diensten auf dem Hostsystem aus Ist dort ein Dienst kompromittiert worden hat der Angreifer direkten Zugriff auf das gesamte System einschlie lich der Firewall 63 Der grunds tzliche Einsatz einer Firewall unabh ngig ob IPCop oder ein anderes Produkt in einem virtuellen System ist definitiv nicht ratsam und sollte in keiner produktiven Umgebung Verwendun
25. des IPCop beziehungsweise die ffentliche IP Adresse des IPCops Wird ein dynamisch DNS benutzt ist es empfehlenswert eine Verz gerung mit anzugeben wann das VPN Netzwerk gestartet werden soll Ebenso kann angegeben werden dass VPN neugestartet wird sobald sich die dynamische IP Adresse ge ndert hat Kapitel 4 Konfiguration und Einrichtung der Basismodule 38 Im Verbindungsstatus k nnen bestehende VPN Verbindungen kontrolliert und berwacht wer den sowie neue hinzugef gt werden Im Bereich der Zertifizierungsstellen k nnen ein Root und Host Zertifikat erstellt werden Hier kann ebenfalls ein bereits bestehendes Zertifikat auf den IPCop hochgeladen werden Um nun eine VPN Verbindung zu erstellen wird der Assistent zur Einrichtung durch Klicken auf den Schalter Hinzuf gen gestartet Dort wird im ersten Schritt der Verbindungstyp Netz zu Netz oder Host zu Netz ausgew hlt 37 Kapitel 2 7 4 2 Im n chsten Schritt werden nun die Verbindungsparameter angegeben Diese sind der Name der Verbindung zur Kennzeich nung die Host IP Adresse und Subnetz sowie die erlaubte Remote Adresse und Subnetz Zu s tzlich kann angegeben werden was mit der Verbindung geschieht sobald der Remote Host nicht mehr erreichbar ist Dead Peer Detection Danach erfolgt die Angabe der Authentifizierung Diese kann wie bereits angegeben ber einen Pre Shared Key erfolgen oder ber ein Zertifikat Da die Einrichtung eins VPNs jedoch problemati
26. es eine Galerie mit Abbil dungen ber die eingesetzte Hardware einiger User Weiterhin befinden sich hier die deutsche Dokumentation sowie auch die einzelnen IPCop Pakete zur Installation und auch Updates f r Kapitel 6 Wartung und Pflege 84 Tabelle 6 1 bersicht Foren Bereiche Forenbereich Inhalt 1 4 x IPCop generell Allgemeines zu IPCop 1 4 x IPCop Installation amp Updates Alles zur Grundinstallation von IPCop und alles zu den Up dates 1 4 x IPCop Konfiguration amp Administration Alles was mit der Konfiguration von IPCop und den Clients zu tun hat 1 4 x IPCop Addons amp Modi fikationen Addons Modifikationen und zus tzliche Software f r IP Cop 1 4 x IPCop und Hardware Bei Problemen mit IPCop und Hardware Hardwareanfor derungen von IPCop 1 4 x IPCop und Server Serverfarm hinter IPCop Einstellungen Konfiguration welche Ports 1 4 x IPCop und VPN VPN Allgemein VPN Roadwarrior VPN IPCop IPCop OpenVPN 1 4 x IPCop und WebProxy WebProxy und IPCop Advanced Proxy URL Filter Update Accelerator 1 4 x Only for english spea IPCop related discussions in english all topics kers IPCop Al Allgemeines zu Testversionen Hard und Software Proble pha Beta Testversionen me generelles IPCop alte Versionen alle Themen Alle Themenbereiche nur ltere IPCop Versionen Nur Lese Archiv Verschieden weitere Bereiche zu C
27. hierbei sind zum einen die CPU die f r die Erkennung von SPAM erforderlich ist sowie die Gr e des Arbeitsspeichers da dieser zum Gro teil vom Virenscanner genutzt wird Ein weiterer Faktor liegt in der Zeit die f r die Pr fung auf Viren gewartet werden muss Beim Surfen machen sich daher zum Teil Latenzen bemerkbar 31 Der Entwickler dieses AddOns betreibt eine eigene Website http www copfilter de und eine eigenes Forum http copfilter endlich mail de Dem Benutzer Kapitel 5 Weitere Funktionen und Dienste AddOns 57 tiffy nettpix de Copfilter Mozilla Firefox m o fu A O PA Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe lt a i 5 e a lo https tiffy nettpix de 445 cgi bin copfilter_status cgi l Dd gt Gl Google a Cor y The bad packets stop here Copfilter Version 0 84beta3a Dokumentation README CHANGELOG CREDITS BUGS Al N WARNUNG Dieses Paket ist KEIN offizielles IPCop Addon Es wurde weder durch die IPCop Entwickler programmiert noch besichtigt Es gibt keine Garantie die Benutzung erfolgt auf eigene Gefahr Dieses Paket f gt Firewall Regeln Proxies Filter und Viren Scanner I auf dem IPCop hinzu Benutze NICHT den Copfilter wenn Dir die Sicherheit des IPCop wichtig ist Trotz Einsatz von HAYP k nnte es N m glich sein dass ein Virus empfangen wird Copfilt s 7 A E opfilter gt Virus Quarantine Spam Quarantine Monit Servi
28. hinterlegte E Mail Postfach einen Report Dieser enth lt Informationen ber die jeweilige nderung 32 Seite 20 5 5 3 P3Scan P3Scan ist ein Dienst der den einkommenden E Mail Verkehr im POP3 Protokoll untersucht Der Dienst kann f r die Netzwerke gr n orange und blau separat eingeschaltet werden Bei der Untersuchung einer E Mail kann auch entschieden werden ob ein Kommentar dazu in der E Mail hinterlegt werden soll Dies kann im E Mail Header als auch im Body Text erfol gen Zudem kann eingestellt werden ob der Betreff einer erkannten SPAM E Mail ver ndert werden Dem Betreff wird dann der Text SPAM vorangestellt Dies erleichtert das nachtr gliche manuelle oder regelbasierte Ausfiltern im E Mail Client da das POP3 Protokoll keine Unterdr ckung der E Mail erlaubt Dennoch ist es m glich erkannte SPAM Emails in Kapitel 5 Weitere Funktionen und Dienste AddOns 60 den Quarant ne Ordner zu verschieben Um nicht jede E Mail pr fen zu m ssen existiert eine White und eine Blacklist Jeder ausgehende E Mail Empf nger kann in dieser Liste automa tisch eingetragen werden Daneben besteht jedoch auch die M glichkeit die Liste manuell zu bearbeiten Neben der SPAM Erkennung ist auch eine Pr fung der E Mail auf Viren oder verd chtige Anh nge vorhanden Diese Funktionen k nnen wiederum separat zugeschaltet werden Da wie bereits erw hnt ein Unterdr cken der Nachricht nicht m glich ist wird die E Ma
29. indem er TCP SYN Pakete f r den Verbindungsaufbau generiert Der angegriffene Rechner versucht zu antworten kann diese Rechner aber aufgrund der nicht existenten IP Adresse nicht erreichen Die Verbindung wird aber in der Tabelle f r die wartenden Verbindungen vorerst bleiben Dies wiederholt der Angreifer solange bis die Tabelle voll ist und der Server diese l schen muss Ist zwischendurch eine g ltige Anfrage von einem existierenden Rechner gekommen wird diese auch entfernt da der Server nicht zwischen diesen beiden unterschei den kann F r den normalen Besucher sieht es aus als ob der Server nicht erreichbar ist 52 Kapitel 4 4 1 65 Kapitel 2 4 7 2 2 2 Spoofing Spoofing wird eine Methode genannt die der Angreifer nutzt um Informationen zu f lschen Dabei k nnen die Informationen in unterschiedlichen Bereichen liegen Nachfolgend sind die g ngigen Methoden des Spoofings beschrieben Daneben gibt es jedoch noch weitere Me thoden auf denen Spoofing angewendet wird Beim URL Spoofing wird dem Besucher einer Website vorget uscht sich auf der Webseite seiner Wahl zu befinden jedoch befindet er sich tats chlich auf einer manipulierten Seite des Angreifers und gibt dort unter Umst nden Bank informationen preis die der Angreifer abf ngt Beim Mail Spoofing wird die Absenderadresse einer E Mail gef lscht Dies ist m glich da das SMTP Protokoll keine berpr fung der Ab senderadresse vorsieht Der Empf nger erh lt m glicherweise
30. ist Ebenso werden hier die Einstellungen zur Authentifi zierung ber SSH konfiguriert Wichtig in diesem Zusammenhang ist dass der SSH Dienst auf Port 222 und nicht auf dem Standard Port 22 l uft Abbildung 4 2 zeigt eine solche Verbindung 37 Kapitel 2 1 3 2 2005 from 192 165 150 30 Abbildung 4 2 Screenshot der SSH Verbindung mit Putty 4 1 4 Einstellungen der Benutzeroberfl che Unter diesem Punkt wird die Benutzeroberfl che konfiguriert Da gewisse Browser unter Um st nden kein JavaScript unterst tzen oder es im Browser deaktiviert ist kann diese Funktion deaktiviert werden Auch ist auf diesem Bildschirm die bevorzugte Sprache anpassbar Wei terhin wird hier konfiguriert ob der Hostname auf der Startseite angezeigt wird und ob der IPCop bei einer nderung des Verbindungszustands einen Signalton von sich gibt 37 Kapitel 2 1 4 Kapitel 4 Konfiguration und Einrichtung der Basismodule 24 4 1 5 Datensicherung Im Bereich der Datensicherung werden alle Einstellungen der Konfiguration gesichert Diese k nnen je nach Bedarf auf eine Diskette oder auf einen externen Datentr ger im FAT Format gesichert werden Zus tzlich ist als dritte Alternative m glich Sicherungss tze anzulegen und diese herunterzuladen Unter diesem Men punkt kann ebenfalls ein zuvor gesicherter Siche rungssatz wieder eingespielt werden 37 Kapitel 2 1 5 4 1 6 Herunterfahren Im vorletzten Punkt des Hauptmenupunktes System kann
31. k 30 k 20 k 10 k 0 Jan Feb Mar Apr E Total Aktuell 118 50 Jahre MW 2007 01 16 release IPCop v1 4 13 M 2007 03 04 release IPCop v1 4 14 MW 2007 03 10 release IPCop v1 4 15 M 2007 07 17 release IPCop v1 4 16 MW 2007 12 02 release IPCop v1 4 18 so 70 60 50 40 30 20 Jan Feb Mar Apr E CopTime Durchschnitt mM 2007 01 16 release IPCop v1 4 13 M 2007 03 04 release IPCop v1 4 14 MW 2007 03 10 release IPCop v1 4 15 M 2007 07 17 release IPCop v1 4 16 MW 2007 12 02 release IPCop v1 4 18 CopTime Durchschnitt 2008 01 01 18 06 May Maximal 79 8 Tage oo Jun Oct Nov Dec Aktuell 74 8 Tage Jul Aug Sep Durchschnitt 50 7 Tage Abbildung 6 3 Durchschnittliche Uptime aller User Jahresansicht 60 Kapitel 6 Wartung und Pflege 83 deutlich wie Stabil der unterbrechungsfreie Betrieb der Firewall IPCop ist Ein Reboot ist nur in den seltensten F llen notwendig etwa wenn ein AddOn installiert wird welches tief ein greifende nderungen im System vornimmt oder nach einem Update welches einen Kernel wechsel durchf hrt Der Spitzeneinbruch Mitte September und der minimale Einbruch Anfang Dezember zeigen jeweils einen Versionssprung 6 4 Hilfestellung und Ressourcen IPCop ist mittlerweile sehr bekannt und kann auf eine gro e und starke Community im Inter net bauen So gibt es zum einen die IPCop Projektseite http www ipcop org Diese bietet auf internationaler Ebene neben der M glichkeit IPCop
32. und diverse Updates als Pa ket herunterzuladen zus tzliche Informationen Dazu geh ren unter anderem Handb cher zur Installation und Administration FAQ Seiten und Mail Listen f r den Support und Pressebe richte Daneben gibt es auch Material ber den Stand der Entwicklung und wie es m glich ist sich an der Entwicklung zu beteiligen Auf nationaler Ebene gibt es gleich mehrere gute Quellen um Hilfe bei Problemen zu er halten Zum einen gibt das IPCop Wiki http www ipcopwiki de Hier wird eine deutsche Online Dokumentation aufgebaut die eine Sammlung allen erh ltlichen Materials f r den IPCop bereitstellt Da die Gr ndung erst im Jahr 2006 war und sich noch nicht so vie le an diesem Projekt beteiligen sind noch nicht alle Beitr ge vollst ndig Auch fehlen einige Themen g nzlich Trotzdem ist dies eine gute Quelle bei offenen Fragen Etwas bekannter ist das deutsche Forum zum IPCop http www ipcop forum de Diesem Forum sind derzeit ber 10000 Mitglieder angeschlossen und es sind bereits ber 160 000 Beitr ge geschrieben worden Das Forum ist gut besucht was sicherlich auch an den qualifizierten Beitr gen des Forums liegt Der wichtigste Bereich auf dieser Seite ist sicherlich das gut strukturierte Forum selbst Neben allgemeinen Informationen und Verhaltensregeln gibt es in diesem Forum Bereiche zu Themen die der Tabelle 6 1 entnommen werden k nnen Neben dem Forum gibt es noch weitere Bereiche Zum einen gibt
33. weiterer Paketfilter k nnen somit zus tzliche Be reiche definiert werden die voneinander getrennt sind und somit zu einem h heren Schutz beitragen 30 Seite 72 Proxy Ey Paketfilter Paketfilter Abbildung 2 4 Schematische Darstellung eines Screened Subnet 30 Seite 72 MeN Die im IPCop eingesetzte Variante ist eine leicht modifizierte Variante des Screened Subnet Kapitel 2 Firewall Grundlagen 13 in der u erer und innerer Paketfilter zusammengelegt sind Dazu bekommt der eingesetzte Firewall Rechner drei Netzwerkkarten von denen eine mit dem Internet eine mit dem LAN und die dritte mit der DMZ verbunden ist Bei dieser Variante ist jedoch eine sorgf ltige Pla nung und Aufstellung der Paketfilterregeln erforderlich Auch wenn diese Variante an einen Screened Host erinnert so befindet sich zwischen LAN und Internet sowie LAN und Proxy ein reiner Paketfilter Kapitel 3 IPCop 14 3 IPCop IPCop entstand im Oktober 2001 als Fork aus dem kommerziellen Projekt SmoothWall und basiert auf Version v0 9 9 Bis zur Version 1 3 x basierte das Projekt aus diesem Grund auch auf der Linux Disitribution RedHat Mit der Version 1 4 wurde die Linux Basis auf LFS Li nux from Scratch umgestellt also der Generierung eines Linux Systems aus dem Linux Quellcode Auf die Fragehin was IPCop eigentlich ist l sst sich im Administrationshandbuch folgendes lesen 1 IPCop ist eine Firewall zu aller erst
34. werden 3 4 1 Hardwarevoraussetzungen Die Hardwarevoraussetzungen sind in der Schnellstartanleitung 6 angegeben So wird ein Prozessor in x86 Architektur angegeben Mindestens wird jedoch ein 386 Prozessor mit einer Ausstattung von 32 MB Arbeitsspeicher und einer 300 MB Festplatte vorausgesetzt Dies setzt allerdings voraus dass auf den Einsatz performancelastiger Dienste wie WebProxy oder IDS verzichtet wird Werden trotzdem diese Dienste in Anspruch genommen werden ein schnel lerer Prozessor mehr Arbeitsspeicher und eine gr ere Festplatte n tig Weiterhin ist es sinnvoll ein Diskettenlaufwerk und oder ein CDROM Laufwerk einzusetzen Beides erleichtert die Installation ist jedoch nicht erforderlich da diese auch bers Netzwerk erfolgen kann Auch kann das Diskettenlaufwerk als Backupmedium verwendet werden wo bei seit der Version 1 4 11 auch auf einen USB Datentr ger gesichert werden kann In jedem Fall wird jedoch mindestens eine Netzwerkkarte ben tigt sofern die Internetver bindung ber ein Modem oder ISDN Karte aufgebaut wird Ansonsten werden je nach Netz werktopologie mindestens zwei oder drei Netzwerkkarten ben tigt Zus tzlich ist es m glich IPCop auf einer CompactFlash Speicherkarte zu installieren Dazu ist jedoch ein gesondertes Isolmage MKflash 66 erforderlich CompactFlash Speicherkar ten haben die Eigenart nur eine gewisse Anzahl an Schreibvorg ngen zu berstehen und nur bei rund 100 000 Zugriffen
35. zur quantitativen und qualitativen Steuerung des Netzwerks via TrafficSha ping QoS und Proxyserver Kapitel 2 Firewall Grundlagen 2 Firewall Grundlagen Die Notwendigkeit f r den Einsatz von Firewalls wurde urspr nglich noch bevor das World Wide Web 4 1989 von Tim Berners Lee 36 entwickelt wurde nicht mit dem Ziel begr ndet Netzwerke vor Angriffen durch Hacker zu sch tzen Aus den Ideen einiger Notizen von J C R Licklider am MIT Massachusetts Institute of Tech nology und einer ersten fr hen Arbeit Leonard Kleinrock s ber packetvermittelnde Netz werke entstand 1965 das erste WAN Wide Area Network Lawrence G Roberts vernetzte zusammen mit Thomas Merill den TX 2 der Lincoln Labs Massachusetts mit dem Q 32 des SDC California 52 Kapitel 1 1 Roberts ging 1966 zur DARPA Defense Advanced Research Projects Agency von der das Projekt zur Entwicklung einer Vernetzung der Hochschulen finanziert wurde Es entstand das ARPANET welches zu Beginn vier Forschungseinrichtungen untereinander vernetzte Stanford Research Institute e University of Utah e University of California Los Angeles University of California Santa Barbara Es begann nun die Definition des ersten Protokolls f r Netzwerke dem Network Control Pro tocol NCP auf Basis dessen die erste Netzwerkanwendung entwickelt wurde die E Mail Mit wachsender Gr e des Netzwerks wuchs auch die Anzahl der Probleme und die Schw chen des Protokolls
36. 5 5 3 P3Scan 5 5 4 ProxSMTP 53 9 HAVE reep euna 5 5 6 Privoxy DIR S K e Kann m 5 5 8 SpamAssassin 5 5 9 Virenscanner 5 5 10 ClamAV 5 5 11 F Prot und AVG 5 5 12 Tests und Logs 5 6 High Availability Ucarp 5 7 Webalizer u dei amp amp 5 8 lane Testi uo e nee 3 9 GUlI Ports 4 5 8 9184 310 UPS 5 2 Sera aa 5 11 Systemlnfo Je aaa 5 12 SnortALog 5 13 FireWall Logs 5 14 RootkitHunter 5 15 Coptime as a5 6 Wartung und Pflege 6 1 Updates 2a ar 24 6 2 Logauswertung 6 3 Stabilit t 24228 22 6 4 Hilfestellung und Ressourcen 7 Zusammenfassung Glossar Literaturverzeichnis 56 58 58 59 60 61 61 61 62 63 64 64 65 65 67 68 69 70 72 73 74 75 76 78 78 80 81 83 86 IV Abbildungsverzeichnis VII Abbildungsverzeichnis 1 1 DieIPEop Logos s m ea ea rara an a a a a and a 1 2 1 Schematische Darstellung eines Paketfilters 9 2 2 Schematische Darstellung eines Proxies o o 10 2 3 Schematische Darstellung eines Screened Host o 12 2 4 Schematische Darstellung eines Screened Subnet 12 3 1 Netzwerk Anbindung ber ein Modem 2 2 o 17 3 2 Netzwerk Anbindung ber einen Router o 18 3 3 Netzwerk mit einer DMZ oc ea a a a a a a 18 3 4 Screenshots der Installations und Konfigurationsdialo
37. 5 92 85 fudp 42 11 64 top 1 97 3 proto255 Abbildung 5 11 Screenshot Bericht des AddOns SnortALog Konfiguration Eine Konfiguration dieses AddOns ist nicht erforderlich 5 12 SnortALog Da ein aktives Intrusion Detection System nur n tzlich sein kann wenn die Logdatei gr ndlich ausgewertet wird empfiehlt es sich dazu das AddOn SnortALog zu installieren Dieses AddOn erstellt t glich einen Bericht ber die Eintr ge aus dem Log von Snort Der Bericht siehe Abbildung 5 11 beginnt mit einer bersicht und Zusammenfassung verschiedener Punkte Dazu geh ren unter anderem Start und Endzeitpunkt des Logs Anzahl der Ereignisse im Log Kapitel 5 Weitere Funktionen und Dienste AddOns 74 Anzahl unterschiedlicher Quell und Ziel IP Adressen und einer bersicht ber den aktuellen Regelstatus von Snort Danach erfolgen grafische Darstellungen ber die prozentuale Vertei lung der angegriffenen Protokolle udp tcp icmp prozentuale Verteilung des Schweregrads zeitliches Auftreten des Angriffs Anzahl prozentuale Verteilung und Schweregrads und pro zentuale Verteilung der angegriffenen Ports Danach erfolgt die tabellarische Darstellung aller aufgetretenen Ereignisse 24 Das SnortALog AddOn wurde von Markus Hoffmann entwickelt und basiert auf das Perl Script SnortALog von J r my Chartier 8 Installation Das heruntergeladenen AddOn wird auf den IPCop in ein tempor res Verzeich nis kopiert Danach wird die
38. Fachhochschule f r Oekonomie 8 Management University of Applied Sciences FOM Fachhochschule f r konomie und Management Neuss Berufsbegleitender Studiengang zur Erlangung des Grads Bachelor of Information Technology Engineering B Sc Firewalls f r kleine und mittelst ndische Unternehmen auf Basis des OpenSource Projektes IPCop Autor Stefan Kox Matrikelnr 119532 Betreuer Prof Dr Ing Torsten Finke Ort Datum Nettetal 14 02 2008 Vorwort I Vorwort Sicherlich gibt es zum Thema Firewalls bereits zahlreiche L sungen und Untersuchungen und es wurde auch schon in vielen Varianten bearbeitet Jede Arbeit hat jedoch f r sich selber gesehen seine Daseinsberechtigung So auch diese Meine Intention bei der Erstellung die ser Arbeit liegt zum einen in der Tatsache dass es bis zum Zeitpunkt der Erstellung dieser Arbeit keinerlei Literatur in Form eines deutschen Fachbuchs ber die Firewall IPCop gab zum anderen in der Definition der Zielgruppe Erst mit Fertigstellung dieser Arbeit erscheint ein Buch ber die verwendete Firewall IPCop Daher k nnen auch keine Informationen aus diesem Buch mit in diese Arbeit einflie en Trotz einer recht gro en Community im Internet und zahlreicher Seiten mit unz hligen Infor mationen ber den IPCop fehlte es bislang immer noch an einem zentralen Werk in dem die wichtigsten Themen gesammelt sind Die Seiten im Internet besch ftigen sich meist nur mit einem speziellen
39. Konfiguration Da der Update Accelerator auf den Advanced Proxy basiert muss dieser erst im Men punkt des Proxys aktiviert werden Auch f r diese Funktion kann ein separates Logging aktiviert werden Dieses ist jedoch nicht im Logmen zu finden sondern es befindet sich unter var log updatexlrator cache log auf dem IPCop Kapitel 5 Weitere Funktionen und Dienste AddOns 52 Der Update Accelerator unterscheidet zwischen einem aktiven und einem passiven Modus Im passiven Modus werden keinen neuen Updates aus dem Internet in den Cache gespeichert Der passive Modus wird zudem automatisch ausgew hlt sobald die Einstellung f r den maximal verwendeten Speicherplatz berschritten ist Diese darf auch nicht zu hoch eingestellt werden da ansonsten die Festplatte des IPCops zu schnell voll l uft Ebenfalls konfiguriert werden kann die Frequenz in der die Updates auf Aktualisierungen berpr ft werden Diese kann aktiviert oder deaktiviert werden und es kann eingestellt werden ob die veralteten Dateien entfernt werden sollen Wird diese Option deaktiviert bleiben Sie im Cache bestehen werden jedoch entsprechend markiert Sobald sich Dateien im Cache befinden k nnen diese auch verwaltet werden Zum Einen lassen sich anhand der Statistik berpr fen wie viele Updates von welcher Quelle sich im Cache befinden und wie der Status dieser Quellen ist In der Wartungsansicht lassen sich dar ber hinaus die einzelnen Dateien herunterladen o
40. Master IPCop auf Funktion pr ft Der Wert ist in Sekunden angegeben Die advertisement skew legt Kapitel 5 Weitere Funktionen und Dienste AddOns 67 den bevorzugten Master fest Der Master erh lt einen niedrigeren Wert als der Backup IPCop Somit ist es m glich ein beliebige Anzahl an IPCops zu verwenden Wird die Verbindung nun berpr ft Kann es vorkommen dass die Anfrage nicht beantwortet wird obwohl die Ver bindung der Master in Ordnung ist Dazu wird die deadratio festgelegt Sie gibt an nach wie vielen negativen Antworten der Backup zum Master wird Als n chstes wird ein Passwort vergeben mit dem sich die IPCops untereinander authentifizieren Zum Schluss wird die reale gr ne IP Adresse des jeweils anderen IPCops eingetragen Es folgt nun die Konfiguration des Masters Diese ist identisch mit der des IPCops f r den HotStandby Weiterhin einzustellen sind die Optionen f r den Onlinecheck Dazu k nnen diverse Hosts angegeben werden die in regelm ssigen Abst nden berpr ft werden Die Abst nde k nnen ebenfalls frei definiert werden Ebenso kann die Zeit eingestellt werden nach der die beiden IPCops synchronisiert werden 25 5 7 Webalizer Das Webalizer AddOn wurde von Patrick Frei geschrieben und von S Feddersen um ein In stallationsskript erweitert Es erm glicht eine grafisch aufbereitete Einsicht in die Statistik ber die Verwendung des Proxys 20 Installation Die Installation erfolgt durch Kopi
41. anung und Arbeit Diese hat jedoch noch nicht einmal einen Alpha Status erreicht Ein Termin f r die Ver ffentlichung ist weder bekannt noch geplant Die Neuerungen werden folgende sein 64 Kernel Version 2 6 Haupts chlich zur Unterst tzung neuer Hardware Neues WebGUI OpenVPN Unterst tzung f r Alpha Power PC and Sparc Architekturen Eventuell weitere Funktionalit ten aus der n chsten Liste Mittel und langfrisitge Ziele 64 Unterst tzung mehrerer Schnittstellen mehr als eine rote orange gr ne Neues Installationsprogramm Modulare Pakete unterschieden nach Test und Stabil Automatische Updates Bessere Unterst tzung bei Flash Medien St rkere bersetzung Weitere bereits integrierte AddOns BOT adv proxy URL filter und weitere Neue Bootscripts Linux from Scratch WLAN Support QoS kernel layer filter Firewall Schnittstelle basierend auf Shorewall incl QoS etc Erster XML RPC Daemon zur Konfiguration Vollst ndiges XML RPC Management Kapitel 6 Wartung und Pflege 80 6 2 Logauswertung Bevor die Logauswertung vorgenommen werden sollte ist es hilfreich die Einstellungen vor her f r die Logdateien zu bearbeiten In der Standardeinstellung werden die Logs in aufstei gender chronologischer Reihenfolge ausgegeben Bequemer ist jedoch die umgekehrte chro nologisch absteigende Ausgabe der Logs da in der Ansicht immer nur jeweils eine Seite vor oder zur ck gebl ttert werden kann Zwar l
42. arnung im seinem Browser angezeigt Dazu k nnen zus tzliche Informationen im Bereich der Sperr seiteneinstellung definiert werden Es kann ausgew hlt werden ob die Sperrkategorie die Adresse und die Client IP Adresse auf der Sperrseite angezeigt werden soll Au erdem kann ein Hintergundbild eingestellt werden etwa um das Corporate Design eines Unternehmens zu wahren Alternativ kann auch auf eine eigene Seite umgeleitet werden Um dem Benutzer mitzuteilen was genau vorgefallen ist existieren noch drei zus tzliche Felder in denen Text hinterlegt werden kann Diese werden ebenfalls auf der Sperrseite angezeigt Als letztes k nnen noch erweiterte Einstellungen konfiguriert werden Etwa ob ein Log ak tiviert ist und in Kategorien aufgeteilt werden soll wie viele Filterprozesse aktiv sind ent scheidend f r die Geschwindigkeit je nach der eingesetzten Hardware oder ob beispielsweise generell alle URLs oder nur URLs mit IP Adressen gesperrt sind Durch Anklicken des Schalters Speichern und Neustart wird der URL filter aktiviert Kapitel 5 Weitere Funktionen und Dienste AddOns 56 Die Wartung gestaltet sich etwas einfacher als die Konfiguration Zum einen Kann eine eigene Blacklist auf den IPCop hoch geladen werden Diese wird in die Datenbank des URL filter mit aufgenommen Die hochzuladende Datei muss im Format tar gz sein Es kann allerdings auch ein externer Dienstleister in Anspruch genommen werden wodurch der URL filter au
43. assen erstellt Jede Schnittstelle hat eine eigene root Klasse in der die maximale Bandbreite angegeben wird Danach werden wei tere Unterklassen definiert Dies ist je nach Anwendungsfall sehr unterschiedlich In diesem Beispiel werden drei Klassen definiert Eine schnelle eine langsame und eine normale Klasse Tabelle 5 2 zeigt die Klassen detailliert auf Tabelle 5 2 bersicht Klassen Klasse Priorit t Verz gerung min Bandbreite max Bandbreite 100 4 50 ms 100 kbps keine Begrenzung 101 1 40 ms 30 kbps keine Begrenzung 102 7 100 ms O kbit keine Begrenzung Nach dem die Unterklassen definiert sind k nnen in den Klassen die zu steuernden Pakete definiert werden Dazu gibt es zwei M glichkeiten die Nutzung des layer7 Filter und die Verwendung einer Regel die ber den Port gesteuert wird Dies ist notwendig da der layer Filter nicht immer zuverl ssig alle Protokolle erkennt Bei beiden Methoden kann zudem eine Kapitel 5 Weitere Funktionen und Dienste AddOns 43 Quell und oder Zieladresse angegeben werden um die Regel zu beschr nken Ohne Angabe wird die erstelle Regel auf jeden Host angewendet Nach der Erstellung der Regeln kann das QoS gestartet werden In jedem Fall ist es jedoch ratsam sich vor der Einrichtung zu berlegen welcher Datenverkehr im Netzwerk vorkommt und wie dieser gesteuert werden soll Daraufhin werden die Klassen erstellt und anschlie end die Regeln definiert 58
44. assin wird eine E Mail mit diesem String zu 100 als SPAM erkennen und ablehnen Im Men punkt Test amp Logs stehen drei Funktionen dazu bereit 32 Seite 44 e Virus E Mail e Spam E Mail e E Mail mit gef hrlichem Anhang Zus tzlich zu diesen drei Tests befinden sich auf dieser Seite zwei Links zu Seiten auf de nen die EICAR Testdatei heruntergeladen werden kann Einmal auf dem Weg ber HTTP und einmal ber FTP In beiden F llen sollte entweder HAVP oder frox sofern aktiviert den Download verweigern Auswertungen zu den einzelnen Funktionen des Copfilters stehen dem Benutzer ebenfalls auf dieser Seite zur Verf gung Alle Logs enthalten detaillierte Informationen zu Status Update Fund Fehlermeldungen und Verlauf der jweiligen Funktion 5 6 High Availability Ucarp In Unternehmen in denen eine st ndige Verf gbarkeit des Internet lebensnotwendig ist wird eine hohe Verf gbarkeit der eingesetzten Hard und Software verlangt Dazu wurde das High Availability AddOn auch Ucarp genannt von Markus Hoffmann entwickelt Es hat die Aufga be einen zweiten IPCop der als HotStandby neben dem prim ren System l uft im Notfall dazu zuschalten falls der erste defekt ist F r diese Anwendung sind mindestens zwei IP Cop s und zwei Switche n tig Die Einstellungen f r die rote Schnittstelle m ssen identisch sein F r die gr ne Schnittstelle werden zwei IP Adressen aus demselben Subnetz ben tigt Kapitel 5 Weitere Funktione
45. bis zu vier Netzwerkschnittstel len konfiguriert werden Es folgt nun die Angabe der IP Adressinformationen f r die externe Kapitel 3 IPCop 22 rote Schittstelle Dies kann entweder statisch oder dynamisch ber DHCP vergeben werden Auch ist eine Einwahl ber PPPOE oder PPTP m glich Wird die Firewall an einem Gateway betrieben also die rot Schnittstelle hat eine statische IP Adresse bekommen erfolgt nun noch die Angabe der prim ren und oder sekund ren DNS Adresse n sowie die Angabe des Gateways Falls der IPCop im lokalen Netzwerk selbst einen DHCP Dienst f r die lokalen Rechner anbie ten soll m ssen in der n chsten Maske die Option aktiviert gew hlt und die entsprechenden Parameter konfiguriert werden Falls nicht wird die Maske nur mit OK best tigt Die letzten Schritte innerhalb der Erstkonfiguration sind die Festlegung der Passw rter f r den Shell Zugang root sowie f r den Benutzer des Webinterfaces admin Hier sollten in jedem Fall zwei komplexe unterschiedliche Passw rter definiert werden Die Erstkonfiguration ist damit abgeschlossen 3 4 3 IPCop in virtuellen Maschinen Durch den Einsatz einer Virtualisierungssoftware wie etwa VMware Xen und anderen ist es m glich IPCop auf einem Host System laufen zu lassen ohne f r diesen eine separate Hard ware bereitzustellen Im Projet cf Server wurde diese Methode zuerst mit IPCop umgesetzt In der neuen Version des cf Servers wird nun aufgrund eines
46. c Shaping ist eine M glichkeit den Datenstrom bei der bertragung zu optimieren 37 Kapitel 2 5 7 Bei diesem Verfahren werden Regeln aufgestellt welche Daten bevorzugt be handelt werden und welche Daten verz gert zum Client ausgeliefert werden sofern h her priorisierte Daten anstehen In der Standardkonfiguration ist IPCop mit dem Traffic Shaper WonderShaper ausgestattet Dieser ist auf die Minimierung der Ping Latenzzeiten ausgerich tet und stellt sicher dass f r den jeweiligen konfigurierten Dienst eine gen gend hohe Band breite zur Verf gung steht Die Konfiguation im IPCop ist eher minimalistisch gehalten Dem Benutzer muss zum einen die maximal verf gbare Up und Downloadrate bekannt sein Diese werden in die Konfigu rationsseite des IPCop eingetragen Danach werden die Dienste konfiguriert die hoch bzw niedrig priorisiert werden sollen 4 5 Firewall Im Men punkt Firewall werden Regeln f r die im Netzwerk angebotene Dienste hinterlegt Diese sind in verschiedene Bereiche unterteilt je nach Ziel des zu erreichenden Dienstes 4 5 1 Port Forwarding Einer der wichtigsten Funktionen des IPCop ist das Port Forwarding 37 Kapitel 2 6 3 Dieser Punkt befindet sich im Men Firewall Hier werden die Regeln der erlaubten Verbindungen definiert So sind nach Installation des IPCop erst einmal alle Verbindungen von au erhalb zum inneren Netzwerk gesperrt ber die Regeln kann nun f r jeden beliebigen Dienst ein Loch in der
47. ce Wnitelist Copfilter Spam E _ i 10x 13x Manager Manaabk bersichts Manager f Produkt Beschreibung Dienst Version Status Manuelle Kontrolle monit berwachungsdienst monit 4 9 ON PID 31716 14220 14219 Stoppe monit P3Scan Transp POP3 Proxy p3scan Ziel ON PID 11970 Stoppe p3scan o 1 N ProxSMTP Transp SMTP Proxy proxsmtpd 1 6 ON PID 14509 13518 Stoppe proxsmtpd o f HAYP Transp HTTP Proxy havp 0 86 ON PID 14487 14486 Stoppe havp 1 Privoxy Transp HTTP Proxy privoxy 3 0 6 ON PID 14138 14136 Stoppe privoxy frox Transp FTP Proxy frox 0 7 18 OFF Starte frox Ze Spam ssassin AntiSpam Filter spamd 3 2 3 ON PID 31828 31827 31811 Stoppe spamd N Clamav AntiVirus Programm clamd 0 91 2 5728 ON PID 12786 12584 Stoppe clamd AvG Antivirus Program avgscan SSL OFF Start avgscan l o i E PROT AntiVirus Programm no daemon 4 6 8 ON ACCESS no pid i f Renattach ESO Renamer no daemon 1 2 4 OFF ea ie f Rules Du Jour AntiSpam Regels tze no daemon 1 30 ON ACCESS no pid alle Einstellungen N werden bernommen AntiVirus Statistik text ClamAV sofortiges Update AntiVirus Statistik grafisch ClamAV w chentliche Updates beginnt nach der 1 Woche N g Ce N i f AntiSpam Statistik text SpamAssassin HTTP Virus Log text HAVP Fertig tiffy nettpin de45 amp E mc he des AddOns steht somit neben der Community f r den IPCop eine zw
48. che Arten der Gegen ma nahmen Reicht es f r den einen Angriff beispielsweise aus bestimmte Ports zu blockie ren oder IP Adressen nach Au en zu tarnen ist es f r andere Dienste erforderlich dass der Datenstrom untersucht werden muss Etwa um Viren zu erkennen oder einen Phishingversuch aus einer Webseite heraus zu erkennen Kapitel 2 Firewall Grundlagen 2 3 1 Paketfilter Ein Paketfilter ist eine Methode die anhand eines Regelsatzes bestimmte Pakete einer Verbin dung erlaubt und andere verwirft Die Realisierung erfolgt durch iptables Die Regeln werden anhand von Zieladresse port und bestimmter Flags der Verbindung erstellt Eine Versch r fung des Paketfilters ist der Stateful Paket Filter Bei dieser Methode wird eine weitere Regel hinzugef gt die davon abh ngig ist welche Pakete vor dem aktuellen Paket gesendet wurden Ab dem Linuxkernel 2 4 0 wird diese Methode unterst tzt Sie entscheidet beispielsweise ob das Paket eine neue Verbindung ffnet es zu einer bestehenden Verbindung geh rt oder gar bereits in Beziehung zu einer anderen bestehenden Verbindung geh rt Die Abbildung 2 1 zeigt eine vereinfachte Darstellung des Paketfilters 52 Kapitel 2 1 30 Seite 65 65 Kapitel 2 1 D Paketfilter wo Abbildung 2 1 Schematische Darstellung eines Paketfilters 30 Seite 65 Die Implementierung eines Paketfilters ist relativ einfach und kosteng nstig durchzuf hren Auf den eingesetzten Clients sind kei
49. chnis 3 1 3 2 5 1 5 2 5 3 6 1 7 1 Schnittstellen im IPCop seas ra a aia a a 16 Regelwerk im TP COD o ceso soas a ran an a rs 16 bersicht AddOns us ra A a ee he a 40 bersicht Klassen oo con 42 Speicher Cache Ersetzungsrichtlinie 2 222 222 non 49 bersicht Foren Bereiche 22222 c con a 84 bersicht Addons Funktionsumfang Nutzen 22222222222 88 Kapitel 1 Einleitung 1 Einleitung 4 er CU Cop Y amp Abbildung 1 1 Die IPCop Logos Die vorliegende Arbeit besch ftigt sich mit dem Thema der Firewall speziell mit der frei ver f gbaren Linux Distribution IPCop IPCop ist eine Software die auf einem Rechner instal liert wird und im wesentlichen Routing Dienste und einen Paket Filter zur Verf gung stellt Aktuell ist zum Zeitpunkt der Erstellung dieser Arbeit die Version 1 4 18 welche auch als Grundlage bei der Erstellung dieser Arbeit herangezogen wird Abbildung 1 1 zeigt die Logos des IPCops Sie dienen als Erkennungsmerkmal Die Arbeit richtet sich prim r an in EDV technischen Positionen arbeitende Personen die sich mit der Planung Einrichtung und Betreuung eines Netzwerks besch ftigen Grundlegende Kenntnisse ber die Funktion von Netzwerken und Technologien werden f r das Verst ndnis beim Lesen vorausgesetzt Ebenso empfiehlt es sich dass der Leser ein Basiswissen im Um gang mit allgemeiner PC Hardware besitzt Sekund r ist aber auch jede private Person ange sprochen d
50. den Diese kann pro Netzwerk gr n oder blau ganz allgemein und speziell pro Host angegeben werden Auch kann die Downloaddrosselung nur f r bestimmte Inhalte aktiviert werden um etwa bei gro en Downloads anderen Clients noch gen gend Bandbreite zur Ver f gung zu stellen Die Angabe von MIME Types ist eine weitere M glichkeit bestimmte Inhalte zu blockieren Um etwa den Download von PDF Dateien zu unterbinden gen gt die Angabe des MIME Types application pdf und die Aktivierung des MIME Type Filters Eine weitere M glichkeit den Zugriff auf den Proxy und damit aufs Web zu Beschr nkung ist die Pr fung des verwendeten Browsers So k nnen beispielsweise nur die Browser Internet Explorer und Firefox aktiviert werden Das Browsen ber andere UserAgents ist damit dann nicht mehr m glich Weiterhin k nnen der UserAgent und der Referer manipuliert werden Die nderung des User Agents und oder des Referers kann vorgenommen werden um etwa die Identit t des Browsers und Herkunft der letzten URL zu verschleiern Obwohl dies zu zweifelhaften Ergebnissen im Browser f hren kann Falls weitere AddOns installiert sind die auf den Advanced Proxy basieren Update Accelerator und URLfilter k nnen diese ebenfalls aktiviert werden Die letzte Option zur Konfiguration ist die Einstellung der Authentifizierungsmethode Je nach eingestellter Methode gibt es dazu einen jeweiligen Einstellungsdialog Nachfolgend ist die Methode der Windowsauth
51. den internen Rechner zuordnen kann Da der Router die Anfragen zum Internet selbst stellt kann er auch den Absenderport manipulieren Somit erh lt er einen eindeutigen Schl ssel und kann diesen in seiner Tabelle eintragen Erh lt der Router eine Antwort auf diesem Port schl gt er in seiner Tabelle nach und wei an welchen internen Rechner er die Antwort schicken muss Diese spezielle Technik wird auch Masquerading genannt 30 Seite 69 Destination NAT Destination NAT hingegen ist die umgekehrte Nutzung dieser Technik Dabei wird ein inter ner Server etwa ein firmeneigener Webserver der eine private IP Adresse hat f r das Internet zug nglich gemacht Der Router der eine offizielle IP Adresse hat und diese dem Domainna men www domainname de zugeordnet ist leitet nun alle Anfragen an die Adresse des einge tragen internen Servers weiter Es wird somit eine Umleitung von einem Rechner auf einen anderen Rechner realisiert Ein Spezialfall f r Destination NAT ist die Redirection Die dabei bedeutendste Anwendung der Redirection ist die Einrichtung eines transparenten Proxies Der Vorteil eines transparenten Proxies liegt zum einen im geringeren Administrationsaufwand denn die Clients m ssen nicht mehr speziell eingerichtet werden Zum anderen wird ein ge zieltes Aushebeln durch Umgehung des Proxies vom Client aus vermieden und ein weiteres St ck Sicherheit ist erreicht 30 Seite 70 2 4 Einsatzszenarien und Konzepte Eine Firewall b
52. der Combobox auf On und Anklicken des Schalters speichern gestartet ber den neben der Combobox stehenden Link gelangt der Benutzer zum Monit Server Manager Dies ist eine eigene per Secure Socket Layer SSL verschl sselte Website Kapitel 5 Weitere Funktionen und Dienste AddOns 59 Copfilter Copfilter Log Dateien Dateiname Betreff 15 7 5 0 Mit unserem Produkt haben Sie wieder Spass am Leben 11 2 5 0 Mehr Spass kowalski exmail de am Leben mit einem 20080206_16 53 45 Leangeren 19 4 5 0 Man Lebt nur einmal probiers 20080206_17 03 23 proxsmtpd GAv86w aus Dateidatum Dateiname ivanQitexas net info nettpix de 20080206_15 10 24 proxsmtpd Jpma6l upgradedigp shuangju com proxsmtpd 2X80p9 lucas teske com br kosar exmail de Abbildung 5 6 Screenshot Quarant ne des Copfilters f r den Dienst Monit welche auf der Firewall auf dem Port 446 l uft Die Zugangsdaten entsprechen denen des IPCops Nach erfolgter Authentifizierung erh lt der Benutzer weiterf hrende Informationen zu den laufenden Diensten des Copfilters Dies sind neben dem Status unter anderem CPU Last Up time und Speicherverbrauch Detailliertere Informationen erh lt der Benutzer durch Anklicken des Links f r den jeweiligen Dienst Alle Dienste k nnen hier gestoppt gestartet oder auch deaktiviert werden Da Monit alle Dienste berwacht sendet er bei jeder Status nderung an das
53. der IPCop heruntergefahren oder neugestartet werden Zus tzlich besteht die Option des zeitgesteuerten Neustarts beziehungs weise Herunterfahrens 37 Kapitel 2 1 6 4 1 7 Dank an Der letzte Punkt ist eine bersicht aller am Projekt beteiligten Personen Dazu geh ren die Entwickler und die bersetzer Ebenfalls wird den Entwicklern der Smoothwall gedankt Al le ma geblich beteiligten Personen sind namentlich genannt und zum Teil ber eine E Mail Adresse kontaktierbar 4 2 Statusmeldungen Der n chste Hauptmen punkt enth lt detaillierte aufbereitete Informationen und Diagramme in den Bereichen Systemstatus und info Netzwerkstatus Proxy Diagramme und Verbindun gen Einstellungen k nnen hier nicht vorgenommen werden da diese Seiten ausschlie lich der Information dienen Kapitel 4 Konfiguration und Einrichtung der Basismodule 28 4 2 1 Systemstatus und Diagramme Der Benutzer erh lt hier einerseits Einblick ber den aktuellen Systemzustand Dies beinhaltet etwa welche Dienste laufen wie die Auslastung des Arbeitsspeichers und der Festplatte ist oder etwa welche Module im Kernel geladen sind Abbildung 4 3 zeigt den Systemstatus 37 Kapitel 2 3 EEE TEEN E lo aia e tiffy nettpix de Statusinformationen Mozilla Firefox k sh ad A GOD oaao Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe E E C O https tifiy nettpix de 445 cgi bin status cgi S 1 G lsoog
54. der aber auch gezielt l schen 40 5 3 2 Calamaris Das AddOn Calamaris 39 f r den Advanced Proxy ist ein Tool welches das Logfile des Proxys analysiert und auswertet um daraus einen Bericht zu erstellen Es wurde von Cord Beermann entwickelt 3 Mit Calamaris k nnen sehr einfach und flexibel detaillierte Proxy berichte generiert werden Der Bericht enth lt eine Zusammenfassung eine Aufschl sselung nach der Methode der Abfrage GET POST HEAD und eingehendem und ausgehendem Verkehr er unterscheidet nach Protokoll Gr e und Typ der Objekte und zeigt Infomationen ber die Effizienz des Proxys 44 Die Installation erfolgt nachdem das Paket auf den IPCop bertragen und dort mittels tar entpackt wurde Die Installation kann nach dem Entpacken durch Eingabe des Befehls in stall gestartet werden Calamaris befindet sich nach der Installation im Men punkt Logs Dort kann nach Eingabe des Zeitraums f r den der Bericht erstellt werden soll und Angabe der gew nschten Optionen die Erstellung des Bericht gestartet werden Je nach Umfang kann dies eine gewisse Zeit dauern Daher kann zus tzlich angegeben werden dass archivierte Logda teien bersprungen werden sowie der Prozess zur Erstellung im Hintergrund l uft Sobald der Bericht erstellt wurde kann dieser im Browser angezeigt zur weiteren Verarbeitung exportiert oder aber auch gel scht werden sofern dieser nicht mehr ben tigt wird Kapitel 5 Weitere Funktionen und Dienst
55. dieses nicht berschritten werden soll Der Nutzer an einem Clients wird Kapitel 4 Konfiguration und Einrichtung der Basismodule 32 somit reglementiert Feinere Reglementierungen werden erst m glich nach Installation eines weiteren AddOns wie etwa dem Advanced Proxy AddOn 4 4 2 DNS Server Der im IPCop sich befindende DNS Server erlaubt neben der Zwischenspeicherung der DNS Abfragen ebenfalls die manuelle Zuweisung von IP Adressen zu Hostnamen Allerdings ist es kein echter DNS Server sondern ein DNS Cache Dieser ist Vergleichbar mit der hosts Datei unter Windows oder Linux Es k nnen sowohl lokale als auch ffentliche Hosts angegeben werden Wird ein Host hinzugef gt m ssen IP Adresse Hostname und Domainname ange geben werden Alle erstellten Eintr ge K nnen separat aktiviert oder deaktiviert werden Eine weitere Konfiguration etwa die Angabe bergeordneter DNS Server ist nicht m glich 4 4 3 DHCP Dienst Zur einfachen und komfortablen Netzwerkkonfiguration bietet IPCop einen DHCP Dienst an 37 Kapitel 2 5 2 DHCP eignet sich dazu in einem Netzwerk die Clients automatisiert im Netzwerk einzurichten Ein weiterer Vorteil ist es dass durch DHCP eine Mehrfachaus nutzung der begrenzt zur Verf gung stehenden IP Adressen erreicht werden kann wobei in einem Unternehmen der hier behandelten Gr e dieses Problem nicht auftreten sollte Jedoch besteht die Gefahr dass durch wechselnde IP Adressen eine genaue Zuordnung zu
56. dition 2006 http www advproxy net update accelerator documentation ipcop updatexlrator en paf Marco Sondermann advproxy Advanced Web Proxy Administratorhand buch 1 edition 2007 http www advproxy net documentation ipcop advproxy de paf Marco Sondermann advproxy frequently asked questions 2007 http www advproxy net faq html Marco Sondermann advproxy the advanced web proxy add on for ipcop and smoo thwall 2007 http www advproxy net Marco Sondermann calamaris calamaris proxy report generator add on 2007 http www advproxy net calamaris Marco Sondermann updatexlrator update accelerator add on for ipcop 2007 http www advproxy net update accelerator Marco Sondermann updatexlrator update accelerator add on for ipcop 2007 http www ipcopwiki de index php Axel Eigene_ Downloadquellen_integrieren Marco Sondermann Url filter faq overview 2007 http www urlfilter net faq html Marco Sondermann Url filter quick reference 2007 http www urlfilter net quickreference html Marco Sondermann urlfilter the url filter add on for ipcop and smoothwall 2007 http ww urlfilter net Ralf Spenneberg Intrusion Detection fiir Linux Server Mit Open Source Tools Angriffe erkennen und analysieren Markt Technik 1 edition November 2002 Ralf Spenneberg Intrusion Detection und Prevention mit Snort 2 Co Einbr che auf Linux Servern erkennen und verh
57. e AddOns 53 tiffy nettpixde Proxy Berichte Mozil Mozilla Firefox y rep A A gt le X a s lt E E e Datei Bearbeiten Ansicht Chronik Lesezeichen Hilfe lt a v r e ar E https tiffy nettpix de 445 cgi bin logs cgi calamaris dat ly gt cl p L The bad packets stop here Einstellungen N Berichtszeitraum l von Februar z 7 w 2008 x Bis Februar z 7 r 2008 x z Berichtsoptionen i Aktiviere Domainbericht E d Anzahl der Domains 10 z Aktiviere Leistungsbericht P Berichtsintervall in Minuten 60 X Aktiviere Inhaltsbericht O i t Anzahl der Inhaltstypen 10 ler N Aktiviere Abfragebericht T r R Anzahl der abfragenden Hosts 10 X Benutzernamen anzeigen El u Anzahl der abgefragten URLs keine v E N Aktiviere Verteilungshistogramm D Histogramm Aufl sung mittel v M Aktiviere ausf hrlichen Bericht F s Byte Einheit Byte m N N Leistungsoptionen i Archivierte Protokolle berspringen A Als Hintergrundprozess starten l N Bericht erstellen Calamars 2 1 1 las Cop i i Verf gbare Berichte i de 1 N Report period 01 Feb 0 o Feb 08 20 02 45 Generated at 01 Feb 08 20 52 Report period 01 Feb 08 12 24 42 01 Feb 08 20 02 38 Generated at 01 Feb 08 20 02 45 i 2 1 d
58. e sich DHCP DNS DoS EICAR Exploit berwiegend mit einem Thema im Schwerpunkt besch ftigen und sich dazu aus tauschen S II Dynamic Host Configuration Protocol zur automatischen Einrichtung von Com putern in Netzwerken 9 S 2 Domain Name Service zur bersetzung von Hostname zu IP Adresse 30 S 7 Ein Denial of Service hat das Ziel einen Rechner insofern zu kompromittieren das dieser seinen geplanten Einsatz nicht mehr erf llt 52 S 5 Von der European Expert Group for IT Security EICAR entwickeltes Testmuster zur berpr fung von Antivirenprogrammen S 65 Sicherheitsl cke aufgrund eines Programmierfehler in einer Software 52 S 4 false negatives Fehlerhaftes erkennen einer SPAM Nachricht 10 S 62 false positives Fehlerhaftes erkennen einer erw nschten Nachricht 10 S 62 FTP File Transfer Protocol zur bertragung von Dateien in einem Netzwerk welches standardm ig auf Port 21 betrieben wird 30 S 10 GLOSSAR I Gateway GUI HTTP iptables LDAP MAC MIME Proxies RADIUS RDP SMTP SOCKS Zentrale Vermittlungsstelle in Rechnernetzwerken Ein Router bernimmt in vie len F llen die Funktion des Standardgateways S 1 Das Graphical User Interface ist die Schnittstelle zwischen Mensch und Maschine S 48 Hypertext Transfer Protocol zur bertragung von Daten in einem Netzwerk wel ches standardm ig auf Port 80 betrieben wird 30 S
59. ei weitere Quellen zum Abbildung 5 5 Screenshot Startseite des Copfilter AddOns direkten Anlauf bei Problemen zur Verf gung Installation Das AddOn wird von der Projektseite heruntergeladen und in einem tempor rem Verzeichnis mittels tar entpackt Die Installation wird im nun erstellten Verzeichnis durch Eingabe von install gestartet und erwartet die Best tigung vom Benutzer dass die Installation fortgef hrt werden darf Danach l uft sie automatisiert durch 32 Seite 10 Konfiguration Nach der Installation befindet sich im WebGUI des IPCop der zus tzliche Hauptmen punkt Copfilter Der Untermen punkt Status gibt zun chst einen berblick ber die laufenden Dienste des Copfilters Nach der Installation sind diese alle deaktiviert Kapitel 5 Weitere Funktionen und Dienste AddOns 58 Auf der Statusseite siehe Abbildung 5 5 befinden sich zudem weitere Funktionen So sind hier die Quarant ne Seiten der Viren und SPAM Funde zu erreichen wie auch die Whitelist f r den SPAM Filter Ebenso sind zu diesen Diensten zahlreiche Statistiken abrufbar Damit der Copfilter ordnungsgem l uft ist es erforderlich im Punkt E Mail die Einstel lungen f r ein E Mail Postfach zu hinterlegen Dazu wird eine E Mail Adresse als Empf n ger und eine als Absender hinterlegt Ebenso m ssen ein SMTP Server sowie die Daten zur SMTP Authentifizierung hinterlegt werden Es ist durchaus sinnvoll f r den IPCop ein eige nes Post
60. eifer liefern Das Tool zur Gegen ma nahme nennt sich in diesem Fall BOT oder auch BlockOutTraffic genannt Dieses AddOn und weitere n tzliche Funktionen und Dienste sind nachfolgend beschrieben und werden in einer Standardkonfiguration vorgestellt Da es jedoch eine Vielzahl von AddOns gibt und diese hier nicht alle behandelt werden k nnen wird an dieser Stelle auf die Seite http www ipcopaddons org verwiesen In der Tabelle 5 1 befindet sich eine bersichtliche Darstellung ausgew hlter AddOns Diese werden nachfolgend vorgestellt Kapitel 5 Weitere Funktionen und Dienste AddOns 40 Tabelle 5 1 bersicht AddOns AddOn Funktion Download QoS Quality of Servie 2 6 6 1 AddOn zur Bandbreitenregelung http www mhaddons tk BOT BlockOut Traffic 3 0 0 GUI basierte Erstellung von Fire wallregeln zur Kontrolle aller Ver bindung durch die Firewall http blockouttraffic de Advanced Proxy 2 1 7 Umfangreicher Proxy mit M glich keit zur Authentifizierung http www advproxy net Update Accelera tor 2 0 0 Proxybasierte Zwischenspeiche rung von diversen Softwareaktuali sierungsseiten http www mhaddons tk Calamaris 2 1 1 Proxylogauswertung des Advanced Proxys http www advproxy net calamaris URL Filter Umfangreicher Internetinhaltsfilter http www urlfilter net 1 9 1 Copfilter 0 84be Umfangreiche AddOn Samml
61. eine E Mail mit Informationen die nicht vom tats chlichen Absender stammt Ein ver rgerter Kollege k nnte eine E Mail konzipieren und diese unter falschem Absender mit Betreff der K ndigung aus dem Unter nehmen dem gemeinsamen Vorgesetzten senden 52 Kapitel 4 4 2 Kapitel 2 Firewall Grundlagen IP Spoofing IP Spoofing wird im Zusammenhang mit SYN Floods benutzt um die eigene Identit t zu ver schleiern Es kann aber auch dazu genutzt werden einem Syslogd Server einen falschen Ein trag mitzuteilen wenn dieser auf UDP Basis arbeitet TCP Dienste sind vor gespooften Pake ten sicher da TCP verbindungsorientiert arbeitet und der Angreifer eine Sequenz und Ack nowledgenummer zus tzlich ben tigen w rde 52 Kapitel 4 4 2 30 Seite 45 ARP Spoofing Da ein Angreifer in einem geswitchten Netzwerk einen Sniffer nicht sinnvoll einsetzen kann bedient er sich an der Methode des ARP Spoofings Der Angreifer f lscht in diesem Fall den ARP Reply einer ARP Request Anfrage eines Rechners M chte ein Rechner eine Ver bindung mit einem anderen Rechner aufbauen fragt dieser erstmal im Netz nach welche MAC Adresse der Ziel IP Adresse entspricht Der Switch wird diese Anfrage aufgrund der Anfrage an die Broadcast Adresse an alle angeschlossenen Ports weiterleiten Die Antwort wird nun vom Angreifer mit seiner eigenen MAC Adresse kommen Der anfragende Rechner erh lt die Antwort und sendet nun seine Datenpakete mit richtiger IP Adresse ab
62. en Objekte dadurch dass kleinere fter angefragte Objekte im Cache gehalten werden Sie erzielt jedoch eine geringere Byte Trefferrate als LFU DA dadurch dass sie gr ere m gli cherweise fter angefragte Objekte aus dem Speicher entfernt Im n chsten Bereich werden die erlaubten Ziel Ports konfiguriert die ber den Advanced Proxy laufen sollen Sie sind getrennt nach Standard HTTP und SSL verschl sselten Anfragen aufgef hrt Danach folgt die Definition der netzwerkbasierten Zugriffskontrolle Es k nnen hier erlaubte Subnetze angegeben werden falls mehrere verwendet werden ein pro Zeile Ebenso erfolgt hier die Einstellung welche IP oder MAC Adressen von regelbasierten Einschr nkungen des Advanced Proxy ausgenommen sind Zeit Gr e Browserpr fung etc und welche IP oder MAC Adressen komplett gesperrt sind Wie gerade erw hnt gibt es Einschr nkungen die nachfolgend konfiguriert werden Zum einen kann die Betriebszeit des Proxys festgelegt werden Unterschieden wird in Zulassen und Ver weigern Wobei Verweigern gleichzusetzen ist mit einem gesperrten Webzugriff Es k nnen Kapitel 5 Weitere Funktionen und Dienste AddOns 50 auch Transfergrenzen angegeben werden Somit k nnen etwa gro e Downloads von Filmen CD Images oder gro en Archiven unterbunden werden Die Einstellung O schaltet die Be grenzung aus Zus tzlich zur Transfergrenze kann auch eine Downloaddrosselung konfigu riert wer
63. en Pro tokollen und den im Netzwerk verwendeten Applikationen und Programmen sind Zust nde vorhanden die dazu f hren k nnen ein Netzwerk zu st ren Im Folgenden sind dazu einige M glichkeiten beschrieben 65 30 52 2 2 1 Denial of Service DoS Bei einer DoS Attacke wird versucht einen Dienst einen Rechner oder auch eine ganzes Netzwerk zu blockieren Dies kann unbewusst geschehen in dem ein Kabel defekt ist oder versehentlich durch einen Konfigurationsfehler Ganz gezielt ist dies jedoch auch mit diversen M glichkeiten von Au en m glich Kapitel 2 Firewall Grundlagen Der Angreifer muss in der Regel nur versuchen am entsprechenden Opfer einen so hohen Traffic zu erzeugen dass es dem Opfer nicht mehr m glich ist auf andere Anfragen zu ant worten Wenn der Angreifer alleine ist ist dies heutzutage nicht mehr ohne weiteres m glich da die verf gbare Bandbreite mittlerweile in hohem Ma zur Verf gung steht Der Angreifer muss also daf r sorgen dass er ber eine h here Bandbreite als das Opfer verf gt Dies gelingt ihm nur indem er unter Zuhilfenahme weiterer Rechner Bot Netze seine Kapazit t erh ht Diese Methode nennt sich Distributed DoS Ein DoS Angriff kann allerdings auch auf den TCP Stack des Zielservers erfolgen ein soge nannter SYN Flood Dabei versucht der Angreifer durch zuf lliges Generieren einer idealer Weise nicht existenten IP Adresse die Verbindungstabelle f r offene Verbindungen zu f llen
64. en entwickelten AddOns Hilfestellung zu Installation Kon figuration und Betrieb dieser Kapitel 7 Zusammenfassung 86 7 Zusammenfassung In der heutigen Zeit ist der Einsatz einer Firewall unumg nglich Nahezu jeder der einen Com puter hat ist mit diesem in der Regel auch online Nach einer Studie des Verbands BITKOM haben 70 Prozent aller Bundeshaushalte einen PC 50 Prozent der Haushalte haben einen Breit bandanschluss f r den Zugang zum Internet und 67 Prozent haben eine E Mailadresse 7 In Unternehmen ist der Zugang sogar unvermeidlich da die meisten Gesch ftsmodelle die Ein beziehung des Internets voraussetzt Mindestens basiert jedoch die t gliche Korrespondenz auf einen Zugang zum Netz Der Verzicht auf den Einsatz einer Firewall ist vergleichbar mit russischem Roulette oder ei nem Haus in dem T ren und Fenster offen stehen Also eine Einladung f r jedermann dort einen Besuch abzuhalten um sich mal um zuschauen was es dort alles gibt und f r den Be sucher von Interesse sein k nnte Im privaten Umfeld ist dies f r den Einzelnen sicherlich unangenehm Wenn allerdings ein Unternehmen einen Fremden einen Kunden oder gar einen Mitarbeiter auf dieser Art und Weise bittet sich im Unternehmen genauer zu informieren ist dies f r den Gesch ftsf hrer und seine Angestellten schon kritisch und k nnte existenzielle Konsequenzen mit sich bringen Von allgemeinem Interesse ist es jedoch dann wenn jedermann sich bei K
65. entifizierung beschrieben da diese in den meisten Unternehmen vorhanden ist Prinzipiell gibt es globale Einstellungen f r alle Methoden Dazu geh rt die Anzahl der Prozesse die f r die Authentifizierung verantwortlich sind Ebenso die Zeit in der die Authentifizierung ohne weiter Benutzeraktion g ltig ist Auch kann eingestellt werden mit wie vielen IP Adressen der Benutzer angemeldet ist um somit ein mehrfaches Anmelden an unterschiedlichen Clients zu verhindern Ebenfalls wichtig ist die M glichkeit dass Domains angegeben werden k nnen die ohne Authentifizierung besucht werden d rfen Dazu geh ren etwa die Windows oder Antivirenupdateserver Um die Windowsauthentifizierung durchf hren zu K nnen muss noch der Dom nenname so wie der Name des ActiveDirectory Servers angegeben werden Sofern die integrierte Windows Kapitel 5 Weitere Funktionen und Dienste AddOns 51 Authentifizierung aktiviert ist werden die Anmeldeinformationen des angemeldeten Benutzer verwendet Dieser braucht somit keine Daten mehr zur Anmeldung eingeben Ansonsten wird der Benutzer ausdriicklich nach Benutzername und Passwort gefragt Auch hier kann nochmal eine Zugriffsbschr nkung auf Benutzerebene erfolgen Dazu wird eine Positiv und eine Negativ Liste verwendet die den Zugriff auf das Internet ber den Benutzernamen regelt 41 5 3 1 Update Accelerator Der Update Accelerator arbeitet hnlich wie ein Proxyserver Er cached bereits h
66. er Dokumente auf Datentr gern sein Werden diese Daten nach dem Ausscheiden aus dem Unter nehmen nicht ge ndert steht dem entlassenen Mitarbeiter T r und Tor offen Sollte dieser nun auch noch in einem Unternehmen besch ftigt werden das sich in Konkurrenz zum vorherigen befindet steht dem Datenklau nichts mehr im Weg Aber auch ein Konkurrenzunternehmen ohne Insider kann einem Unternehmen Schaden zuf gen indem es einen Hacker zur Indus triespionage anstiftet 52 Kapitel 4 2 Somit ergibt sich auch der letzte Punkt die Spionage durch Terroristen und organisierte Kri minalit t In Zeiten von Krieg auch der kalte Krieg und dem heute allgegenw rtigem Terro rismus ist es f r beide Parteien unerl sslich an Informationen des Gegners zu gelangen um diesem einen Schritt voraus zu sein Eine staatlich gewollte Ausnahme stellt hier sicherlich der so genannte Bundestrojaner dar Dieser soll zur Bek mpfung der Kriminalit t ebenfalls zur Datenspionage eingesetzt werden Von ihm geht ebenfalls eine nicht zu untersch tzende Gefahr aus da dieser etwa durch einen begabten Hacker manipuliert und f r illegale Aktivit ten ausgenutzt werden k nnte 2 2 Angriffsm glichkeiten Wie bereits eingangs erl utert liegt die Angriffsm glichkeit auf ein Netzwerk in den Schwach stellen der jeweiligen verwendeten Technologie Durch den stufenweisen Ausbau von Beginn an und der Implementierung weiterer ben tigter Funktionen den daraus resultierend
67. er Virenscanner Browser Exploits Viren oder Phishing Versuche Zudem ist es m glich den HTTP Datenstrom nach Werbe Fenstern Bannern oder Pop Ups zu filtern da HAVP dem Proxydienst Privoxy unterliegt Um die sich im Netzwerk befindlichen Clients nicht manuell konfigurieren zu m ssen steht hier ebenfalls die Nutzung des Proxys im transparenten Modus zur Verf gung 32 Seite 30 5 5 6 Privoxy Privoxy selbst hat hnlich wie Monit eine eigene Administrationsoberfl che Diese ist unter der Adresse http config privoxy org erreichbar Diese Adresse wird intern in der Firewall umgeleitet und befindet sich nicht wie es aussieht im Internet sondern in der Firewall selbst Da Privoxy ein eigenst ndiges und m chtiges Produkt ist wird an dieser Stelle zur Konfiguration auf die umfangreiche Dokumentation im Internet verwiesen http www privoxy org Provoxy wird als transparenter Proxy eingesetzt da es damit erst m glich wird die Inhalte aus POP3 SMTP und HTTP FTP zu scannen 5 5 7 frox frox ist hnlich wie HAVP ein Dienst der den Datenverkehr berwacht Frox berwacht je doch den FTP Datenstrom Privoxy ist wiederum Grundlage f r den Dienst und wird ebenfalls Kapitel 5 Weitere Funktionen und Dienste AddOns 62 durch die installierten Virenscanner unterst tzt Die Nutzung des Dienstes kann auch hier f r jedes Netzwerk separat aktiviert werden 5 5 8 SpamAssassin Die SPAM Filter Komponente im Copfilter bernimm
68. er falscher MAC Adresse Da ein Switch jedoch nicht in der Lage ist IP Adressen auszuwerten erh lt der Angreifer die Daten Allerdings kann der Angreifer diese nur annehmen wenn er eine entsprechende Routingsoftware aktiviert hat Dank der Routingsoftware Kann er nun auch die Daten an den eigentlichen Zielrechner weiterleiten er kennt ja die tats chliche MAC Adresse Der Angreifer f hrt eine so genannte Man in the Middle Attack durch und kann den Daten verkehr zwischen diesen zwei Rechnern abh ren 52 Kapitel 4 4 2 30 Seite 48 DNS Spoofing Ein DNS Spoofing verl uft hnlich wie das ARP Spoofing Hierbei wird dem anfragenden Rechner statt der g ltigen IP Adresse einer Bank einem online Auktionshaus oder einer be liebigen Plattform mit Benutzerdaten eine falsche IP Adresse mitgeteilt Der Angreifer muss allerdings zus tzlich noch einen Proxy Server einrichten um die Anfragen an den echten Ser ver weiterzuleiten Der Angreifer befindet sich wiederum zwischen zwei Rechnern und kann den Datenverkehr zwischen Ihnen mitverfolgen 52 Kapitel 4 4 2 30 Seite 51 Kapitel 2 Firewall Grundlagen 2 2 3 Hijacking Hijacking im speziellen auch Session Hijacking oder Telnet Hijacking genannt ist eine Me thode bei der der Angreifer versucht eine bestehende Verbindung zu bernehmen Ausgenutzt wird hierbei die Schw che des TCP Protokolls Bei einem Angriff werden eigene Pakete des Angreifers in die bestehende TCP Verbindung ei
69. eren des Pakets in ein tempor res Verzeich nis auf den IPCop und anschlie endes Entpacken mit tar Danach erfolgt die Ausf hrung des Befehls install im durch tar erstellten Verzeichnis Das Installationsskript erwartet beim Start die Eingabe der Option i um die Installation durchzuf hren Die Eingabe von e beendet die Installation vorzeitig 17 Konfiguration Das AddOn nimmt seinen Platz im Men Status ein Es muss dort ber die Checkbox Webalizer aktivieren gestartet werden Zudem kann ein Zeitintervall angegeben werden in welchem Abstand die Erstellung der Statistiken vorgenommen wird Eine bersicht ber den Zeitraum von 12 Monaten zeigt Abbildung 5 8 17 Kapitel 5 Weitere Funktionen und Dienste AddOns 68 Webalizer Statistiken Usage statistics for IPCop proxy Auslastungsstatistik f r den Zeitraum Letzte 12 Monate Erstellt am 07 Feb 2008 14 30 CET Webalizer Xtended RB20 Zusannenfassung der Anfragen an IPCop proxy Besuch d Recher 46 61143 2458408 Seiten Dateien Anfragen Volumen Yol mz Yol Out Mar Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Zusammenfassung nach Monaten Tagesdurchschnitt Monats Summe m ps o O a Eob 2008 2008 8734 4422 1095 3 1 56 GB 0 bytes O bytes 46 7668 30960 61143 hanzoos 2952 1770 414 gt 3 2 34 GB o bytes 0 bytes 38 4144 17708 29521 Summen 3 91 GB 0 bytes 0 bytes 84 11812
70. eruntergela dene Dateien und liefert diese bei erneuter Anforderung direkt aus seinem Cache aus Der Un terschied zwischen einem Proxy und dem Update Accelerator liegt jedoch in der Eigenschaft der Gr e der gecachten Dateien Ein Service Pack f r Windows ist mitunter mehrere hundert Megabyte gro und w rde von einem Proxyserver daher nicht mehr gecached werden k nnen Dieser unterliegt in der Regel einer Gr enbeschr nkung Bei einem Proxyserver liegt diese in der Regel bei mehreren hundert Kilobytes pro Datei Auch w rde der zur Verf gung stehende Plattenplatz bei einer zu hohen Angabe der Dateigr e sehr schnell aufgebraucht sein Dies beeinflusst den Proxyserver wiederum negativ Die Funktion ist daher ebenfalls vergleichbar mit einem Fileserver der unabh ngig vom Proxy seine Inhalte bereith lt 45 Der Update Accelerator speichert die Dateien bei der ersten Anforderung automatisch Jeder weitere Download der Datei wird vom Update Accelerator aus dem Cache ausgeliefert Es werden die Updates der Hersteller Adobe Apple Avast Linux Microsoft Symantec und Trend Micro gespeichert Es ist allerdings m glich weitere Quellen zu definieren 46 Installation Das heruntergeladene Paket wird auf den IPCop in ein tempor res Verzeichnis kopiert und dort mit tar entpackt Die Installation wird danach im durch tar erstellten Ver zeichnis durch Eingabe des Befehls install gestartet Die Installation l uft vollautomatisch durch 45
71. esteht heutzutage nicht mehr aus einem reinen Proxy oder nur aus einem Pa ketfilter Vielmehr wird auf die gezielte Kombination und somit der Ausnutzung der Vorteile der einzelnen Techniken gesetzt Kapitel 2 Firewall Grundlagen 12 Eine M glichkeit nennt sich Screened Host wie in Abbildung 2 3 dargestellt Diese Kombina tion stellt zum einen sicher dass durch den Einsatz der Paketfilter nur als sicher gekennzeich nete Pakete in Netzwerk kommen Zum anderen werden Verbindungen ins Internet nur durch den Proxy aufgebaut bzw gelangen von au en erst auf diesen Ebenso ist durch den Paket filter gew hrleistet dass nur erlaubte Protokolle aus dem LAN direkt ins Internet gehen 30 Seite 71 Proxy Abbildung 2 3 Schematische Darstellung eines Screened Host 30 Seite 71 Ein weiteres Konzept wird jedoch notwendig sobald eigene Serverdienste aus dem Intranet angeboten werden Ein kompromittierter Webserver w rde das Konzept des Screended Host umgehen da er sobald er auf dem Webserver Zugriff hat auch Zugang zum LAN bekommt Die dazu bevorzugte L sung nennt sich Screened Subnet wie sie in Abbildung 2 4 dargestellt ist Dazu wird der Proxy zwischen zwei Paketfilter gesetzt Es entsteht ein weiteres Netzwerk die DMZ auch demilitarisierte Zone genannt Dies ist dann der ideale Ort f r Web FTP oder E Mail Server da dieser Bereich durch den zus tzlichen Paketfilter vom internen LAN getrennt ist Durch zus tzliches Einf gen
72. et 62 Das AddOn sowie die Dokumentation sind nur erh ltlich sofern eine Mitglied schaft im IPCop Forum existiert Kapitel 5 Weitere Funktionen und Dienste AddOns 77 8 tifiy nettpixde CopTime Mozilla Firefox pl gt gt MAME SA A ASA u a Datei Bearbeiten Ansicht Chronik Hilfe e https tifiy nettpix de 445 cgi bin coptime cgi Sl Glz co sgle E The bad packets stop here M Status i Status ok A a f Letzter Kontakt 2008 02 07 15 30 12 UTC 0100 D J l Uptime 20d 18h 50m 445 N A 1 Uptime Rekord 55d 02h 03m 155 Uptime Durchschnitt 11d 02h 07m 11s oO Pp I l M E I Aktuelle Platzierung 357 626 UPTIME CLIENT FOR IPCor N Jetzt aktualisieren N E CopTime v0 4 0 I i N i 1 Einstellungen Il I 2 i Enabled Y f User K N N Status auf Indexseite M Up 20d 18h 50m 445 N I ii Record S5d 02h Gm 15s Dptimen p Karki IPCop v1 4 18 v2 4 34 f Passwort Pe n 7 ma Uptime Bild hoshil0 gt 1 Dateiname f r IPCop Galerie naeh korki php J il BBCode f r die Signatur in Foren url http www ipcop forum de coptime ima http www ipcop forum de coptime img Korki png img L url N Dieses Feld kann leer bleiben Spaichem BE mr Fertig tiffy nettpixde 445 E nme HR O RR RR RR Abbildung 5 13 Screenshot Konfigurationsmaske Coptime Kon
73. fach einzurichten da der Monit Dienst des Copfilters regelm ssig Reports an diese Adresse sendet Somit sind alle wichtigen E Mails ber den Status der Firewall und der lau fenden Dienste an zentraler Stelle abgelegt 32 Seite 19 Die Konfiguration der weiteren Dienste ist nachfolgend detailliert beschrieben 5 5 1 Quarant ne Es sind zwei Quarant nebereiche vorhanden Einer beinhaltet die gefundenen E Mails die einen Virus enthalten der andere wie es Abbildung 5 6 darstellt enth lt alle unter SPAM Verdacht identifizierten E Mails Der Aufbau ist in beiden Bereichen identisch Es sind Ab senderadresse Empf ngeradresse und Betreff tabellarisch aufgelistet Dazu kommt eine Zeit stempel und ein Dateiname unter dem die E Mail in der Quarant ne abgelegt ist Im Be reich der Virusquarant ne existiert zudem eine Spalte welche den gefunden Virus namentlich kennzeichnet In beiden Bereichen ist es m glich durch Markieren einer Checkbox eine Aus wahl bestimmter E Mails dem eigentlichen Empf nger zukommen zu lassen etwa bei False Positive Funden Des Weiteren kann die Quarant ne g nzlich geleert werden 32 Seite 40 5 5 2 Monit Monit ist die zentrale Steuerung des Copfilters Monit ist ein Dienst der die weiteren Dienste des Copfilter berwacht und bei nderung des Zustands eines Dienstes eine E Mail an den Empf nger sendet und ihn so dar ber in Kenntnis setzt Der Dienst wird im Untermen punkt berwachung durch Setzten
74. figuration Nach erfolgter Installation befindet sich im Men Dienste des IPCops ein weiterer Men punkt Coptime Zur Aktivierung des Dienstes wird ein Haken bei enabled ge setzt Zus tzlich ist eine Mitgliedschaft im Forum der bereitstellenden Webseite erforderlich Der Forumsname wird im Feld Uptimer ID eingetragen Bei der ersten Einrichtung kann ein frei w hlbares Kennwort gew hlt werden Dieses wird bei der ersten bertragung dauerhaft in der Datenbank gespeichert Zuletzt wird ein beliebiges Hintergrundbild gew hlt Dieses kann zum Beispiel als Signatur bei aktiver Teilnahme am Forum verwendet werden wird aber auch auf der Seite des Coptime Dienstes angezeigt In Abbildung 5 13 ist die Konfigurationsmake von Coptime dargestellt 62 Kapitel 6 Wartung und Pflege 78 6 Wartung und Pflege Mit einer Installation einer Firewall alleine ist es in der Regel nicht getan Wie bereits er w hnt ist eine Firewall Teil eines Gesamtkonzeptes zur Absicherung des Netzwerks auf ein und ausgehenden Datenverkehr Zum Gesamtkonzept geh rt auch eine regelm ige Kontrolle der Firewall Dies umfasst mehrere Bereiche Zum einen m ssen regelm ig die Logdateien gepr ft werden Diese sind abh ngig von den installierten Komponenten Es m ssen in jedem Fall die Firewalllogdateien berpr ft werden sowie die gesamten Logdateien der Firewall Da zu geh ren berichte ber Cronjobs Kernellogs Logins und SSH Verbindungen Aber auch je nach akti
75. g finden In einer Test oder Entwicklungsumgebung spricht allerdings nichts ge gen einen solchen Einsatz da hier die Vorteile der gemeinschaftlichen Nutzung eines einzigen Rechners zum Tragen kommen Kapitel 4 Konfiguration und Einrichtung der Basismodule 24 4 Konfiguration und Einrichtung der Basismodule Nach der Installation folgt die Konfiguration des IPCops obwohl dieser prinzipiell bereits ein satzbereit ist und das dahinter liegende Netzwerk sch tzt Der nachfolgende Teil besch ftigt sich zun chst mit den Basismodulen die sich im Lieferumfang befinden Im darauf folgenden Kapitel folgt die Installation und Einrichtung ausgew hlter Zusatzmodule die den Funktions umfang des IPCops wesentlich erweitern k nnen und in einem hohen Ma zur zus tzlichen Sicherheit beitragen Nach erfolgreicher Installation gelangt der Benutzer auf die Weboberfl che des IPCops ber die bei der Installation festgelegten Adresse f r das gr ne Netzwerk Wichtig ist die Angabe des Ports da die SSL Verbindung nicht ber den Standardport 443 sondern ber den Port 445 hergestellt wird Der Adressaufruf k nnte so aussehen https 192 168 150 1 445 Das WebGUI der Firewall zeigt einen Startbildschirm 4 1 mit einigen allgemeinen Informatio nen Benutztes Profil IP Adresse Hostname des IPCops Verbindungsstatus Uptimes sowie die Systemauslastung Dieser Bildschirm ist jederzeit aus dem gr nen Netzwerk erreichbar Durch Auswahl e
76. g pub fp linux ws tar gz AVG http free grisoft com softw 70free setup avg75flr r45 a0973 1386 rpm Danach werden die Pakete auf den IPCop kopiert F Prot wird mit tar nach root entpackt das AVG Paket wird nach var log copfilter default verschoben Die Installation wird dann durch Starten der Copfilter Installation sowie der Angabe eines Parameters und des jeweiligen Pfads der Installationsdateien des Scanners durchgef hrt 32 Seite 45 F Prot setup_util f root fp linux ws tar tar 32 Seite 45 AVG setup_util avg avg75flr r45 a0973 1386 rpm Die Installation l uft automatisch durch Weitere Einstellungen sind nicht notwendig Kapitel 5 Weitere Funktionen und Dienste AddOns 65 5 5 12 Tests und Logs Copfilter stellt zur berpr fung des Copfilters auf seine Funktionen diverse Tests bereit Zum Einsatz kommt hierbei die Testdatei EICAR European Expert Group for IT Security http www eicar org anti_virus_test_file htm Es ist ein 68 70 Byte lan ger Zeichencode der eingef gt in eine Textdatei ein ausf hrbares Programm darstellt und die Meldung EICAR STANDARD ANTIVIRUS TEST FILE ausgibt Das Programm ist harm los muss aber von jedem Virenscanner als Virus erkannt werden So lassen sich beispiels weise auch Archive mit einem Virenscanner pr fen wenn diese Datei sich in einem solchen Archiv befindet Eine hnliche Datei gibt es f r den SPAM Test genannt GTUBE Generic Test for Unsolicited Bulk Email SpamAss
77. ge 21 4 1 Screenshot des IPCop Startbildschirm 2 22 22 nme 25 4 2 Screenshot der SSH Verbindung mit Putty o 26 4 3 Screenshot der IPCop Statusinformation 28 4 4 Screenshot des IPCop Diagramms der gr nen Schnittstelle 29 4 5 Screenshot der IPCop Verbindungsverfolgung 30 5 1 QoS Funktionsweise ros ts aa 42 5 2 Screenshot BOT Regeln in einem IPCop o o 43 5 3 Screenshot Konfigurationsmaske Advanced Proxy 47 5 4 Screenshot Konfigurationsmaske Calamaris 53 5 5 Screenshot Startseite des Copfilter AddOns o 57 5 6 Screenshot Quarant ne des Copfilters ooo o 59 5 7 Schema des High Availability AddOns Ucarp o 66 5 8 Screenshot Bericht des Webalizer AddOns o oono 68 5 9 Screenshot Konfigurationsmaske GUI PortS 70 5 10 Screenshot UPS Zusammenfassung e 71 5 11 Screenshot Bericht des AddOns SnortALog o 73 Abbildungsverzeichnis VII 5 12 Screenshot Bericht des AddOns Firewall Logs 75 5 13 Screenshot Konfigurationsmaske Coptime ooa a 77 6 1 CopTime User Jahresansicht ciao ace 0 aa au 2 u 82 6 2 Uptimesumme Jahresansicht 2 2 2 Como 82 6 3 Durchschnittliche Uptime Jahresansicht 2 22 2 222 nennen 82 Tabellenverzeichnis IX Tabellenverzei
78. hiedenen Netzwerkbereiche In der zweiten Zeile ist Beispiels weise die Verbindung eines Clients IP Adresse 192 168 150 30 gr n mit dem WebGUI des IPCops IP Adresse 192 168 150 1 schwarz auf Port 445 zu sehen Die Dritte Zeile zeigt eine Verbindung eines Clients IP Adresse 192 168 150 30 gr n mit dem Proxy Dienst des IPCops IP Adresse 192 168 150 30 erkennbar am Port 800 Die zugeh rige Internetverbin dung k nnte Zeile acht sein Hier stellt der IPCop eine Verbindung von der roten Schnittstelle IP Adresse 192 168 170 1 schwarz mit dem Internet her IP Adresse 213 73 209 9 rot In diesem Fall der Webserver der Adresse http www heise de 4 3 Netzwerk Sofern der Internetzugang nicht ber eine statische IP Adresse oder ber einen DHCP Dienst bereitgestellt ist sondern direkt ber ein Modem ISDN oder DSL Modem steht dem Benut Kapitel 4 Konfiguration und Einrichtung der Basismodule tifiynettpixde Verbindungen Mozilla Firefox EN Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe lt a e a https tiffy nettpix de 445 cgi bin connections cgi Glr s IP E 1 The bad packets stop here 5p i IPTables Yerbindungsverfolgung Legende MIME 0 TE CT IA l Ablaufdatum Verbindung Original Original Erwartet Erwartet A Protokoll 7 sek Status Quell IP Port Ziel IP Port Quell IP Port Ziel IP Port Markiert Einsatz N Ale v A
79. hl sselt nach Tag Woche Monat und Jahr den Verlauf des jeweiligen gew hlten Objekts Eine nde rung des Intervalls ist nicht vorgesehen Abbildung 4 4 zeigt exemplarisch ein Diagramm ber den Verlauf des Datenverkehrs innerhalb einer Woche auf der gr nen Schnittstelle Kapitel 4 Konfiguration und Einrichtung der Basismodule Verkehr auf GREEN Diagramm pro Woche Bytes pro Sekunde a Eingehender Verkehr in Bytes pro Sekunde E Abgehender verkehr in Bytes pro Sekunde Maximal Ein 5 539 kBps Durchschnitt Ein 212 846 Bps Aktuell Ein 818 642 Bps Maximal Aus 56 728 kbps Durchschnitt Aus 3 758 kBps Aktuell Aus 24 501 kBps Abbildung 4 4 Screenshot des IPCop Diagramms der gr nen Schnittstelle 4 2 2 Verbindungen Unter diesem Men befindet sich die iptables Verbindungsverfolgung 37 Kapitel 2 3 6 Da auch der IPCop auf iptables und Netfilter basiert werden alle Verbindungen zwischen den ver schiedenen Ger ten nach Ziel und Quell IP Addresse und Ziel und Quell Port berwacht Hier ist eindeutig erkennbar welche Verbindung von Wo nach Wo aufgebaut wurde und zu welchem Netzwerkbereich die Verbindung geh rt Sollte dem Benutzer ein Addresse unbe kannt sein kann er auf die jeweilige IP Adresse klicken Er f hrt damit einen Reverse DNS Lookup durch um das jeweilige Ger t zu identifizieren In Abbildung 4 5 ist der Status aktiver Verbindungen zu sehen Deutlich erkennbar ist hier die farbliche Trennung der versc
80. hnlich wie bei den beiden Punkten zuvor Es m ssen Protokoll Quell und Zielnetz sowie Port angegeben um dem Dienst Zugriff auf das interne Netz zu gew hren 4 5 4 Firewall Optionen Unter diesem Punkt verbirgt sich die Einstellung zum Deaktivieren des ICMP Ping 37 Kapitel 2 6 7 Dieser kann entweder f r alle oder nur f r die rote Schnittstelle Konfiguriert werden Jedoch ist es nicht ratsam diese Einstellung generell f r alle ICMP Pakete durchzuf hren da es sinnvolle und weniger sinnvolle Pakete gibt Zumal ein Verstecken des IPCop nicht m glich ist da ein nicht antwortender Router immer noch existiert und dies durch seine ausbleibende Antwort dem anfragenden Client kommuniziert Kapitel 4 Konfiguration und Einrichtung der Basismodule 37 4 6 VPN IPCop eignet sich ebenfalls dazu zwei von einander getrennte Netzwerke ber ein drittes Netzwerk hinweg miteinander zu Verbinden Alle Daten aus dem ersten Netzwerk lassen sich mit entsprechender Berechtigung vorausgesetzt ber die VPN Verbindung erreichen und umgekehrt Die Daten die zwischen diesen beiden Netzwerken ausgetauscht werden sind ver schl sselt k nne also nicht von anderen die sich im dritten Netzwerk befinden eingesehen werden 37 Kapitel 2 7 IPCop unterst tzt dabei die Verbindung zweier IPCops untereinander aber auch andere VPN Produkte die auf das verwendete Protokoll IPSec aufbauen Unterschieden werden im IP Cop zwischen Netz zu Netz und Host z
81. htet werden Dazu wird der Dienst aktiviert und ein entsprechender Zeitserver wird f r den prim ren und se kund ren Zeitserver eingetragen Damit die Clients die Uhrzeit berhaupt empfangen k nnen muss die Uhrzeit schlie lich noch dem Netzwerk bekannt gemacht werden Dies geschieht ber das Programm ntpupdate Dieses ist jedoch ungenauer als der xntp Dienst Die Uhrzeit vom IPCop kann daher von der tats chlichen Uhrzeit abweichen Schlie lich wird noch die Frequenz eingestellt wann die Uhrzeit aktualisiert werden muss Es reicht wenn diese alle drei Tage aktualisiert wird Zudem kann die Uhrzeit auch jederzeit manuell aktualisiert werden Welcher Zeitserver genutzt wird h ngt von der lokalen Lage ab Eine Liste mit einer bersicht findet sich unter http www ntp org 29 4 4 5 Dynamisches DNS Im Konfigurationsmen f r Dynamisches DNS kann der Benutzer seinen bevorzugten Dyna mischen DNS Anbieter konfigurieren 37 Kapitel 2 5 3 Sofern der Zugang zum Internet ber einen ADSL Anbieter erfolgt und der Provider nur eine dynamische IP Adresse bereitstellt kann somit ein Zugang ber einen FQDN Full Quallified Domain Name erfolgen Unter st tzt werden dabei alle bekannten DynDNS Anbieter dazu geh ren unter anderem folgende um nur einige zu nennen e dyndns org e no ip com e dnspark com e opendns com easydns com Kapitel 4 Konfiguration und Einrichtung der Basismodule 34 Die Konfiguration erfolgt i
82. i wird auch auf weitere Aufgaben der Software und Dienste wie Proxyserver DHCP Server Zeitserver Dynamische DNS Dienste TrafficShaping Intrusion Detection und VPN eingegangen Zus tzlich k nnen durch weitere frei verf gbare AddOns weitere Funktionalit ten der Software hinzugef gt werden Einige der AddOns wie etwa Spamfilter Virusfilter und Erweiterung des Proxys sind dabei Teil dieser Arbeit und werden auf Ihren Nutzen und Zweck untersucht Nach der Konfiguration werden weitere AddOns vorgestellt deren Sinn und Zweck sowie die Vor und Nachteile dieser im n chsten Abschnitt beschrieben Unter anderem wird hier ber den allgemeinen Einsatz und die Notwendigkeit der diversen AddOns gesprochen Kapitel 5 Schlie lich gibt es einen Abschnitt in dem Erfahrungswerte zur Stabilit t und Wartbarkeit des Systems beschrieben sind Alle vorgestellten Funktionen wurden dazu installiert und einer ausgiebigen Pr fung unterzogen Die Ergebnisse finden sich zu den einzelnen Funktionen in den einzelnen Abschnitten und im Gesamten im letzten Abschnitt wieder Kapitel 6 Der Leser wird letztlich eine Dokumentation dar ber erhalten mit welchen Mitteln er ein sta biles System zur Sicherung des Netzwerkes errichten kann Dazu werden ihm Empfehlungen zur Installation Konfiguration und Betrieb zur Verf gung gestellt Er erh lt Informationen ber geeignete Ma nahmen zur SPAM und Viren Bek mpfung und er bekommt dar ber hin aus Informationen
83. ie den entsprechenden Kenntnisstand besitzt um im privaten Umfeld ein sicheres Netzwerk unter Verwendung des IPCops einzurichten In gr eren Netzwerken als im Titel dieser Arbeit angegeben wie etwa mit unterschiedli chen Netzwerksegmenten die untereinander auf unterschiedlicher Art und Weise miteinander kommunizieren wird der IPCop eher nicht mehr eingesetzt Jedoch kann in dezentralen Netz werken der IPCop als Gateway zur Verwendung kommen um diese Netzwerke untereinander zu verbinden Die Eignung des IPCops in unterschiedlichen Netzwerken ist dabei ein weiterer Aspekt dieser Arbeit Kapitel 1 Einleitung Zur bersichtlichen Trennung zwischen Text und Befehlen Kommandos Rechnereingaben wurden solche in kursiver Form abgesetzt Vorgehensweise Begonnen wird mit einer kurz gehaltenen Einf hrung in die Grundlagen der Arbeitsweise von Firewalls Wichtige Begriffe werden vorgestellt und es wird auf die Unterschiede verschiedener Firewall Architekturen und Technologien eingegangen Kapitel 2 Dabei wird auch auf Angriffs und Schutzm glichkeiten eingegangen Danach wird der IPCop vorgestellt Kapitel 3 Ein weiterer Punkt stellt die Kostensituation dar Dazu wird unter anderem ermittelt wel che Hardware Anforderungen sich ergeben und welchen Zeitaufwand die Einrichtung und anschlie ende Wartung der Software erfordert Im n chsten Abschnitt Kapitel 4 wird die Installation und Konfiguration ausf hrlich erl u tert Dabe
84. ieht steht der Proxy vor einem Problem Aber auch daf r gibt es eine L sung Entweder kennt der Client eine Methode wie er dem Proxy mitteilen kann dass der Proxy selbst die FTP Verbindung aufbaut oder er nutzt des SOCKS Protokoll 30 Seite 68 2 3 3 NAT Network Address Translation Die regelgesteuerte Manipulation der Absender und oder Empf ngeradresse wird NAT be zeichnet Dabei hat diese Technik im eigentlichen Sinn nichts mit einer Firewall zu tun Der Umstand das NAT jedoch die IP Adressen manipuliert und somit die Originaladressen ver schleiert wird gerne in einer Firewall mit eingesetzt Die Umsetzung dieser Technik erfolgt in diesem Zusammenhang ebenfalls mit iptables womit schon der Paketfilter realisiert wurde 30 Seite 68 NAT wird in zwei weitere Bereiche unterschieden Zum einen in Destination NAT zum ande ren in Source NAT Kapitel 2 Firewall Grundlagen 11 Source NAT Source NAT wird die Ver nderung der Quelladresse genannt Dies geschieht im Allgemeinen wenn ein Netzwerk ans Internet angeschlossenen wird Das Netzwerk liegt dabei in einem nicht ffentlichen Netzbereich Der Router sorgt nun daf r dass jeder Rechner mit einer nicht offiziellen IP Adresse nach au en f r das Internet mit einer offiziellen IP Adresse auftritt Somit k nnen etwa mehrere hundert Rechner unter einer einzigen Adresse im Internet agieren Der Router muss daf r nur eine interne Liste f hren anhand dieser er die Verbindungen
85. iert ab und verlangt keine weiteren Eingaben 23 Konfiguration Rootkit Hunter richtet sich im Men Dienste als neuen Punkt RootKitHunter ein Eine Konfiguration ist nicht erforderlich Es ist lediglich m glich auf Knopfdruck das AddOn zu aktualisieren beziehungsweise einen Check des Systems manuell zu starten 5 15 Coptime Ein f r den produktiven Einsatz weniger empfohlenes AddOn ist CopTime Der Einsatz emp fiehlt sich nicht da es keinen sicherheitsrelevanten Zweck oder Nutzen erf llt und wie ein gangs erw hnt jedes zus tzliche St ck Software ein zus tzliches Risiko f r die Firewall birgt Gerade aber mit diesem AddOn kann die Stabilit t des Systems dargestellt werden CopTime ist ein Dienst der im zweist ndigen Rhythmus Daten der bisherigen Laufzeit des Systems seit dem letzten Neustart an eine Datenbank der Webseite des IPCop Forums ber tr gt http www ipcop forum de coptime Auf dieser Webseite werden alle am Dienst teilnehmenden Firewall Systeme in einem Ranking dargestellt Zum Zeitpunkt der Er stellung dieser Arbeit sind ca 600 aktive System aufgef hrt Eine detaillierte Bewertung die ses Dienstes wird im Kapitel 5 2 aufgef hrt Installation Die Installation gestaltet sich folgenderma en Das Paket wird mittels einer Remote Console auf die Firwall bertragen und dort in einem tempor rem Verzeichnis ent packt Die Installation wird als n chstes im erstellten Verzeichnis durch Eingabe von install gestart
86. il so weit modifiziert dass der Empf nger nur einen Hinweis erh lt dass die E Mail einen Virus enthielt Ebenso wie bei der SPAM Erkennung kann auch die Virenerkennung die Original nachricht in die Quarant ne verschieben Die Quarant ne kann zudem automatisiert nach einer Voreinstellung turnusm ig nach Ablauf einer Zeitspanne geleert werden 32 Seite 22 5 5 4 ProxSMTP Die meisten Einstellungen f r den ProxSMTP Dienst korrespondieren im wesentlichen mit denen des P3Scans Zus tzlich k nnen jedoch weitere Funktionen eingestellt werden Zuerst k nnen Einstellungen f r den ausgehenden SMTP Verkehr eingestellt werden Dies kann wie bei P3Scan f r die unterschiedlichen Netzwerke definiert werden Ebenso kann wieder ein Kommentar eingef gt werden wie auch eine Ver nderung des Betreffs m glich ist Genauso kann auch die Virenerkennung eingeschaltet werden Neben dem ausgehenden Scan ist auch ein Scan der eingehenden E Mails m glich Dazu muss der Dienst auf der roten Schnittstelle aktiviert werden Ebenso wird angegeben in wel chem Netzwerk sich der eigene E Mailserver befindet und unter welcher IP Adresse und un ter welchem Port dieser erreichbar ist ProxSMTP macht somit ein Relaying zum eigenen E Mailserver wodurch dieser zum OpenRelay Server wird Es ist daher zwingend erforderlich die eigene E Mail Infrastruktur auf ein OPenRelay hin zu pr fen Dies kann beispielsweise unter http www spamhelp org shopenrelay oder bei htt
87. indern Addison Wesley 1 edition November 2004 Literaturverzeichnis VIH 52 Ralf Spenneberg Linux Firewalls mit iptables amp Co Addison Wesley 1 edition Februar 2006 53 Endian S r l Endian software edition http www endian com en products firewall software 54 Arie Tal Two technologies compared nor vs nand white paper http www data io com pdf NAND MSystems MSystems_NOR_vs_NAND paf 55 Achim Weber Blockouttraffic bot for ipcop 1 4 x 2006 http blockouttraffic de index php 56 Achim Weber Bot frequently asked questions 2006 http blockouttraffic de faq php 57 Achim Weber Bot getting started 2006 http blockouttraffic de gettingstarted php 58 Achim Weber Bot installation 2006 http blockouttraffic de installation php 59 Olaf Westrik Aktuelle coptime statistik Anzahl der mitglieder http www ipcop forum de coptime members php 60 Olaf Westrik Aktuelle coptime statistik Durchschnittliche uptime http www ipcop forum de coptime average php 61 Olaf Westrik Aktuelle coptime statistik Summe der uptimes http www ipcop forum de coptime total php 62 Olaf Westrik Coptime addon ipcop uptime client http www ipcop forum de forum viewtopic php t 15344 63 www IPCop forum de Ipcop und virtuelle maschinen http www ipcop forum de unipcop php 64 www IPCop org Ipcop roadmap http www ipcop org index php mod
88. ine Firewall dennoch sind einige n tzliche Funk tionen mit im IPCop integriert Diese befinden sich im Men punkt Dienste 4 4 1 WebProxy IPCop wird von Haus aus direkt mit einem Web Proxyserver ausgeliefert 37 Kapitel 2 5 1 Dieser ist jedoch standardm ig nicht aktiviert Die Konfiguration des Proxyservers erreicht der Benutzer ber den Punkt Dienste Proxy Hier kann der Proxy f r die Netzwerkbereiche gr n und blau aktiviert werden Ist der Proxy aktiviert ist eine zus tzliche Konfiguration in den Proxyeinstellungen im Browser jeden Clients zur Nutzung des Proxies notwendig Dies ist in der Regel die Angabe der IP Adresse der gr nen Netzwerkkarte und des Port standardm ig Port 800 Somit kann der Benutzer entscheiden ob er den Proxy Nutzen m chte oder nicht Soll der Proxy in jedem Fall genutzt werden kann er in den so genannten transparenten Modus geschaltet werden Alle Anfragen an den Standardport 80 f r HTTP Daten werden somit an den Proxyserver umgeleitet Zu den weiteren Einstellungen in diesem Bereich geh rt die Konfiguration des verwende ten Festplattenspeichers f r den Proxy sowie die minimale und maximale Dateigr e die in diesem Speicher abgelegt wird Zus tzlich kann auch noch eine Dateigr enbeschr nkung konfiguriert werden womit der Upload und oder der Download eingeschr nkt wird Dies ist beispielsweise notwendig wenn es ein Kontingent an Transfervolumen beim Internetdiens teanbieter gibt und
89. ines Men punkts oder eines Klicks auf einen der beiden Button f r Verbinden oder Trennen er scheint eine Loginmaske Der Benutzer in diesem Fall ist admin und das Passwort ist jenes welches bei der Installation vergeben wurde Der Button Aktualisieren erfordert kein Login 4 1 Allgemeine Einstellungen ber das Men System gelangt der Benutzer zu den Punkten Startseite Updates Passw rter ssh Zugriff Einstellungen der Benutzeroberfl che Datensicherung Herunterfahren und dem Punkt Dank an Kapitel 4 Konfiguration und Einrichtung der Basismodule 25 a tiffy nettpix de Startseite Mozilla Firefox u up f gt gt de Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe e O https 192 168 150 1 445 cgi bin index cgi aje Gl soog a Ez The bad packets stop here _ IP 1 4 9p SYSTEM STATUS NETZWERK DIENSTE FIREWALL YPNS LOGS COPFILTER tiffy nettpix de f Verbinden Trennen Aktualisieren p Verbunden 20d 15h 5m 275 IP Adresse internet 80 131 31 39 f IPCop s Hostname internet p50831F27 dip0 t ipconnect de IP Adresse 192 168 170 1 IPCop s Hostname 11 47 02 up 20 days 15 07 0 users load average 0 04 0 06 0 05 f i N Br 1 A Se a Verbunden 20d 15h 5m 275 SOURCFORGENET y 11 47 02 up 20 days 15 07 O users load average 0 04 0 06 0 05
90. itert eine Einwahl ber ein Profil besteht zudem die M glichkeit auf ein alternatives Profil zur ckzugreifen Dies ist zum Beispiel bei unterschiedlichen DSL Anbietern sinnvoll wenn ein Anbieter tempor re Probleme bei der Einwahl hat Damit bestimmte Modems berhaupt erst in der Lage sind eine Verbindung mit dem Internet herzustellen kann im Punkt Hochladen 37 Kapitel 2 4 2 der jeweilige Treiber zu einem der dort aufgef hrten Modems hochgeladen werden Wenn die Verbindung mit dem Internet ber ein analoges Modem hergestellt wird k nnen im n chsten Punkt Modem die dazu notwendigen Kommandos wie etwa f r Art der Initialisie rung der Ton oder Pulswahl oder f r das Auflegen konfiguriert werden 37 Kapitel 2 3 3 Kapitel 4 Konfiguration und Einrichtung der Basismodule 31 Nach der Installation sind jedoch alle Einstellung f r den Gebrauch mit den meisten Hayes Kompatiblen Modems bereits eingetragen Sollte die Verbindung ber eine statische IP Adresse hergestellt werden besteht im letzten Untermen punkt die M glichkeit in diesem Bereich weiteren vorhandenen statischen IP Adressen Alias Namen zu vergeben 37 Kapitel 2 4 4 Dies ist dann notwendig wenn im eigenen Netzwerk ein Webserver oder ein ftp Server betrieben werden und diese ber den Na men angesprochen werden sollen Dazu ist es jedoch ebenfalls notwendig die Routingtabelle manuell anzupassen 4 4 Dienste Zwar ist IPCop im eigentlichen Sinn nur e
91. lerator entwickelt Dieser ist ein separater Cache in dem Updates f r g ngige Software bereitgehalten werden etwa Mi crosoft Windows Updates oder Aktualisierungen f r g ngige Virenscanner Avast Symantec Trend Micro Installation AddOns heruntergeladen wird und diese auf den IPCop in ein tempor res Verzeichnis kopiert wird Dort wird es mittels tar entpackt Die Installation wird darauf im entpackten Verzeichnis durch Eingabe von install gestartet Die Installation l uft automatisiert ab Die Installation ndert den vorhanden Men eintrag des bestehenden IPCop Proxys in seinen Eigenen Der alte Die Installation wird durchgef hrt in dem das Paket von der Projektseite des Kapitel 5 Weitere Funktionen und Dienste AddOns 48 Eintrag wird nicht mehr ben tigt 42 Konfiguration In der Einstellungsmaske f r den Advanced Proxy siehe Abbildung 5 3 werden zun chst die allgemeinen Einstellungen konfiguriert Dazu geh rt die Aktivierung des Proxys der Port unter dessen der Proxy erreichbar ist ob der Proxyserver im transparenten Modus l uft und in welcher Sprache und in welchem Design die Fehlermeldungen des Proxies dargestellt werden Der Proxyserver darf nicht im transparenten Modus laufen wenn eine der Authentifizierungsmethoden genutzt werden soll Danach erfolgt die Konfiguration bei Nutzung eines vorgelagerten Proxyservers 41 Dieser kann n tzlich sein bei Verwendung eines weiteren Proxyservers um einen zus
92. lle X ETEA mall Za Sortiere aufsteigend protocol v Alle 4 N ZZ EEE 1 igmp 2 509 2 16 UNREPLIED tcp 6 89 TIME_WAIT ASSURED al tcp 6 431996 ESTABLISHED ASSURED al f tcp 6 114 TIME_WAIT ASSURED A l tcp 6 431996 ESTABLISHED ASSURED al f tcp 6 116 TIME_WAIT ASSURED 1 tcp 6 118 TIME_WAIT ASSURED 1 N top 6 115 TIME_WAIT ASSURED 1 tcp 6 116 TIME_WAIT ASSURED 1 tcp 6 115 TIME_WAIT ASSURED al tcp 6 111 TIME_WAIT ASSURED al f tcp 6 113 TIME_WAIT ASSURED al i tcp 6 113 TIME_WAIT ASSURED a tcp 6 116 TIME_WAIT ASSURED 1 l tcp 6 114 TIME_WAIT ASSURED al N tcp 6 431996 ESTABLISHED ASSURED g tcp 6 110 TIME_WAIT ASSURED al I tcp 6 115 TIME_WAIT ASSURED al tcp 6 112 TIME_WAIT ASSURED a N tcp 6 24225 ESTABLISHED UNREPLIED al tcp 6 114 TIME_WAIT ASSURED sl tcp 6 113 TIME_WAIT ASSURED al tcp 6 111 TIME_WAIT ASSURED 1 N tcp 6 4 CLOSE ASSURED a Se E SEE ooo rr aaa u zum E Fertig tiffy nettpix de 445 amp E Abbildung 4 5 Screenshot der IPCop Verbindungsverfolgung zer in dem Men Einwahl die M glichkeit zur Verf gung die Einwahl der Firewall ins Internet zu konfigurieren Dazu k nnen f nf verschiedene Profile eingerichtet werden Zur Option ste hen dazu diverse Arten von Modems Zus tzlich kann die Verbindung manuell dauerhaft oder nach Bedarf Dial on Demand eingestellt werden 37 Kapitel 2 4 Sche
93. ls eine Sicherheitsl cke bedeuten kann falls es einen Fehler im Programmcode gibt und dieser ausgenutzt wird um die Firewall zu kompromittieren Dennoch ist es f r den Administrator aufschlussreich zu wissen welchen Gefahren das Netzwerk ausgeliefert ist Der Einsatz dieses Systems liegt also im Ermessen des Administrators 2 Kapitel 6 50 51 Da regelm ig neue Angriffsmethoden entdeckt werden aktualisiert Snort den Regelsatz eben falls fortlaufend Diese Regeln kann das IDS im IPCop herunterladen Dazu ist es jedoch erforderlich dass sich der Benutzer bei der Projektseite von Snort anmeldet um einen Au thorisierungscode zu erhalten Die Nutzung der Regeln kann privat aber auch gesch ftlich erfolgen Dem Privatnutzer stehen die Regeln mit 30 Tagen Verz gerung zu Verf gung F r aktuellere Regeln bietet Snort ein Abonnement an welches kommerziell vermarktet wird Auch hier ist das Herunterladen unbekannter Regeln ebenfalls eine sicherheitskritische Stelle Die heruntergeladenen Regeln k nnen weder analysiert noch begutachtet werden Auch ist ein manuelles Deaktivieren einzelner Regeln nicht m glich An dieser Stelle bleibt es wiederum dem Administrator berlassen wie sehr er dem Anbieter der Snort Regeln vertraut Kapitel 4 Konfiguration und Einrichtung der Basismodule 35 Die Konfiguration zur Einbruchsdetektierung Snort kann f r die Netze rot gr n und blau separat aktiviert werden 4 4 7 Traffic Shaping Traffi
94. lt In der derzeitigen Version stehen folgende Kategorien zur Auswahl e ads Werbung e gambling Gl cksspiele e proxy e aggressive e hacking e violence Gewalt e audio video e mail Kapitel 5 Weitere Funktionen und Dienste AddOns 55 e warez Illegale Softwarebeschaffung e drugs Drogen e porn Pornos u Zus tzlich kann eine eigene White und Blacklist gepflegt werden in der IP Adressen und Full Qualified Domain Names FQDN eingetragen werden k nnen dazu auch Subdomains Au erdem gibt es die M glichkeit eigene regul re Ausdr cke zu hinterlegen auf die der URL filter anspringen soll Ebenso ist es m glich ganze Dateitypen zu sperren Diese sind in drei Gruppen gegliedert e Ausf hrbar e Archive e Audio Videodateien Zu der allgemeinen Filterung enth lt der URL filter verschiedene Arten der Zugriffskontrolle Diese kann zum einen netzwerkbasiert erfolgen um zu entscheiden ob ein Client generell gesperrt ist oder ob ein Client von der Filterung ausgenommen ist Dazu wird entweder die IP Adresse oder ein IP Range eingetragen Die zweite M glichkeit der Zugriffskontrolle ist die Vergabe von Zeitkontingenten Diese kann generell f r den URL filter definiert werden um etwa die Filterung w hrend der normalen Gesch ftszeiten zu aktivieren aber auch um bestimmten Benutzern ein Zeitlimit pro Tag zu gew hren Ist der URL filter aktiv und auf eine geblockte Seite gesto en wird dem Benutzer ein W
95. lten jedoch vorher benutzerdefinierte Dienste angelegt werden die sp ter in den Dienste Gruppen oder Kapitel 5 Weitere Funktionen und Dienste AddOns 45 BOT Regeln ausgew hlt werden k nnen Es bietet sich an drei Dienste zu konfigurieren ZP Cop SSH f r den Zugang ber eine SSH Verbindung IPCop hhtps f r den Zugang zum Web GUI ber andere Clients als die des Admins und den Dienst PCop Proxy f r die Benutzung des Proxys Die Dienste werden im Men Erweiterte BOT Konfig hinzugef gt Als n chstes k nnen nun verschiedene Gruppen definiert werden abh ngig davon was erlaubt werden soll Es wird davon ausgegangen das den Clients erlaubt werden soll E Mail zu nutzen und zu sur fen die Dienste DNS DHCP und NTP auf dem IPCop zu benutzen sowie zus tzlichen Clients die Administration des IPCop ber SSH und WebGUI zu erlauben Dazu k nnen drei Gruppen angelegt werden Default Dienste IPCop Admin und IPCop Dienste In jeder Gruppe k nnen nun die entsprechenden Ports angelegt werden Etwa in der Gruppe Default Dienste die Ports f r SMTP IMAP und POP3 in der IPCop Admin Gruppe die bereits erstellten Dienste PCop SSH und IPCop https und in der IPCop Dienste Gruppe die Dienste Domain f r das DNS auf dem Cop die Dienste bootpc und bootps f r den DHCP Dienst ntp f r den Zeitserver und den bereits erstellten Dienst PCop Proxy f r die Nutzung des Proxyservers Nach selbigem Schema k nnen selbstverst ndlich auch weitere Diens
96. m Client nicht mehr erfolgen kann Ebenso gibt es Programme die sich die IP Adresse des Clients merken zum Beispiel eine SSH Verbindung Eine nderung der IP Adresse kann dabei zu Problemen f hren Die DHCP Konfiguration kann f r das gr ne und f r das blaue Netzwerk separat erfolgen Wird DHCP eingesetzt m ssen eine Start und eine End Adresse konfiguriert werden Diese geben den Bereich des IP Adresspools des DHCP Server an Zus tzlich k nnen der Dom nenname sowie die Prim ren und Sekund ren DNS NTP und WINS Server angegeben werden Ebenfalls ist die minimale und maximale Haltezeit der Zuordnung von einem Host zu einer Adresse einstellbar Die minimale Haltezeit gibt die Zeit an die der DHCP Server die IP Adresse an den Host bindet Die maximale Haltezeit gibt den Zeitraum an in der der DHCP Server die Anfrage des Clients in jedem Fall entgegen nimmt Kapitel 4 Konfiguration und Einrichtung der Basismodule 33 Zu diesen Angaben k nnen noch weitere Optionen angegeben werden etwa die Angabe eines SMTP Servers oder das tcp keepalive interval Alle verf gbaren Optionen 98 k nne hier jedoch aufgrund der Masse nicht beschrieben werden 4 4 4 Zeitserver Eine M glichkeit den Clients im Netzwerk die aktuelle Uhrzeit mitzuteilen ist die Nutzung eines Zeitserversdienstes 37 Kapitel 2 5 5 IPCop ist mit einem solchen Zeitserver direkt aus gestattet Dieser braucht nur noch auf einen ffentlichen Zeitserver eingeric
97. machten sich bemerkbar Zum Beginn des Jahres 1983 wurde das Advan ced Research Projects Agency Network ARPANET auf das heute noch bekannte Protokoll Transport Control Protocoll Internet Protocol TCP IP umgestellt Im Laufe der Zeit wurden nach und nach weitere Netzwerke aufgebaut in denen jeder jedem vertraute Ma nahmen zur Sicherheit wurden nur gegen ber technischen Schwierigkeiten im plementiert um die Qualit t der Daten w hrend der bertragung zu gew hrleisten Bis zum Kapitel 2 Firewall Grundlagen Auftreten des ersten Computerwurms der von Robert Tappan Morris 35 1988 entwickelt wurde und zu dieser Zeitrd 10 damals ca 6 000 Rechner des Internets lahmlegte 52 Ka pitel 1 2 existierten immer noch keine Firewalls Es wurden lediglich Router zur Abschottung eines Netzwerks von anderen eingesetzt Die ersten Firewalls wurden erst kurz nach Auftreten des Morris Wurms relativ zeitgleich von AT amp T und DEC entwickelt die auf den Funktionalit ten von Proxies dem Zwischenspei chern und Auswerten von Inhalten basierten Dies ist auch bis heute noch f r gewisse Proto kolle notwendig und sinnvoll um gegen SPAM und Viren ein Netzwerk zu sch tzen Weiterhin enth lt eine Firewall heute zus tzlich noch einen Paketfilter der den Datenversand anhand ih res Typs und Status erkennt und entsprechend einem Regelwerk weiterverarbeitet 52 Kapitel 1 3 2 1 Angreifer Beim Einsatz einer Firewall stellt sich grundlege
98. n da die Logdateien bereits durch eine Rotation w chentlich komprimiert werden Nur die aktiven Logdateien werden im Text format gespeichert 6 3 Stabilit t Durch den Einsatz des AddOns Coptime wird deutlich wie sich die Stabilit t des IPCops darstellt Der Einsatz des AddOns Coptime wurde bereits in Kapitel Weitere Funktionen und Dienste beschrieben Die Auswertung der gesammelten Daten erfolgt auf der Seite des IPCop Forums im Bereich Coptime Hier ist in einem Ranking tabellarisch dargestellt wer welche aktuelle Uptime hat wie sein pers nlicher Schnitt ist und was sein Maximum war Derzeit haben rund 150 Benutzer eine Uptime von mehr als 100 Tagen die Top 20 hat so gar eine Uptime von mehr als 300 Tage Die Spitzenposition wird mit einer Uptime von ber 350 Tagen bestritten Tats chlich sind es sogar noch einige mehr wenn die Ber cksichtigung des aktuellen Updates au er Betracht gelassen wird Diese Zahlen und Diagramme zeigen Kapitel 6 Wartung und Pflege 82 600 500 400 300 200 100 CopTime Users 2008 01 01 18 06 A A aA Jan E Benutzer Feb Mar Maximal 588 Apr gt Jun Oct Nov Dec Aktuell 586 May Jul Aug Sep Durchschnitt 426 Abbildung 6 1 Anzahl der CopTime User Jahresansicht 59 CopTime Total May 2008 01 01 18 06 Jun Oct Nov Dec 3736858672 Minuten Jul Aug 43250 7 Tage Sep Abbildung 6 2 Uptimesumme aller User Jahresansicht 61 40
99. n dem der jeweilige Anbieter in einer Liste ausgew hlt wird und die Zugangsdaten hinterlegt werden Zus tzlich besteht noch die Option ob ein zus tzlicher Proxy eingesetzt wird und ob Wildcards im FQDN erlaubt sein sollen Durch Klicken der Schaltfl che Hinzuf gen wird der Dienst aktiviert IPCop berpr ft nun in regelm igen Ab st nden ob sich die IP Adresse der Einwahl ge ndert hat Die Updates k nnen jedoch auch minimiert werden indem vor jedem Update die IP Adresse berpr ft wird Dies ist in der Re gel f r die rote Schnittstelle dynamisch zugewiesene IP Adresse Befindet sich die Firewall hinter einem vor geschaltetem Router der die Einwahl bernimmt ist es daf r notwendig das die ffentliche IP Adresse anhand eines externen Server gesch tzt werden muss um dem Anbieter die korrekte Adresse mitzuteilen 4 4 6 Intrusion Detection IPCop wird direkt mit dem Intrusion Detection System IDS Snort ausgeliefert 37 Kapitel 2 5 7 Ein Intrusion Detection System ist ein System dass den Datenverkehr der durch die Fi rewall geht analysiert und anhand bereits identifizierter Signaturen b sartigen Code erkennt Das IDS ist jedoch nur ein System dass die IP Pakete analysiert Es kann keine Angriffe verhindern Dazu w re ein Intrusion Prevention System IPS notwendig Der Einsatz eines IDS Systems ist von vielen umstritten da es zum einen Last auf der Firewall erzeugt die kei nen Nutzen bringt und zum anderen ein IDS ebenfal
100. n kann diese Regel ebenfalls aktiviert und gespeichert werden Nun fehlt noch die Regel f r den Administrationszugriff mehrere Clients auf dem IPCop Dazu Kapitel 5 Weitere Funktionen und Dienste AddOns 46 m ssen zun chst in der erweiterten BOT Konfiguration in den Adresseinstellungen diejenigen Adressen MAC oder IP Adressen angegeben werden die Zugriff bekommen sollen Danach k nnen diese ebenfalls wie die zuvor definierten Dienste zu einer Gruppe zusammengefasst werden Danach kann die passende Regel erstellt werden Die Quelle ist wiederum das gr ne Interface Diesmal wird zus tzlich die zuvor erstellte Adress Gruppe Admins ausgew hlt Das Ziel ist der PCop Zugriff sowie der Benutzte Dienst PCop Admins Nachdem alle Regeln erstellt sind kann das AddOn aktiviert werden Sofort nach der Aktivie rung sind die Regeln aktiv und es gelangt nur noch der Traffic durch die Firewall der mit den Regeln definiert wurde 57 5 3 Advanced Proxy Da die bestehende Proxyfunktionalit t im IPCop stark eingeschr nkt ist bis auf den verwen deten Speicherplatz und die Objektgr e ist nichts weiter einstellbar besteht die M glichkeit den Advanced Proxy als Erweiterung zu installieren Dieses Proxy AddOn welches ebenfalls den bestehenden Squid Proxy benutzt ist ein m chtiges Paket welches dem Administrator weitere Funktionalit ten und Leistungsmerkmale bereitstellt Eine auf den Advanced Proxy basierende Funktion ist die Cla
101. n und Dienste AddOns 66 Danach kann das AddOn auf beiden Maschinen installiert werden Abbildung 5 7 zeigt eine schematische Anordnung bei zus tzlicher Nutzung einer DMZ Die Farben der Verbindungen entsprechen denen der jeweiligen Schnittstelle Alle Netzwerkbereiche sind weiterhin vonein ander getrennt 25 DSL Router IPCop Master IPCop Slave Webserver Client B Client C Abbildung 5 7 Schema des High Availability AddOns Ucarp 25 Installation Das AddOn wird auf den IPCop in ein tempor rers Verzeichnis kopiert und mit tar entpackt Das Installationsskript wird danch im erstellten Verzeichnis durch Eingabe des Befehls install gestartet W hrend der Installation erfolgt die Nachfrage ob ein Versions check des AddOns gew nscht ist Dies kann der Benutzer nach Belieben beantworten 22 Konfiguration Die Konfiguration beginnt bei dem IPCop der den HotStandby bernimmt Dazu wird zun chst eine virtual ID vegeben Diese ist eine interne ID f r das Addon und muss auf beiden IPCop s identisch sein Danach erfolgt die Eingabe der virtuellen IP Adresse die als Standardgateway fungiert Diese wird nach erfolgter Installation in den Clients eingetra gen So ist sichergestellt dass immer einer der beiden Cops je nach Zustand erreichbar ist Wird ein Proxyserver verwendet ist dies ebenfalls die IP Adresse daf r Die nun folgende Advertisement frequency ist der Zeitraum den der Backup IPCop wartet bevor er den
102. nd IPCop v1 4 9 The Bad Packets Stop Here W hlen Sie den Netzuerktreiber aus W hlen Sie den Treiber f r die in diesem Rechner eingebaute Netzwerkkarte aus Wenn Sie MANUELL ausw hlen k nnen Sie den Modulnamen des Treibers und die Parameter selbst angeben z B f r Treiber mit speziellen Anforderungen wie bei ISA Karten MANUELL 188VG6 AnyLan Network Adapters HP J2585B JZ585A etc 3Com EtherLink III 3Com 3c501 3Com ISA EtherLink XL 3Com 3c503 and 3c583 16 lt Tab gt lt Alt Tab gt wechselt zwischen Elementen lt Leertaste gt w hlt aus IPCop v1 4 9 The Bad Packets Stop Here W hlen Sie das Installationsmedium IPCop kann von verschiedenen Programmquellen installiert werden Am einfachsten ist Sie benutzen das eingebaute CD ROM Laufuerk Falls der Computer kein CD ROM Laufwerk besitzt k nnen Sie von einem anderen Rechner im LAN installieren der die Installationsdateien per HTIP oder FTP zur Verf gung stellt In diesen Fall ben tigen Sie zus tzlich die Treiberdiskette coron _ HTTP FTP ese lt Tab gt lt Alt Tab gt wechselt zwischen Elementen lt Leertaste gt w hlt aus IPCop v1 4 9 The Bad Packets Stop Here ISDN Konf igurat ionsmen ISDN ist momentan Deaktiviert Protokoll NICHT GESETZT Karte NICHT GESETZT Lokale Telefonnummer NICHT GESETZT W hlen Sie aus was Sie konfigurieren m chten oder veruerfen Sie die aktuellen Einstellungen IProtokoll Land Z
103. nd Einrichtung der Arbeitsplatzrechner und Server Wartung und Fehlerbehebung der IT Infrastruktur sowie die Pflege der hauseigenen Webseiten In vielen F llen kommt noch der umfangreiche Bereich der Telekommunikation dazu Die Erfahrung meiner mehr als zehn j hrigen Berufslaufbahn zeigt jedoch dass die Gesch fts leitung wenn auch z gerlich bereit ist in Sicherheit zu investieren jedoch nur in beschr nk tem Ma Das Management unterliegt oft der Fehleinsch tzung dass das Unternehmen nicht gef hrdet sei Oder noch naiver dem Management ist bekannt dass das Unternehmen ange griffen werden Kann dadurch aber kein Schaden entstehen w rde Diese Art der Gef hrdungs einsch tzung f hrt dazu dass es einen ungesch tzten Zugang zum Internet gibt Wenn dann auch noch Serverdienste wie E Mail Datenbanken oder Webseiten angeboten werden ohne diese zu sch tzen ist es nicht mehr eine Frage ob das Unternehmen angegriffen wird son dern wann und wie hoch der Schaden wird In der Realit t sieht es nach eigener Erfahrung und zum Zeitpunkt der Erstellung dieser Arbeit so aus dass ein nicht gesch tzter Zugang zum Internet innerhalb der ersten 30 Minuten bereits angegriffen wird Schon allein aus diesem Grund betrachte ich es als notwendig dieser Zielgruppe ein geeigne tes Werk zeug zur Verf gung zu stellen um aufzukl ren womit ein einzelner Rechner ein Netzwerk und somit das gesamte Unternehmen gesch tzt werden kann Die in die
104. nd die Frage wer greift das Netzwerk an Anderes formuliert wer hat aus welchem Grund ein Interesse daran in ein Netzwerk einzu dringen Die Antwort klassifiziert sich in verschiedene Gruppen mit unterschiedlichem Anreiz und schwankendem Potential des Angriffs und ist in folgender Auflistung dargestellt 52 Ka pitel 4 e Skripptkiddies und Hacker e Insider und Konkurrenz e Spionage und Terroristen organisierte Kriminalit t Von allen Gruppen gehen Gefahren aus Das Gefahrenpotential steigt jedoch von Gruppe zu Gruppe und auch der Anreiz ndert sich Skriptkiddies k nnen aufgrund mangelnden Know hows nur einen durch einen Hacker entwickelten Exploit also der Ausnutzung einer bereits bekannten Schwachstelle einsetzen Beide Gruppen werden jedoch von Neugierde und Selbst best tigung angetrieben und unterliegen eventuell sogar einem Messie Syndrom da es vielen nur um das Sammeln beliebiger Daten geht Wobei der Hacker durchaus auch gegen Bezah lung Netzwerke angreift Der zweite Punkt Insider und Konkurrenz stellt ebenso eine nicht zu untersch tzende Ge fahrenquelle dar Trotz mangelndem technischem Know how kann der Insider aufgrund eines Racheakts nach seiner K ndigung in einem Unternehmen durchaus eine Gefahr darstellen Kapitel 2 Firewall Grundlagen Dem vertrauten und noch besch ftigtem Mitarbeiter wurden unter Umst nden Zug nge zu unternehmenskritischen Punkten mitgeteilt Diese k nnen ein VPN Zugang Passw rter od
105. ndkonfiguration erreicht der Benutzer im Men punkt Block Outgoing Traffic nach dem Klicken auf den Schalter Einstellungen Die erste Einstellung die vorgenommen wird ist das Eintragen der Client MAC Adresse so wie des HTTPS Ports des IPCop WebGUIS mit der sich der Benutzer am IPCop anmeldet Dadurch wird eine Standard Zugriffsregel erstellt die nur noch die Anmeldung von diesem Client am IPCop zur Administration erlaubt Dies ist bereits eine deutliche Erh hung der Si cherheit im internen Netz Die n chste Option Verbindungs Status ist zust ndig die Pakete durch zulassen die zu ei ner bereits bestehenden oder angeforderten Verbindung geh ren Sind Port Weiterleitung ein gerichtet etwa wegen einem Webserver im internen Netzwerk muss diese Option aktiviert werden In der Anfangsphase aber auch sp ter ist es n tzlich wenn Pakete geloggt werden die auf kei ne der erstellen Regeln passen Durch Aktivieren der Option f r Logging wird diese Funktion ebenfalls eingeschaltet Auch kann die Methode des Blockverhaltens angegeben werden Dies ist entweder Reject also ablehnen oder Drop verwerfen Eine weiter Einstellung aktiviert den erweiterten Modus Diese sollte jedoch nur von erfahre nen Administratoren aktiviert werden da in der erweiterten Konfiguration die gesamte Fire wall ge ffnet werden kann Die Maske wird nun mit Speichern verlassen Nach der Grundkonfiguration K nnen die ersten Regeln erstellt werden Dazu sol
106. ne nderungen durchzuf hren und auch die Anwen dungen bemerken den zwischengeschalteten Paketfilter nicht Ein weiterer Vorteil ist der hohe Datendurchsatz Auch bei einem recht aufw ndigen Regelsatz ist eine berpr fung der Pakete so schnell dass eine Verz gerung des Datenstroms am Client nicht auff llt Von Nachteil bei einem Paketfilter ist jedoch die Tatsache dass dieser keiner Intelligenz un terliegt Ein Regelwerk kann den Datenstrom nicht analysieren Dazu bedarf es einer anderen Technik der des Proxies 2 3 2 Proxy Ein Proxy gaukelt dem jeweiligen Rechner vor er sei das eigentliche Ziel Er nimmt alle An fragen an und reicht diese an den entsprechenden Rechner weiter Allerdings dann in eigenem Kapitel 2 Firewall Grundlagen 10 Namen Die Antwort die der Proxy daraufhin erh lt wird bearbeitet und danach an den an fragenden Rechner weitergereicht Abbildung 2 2 zeigt einen einfachen Proxy Proxy Abbildung 2 2 Schematische Darstellung eines Proxies 30 Seite 67 Dies erlaubt eine sehr viel feinere Kontrolle des Datenstroms hat aber auch den Nachteil dass dadurch eine sehr viel h here Last durch die Interpretation des Datenstroms zwischen Gut und B se entsteht Auch ist ein Proxy nicht f r jeden Dienst geeignet Ein Proxy kann einfach mit den Protokollen HTTP SMTP und DNS zusammenarbeiten Jedoch bei einer FTP Verbindung welche das Protokoll einer Verbindung ber einen Zwischenrechner nicht vors
107. ner n mlich F Prot und AVG ist m glich F r alle drei Kapitel 5 Weitere Funktionen und Dienste AddOns 64 Scanner gibt es einen gemeinsamen Konfigurationsbildschirm In diesem lassen sich alle se parat aktivieren Zudem kann eingestellt werden ob und in welchem Zeitraum der jeweilige Scanner automatisiert seine Updates erh lt 32 Seite 41 5 5 10 ClamAV Da ClamAV zum Lieferumfang geh rt braucht es nicht separat installiert werden ClamAV l sst im Gegensatz zu den anderen Scannern die Einstellung zu ob verschl sselte Archive ge nerell als Viren betrachtet werden sollen Diese Option kann deaktiviert bleiben zumal es in jedem Unternehmen zum Standard geh rt dass ein Virenscanner am Arbeitsplatz eingerichtet ist Dieser sollte sp testens beim ffnen des verschl sselten Archivs Alarm schlagen Eine weitere M glichkeit die der Copfilter im Zusammenhang mit ClamAV bietet ist die Einbin dung der inoffiziellen Phishing Signaturen der Seite http www sanesecurity com clamav Die Einbindung dieser Signaturen bleibt dem Administrator berlassen und h ngt von seinem Vertrauen zur Quelle ab ClamAV stellt zudem eine Statistik ber die gefundenen Viren bereit 5 5 11 F Prot und AVG Die Installation von F Prot und AVG gestaltet sich hnlich einfach wie die Installation des Copfilter Addons selbst Das jeweilige Paket muss zun chst von der offiziellen Webseite her untergeladen werden F Prot http www fprot or
108. ng mit linux 2005 http klaus geekserver net hfsc hfsc html 29 Steve Kostecke Welcome to the ntp servers web http support ntp org bin view Servers WebHome 30 Andreas G Lessig Linux Firewalls Ein praktischer Einstieg O Reilly 2 edition Januar 2006 31 Markus Madlener Copfilter documentation http www copfilter org docu php 32 Markus Madlener Copfilter An add on for the IPCop Firewall 1 edition 2005 http members inode at m madlener copfilter README pdf 33 Justin Mason Spamassassin what is spamassassin 2006 http wiki apache org spamassassin SpamAssassin 34 Markus Hoffmann Michael Winkler fwlogs 1 1 1 ipcop 1 4 11 htEp mh lantech css hamburg de ipcop download php view 167 35 Robert Morris Robert morris http pdos csail mit edu rtm 36 Besim Karadeniz Netplanet Das ph nomen world wide web http www netplanet org geschichte worldwideweb shtml 37 Eric Oberlander Quick Start 1 edition 2004 http www ipcop forum de quickstart php 38 Peter Siering Xenisiert c t debian server 2 mit xen 3 1 c r pages 133 137 Juni 2007 Literaturverzeichnis VI 39 40 41 42 43 44 45 46 47 48 49 50 51 Marco Sondermann Calamaris proxy report generator add on http www advproxy net calamaris Marco Sondermann updatexlrator Update Accelerator Administrator s GUI de 1 e
109. ngeschleust Die Sequenznummern werden durcheinandergebracht was zu einem ACK Storm f hrt Ein Denial of Service ist die Konse quenz Dies muss jedoch in beiden Richtungen der Verbindung erfolgen Vermieden werden kann solch ein Angriff durch hnliche Gegenma nahmen wie beim Sniffing Ein sternf rmi ges Netzwerk welches mit Switchen realisiert wird verhindert das Abh ren einer Verbindung eines angegriffenen Rechners 52 Kapitel 4 4 3 30 Seite 50 2 2 4 SQL Injection Eine SQL Injection ist eine M glichkeit trotz einer sicher konfigurierten Firewall einen Zu griff auf sch tzenswerte Daten zu erh lten Eine sinnvoll konfigurierte Firewall wird in vielen F llen immer noch Anfragen f r einen E Mail Server oder f r eine Webseite durchlassen Und hier befindet sich die L cke Eine SQL Injection wird in der Regel ber ein Web Formu lar durchgef hrt Der Angreifer tr gt dazu beispielsweise in einem Formular zur Authentifi zierung einen Benutzernahmen und im Passwortfeld eine weitere SQL Anweisung wie etwa DROP TABLE KUNDE ein So kann der Angreifer ganze Tabellen von fremden Datenban ken l schen Vorausgesetzt ist jedoch das der Datenbankbenutzer mit dem auf die Datenbank zugegriffen wird ausreichende Rechte besitzt und der Angreifer Kenntnis ber die Struktur der Datenbank hat 1 52 Kapitel 4 4 7 2 3 Schutzm sglichkeiten durch Firewall Architektur F r die unterschiedlichsten Arten der Angriffe gibt es auch unterschiedli
110. okoll zur Daten bertragung und wird vor allem bei auf Webservern mit dem Protokoll HTTPS eingesetzt 30 S 58 SYN ist ein Flag einer TCP Verbindung und ist das erste was beim Verbindungs aufbau zwischen zwei Programmen gesendet wird 30 S 7 Transmission Control Protocol zum verbindungsbehafteten Aufbau einer Verbin dung zwischen zwei Programmen 30 S 7 User Datagram Protocol zur Verbindungslosen Daten bertragung zwischen zwei Programmen 30 S 7 Der Uniform Resource Locator wird zum Identifizieren einer Ressource im Netz werk verwendet Er kann aus der Angabe eines Protokolls einer Authentifizie rung einem Host mit Port einem Pfad einer Query und einem Anker bestehen S 6 Literaturverzeichnis IV Literaturverzeichnis 1 2 3 4 5 6 7 8 9 10 Daniel Bachfeld Sql injection angriff und abwehr http www heise de security Giftspritze artikel 43175 0 James Eaton Lee Barrie Dempster Configuring IPCop Firewalls Closing Borders with Open Source Packt Publishing 1 edition September 2006 Cord Beermann Calamaris http cord de tools squid calamaris Tim Berners Lee Information management A proposal http www w3 org History 1989 proposal html bersetzer ansuess Ceelight Daniel S M uschen30 zisoft IPCop Installationshandbuch 1 edition 2005 http www ipcop forum de manuals other ipcop install de 1 4 x paf Ubersetzer
111. omputer und Sicherheit ltere Versionen auf dieser Seite Das IPCop Forum beinhaltet zudem auch die Pr senz f r das AddOn CopTime welches sich in einem unterteilten Bereich befindet Eine weitere Seite http www ipcopaddons org erstellt von Torben Boockmann ei nem Mitglied des IPCop Forums ist eine AddOn Datenbank die seit Oktober 2007 im Netz erreichbar ist Hier befindet sich ein Gro teil der AddOns die f r den IPCop entwickelt wur den mit einer kurzen pr gnanten Beschreibung des jeweiligen AddOns Auf der Seite sind die AddOns zur einfachen Suche unterteilt in mehrere Bereiche e Proxy e VPN e Logging e Utilities Kapitel 6 Wartung und Pflege 85 e Server e Traffic Auf der Seite sind die Downloads nicht direkt hinterlegt sondern verweisen lediglich auf die Seite des jeweiligen Entwicklers Dennoch ist diese Datenbank hilfreich da alle AddOns an zentraler Stelle zusammengefasst sind Ein weiterer Anlaufpunkt sind folgende Seiten ao I a o Y tp tp tp tp tp www ipadd de Tom Eichstaedt mh lantech css hamburg de Markus Hoffmann www h loit de Stephan Feddersen www ban solms de Olaf Westrik ipcop gutzeit ch Eckart Gutzeit Diese Seiten werden ebenfalls je von einem Mitglied des IPCop Forums betrieben Die Betrei ber sind allesamt AddOn Entwickler Sie bieten auf Ihren Seiten Informationen zum IPCop aber vor allem auch zu Ihren eigen
112. on der Optionen zur Verf gung Bei der Auswahl des smbcli ent werden Nachrichten beim Einsetzen der USV per Nachrichtendienst versendet Dazu muss unter Windows 2000 Windows XP der Nachrichtendienst aktiviert sein Da seit dem SP2 von Windows XP der Nachrichtendienst deaktiviert ist steht die Option msgclient zur Verf gung Diese nutzt ein weiteres AddOn um Nachrichten ber einen msgclient zu empfangen Dieses muss dazu lokal auf dem Windowsclient installiert sein Die letzte Option sendmail l sst sich mit den bereits erw hnten Optionen kombinieren Sendmail sendet dabei die Nachricht an ein zuvor konfiguriertes Postfach Nach Auswahl der bevorzugten Option verl uft die Installation automatisiert ab 16 Konfiguration Das AddOn nimmt seinen Platz im Men Dienste unter dem Punkt UPS ein Um das AddOn zu aktiveren muss die Checkbox UPS Server aktivieren gesetzt werden Dann bekommt die UPS einen Namen Das Feld Full Quallified Domain Name FQDN wird ben Kapitel 5 Weitere Funktionen und Dienste AddOns 12 tigt um eine erneute Anmeldung bei Ansicht der UPS Statusseite zu vermeiden In dem Feld Modus kann ausgew hlt werden ob die USV allein stehend betrieben wird oder ob Sie ber eine Netzwerkverbindung angeschlossen wird Als letztes muss noch der Typ der USV ange geben werden Dieser muss mit der angeschlossenen USV bereinstimmen da je nach Typ weitere Felder eingestellt werden m ssen Dies ist beispielsweise notwendig f
113. onfiguriert Es muss nun jedoch auch das Gateway und der DNS Server im IPCop konfiguriert werden Dies ist die Adresse des Routers Alternativ kann als DNS Server auch ein bekannter externer DNS Server des Providers angegeben werden Erfolgt die Einrichtung des Netzwerks in einem gr ere Unternehmen kann es durchaus not wendig sein E Mail Server und oder Webserver mit zu integrieren In diesem Fall wird die Einrichtung einer DMZ notwendig Der IPCop enth lt nun drei Netzwerkkarten Die Netze sind somit alle physikalisch voneinander getrennt 2 Seite 73 Kapitel 3 IPCop 18 Adresseinstellungen Gateway 192 168 0 2 192 148 1 30 DNS Server 192 168 0 2 gt e Gateway 192 168 1 1 a Subnetz 255 255 255 0 DSL Router DNS Server 192 168 1 1 192 168 0 2 192 168 1 1 192 168 1 10 192 168 1 20 192 168 0 1 Abbildung 3 2 Netzwerk mit Anbindung ber einen Router Statische IP Adresse Adresseinstellungen D Gateway 192 168 0 2 192 168 1 30 Subnetz 255 255 255 0 DNS Server 192 168 0 2 DSL Router Gateway 192 168 1 1 192 168 0 2 Subnetz 255 255 255 0 DNS Server 192 168 1 1 192 168 0 1 Gateway 192 168 2 1 192 168 1 10 192 168 1 20 192 168 1 1 Subnetz 255 255 255 0 192 168 2 1 DNS Server 255 255 255 0 __LAN DMZ E Mail Server 192 168 2 3 Webserver 192 168 2 2 Abbildung 3 3 Netzwerk mit einer DMZ 2 Seite 73 3 3 Funktionsumfang Da
114. p www abuse net relay html erfolgen Wie beim P3Scan gibt es auch hier die Einbeziehung der White und Blacklist Auch die Quarant ne kann hier wierderum eingeschaltet werden Diese hat jedoch hier eine wesentlich gewichtigere Bedeutung da ProxSMTP die Aussonderung erkannter E Mails vornimmt und diese dem Empf nger vorenth lt Die Quarant ne wird somit zur Versicherung falls doch mal eine E Mail irrt mlich als SPAM erkannt wird oder unter Virenverdacht f llt Kapitel 5 Weitere Funktionen und Dienste AddOns 61 Da die E Mails verworfen werden k nnen existiert noch eine weitere Einstellung zur Behand lung abgewiesener E Mails Diese k nnen entweder unter Verwendung des SMTP Fehlercodes 550 abgelehnt werden oder unter Verwendung des Fehlercodes 250 verworfen werden Dies hat aus Gr nden des Datenschutz rechtliche Auswirkungen da es einen Unterschied macht ob eine Nachricht auf dem Weg vom Absender zum Empf nger abgewiesen wird oder ob die Nachricht nach erfolgter Ablieferung beim E Mailserver entfernt wird Letzteres stellt einen Eingriff ins Postgeheimnis dar Daher ist ebenso ratsam vor Installation eines solchen Dienstes in einem Unternehmen eine entsprechende Pr fung der Dienstanweisungen vorzunehmen die eine Regelung zur Nutzung der IT Infrastruktur beinhaltet 32 Seite 26 5 5 5 HAVP HAVP ist ein Proxydienst der den eingehenden Datenverkehr in Verwendung von HTTP un tersucht HAVP erkennt unter mithilfe d
115. r en an Zu allen Optionen lassen sich weitere Einstellungen bez glich der Detailtiefe einstellen Die Er stellung der Berichte kann abh ngig von der Detailtiefe zwischen einer und drei Minuten dauern 44 5 4 URL filter Das URL filter AddOn wird dazu eingesetzt unerw nschte Seiten nach Kategorien sortiert wie etwa Pornografie Gewalt oder Spiele im Netzwerk zu sperren Die Sperrung erfolgt anhand einer dem SquidGuard kompatiblen Blacklist Diese kann zudem in regelm igen Abst n den automatisch aktualisiert werden Ein weiteres Merkmal ist die Steuerung auf zeitlicher und clientbasierter Ebene Voraussetzung f r die Funktionalit t des URL filter ist der Einsatz des Proxys Dieser muss entweder auf den Clients eingetragen sein oder der Proxy muss im transparenten Modus arbeiten Alternativ kann auch das Web Proxy Autoconfig Discovery AddOn des Advanced Proxy oder ein ProxyScript genutzt werden um die Proxy IP Adresse zu verteilen 49 Installation Das AddOn wird nachdem es heruntergeladen wurde auf den IPCop in ein tempor res Verzeichnis kopiert Danach wird das Paket mit tar entpackt und die Installation wird im daraufhin erstellten Verzeichnis durch Eingabe von install gestartet Die Installation l uft vollautomatisch ab 47 Konfiguration Die Konfiguration des URL filter gliedert sich in zwei Bereiche den URL filter Einstellungen und der Wartung Im Bereich der Einstellungen werden zun chst die Sperr kategorien ausgew h
116. r die Art des Anschlusses der Firewall mit der USV Dazu muss je nach Typ das verwendete Kabel und der jeweilige Anschlussport COM oder USB ausgew hlt werden Weiterhin k nnen weitere Ein stellungen zu Shutdown und Benachrichtigung eingestellt werden Da bereits Standardwerte hinterlegt sind k nnen diese bernommen werden Sind die Einstellungen getroffen werden diese gespeichert Danach wird der Dienst gestartet Um im Fall des Einsatzes der USV eine Nachricht an den zust ndigen Administrator zu sen den muss die verwendete Option aktiviert werden Es stehen dazu nur die Optionen zur Ver f gung die bei der Installation ausgew hlt wurden Dazu muss je nach Typ des Nachrichten dienst dieser konfiguriert werden Im Fall durch Benachrichtigung via E Mail durch Eingabe des verwendeten E Mailservers inklusive der Daten der Absender und Empf nger sowie der Daten SMTP Authentifizierung bei Verwendung der Sendmail Option Bei den beiden Nach richtendiensten muss der empfangende Client angegeben werden 16 Das AddOn wird ist mit einer Online Hilfe ausgestattet 5 11 SystemInfo SysInfo stellt in der WebGUI erweiterte Informationen zum verwendeten System dar Ange zeigt werden Informationen zu CPU und zur Systemfestplatte zu den PCI Ger ten den Netz werkkarten und den angeschlossenen USB Ger ten Zus tzlich werden die Interrupts darge stellt und das BIOS wird ausgelesen Weiterhin werden hnlich dem Befehl Top die laufenden Prozes
117. rankenkassen Ban ken oder staatlichen Institutionen Informationen ber andere Personen besorgen kann Konto st nde Lebensverh ltnisse pers nliche Daten Das alles sollte schon Grund genug sein eine Firewall einzusetzen IPCop ist ein Mittel der Wahl Es ist kein Allheilmittel aber gut genug um schnell effektiv und zuverl ssig seine Daten im Netzwerk zu sch tzen Durch den Einsatz einer Firewall darf sich der Benutzer jedoch nicht in Sicherheit wiegen denn diese kann tr gerisch sein Wie eingangs gezeigt geh rt zu einem sicheren Netzwerk nicht nur eine Firewall denn die meisten Angriffe finden bereits innerhalb des eigenen Netzwerkes statt Gefahren lauern auf USB Sticks befinden sich in Softwarefehlern oder gar in der Inkompetenz oder Unwissenheit des Anwenders selbst Kapitel 7 Zusammenfassung 87 Sobald IPCop an einem Zugangspunkt zum Internet installiert ist ist bereits das dahinter lie gende Netzwerk vor Angriffen aus dem Internet gesch tzt Mit den gezeigten Funktionen und Diensten l sst sich eine komplexe Infrastruktur aufbauen die einfach zu administrieren und leicht wartbar bleibt Durch den Einsatz weiterer AddOns lassen sich Administration und Wartung etwa am Bei spiel zur Auswertung der Log Dateien weiter vereinfachen Auch k nnen diese dazu dienen IPCop um weitere Funktionen zu erg nzen wie dies etwa die AddOns Advanced Proxy UR Lfilter oder Tools zur Erweiterung der Benutzeroberfl che zeigen
118. rden exemplarisch drei M glichkeiten von Netzwerken und ihrer Anbindung ans Internet dargestellt Abbildung 3 1 zeigt ein Netzwerk mit zwei Schnittstellen Dies ist die klassische Anbindung wie sie in vielen privaten Haushalten oder kleinen B ros erfolgt Der IPCop enth lt zwei Netzwerkkarten Die Einwahl ins Internet erfolgt ber ein DSL Modem oder ber eine Ana log ISDN W hlverbindung Der IPCop erh lt bei der Einwahl vom Provider eine dynamische IP Adresse Alle weiteren Einstellungen DNS Server Gateway erh lt er ebenfalls vom Pro vider Die Konfiguration des Netzwerks erfolgt manuell Das Gateway f r die Clients ist der IPCop Dieser ist ebenfalls DNS Server da er die DNS Anfragen an den vom Provider zuge wiesenen DNS Server weiterleitet 2 Seite 69 Adresseinstellungen Gateway 192 168 1 1 192 148 1 30 Subnetz 255 255 255 0 DNS Server 192 168 1 1 DSL Modem E Analog ISDN 192 168 1 1 192 168 1 10 192 168 1 20 dynamisch Abbildung 3 1 Netzwerk mit Anbindung ber ein Modem Dynamische IP Adresse 2 Seite 69 Die zweite Abbildung zeigt die gleiche Konfiguration wie bereits oben beschrieben Hier er folgt die Einwahl jedoch nicht vom IPCop aus sondern ber einen separaten Router Oft wer den DSL Modems mit bereits integriertem Router vertrieben welche die Einwahl ins Internet selbst bernehmen In diesem Fall wird der IPCop mit einer statischen IP Adresse auf der ro ten Schnittstelle k
119. rers Verzeichnis kopiert und dort mittels tar entpackt wird Danach wird die Installation in entpackten Verzeichnis durch Eingabe des Befehles install gestartet Die Installationsroutine erwartet nun ein Eingabe der Option ob das Tool installiert oder ob es aktualisiert werden soll 15 Konfiguration Nach der Installation wird mit dem Befehl cd L ins root Verzeichnis ge wechselt Es m ssen nun die Netzwerktypen f r die Haupt und Backupleitung definiert wer den Dazu wird zun chst ber den Befehl serup das IPCop Konfigurationsprogramm gestar tet Im Bereich Networking wird nun der Typ f r die Hauptverbindung festgelegt Nachdem die Einstellung gespeichert und das Setup verlassen wurde muss die Konfiguration durch den Befehl var IPCop linetest check sh saveprimary gesichert werden Die Auswahl der Backupleitung erfolgt auf identischer Art und Weise Diese Konfiguration wird mit dem Be fehl var IPCop linetest check sh savebackup ebenfalls gesichert Als n chstes werden im Web Frontend des IPCop die dazu passenden Einwahlprofile fest gelegt Anschlie end werden die restlichen Einstellungen im LinTest AddOn im Men Nerz werk vorgenommen Hier werden die drei im Internet zu pr fenden Hosts eingetragen und in welchem Abstand die Pr fung vorgenommen werden soll Zus tzlich kann ein sendmail Client aktiviert werden der eine E Mail versendet sobald das LineTest AddOn zum Einsatz kommt 15 5 9 GUI Ports Das Tool GUI Ports ist
120. s version 1 1 1 Gesamtanzahl der Firewall Treffer f r Februar 7 4951 IP Count Percent IE A A Be EI O OOOO aoo o o a A E 7 gt Se Be 77 77 A 7 Se 221 208 208 93 4 0 081 221 209 110 20 4 0 081 o A A AAA 221 209 110 13 3 0 061 Gi E EA PERICIA a A ET andere IP Adressen JO gt gt aga a Abbildung 5 12 Screenshot Bericht des AddOns Firewall Logs Installation Das auf den IPCop bertragene Paket wird mit tar entpackt und anschlie end durch Eingabe von install gestartet Die neuen Firewalllogs sind dann im Webinterface im Men Logs erreichbar Konfiguration Eine Konfiguration dieses AddOns ist nicht erforderlich 5 14 RootkitHunter RootkitHunter ist ebenfalls ein von Markus Hofmann entwickeltes AddOn Es basiert auf dem OpenSource Projekt rkhunter Rkhunter ist ein Unix basierendes Tool welches das System nach rootkits backdoors und m glichen Exploits untersucht indem es von den wichtigsten Kapitel 5 Weitere Funktionen und Dienste AddOns 76 Dateien MD5 Hashes bildet und diese mit einer Online Datenbank vergleicht 26 Die Instal lation im IPCop richtet zudem einen Cronjob ein der t glich den Rootkit Hunter aktualisiert und ausf hrt Installation Nach Download des Pakets wird dieses in ein tempor res Verzeichnis verscho ben und dort mit tar entpackt Danach wird das Installationsscript installer sh im erstell ten Verzeichnis gestartet Die Installation l uft automatis
121. s Installationspaket hat bereits einen gut ausgestatteten Funktionsumfang Neben einer We boberfl che zur komfortablen Konfiguration und berwachung der Firewall existiert eine um fangreiche Liste an Hardwarekomponenten die unterst tzt werden 27 Dazu geh ren unter anderem zahlreiche Netzwerkkarten diverse analoge Modems und ADSL Modems Weiterhin enth lt die Firewall einen einfachen WebProxy einen DHCP Dienst einen DNS Server einen Zeitserver unterst tzt Dynamisches DNS VPN Port Forwarding und erweiterte Netzwerkdienste wie Intrusion Detection und Traffic Shaping 3 4 Installation Die Installation gestaltet sich dank einer ausgekl gelten Installationsroutine und einem aus f hrlich beschriebenen und mit Abbildungen versehenen Handbuch 5 als beraus einfach Kapitel 3 IPCop 19 und schnell Sofern die Planung abgeschlossen ist und die Konfiguration feststeht dauert die Installation rund 15 Minuten Ist bereits eine Installation vorhanden kann durch Einspielen noch w hrend des Installationsvorgangs einer vorher erstellten Backupdatei die letzte Konfi guration direkt mit eingespielt werden Die Installation kann auf drei unterschiedliche Arten erfolgen 5 Kapitel 1 5 e Bootf hige CD e Bootf hige Diskette CD e Bootf hige Diskette FTP WebServer Eine genaue Beschreibung insbesondere der Feinheiten bei abweichender Standardinstallati on kann der Installationsanleitung auf der Projektseite entnommen
122. sch sein kann das Thema VPN sehr komplex ist und hier nicht alle F lle abgebildet werden k nnen wird an dieser Stelle zur weiteren Einrichtung eines VPNs auf dem IPCop auf die Seite von Eckart Gutzeit 21 verwiesen Kapitel 5 Weitere Funktionen und Dienste AddOns 39 5 Weitere Funktionen und Dienste AddOns IPCop ist zwar bereits in der Grundausstattung mit vielen sinnvollen und n tzlichen Funk tionen ausgestattet jedoch sind diese Funktionen entweder f r die eingesetzten Bed rfnisse nicht ausreichend teilweise in einem eingeschr nktem Funktionsumfang oder sie fehlen ganz Andererseits lassen sich mit Addons Funktionen auf den IPCop integrieren die zwar streng genommen nicht auf einer Firewall laufen sollten in Abw gung zwischen Sicherheit und Nut zen dem Benutzer zus tzliche M glichkeiten und Optionen bereitstellen Ein Beispiel f r eine fehlende Funktion ist die g nzliche ffnung des Datenverkehrs vom in ternen Netzwerk nach au en Durch den Einsatz des IPCops gelangt zwar kein ungewollter Datenverkehr mehr ins interne Netz oder in die DMZ nur mittels Port Forwarding oder Pin holes aber s mtlicher Verkehr auf allen Ports kann ungehindert ins Internet gelangen Wie bereits im ersten Kapitel erw hnt erfolgen die meisten Angriffe innerhalb des Netzwerks und nicht von au erhalb Ist also ein Trojaner auf einem internen Rechner installiert K nnte dieser ungehindert auch unbemerkt wichtige Daten einem Angr
123. se angezeigt Somit gibt SysInfo einen schnellen berblcik ber das System ohne sich diese Informationen ber ein ShellConsole ausgeben zu lassen 12 Installation Nachdem das heruntergeladene Paket auf den IPCop bertragen wurde wird dieses in einem tempor rem Verzeichnis mit tar entpackt und durch die Eingabe des Befehls install i installiert Die Installation verl uft ohne weitere Nachfrage automatisiert ab Kapitel 5 Weitere Funktionen und Dienste AddOns 73 on Wed Feb 6 23 55 02 2008 The log begins at Feb 06 00 28 13 Domains The log ends at Feb 06 23 28 29 File Number of farfipcop snortalog conf domains Main Stats Total of Lines in log file 152 FRE ER 267 IP Src omains TP Dst Total ts in table 152 i EEE Rules File frarhipcop snortalog conf rules Protocols Source IP recorded 14 Hour Destination IP recorded 6 Number of Services fi d 2315 Source Log Host logger recorded 1 with linterface Toore Signatures recorded Z IDSAPS Stats Classification recorded 6 Attack by Src Severity recorded 4 Attack by Dst 0 Attack by Src and Dst Attacks Legend Alert Severity RED Dangerous connection potentially bad further investigation needed Alert Classification Attacks by Services Attacks by Hours Portscan detected GREEN Warning connection strange may need further intevestigation BLACK Not dangerous alert Distribution of event by protocols Graph 9 No Protocols 5
124. ser Arbeit dokumentierte Software IPCop stellt ein solches Werkzeug dar Da IPCop als OpenSource Projekt angeboten wird ist dieses auch kostenneutral Lediglich die Anschaf fung der Hardware in der Regel bereits vorhanden die Einrichtung und der Betrieb stellen noch einen Kostenfaktor dar Inhaltsverzeichnis IV Inhaltsverzeichnis Vorwort Abbildungsverzeichnis Tabellenverzeichnis 1 Einleitung 2 Firewall Grundlagen 3 2 1 Angreiler do 8 2 Sur E a Drake Pas 2 2 Angriffsm glichkeiten u 22 A Dar EA AA 2 2 1 Dental 01 Service DOS s sta v a a aaa aaa en 2 2 25 SPOONS ca Ba ae a ee a ee E aa 2 2 3 Y Lol 0 A ea a ee 224 gt SOL Injeclion 222 2 3282288 Bess 2 3 Schutzm glichkeiten durch Firewall Architektur 2 2 2 2 2 23 1 Pakeihlter ae ara a Set wa atea ee nee a E e a 233 2 Proxy a u 08 e u a era nen end 2 3 3 NAT Network Address Translation 2 2 22 20 2 4 Einsatzszenarien und Konzepte 2 2 on on IPCop 3 1 Netzwerk 34 SE A RE a 3 2 Netzwerkk nfigur tion m ar a sr deren 3 3 Funkti ns mfang s a 22 4 a2 wer we ER Ai n 34 Installation 2 222 A A EEE E a 3 4 1 Hardwarevoraussetzungen e e 3 4 2 Installationsvoreans EE RR er Ra 3 4 3 IPCop in virtuellen Maschinen nme u vu IX oo oo 0 0 0 QQ UU U O Inhaltsverzeichnis 4 Konfiguration und Einrichtung der Basismodule 24 4 1 Allgemeine Einstellungen
125. ses mit tar entpackt und im danach erstellten Ordner die Installa tion durch Eingabe des Befehls install gestartet Die Installation l uft automatisch und ohne weitere Nachfragen ab Konfiguration Nach der Installation kann SnortALog im Webbrowser ber den Men punkt Logs gt SnortALog aufgerufen werden Wird SnortALog ber den Haken Enable SnortALog aktiviert werden t glich neue Berichte generiert Diese k nnen im Webbroser aufgerufen wer den Alternativ besteht die M glichkeit die Berichte nach der Generierung automatisiert an eine E Mail Adresse zu versenden 5 13 FireWall Logs Firewalllogs ist ein weiteres AddOn von Markus Hofmann und erweitert die Auswertung des Firewall Logs um eine grafische Komponente Alle Treffer der Firewall die im Log festgehal ten wurden werden mit diesem Tool in einer Tortengrafik dargestellt Siehe dazu Abbildung 5 12 Dies erfolgt wahlweise nach Quell IP oder nach betroffenem Port Zudem hat dieses AddOn den Vorteil dass die tabellarische Ansicht des Firewall Logs um eine Filteroption erweitert wurde So k nnen etwa alle Eintr ge im Firewall Log gefiltert nach IP oder Port aufgelistet werden Dies erleichtert zum einen die Suche nach einem Fehler bei der Konfiguration neuer Dienste im Netz aber auch die berpr fung der Angriffe auf das eigene Netz Die Installation verl uft ohne weitere Nachfrage automatisiert ab 34 Kapitel 5 Weitere Funktionen und Dienste AddOns 73 Firewall Log
126. ss Room Extension welche jedoch in dieser Arbeit nicht be sprochen wird Sie ist eher f r Bildungseinrichtungen interessant und kann zur Einrichtung von Gruppen den so genannten Klassenr umen genutzt werden Diese k nnen dann gezielt ber ein Webfrontend verwaltet werden 43 Neben der Basisfunktionalit t den Datenverkehr zu cachen besteht eine ausf hrliche Netz werkbasierte Zugriffskontrolle Eine Einschr nkung auf einen Zeitraum ist ebenso m glich wie die Beschr nkung der Transfergr en und Bandbreite Der Advanced Proxy bietet dar ber hinaus an bestimmte MIME Typen zu sperren oder nur eine Auswahl bekannter Browser zu erlauben Ein weiterer wesentlicher Vorteil des Advanced Proxy AddOns besteht in der Authentifizie rung Dar ber wird gew hrleistet dass es nur einem bestimmten Benutzerkreis gestattet ist den Proxy zu benutzen oder aber gewissen Personen die Benutzung zu verweigeren Der Proxy unterst tzt dazu die Methoden lokale Authentifizierung Authentifizierung ber einen Identd Daemon oder Dienst Windows Authentication LDAP Authentication und RADIUS Kapitel 5 Weitere Funktionen und Dienste AddOns 47 iffy nettpixde Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe Die STE Advanced Web Proxy Allgemeine Einstellungen E Aktiviert auf Green Transparent auf Green Unterdr cke Versions Informationen Squid Cache Version 2 6 STABLE18 E a a https
127. st alles offen Somit kann der Benutzer bereits auf Internetdienste zugreifen ohne bef rchten zu m ssen dass sein Netzwerk Angriffen ausgesetzt wird Sobald es erforderlich ist dass ein Webservice angeboten wird oder von au erhalb ein VPN Zugang eingerichtet oder via Remote Desktop Protokoll RDP auf interne Rechner zugegriffen werden muss Kann und muss dieses Regel werk auch durch Konfigurationseinstellungen geh rtet beziehungsweise aufgelockert werden Es l sst sich individuell auf die eigenen Bed rfnisse anpassen Ebenso kann auch durch ein AddOn BlockOut Traffic der Verkehr von innen nach au en der wie in der Tabelle 3 2 dargestellt offen ist geschlossen und reglementiert werden Kapitel 3 IPCop Tabelle 3 1 Schnittstellen im IPCop 5 Kapitel 1 2 1 Schnittstelle Funktion Beschreibung Rot Externes Netz ber diese Schnittstelle wird die Internetverbindung hergestellt Der IPCop sch tzt die anderen Schnitt stellen vor dieser nicht vertrauensw rdigen Schnitt stelle Demilitarisierte Zone DMZ Orange An dieser Schnittstelle sind alle diejenigen Server angebunden die Dienste im Internet bereitstellen Webserver E Mail Server ftp Server Datenver kehr ins Internet ist m glich jedoch nicht ins gr ne Netzwerk Dies wird nur ber die DMZ Pinholes m glich Gr n Internes Netz Dieser Bereich ist durch IPCop besonders gesch tzt Innerhalb dieses Netzwerks befinden sich alle Clients
128. t der Dienst SpamAssassin Es ist eine freie Software welche mittlerweile seit 2004 dem Projekt der Apache Software Foundati on unterliegt SpamAssassin ist ein intelligenter E Mail Filter der anhand eine Regelwerks und verschiedener Mechanismen zwischen erw nschter und unerw nschter E Mail zu unter scheiden versucht Durch die modulare Architektur dieses Filters ist eine Integration in die unterschiedlichsten E Mail Systeme problemlos m glich Dies ist neben den guten Erfolgs quoten bei der Erkennung von SPAM ein Grund f r die Integration von SpamAssassin in den Copfilter 32 Seite 35 33 Die Erkennung von SPAM unterliegt der kombinierten Bewertung durchgef hrter Tests Fol gende Tests werden von SpamAssassin durchgef hrt e Header Tests Ausdruckstest des Body textes Bayesfilter Automatische whitelist blacklist Pflege e Manuelle whitelist blacklist Pflege e Gemeinschaftliche SPAM Identifikationsdatenbank DCC Pyzor Razor2 e DNS Blocklisten RBL e Zeichensatz und Sprachabh ngigkeiten Jeder Test f r sich ergibt einen Wert Anhand dieses Wertes l sst sich allerdings noch keine pauschale Aussage ber die SPAM Wahrscheinlichkeit treffen Die Summe der Ergebnisse der einzelnen Test ergibt jedoch eine recht eindeutige Beurteilung der berpr ften Nachricht So kann eine unerw nschte Nachricht die von einem Test f lschlicherweise als erw nscht einge stuft wurde dennoch ausgefiltert werden sofern andere Tests eine einde
129. t in die Logdatei erh lt der Benutzer ebenfalls ber den Konfigurationsbildschirm des SpamAssassin Hier kann eine Gesamtstatistik abgerufen werden sowie eine detailliertere monatliche oder f r den einzelnen Tag aufbereitete Statistik Weiterhin l sst sich die Erkennung des Bayesfilter manipulieren Dazu k nnen Feineinstel lungen f r das Ergebnis des Tests vorgenommen werden So kann nach prozentualer Wahr scheinlichkeit ausgew hlt werden welchen Wert der Bayesfilter SpamAssassin mitteilt Etwa eine Reduzierung des Gesamtwertes durch einen negativen Wert oder eine Erh hung des Ge samtwertes durch einen positiven Wert Die bereits voreingestellten Werte sind jedoch bereits so gut dass hier vorerst keine Einstellung vorgenommen werden sollte Nur bei zu hohen fal se positive und false negative Werten kann an diesen Werten eine nderung vorgenommen werden um die Erkennung zu verbessern Die letzten Einstellungen auf dieser Seite betreffen die Hinterlegung der Daten f r das Post fach welches die spam und not spam Ordner enth lt die Aktivierung der SARE Rules Spa mAssassin Rules Emporium von Openprotect com sowie ob und in welchem Zeitraum die Aktualisierung der Regeln vorgenommen werden soll 5 5 9 Virenscanner Copfilter unterst tzt neben der SPAM Erkennung in E Mails auch die berpr fung auf Vi ren Dazu geh rt zum Lieferumfang der frei erh ltliche Virenscanner ClamAV Aber auch die Integration zweier weiterer Virenscan
130. te Ger te Allerdings sind die Firewalllogs auch in umgekehrter Weise hilfreich So werden hier auch die Vorg nge protokolliert die dazu Vorgesehen sind durch durch die Firewall zu gehen jedoch geblockt werden Der Administrator kann erkennen warum zum Beispiel ein Dienst nicht funktioniert und ob dieser von der Firewall geblockt wird 37 Kapi tel 2 8 5 Bei aktiviertem IDS ist das daf r vorgesehene Log ebenfalls eine Stelle an der sich sicher heitsrelevante Vorg nge beobachten lassen Wie jedoch im Kapitel ber IDS bereits erw hnt lassen sich hier nur bekannte Vorg nge beobachten Trotzdem l sst sich somit erkennen wel che Dienste angegriffen werden k nnen sofern sich der jeweilige Dienst berhaupt im Netz werk befindet 37 Kapitel 2 8 6 Kapitel 6 Wartung und Pflege 81 Relevante Eintr ge fiir den Systemstatus einiger laufender Dienste k nnen im Meniipunkt System Logdateien eingesehen werden Folgende Dienste und Funktion werden geloggt so fern diese aktiviert sind e NTP e DNS e Aktualisieren e IPSec e SSH e Snort e Login Logout e IPCop e Cron e Kernel e RED e DHCP Server Alternativ lassen sich die Logs auch ber eine direkte Verbindung ber ssh einsehen Alle Logdateien werden auf dem IPCop im Verzeichnis ar log abgelegt Auch die AddOns legen in der Regel hier ihre Logdateien ab ber diesen Weg k nnen die Logdateien auch gesichert werden Sie brauchen allerdings nicht komprimiert werde
131. te und Gruppen definiert werden Ganz nach den Bed rfnissen der eigenen Netzwerkstruktur Nachdem alle Gruppen und Dienste angelegt sind k nnen nun die Regeln erstellt werden Dies geschieht wiederum unter dem Men punkt Block Outgoing Traff c Die erste Regel die angelegt wird erlaubt den Clients Zugriff auf die IPCop Dienste Dazu wird erst die Quelle gew hlt einmal das gr ne Interface und zus tzlich das gr ne Netzwerk Danach wird das Ziel angegeben In diesem Fall ist es einmal der IPCop Zugriff sowie der Benutzter Dienst der zuvor eingerichteten Gruppe IPCop Dienste Die Regel muss aktiviert werden und kann zus tzlich bei einem Treffer auch einen Logeintrag erzeugen Zus tzlich kann ein Zeitrahmen definiert werden in dem diese Re gel gilt In diesem Fall ist das nicht erforderlich Nach klick auf den Schalter Weiter gelangt der Benutzer auf eine bersichtsseite in der bei zus tzlich vorhandenen Regeln die Reihen folge der Regeln beeinflusst werden kann Durch einen Klick auf den Schalter Speichern wird die Regel bernommen Auf die gleiche Weise wird eine Regel f r die Benutzung der Default Dienste erstellt Die Quelle ist hier wieder das gr ne Interface und das gr ne Netzwerk Ziel ist nun jedoch die Op tion Anderes Netzwerk Outside sowie Any in der Option Standard Netzwerke Auch hier muss die Option Benutze Dienste aktiviert werden und die zuvor erstellte Gruppe PCop Dienste ausgew hlt werden Nach Einstellung aller Optione
132. tephan Feddersen Installation des webalizer xtended addons http www h loit de index php option com_content amp task view amp id 77 amp Itemid 32 Stephan Feddersen Linetest http www h loit de index php option com_content amp task view amp id 27 amp Itemid 52 Stephan Feddersen Ups server http www h loit de index php option com_content task view6id 238Ttemid 40 Stephan Feddersen Webalizer xtended http www h loit de index php option com_content amp task view amp id 26 amp Itemid 49 Eckart Gutzeit Alles ber vpns http ipcop gutzeit ch tutorialsinfos 3 alles uber vpns Markus Hoffmann High availability addon v2 3 http mh lantech css hamburg de ipcop download php view 144 23 Markus Hoffmann Rootkithunter 1 2 9 http mh lantech css hamburg de ipcop download php view 169 24 Markus Hoffmann Snortalog 2 40rc2 f r ipcop http mh lantech css hamburg de ipcop download php view 113 Literaturverzeichnis VI 25 Markus Hoffmann Ucarp http mh lantech css hamburg de ipcop wiki index php title Ucarp 26 http sourceforge net projects rkhunter Rootkit hunter frequently asked questions faq http sourceforge net docman display_doc php docid 35179 amp group_id 155034 27 IPCop org Ipcop hardware compatibility list http www ipcop org index php module pnWikkastag IPCopHCLvOl 28 Patrick McHardy Klaus Rechert Hfsc scheduli
133. tomatisch aktualisiert wird Dazu stehen drei Dienstleister zur Verf gung zwei auf internationaler Ebene sowie einer aus Deutschland e Shalla Secure Service deutscher Service e Multnomah Education Service District MESD e Univerity Toulouse Um eigene Blacklisten zu erstellen bietet der URL filter einen eigenen Blacklist Editor In nerhalb dieses Editors k nnen die zu sperrenden URLs und Domains den verschiedenen Ka tegorien zugeordnet werden Ebenso k nnen weitere Kategorien erstellt werden Die erstellte Blacklist kann nach der Erstellung zur bertragung auf andere Systeme exportiert werden wie auch eine fremde Liste importiert werden kann Jede nderung an der Datenbank des URL filter erfordert dessen Neustart 48 5 5 Copfilter Dieses AddOn umfasst ein ganzes Paket n tzlicher und sinnvoller Zusatzfunktionen Es um fasst im wesentlichen einen Proxyserver auf Basis des Proxys Privoxy zum Schutz der Diens te POP3 SMTP HTTP und FTP vor Viren sowie einen umfassenden E Mail Schutz Der Vi renscan wird zum einen von dem mitgeliefertem Scanner ClamAV bernommen Zum anderen kann der Virenscan durch zus tzliche Installation der Anti Virenprogramme F Prot und AVG erweitert werden Diese sind f r den kommerziellen Gebrauch kostenpflichtig und m ssen per anno lizensiert werden Nachteilig ist dass die erforderliche Hardwareanforderung sprunghaft steigt und mit wachsender Zahl der Clients weiter zunimmt Ein wesentlicher Faktor
134. tzwerk in dem sich viele Clients die Verbindung teilen die einzelnen Verbinden sich nicht st ren oder so gar behindern QoS sorgt daf r das zwei Benutzer die an einer 1Mbit Datenleitung h ngen jeweils beide mindestens 500Kbit Bandbreite bekommen Benutzt nur einer von beiden die Verbindung bekommt derjenige die gesamte Bandbreite Abbildung 5 1 verdeutlicht diese Funktionsweise 28 Installation Bevor das AddOn installiert werden kann ist es erforderlich einen layer Filter zu installieren Dieser integriert sich in den Linux Kernel und benutzt regul re Ausdr cke um die Netzwerkprotokolle zu identifizieren Der layer7 Filter und das AddOn werden zusam men auf den IPCop in ein tempor res Verzeichnis kopiert Es erfolgt zuerst die Installation des layer Filter Dieser wird durch den Befehl tar xvfj IPCop 1 4 15 kernel tar bz2 C in stalliert Danach erfolgt der Befehl touch var run need depmod uname r sowie der Neustart Kapitel 5 Weitere Funktionen und Dienste AddOns 42 1000 kbit li 500 kbit 500kbit Mio 120 400 kbit LOO kbit PA f 211 J 112 Abbildung 5 1 QoS Funktionsweise 28 des IPCops Nach erfolgtem Neustart wird das QoS AddOn ebenfalls mit tar entpackt und kann durch Eingabe des Befehls install im durch tar erstellten Verzeichnis installiert werden QoS wird als eigener Men punkt im Men Dienste eingerichtet 55 Konfiguration Bei der Einrichtung des QoS werden Kl
135. u Netz Verbindungen Bei der Methode Netz zu Netz k nnen mindestens zwei private Netze miteinander Verbunden werden Die Methode Host zu Netz wird Benutzt um von einem externen Client eine Verbindung mit dem privaten Netz her zustellen Dies kann ein Notebook sein das sich ber eine W hlverbindung mit dem Internet verbunden hat Bevor VPN genutzt werden kann muss sich der Administrator f r eine Authentifizierungsme thode entscheiden 37 Kapitel 2 7 2 Zur Auswahl stehen dazu die Nutzung eines Pre Shared Keys und die zertifikatbasierte Authentifizierung Mit einem Pre shared Key was einem Pass wort gleich kommt l sst sich ein VPN Netzwerk schnell aufbauen Allerdings eignet sich diese Methode nicht f r die Option Host zu Netz da der Pre shared Key bei allen Hosts der gleiche ist Eindeutig sicherer ist die Verwendung von X 509 Zertifikaten Ein X 509 Zertifikate enth lt in der Regel einen privaten und einen ffentlichen Schl ssel Passw rter sowie Informationen ber die zu zertifizierende Funktionseinheit Das Zertifikate wird von einer vertrauensw rdi gen Stelle ausgestellt und kann von einer Zertifizierungsstelle auf G ltigkeit berpr ft werden Der IPCop ist selbst eine solche Zertifizierungsstelle und kann Zertifikate erzeugen Er kann aber auch durch eine andere Zertifizierungsstelle ausgestellte Zertifikate nutzen Um VPN einzurichten sind vorerst globale Einstellungen notwendig Dazu geh rt die Angabe des Hostnames
136. ule pnWikkastag IPCopRoadmap 65 Robert Ziegler Linux Firewalls Konzeption und Implementierung f r kleine Netzwerke und PCs Markt und Technik 2 edition 2000 Literaturverzeichnis IX 66 Mario Zimmermann Modifiziertes mkflash f r ipcop 1 4 x http www zisoft de ipcop mkflash Ehrenw rtliche Erkl rung Hiermit versichere ich dass die vorliegende Arbeit von mir selbstst ndig und ohne unerlaubte Hilfsmittel angefertigt worden ist insbesondere dass ich alle Stellen die w rtlich oder an n hernd w rtlich aus Ver ffentlichungen entnommen sind durch Zitate als solche gekenn zeichnet habe Ich versichere auch dass die von mir eingereichte schriftliche Version mit der digitalen Version bereinstimmt Weiterhin erkl re ich dass die Arbeit in gleicher Form oder hnlicher Form noch keiner anderen Pr fungsbeh rde vorgelegen hat Ich erkl re mich damit einverstanden dass die Arbeit der ffentlichkeit zug nglich gemacht wird Nettetal 14 02 2008 Stefan Kox
137. ung http www mhaddons tk ta3a zur Virenpr fung und SPAM Bek mpfung von E Mails und Internet Ucarp High AddOn zur Bereitstellung einer http www mhaddons tk availability hoch verf gbaren Internetverbin AddOn 2 3 dung Webalizer 1 8 Auswertung der Squid Logfiles http www h loit de Line Test 4 4 Verbindungs berpr fung und auto http www h loit de matische Neueinwahl durch unter schiedliche Profile GUI Ports 1 6 2 Erlaubt die Modifikation der http www h loit de Standard Port des WebGUIs UPS 0 5 7 Einbindung einer Unterbrechungs http www h loit de freien Stromversorgung Wartung und Log SystemInfo Zeigt weitere Systeminformationen http www ipadd de binary html 2 4 5 im WebGUI an SnortALog Detaillierte Auswertung und Be http www mhaddons tk 2 4 0 richtserstellung des Snortlogs FirewallLogs Auswertung der Firewalllogdatei http www mhaddons tk 1 1 1 mit Filterung nach Quell IP Adresse und Ziel Port RootkitHunter Erm glicht die Suche nach einem http www mhaddons tk 1 2 9 bekannten Rootkit auf dem IPCop Coptime 0 4 0 AddOn zur Teilnahme an einer Up http www coptime de time Datenbank Kapitel 5 Weitere Funktionen und Dienste AddOns 41 5 1 Quality of Service Zwar erlaubt der IPCop bereits eine gewisse Steuerung der Bandbreite jedoch ist das einge baute Traffic Shaping in der die Konfiguration sehr begrenzt Das
138. us tzliche Modulparameter angeben ISDN Karte Lokale Telefonnummer MSN EAZ ISDN deaktivi lt Tab gt lt Alt Tab gt wechselt zwischen Elementen lt Leertaste gt w hlt aus Abbildung 3 4 Screenshots der Installations und Konfigurationsdialoge Erstkonfiguration Nach erfolgreicher Installation und automatischem Start erscheint nun erstmalig das Konfigu rationsprogramm im Assistentenmodus 5 Kapitel 3 Dieses ist sp ter jederzeit wieder durch Eingabe des Befehls setup auf der Kommandozeilenoberfl che aufrufbar Zuerst wird die Ein gabe des verwendeten TastatURLayouts gefordert Danach erfolgt die Auswahl der Zeitzone in der sich der IPCop Rechner befindet Als n chstes erfolgt die Vergabe eines Namens f r den IPCop Rechner sowie die Festlegung in welcher Dom ne sich der IPCop Rechner befindet Der vorgeschlagene Namen PCop kann bernommen werden ebenfalls der Domainname localdomain sofern keine Domain vorhan den ist Schlie lich f hrt das Konfigurationsprogramm mit der Netzwerkkonfiguration fort Es er scheint die Auswahl zur ISDN Konfiguration Sofern ISDN nicht ben tigt ist wird dieser Schritt bersprungen Andernfalls erfolgt die Auswahl des Protokolls die Einrichtung des Treibers die Auswahl der verwendeten ISDN Karte und die Vergabe der Telefonnummer Wird ISDN nicht verwendet ist die Konfiguration mindestens einer weiteren Netzwerkkarte erforderlich Je nach gew nschtem Typ des Netzwerks k nnen
139. utige Identifizierung als SPAM ergeben Die Zahl der false negatives sinkt Zus tzlich l sst sich die Zahl der false positives verbessern indem die Whitelist gepflegt wird Eine weitere M glichkeit die Erkennungsrate zu verfeinern besteht darin den Bayesfilter zu trainieren Dazu ist es erforderlich dass in einem Postfach auf der obersten Ebene zwei Ordner mit den Namen spam und not spam existieren Zudem muss es m glich sein dass dieses Kapitel 5 Weitere Funktionen und Dienste AddOns 63 Postfach ber IMAP erreichbar ist Das Training l sst sich manuell starten oder aber auch automatisiert einrichten so dass das Training durch SpamAssassin in der Nacht erfolgt Dies entlastet die Firewall da das Training stark prozessorlastig ist und laut Dokumentation f r 400 E Mails rund 1 Stunde dauert Um erste Erfolge zu erhalten ist ein Minimum von 200 E Mails in beiden Ordner notwendig SpamAssassin l sst sich ber den Punkt Copfilter gt AntiSpam konfigurieren Zun chst l sst sich SpamAssassin ein bzw ausschalten und es kann der Wert angegeben werden ab dem eine E Mail im Betreff als SPAM markiert wird Zus tzlich kann ein weiterer Dienst ber pr fung der SPAM Identifikationsdatenbank Razor DCC und DNSBL zur SPAM Erkennung separat aktiveren Dies ist besonders interessant bei der Nutzung des POP3 Filters da hier die berpr fung wie es aus den Logdateien ersichtlich ist pro E Mail ca 30 Sekunden dau ert Einsich
140. viertem Dienst und installiertem AddOn Einsicht in die Proxyberichte berpr fung der Snortlogs oder des DHCP Servers Auch sollte bei der jetzigen Frequenz der Updates mindestens einmal im Monat die Pr fung auf Aktualisierungen f r den IPCop vorgenommen werden Sofern AddOns installiert sind ist es ratsam dies auch auf Aktualisierungen innerhalb der jeweiligen AddOns vorzunehmen 6 1 Updates Zur regelm igen Pflege geh rt das Einspielen neuer Updates sofern welche neu ver ffent licht werden IPCop ist derzeit bei der Version 1 4 18 angelangt welche Anfang Dezember 2007 ver ffentlicht wurde Momentan ist jedoch nicht davon auszugehen dass in k rzeren Abst nden neue Updates herauskommen werden Der letzte Versionssprung dauerte bereits f nf Monate die beiden davor jeweils drei Monate Die derzeitige RoadMap 64 des IPCops sieht f r die Version 1 4 x nur noch zwei weitere geplante Updates vor Zum einen die Aktualisierung auf Version 1 4 19 dann auf 1 4 20 Die geplanten Neuerungen werden dann folgende sein e 3G USB Serial Modem Unterst tzung ber dass Webfrontend e Netzwerktreiber skge und sky2 Kapitel 6 Wartung und Pflege 79 snort rules selector kernel 2 4 35 Weitere WLAN Treiber Jedes weitere Update dass nach 1 4 20 erscheint wird ausschlie lich Sicherheitsl cken schlie en und Bugs beheben Es werden keine weiteren Funktionen hinzugef gt Nichts desto trotz ist bereits die Version 2 0 in Pl
141. von Stephan Feddersen entwickelt worden Da der Zugriff auf das Webfrontend des IPCops bereits auf andere Ports umgelegt wurde http auf Port 81 und https auf Port 445 ist es m glicherweise notwendig diese Ports ebenfalls zu verlegen Dazu richtet sich dieses AddOn seinen eigenen Bereich im Webfrontend unter System gt Einstellungen in der Benutzeroberfl che ein Dort kann der Benutzer die Ports f r die beiden Protokolle auf andere Ports legen Es empfiehlt sich diese in den Highport Bereich ab 1024 zu verlegen da Sie dort nicht mit anderen Diensten in Konflikt kommen und diese bei PortScans seltener untersucht werden 13 Kapitel 5 Weitere Funktionen und Dienste AddOns 70 Installation Die Installation erfolgt durch Entpacken des Archivs in einem tempor rem Ord ner auf dem IPCop Dort wird der Befehl install im entpackten Ordner GUlports ausgef hrt Nach Durchlaufen der selbsterkl renden Installation steht dem Benutzer das AddOn im Web frontend zur Verf gung 14 Konfiguration Im Bereich der Einstellungen der Benutzeroberfl che k nnen der HTTP Port sowie der HTTPS Port konfiguriert werden Nach dem Dr cken der Taste Speichern und n dern werden die neuen Ports sofort bernommen Der Apache Webserver wird auf dem IPCop neu gestartet Das Webfrontend muss danach ber den neuen Port neu aufgerufen werden Abbildung 5 9 zeigt die Konfiguration der GUI Ports 14 Einstellung der Benutzeroberfl chen Ports HTTP Port 81
142. wall Aktiviert klicken um Deaktiviert klicken zu deaktivieren Y Runter al um zu aktivieren Alle gr nen VPN blauen orangen roten Interfaces 0 Bearbeiten Alle blauen orangen roten Interfaces Regel kopieren L schen Pr g p Alle orangen roten Interfaces Alle roten E Interfaces A Hoch Abbildung 5 2 Screenshot BOT Regeln in einem IPCop Installation Die Installation erfolgt durch bertragen des Pakets in ein tempor res Ver zeichnis auf dem IPCop Dieses wird mit tar entpackt Anschlie end wird die Installation Kapitel 5 Weitere Funktionen und Dienste AddOns 44 durch Eingabe des Befehls setup gestartet Die Installation l uft automatisiert und ohne wei tere Nachfragen ab Nach der Installation befinden sich zwei zus tzliche Men punkte im Fi rewallmen des IPCop WebGUls Zum Einen der Punkt f r die generellen Einstellungen zu BOT zum anderen der Men punkt f r die erweiterte Konfiguration 58 Konfiguration Bevor das AddOn aktiviert werden kann ist es zwingend erforderlich eini ge Einstellungen vorzunehmen Werden diese nicht vorgenommen und das AddOn gestartet sperrt sich der Benutzer aus und hat keine regul re M glichkeit sich erneut mit dem IPCop zu verbinden In einem solchen Fall hilft nur noch die Anmeldung am IPCop selbst und das Zur cksetzen der durch BOT erstellten iptables Regeln durch die Eingabe des Befehls ipta bles F BOT_INPUT 56 Die Gru
143. z gert werden kann Die n chsten beiden Parameter beeinflussen die Ersetzungsrichtlinie im Speicher und im Fest plattencache Es stehen die Optionen wie in Tabelle 5 3 dargestellt zur Auswahl Als n chstes kann angegeben werden das bestimmte Domains nicht in den Cache mit aufge nommen werden sondern immer direkt aus dem Internet geladen werden Dies ist besonders bei Suchmaschinen oder sich h ufig ndernden Seiten interessant Kapitel 5 Weitere Funktionen und Dienste AddOns 49 Tabelle 5 3 Speicher Cache Ersetzungsrichtlinie 41 Methode Funktion Beschreibung LRU Squids urspr ngliche Die LRU Richtlinie beh lt k rzlich refe listenbasierte Last Re renzierte Objekte d h sie ersetzt das Ob cently Used Richtlinie jekt auf das am l ngsten nicht zugegrif fen wurde heap LRU Last Recently Used po Arbeitet wie LRU verwendet aber statt licy basierend auf einen dessen einen Heap heap heap LFUDA Least Frequently Used Die heap LFUDA Richtlinie Least Fre mit Dynamic Aging quently Used with Dynamic Aging be h lt h ufig angefragte Objekte ungeach tet ihrer Gr e im Cache und optimiert deswegen die Byte Trefferrate auf Kos ten der gesamten Trefferrate da ein ein ziges gro es Objekt m glicherweise das Caching von mehreren kleineren nicht so h ufig angefragten Dateien verhindert heap GDSF Greedy Dual Size Fre Die heap GDSF Richtlinie optimiert die quency Rate der gefunden
Download Pdf Manuals
Related Search