Home

Berufsbildende Schulen Friedenstraße Wilhelmshaven

Contents

1. F JE E Firewall Builder Firewall fwb g ux Eile Edit Object Rules Help amp Gu sr e Y test Firewalls itest 4 Policy outside inside loopback dmz NAT Source Destination Service Action Time Options Comment i SSH Access to firewall is perm net 192 168 1 0 test ssh Accept An pe e n ES E y only from intemal network 1 est intemal server Bons e Accept Any Firewall uses one of the machi on internal network for DNS WS 2 Am Deny Am All other attempts to connect tc 2 T E y a the firewall are denied and logg re p P Am An ag auth 6 Reject Am Quickly rej fempts to conr B d e d toj Server to avoid SMTP Any M serer on dmz d smtp Accept Any ail relay on DMZ can accept connections from hosts on the Internet z iem this rule permits a mail rela server on dmz internal server Gu Acer An d 5 a E ie d located on DMZ to connect to internal mail server server on dmz ner 192 168 1 0 Bons Accert Any Mail relay needs DNS and can fs Netz 10 0 0 0 vj up ve Connect to mail servers on the age smtp Internet Object Type Any Ca Object Name Any 7 ner 192 168 2 0 Mner 102 168 1 0 Any lien Aw A Mate Rex Ton DMAE internal net is deni E 8 4 net 192 168 1 0 Any Any
2. 63 5 4 Projektwoche 4 64 5 5 Projektwoche Si asiccacicascdenisabtiendanacudsasascsigntcancusescancuensanscegdeavaccasdannadsnsdubscociousisddecusasasdeiedesteneceesusnie 65 wild Ji e T 66 5 7 luii di dp M 67 5 8 Proje a isi cb Sep 68 5 9 ProJEeKIWOEREN MT S 69 5 10 Projektwoche 70 5 11 Projektwoche 1 ee ee 71 b Anhane goa Seege 72 6 1 ONENENVETZEICHTIES EEN 72 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Projektdokumentation Thema Aufbau einer Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Team Michael Bruckmann Olaf Plaggenborg Beginn 07 Februar 2005 Ende 09 05 2005 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 1 Einleitung Das Internet bzw Netzwerk bietet aufgrund der schnellen Entwicklung von PC Hardware und Soft wareprogrammen in der heutigen Zeit ungeahnte M glichkeiten der Kommunikation und des Da tenaustausches zwischen verschiedenen Standorten externen Dienstleistern und sonstigen Quellen wie WWW oder FTP Angestellte k nnen von zu Hause aus im Firmennetz arbeiten Aussenstellen haben die M glichkeit auf in
3. Eile Edit Object Rules Help ES Bus e Basen E a Firewalls dtes E E Standard read oniy 8 z wr Ga Firewalls ere tiation Service Action Time Options Comment Objects Wei Bi Accept A SSH Acce 1 3 ny a Services Library illi r E It Lc i Activate a rule on 88015 e Accent Any Kaes Time 18 00 B A Deny A A All other at rey i i the firewall eomm emm BIR pec m Det of week 0 6 1 X68 P Day R B smp Accept Any Mail relay Deactivate a rule on nos ntemet Time E ke er smit Le Accept Any hai i pe Date D M Y 00 00 0000 B oe Day d week 0 6 1 0 88ons f JAccert A Mail relay EE ICH connect to Object Type Time smp Internet Object Name afterhours 3 6 00pm 12 00 An E e Any A Base e any day 6 00pm 12 00am Acer Any This permi to the Inter Spe Any NS Abb 2 9 8 Objekt TIME Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 7 Firewall Policy erstellen Nachdem wir uns in vorangegangenen Abschnitten mit dem Anlegen von Objekten besch ftigt haben wollen wir uns jetzt mit dem Erstellen von Regeln befassen Zun chst m ssen wir die richtige Firewall aktivieren falls mehrere vorhanden sein sollten Rechts ber den Regeln finden wir dazu eine Drop Down Box
4. Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 8 Projektwoche 8 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 11 April 2005 bis 15 April 2005 Protokollant Olaf Plaggenborg Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Erstellen der Firewall BBS FIRE EN Test der Firewall durchgef hrt alles in Ordnung Webmin installiert und konfiguriert Zweite Betriebssystem Installation auf dem Server durchgef hrt diesmal eine minimal Installation ohne Grafische Oberfl che Netzwerk bei dieser Installation eingerichtet NIC s angepasst wie bei der grafischen Installation Webmin auch hier installiert Firewall versucht zu installieren Problem keine grafische Oberfl che vorhanden Firewall von anderen Server mit dem Firewall Builder installiert funktioniert RK RA ARA Ra AR Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 68 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 9 Projektwoche 9 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 18 April 2005 bis 22 April 2005 Protokollant Michael Bruckmann Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Erstellen der Firewall SUPER
5. 6 16 connect to mail servers on the r C Za Internet Object Type Any Object Name Any 7 ner 192 168 2 0 Mner 102 168 1 0 Any f Denv Aw A A the Becess from DMZ to 0 0 0 0 0 0 0 0 5 u 2i Accept This permits access from inten Any Network GC RO am ER a CR to the Internet and DMZ 9 Any Any Any _ Deny any IL a Ip 5 Abb 2 9 9 Firewall Policy erstellen Daneben gibt es ein Formular f r NAT Regeln und eines f r jedes Interface des Firewall Objektes Im Normalfall werden die meisten Regeln im allgemeinen Teil erfasst denn es sind meist nur wenige Interface bezogene Regeln notwendig Der Grund daf r ist dass die globalen Regeln f r je des Paket gepr ft werden Eine neue Regel erstellen wir indem wir am linken Rand des Regel Fensters bei der laufenden Nummer die rechte Maustaste dr cken Aus dem sich ffnenden Kontextmen w hlen wir einfach INSERT RULE Abbildung 2 9 10 um eine neue Regel vor der ausgew hlten einzuf gen 52 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Eile Edit Object Rules Help D Wj User test Firewalls test E Policy outside inside loopback dmz NAT Source Destination Service Action Time Options Comment A fal SSH A firewall is pd net 192 168 1 0 test ssh Accept An Cras to TEMPUS
6. D l scht eine Regel die entweder ber ihre Position pos oder ihre genaue Definition spezifiziert wurde delete 2 84 Tables Bisher sind drei Tables definiert worden Das Konzept ist aber auf Erweiterbarkeit ausgelegt so da weitere hinzukommen k nnen Auch h ngt das Vorhandensein der Tables davon ab wie der Kernel kompiliert wurde und welche Module geladen sind filter Dieser Table ist auch die Standardvorgabe wenn kein Table angegeben wurde Hier werden in den Chains INPUT FORWARD und OUTPUT Regeln vorgegeben die die Filterung von Paketen betreffen nat Dieser Table enth lt in den Chains PREROUTING OUTPUT und POSTROUTING die Regeln zur Manipulation von Quell und Zieladressen sowie ports mangle Spezielle Manipulationen an Paketen 2 8 5 Muster iptables ist auf Erweiterbarkeit ausgelegt Nur wenige seiner Muster sind immer verf gbar Weitere Muster k nnen bei Bedarf hinzu geladen werden Dies ist allerdings nur m glich wenn Unter st tzung f r diese Erweiterungen als Modul oder Bestandteil des Kernels kompiliert wurde Wir wollen hier nur einen Blick auf die wichtigsten Muster werfen 2 8 6 Standardmuster Die folgenden Muster geh ren zum Standardumfang Jedes Muster kennt die M glichkeit mit gt gt lt lt die Bedeutung des Musters in sein Gegenteil zu verkehren p Protokoll bezeichnet das verwendete Protokoll tcp udp icmp oder eine nummerische Angabe s Adresse Maske bezeichnet die Que
7. Projektarbeit Firewall 2 2 Projektplanung 2 2 4 Projektzeitraum Projekt Beginn 07 Februar 2005 Projekt Ende 09 Mai 2005 2 2 2 Projektteam Michael Bruckmann Olaf Plaggenborg 2 2 8 Projektbetreuer Herr Appenzeller Berufsbildenden Schulen Friedenstra e Wilhelmshaven 2 2 4 Projekthilfsmittel Jeder Mitarbeiter des Projektteams benutzte sein eigenes Notebook Die Berufsbildenden Schulen Friedenstra e stellte uns einen neuen Server und R umlichkeiten zur Nutzung zur Verf gung Somit hatten wir die M glichkeit vor Ort auftretende Fragen und Probleme direkt mit dem Projektbetreuer Herrn Appenzeller zu erl utern zu berarbeiten und zu l sen 2 2 5 Projektkosten Bei unserer Projektarbeit Aufbau einer Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration entstanden uns keine Kosten 14 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 3 Aufgabenverteilung Michael Bruckmann Installation Linux Fedora Core 2 Einarbeitung in die Technik einer Firewall iptables Einarbeitung in die Software Fwbuilder EN EN EN EN Erstellung der Firewall Regeln EN Test der Firewall EN Dokumentation EN Pr sentation Olaf Plaggenborg Installation Linux Fedora Core 2 Einarbeitung in die Technik einer Firewall iptables Einarbeitung in die Software Fwbuilder Test der Firewall EN EN EN EN Erstellung der Firewall Regeln EN EN Dok
8. chern noch mit Firewalls all gemein und Iptables was einige Zeit in Anspruch nahm Wir machten unsere ersten Gehversuche mit dem Fwbuilder und versuchten eine eigene Firewall f r Testzwecke zu erstellen Dazu geh rte nat rlich auch das Einrichten der g ltigen IP Adressen f r ethO ethl und eth2 einen Verbindungstest zwischen unseren Notebooks und dem Firewall Rechner Als n chstes sollte eines der Notebooks den Webserver simulieren was wir mit dem Apa che Webserver Tool realisierten Ab dem 14 Projekttag haben wir dann begonnen uns Gedanken zu machen ber die eigentlichen Fi rewalls Zu diesem Zweck stellten wir die erforderlichen Grundvoraussetzungen her wie z B die Host Rechner und die Netzwerke im Schulnetz W hrend der Arbeit mit dem Fwbuilder notierten wir alle Schritte f r die sp tere Erstellung der Firewall Builder Anleitung und des Benutzerhand buchs Dies war n tig um dem Administrator die Arbeit mit dem Fwbuilder und den beiden Fi rewalls zu erleichtern 17 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Es kam nat rlich gelegentlich zu Fehlschl gen was die Firewall Regeln angeht aber unsere B cher das Internet und vor allem Herr Appenzeller halfen uns immer wieder diese H rden zu nehmen und uns auf den richtigen Weg zu bringen Es war ein st ndiges hin und her was die Regeln angeht da es immer wieder zu unvorhergesehenen Schwierigkeiten zwischen den einzelnen Ne
9. so k nnen heutige Fehlerkorrekturverfahren die fehlenden Informationen genau genug aus den vorangegangenen Daten gt gt sch tzen lt lt dass es dem H rer nicht auff llt Ein Warten auf das erneute Senden von Daten w rde zu Pausen f hren und den H rgenu empfindlich beeintr chtigen Andere Anwendungen von UDP betreffen F lle in denen eine Anfrage und die dazugeh rige Ant wort in ein Paket passen womit die drei Pakete f r den Verbindungsaufbau zu einem sp rbaren Overhead werden Dies war z B der Grund warum DNS f r kleinere Anfragen die den Gro teil der F lle im normalen Betrieb ausmachen UDP statt TCP benutzt Schlie lich existieren noch F lle in denen zwar Informationen verschickt werden jedoch keine Antwort erwartet wird Hier wird z T nicht gew nscht dass zus tzliche Systemlast erzeugt wird indem auf eine Empfangsbe st tigung gewartet wird die die sendende Anwendung nicht interessiert Ein Beispiel hierf r ist das schreiben von Systemprotokollen ber das Netzwerk Hier werden Fehler und Statusmeldungen statt sie in die lokale Protokolldatei zu schreiben ber das Netz an einen dedizierten Proto kollierungsrechner geschickt Das dabei verwendete Syslog Protokoll sendet UDP Pakete an Port 514 des Protokollierungsrechners ohne dass jemals eine Antwort erfolgt 32 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 6 4 Gangige TCP und UDP Portnummern Port Name UDP TC
10. 9 2 Installation ber die Homepage von Fwbuilder http www fwbuilder org kann man sich den Quellcode laden und selber bersetzen Andererseits stellt die Homepage eine Reihe vorkompilierter Bin rpakete so beispielsweise f r Fedora Core Mandrake Red Hat und Suse zum Download bereit Es werden die API Bibliothek libfwbuilder Fwbuilder selber sowie mindestens ein Modul das die Erstellung der Regeln f r die Zielplattform unterst tzt ben tigt F r unser Projekt Firewall mit Iptables haben wir folgende RPM Pakete installiert fwbuilder 2 0 6 1 fdr2 1386 rpm gt Firewall Builder GUI libfwbuilder 2 0 6 1 fdr2 1386 rpm gt Firewall Builder API Libary fwbuilder ipt 2 0 6 1 fdr2 1386 rpm gt Teile von der GUI und Policy Compiler f r Iptables Das Anwender Handbuch das ebenfalls tiber die Homepage zu erhalten ist bezieht sich zwar auf eine ltere Version beschreibt aber ausf hrlich die verschiedenen Einstellm glichkeiten wenn gleich die neue Version doch bei der Oberfl che etwas anders aussieht Dennoch sind die meisten beschriebenen Funktionen vorhanden Es ist wie auch die Homepage nur in englischer Sprache erh ltlich Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 3 Allgemeines Legende Bevor wir aber mit der Erstellung einer Firewall beginnen eine kurze Legende f r hier verwendete Begriffe Siehe dazu Abbildung 2 9 1
11. Abbildung 2 9 9 B die alle verf gbaren Firewall Objekte ent h lt Angezeigt wird zun chst das Formular namens POLICY Abbildung 2 9 9 A das die allge meinen Regeln enth lt ER Firewall Builder Firewall fwb g ox Eile Edit Object Rules Help E dx e D lll User m test Firewalls S test 4 Policy outside inside loopback dmz NAT Source Destination Service Action Time Options Comment ag A t SSH Access to firewall is perm o ner 192 168 1 0 Wen Geh je Acer Any ee been Leet DNS Accept A Firewall uses one of the machit E E Bin PESEE 38 E id on internal network for DNS test Am il Deny Am All other attempts to connect td Ich A Gei i A A A ith Reject A Quickly reject attempts to conr E mt m Ba e a to ident server to avoid SMTP im Mail relay on DMZ can accept An server on dmz Cu Accept A Y P 4 Y d SS T E gl connections from hosts on the a Internet DMZ Web 7 EE A this rul i il rel t ccept A is rule permits a mail relay Schung LAN Wil Bserver on dmz V rend server smp el ny this nde permits mile to internal mail server GB loopback net CB server on dmz Q gnet 192 168 1 0 Bons js Accert Any Mail relay needs DNS and can Netz 10 0 0 0 Tei
12. Angefangen Firewall auf dem Server einzurichten E Notebooks f r Testversuche eingerichtet EN Notebook 1 zum Webserver hergerichtet EN Notebook 2 zum simulieren der internen Netze vorbereitet EN Kommentare f r den Firewall Builder eingetragen EN Versucht die Firewall zu compilieren Fehler bei den NAT Regeln E Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 66 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 7 Projektwoche 7 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 04 April 2005 bis 08 April 2005 Protokollant Michael Bruckmann Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Erstellen der Firewall BBS FIRE Fehler in den NAT Regeln gefunden und beseitigt Compilieren der gesamten Firewall BBS FIRE funktioniert Installation der Firewall mit Hilfe vom Firewall Builder S BR RH K Besprechung wie man am besten einen Testaufbau durchf hren k nnte um alle Funktionen der Firewall zu berpr fen Einarbeiten in diverse Tools zum testen der Firewall z B Nmap manpage lesen usw Testaufbau mit Hilfe der vorbereiteten Notebooks durchgef hrt Einlesen in das Thema Iptables Firewall Architekturen N sS RH H Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 67
13. DA e S e d only from internal network D Services test internal server DNS Accept Am Fiesta ukes ane of the mai i 1 E a 38 y on internal network for DNS Saum A 3 3 Ma ti d F test An el Dem AB other attempts to conne KR Rule 2 T T the firewall are denied and Id Color Label Am e auth BJ Reject Af Quickly reject attempts to c 3 Damooomno id e T to ident server to avoid SMT yi be DA Mail relay on DMZ can acce j server on dmz smt ccept An Y amr sm e Y connections from hosts on d _ Add Rule Below _ E Internet des his rule permits a mail relay kl internal server Cu zl Accept An h D y 8l Remove Role a Y located on DMZ to connect a Move Rule to internal mail server D t KBgnet 102 168 1 0 D n Accept Any Malis hee DNS and g Copy Rule ps connect to mail servers on t Object Type Host Iess age smtp Internet Object Name server on dmz All oth from DMZ i Paste Rule Above 0 net 192 168 1 0 An Deny An other access from 1 192 168 2 10 a i T v IS internal net is denied This host is used in examples and sl Paste Rule Below m AB OD Accept Alij This permits access from in template objects 7 to the Intenet and DMZ Disable Rule gt 9 my Any Any ig Deny Aw J di e EI Abb 2 9 10 Insert Rule Mit ADD RULE BELOW erzeugen wir eine neue Zeile unterhalb der ausgew hlten Mit Hilfe von REMOVE RULE l schen wir Regeln die wir nicht mehr ben t
14. SERVER EN nderungen an der Firewall durchgef hrt Internes Netz mit neuen Anforderungen EN Firewall erfolgreich umgesetzt EN Erstellung der zweiten Firewall f r den Super Server Projekt Terminal Server EN Installation des Firewall Builder auf dem Super Server EN Installation der angefertigten Firewall auf dem Super Server E Vernetzung aller drei Projekt Server BBS FIRE SUPER SERVER und WEB SERVER EN Test der beiden Firewalls durchgef hrt kein gew nschter Erfolg im Zusammenspiel EN Fehlersuche EN Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 69 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 10 Projektwoche 10 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 25 April 2005 bis 29 April 2005 Protokollant Olaf Plaggenborg Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Gesamt TEST bzw Fehlersuche E Fehlersuche weiter durchgef hrt E Fehler behoben Test in Ordnung E Weitere nderung der Proxy Server muss aus Sicherheitsgr nden vom Terminal Server umziehen auf den Firewall Rechner um die Rechte der Terminal Clients einschr nken zu k nnen Einrichten des Proxy Servers auf BBS FIRE Umstellung der Firewall Regeln auf beiden Servern Neuer Testaufbau alle Funktionen testen Internetrecherche E EE Dokum
15. der Informationsbeschaffung B cher Beschaffung Internetrecherche E Verwendetes Betriebssystem auf dem Server wurde festgelegt EN Festlegung der Software Zusatz EN Allgemeine Aufgabenverteilung und Ablauf der Projektarbeit wurden besprochen Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 61 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 2 Projektwoche 2 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 14 Februar 2005 bis 18 Februar 2005 Protokollant Olaf Plaggenborg Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Inbetriebnahme des Servers und Installation M Installation von Linux Fedora Core 2 im Raid Level 1 Software Raid EN Installation erfolgreich durchgef hrt aber nach dem Neustart bootet das System nicht mehr M Bootloader Grub startet nicht E Fehlersuche durchgef hrt E Bios Update auf Version 1 03 durchgef hrt und Betriebssystem neuinstalliert M System bootet Bootloader Grub startet System funktioniert M Einlesen in das Thema Iptables M Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 62 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 3 Projektwoche 3 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M
16. des Browsers die man Monatelang gesammelt hat m te neu erstellt werden Das beste Mittel gegen Datenverlust ist sicher ein t gliches Backup Dar ber hinaus sollte man von vornherein die Wahrscheinlichkeit verringern dass dieser Ernstfall eintritt In Bezug auf Angriffe aus dem Internet kann dies durch den Aufbau einer Firewall geschehen 19 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 4 3 Vorgehensweise von Crackern Angenommen es g be ein kleines Softwareunternehmen das Software f r mittelst ndische Unter nehmen schreibt und jeden Abend werden Backups angefertigt und an einem sicheren Ort hin terlegt Wollte nun ein Konkurrent der Firma einen Schaden zuf gen durch l schen der Festplatte so w re der Schaden eher gering Es w rde eine Verz gerung von wenigen Tagen entstehen durch neues aufsetzen des Rechners Der Recher w rde danach aber sicherlich besser gesichert werden um Angreifern keine 2 Chance zu bieten Anders sieht es aus wenn sich der Angreifer Zugang verschafft und nur kleine nderungen vor nimmt z B kleine Fehler in Programme einbaut die gerade entwickelt werden Wenn so ein An griff geschickt ausgef hrt wird ist die Chance gro dass es erst sehr sp t entdeckt wird und es wird nahezu unm glich alle Fehler zu finden Auch Backups helfen wenig wenn das genaue Datum nicht bekannt ist Sollte man aber doch ein sauberes Backup finden so ist es meist z
17. glichkeit zur Remoteadministration Protokoll vom 21 Februar 2005 bis 25 Februar 2005 Protokollant Michael Bruckmann Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Inbetriebnahme des Servers und Installation M Konfiguration des Betriebssystems Dienste Software z B Webmin E Netzwerk einrichten M Fehler nur eine Netzwerkkarte wird erkannt nicht alle drei Netzwerkkarten E Fehlersuche durchgef hrt E Durch Einbau von drei verschiedenen Netzwerkkarten nacheinander Fehler behoben E Einrichten des Netzwerkes mit Webmin volle Funktion des Netzwerkes EN Netzwerk Routen eingerichtet M Einlesen in das Thema Iptables E Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 63 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 4 Projektwoche 4 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 28 Februar 2005 bis 04 M rz 2005 Protokollant Olaf Plaggenborg Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Installation Firewall Builder E Firewall Builder von der Internetseite runter geladen GUI Libary und Policy Compiler Firewall Builder installiert und eingerichtet Englisches Handbuch heruntergeladen und ausgedruckt Enth lt leider nicht die neuste Version Erste Schritte mit dem Firewall Builder anhand
18. jedes Paket dass durch einen Linuxrechner geht f r ein Pro gramm auf dem Linuxrechner selbst bestimmt ist Dies wird f r transparente Proxies verwendet Ein Proxy ist ein Programm dass zwischen einem Netzwerk und der Aussenwelt steht und die Kommunikation dazwischen regelt Der transparente Teil kommt daher weil das Netzwerk nicht einmal wei dass es mit einem Proxy redet es sei denn nat rlich der Proxy funktioniert nicht Squid kann auf diese Art konfiguriert werden Unter fr heren Versionen von Linux hiess das Um leiten redirection oder auch transparentes Proxying 36 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 8 lptables 2 8 1 Die Idee Mit dem Kernel 2 4 0 wurden Paketfilterung und Network Address Translation zu einem Konzept zusammengefa t Beide Mechanismen werden dabei mit dem Befehl iptables konfiguriert Mit ihm werden Regeln formuliert welche anhand der Header Information eines Paketes entscheiden was mit ihm geschehen soll Diese Regeln werden in Gruppen sogenannten lt lt Chains gt gt zusammengefa t Einige dieser Chains sind vordefiniert und werden nur f r bestimmte Pakete zu Rate gezogen So existiert z B eine Chain die nur Filterregeln enth lt die auf Pakete angewendet werden die von dem Rechner wei tergeleitet werden und nicht f r ihn selbst bestimmt sind Andere Chains k nnen vom Benutzer selbst definiert und aus Regeln in den Standard Chains angesprunge
19. mit zwei Firewall Rechnern Abbildung 2 5 5 Das lokale Netz das die eigentlichen Arbeitspl tze verbindet ist weiterhin das zu sch tzende Netz Zwischen diesem lokalen Netz und der b sen gro en weiten Welt des Internet liegt jetzt aber noch ein Netz die demilitarisierte Zone Wir haben zwei Firewall Rechner einmal der Bastion Host der das Internet mit der DMZ verbindet und zum zweiten noch eine Firewall Sie verbindet das zu sch tzende Netz mit der DMZ Innerhalb der DMZ stehen jetzt die Rechner die von au erhalb zu g nglich sein sollen Also etwa ein Webserver wie in unserem Projekt siehe Abbildung 2 1 4 vom gesamten Netzwerk Diese Form der Firewall ist nat rlich deutlich schwieriger zu verwirklichen daf r aber auch wesentlich sicherer Es existiert kein einziger Knackpunkt mehr an dem alleine alle Sicherheit h ngt Der Ausfall bzw die Eroberung eines Elements alleine f hrt noch nicht zur Unsicherheit des zu sch tzenden Netzes 26 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Bastion Host Firewall a ffentliche Server Firewall Lokales zu sch tzendes Netzwerk Abb 2 5 5 Die DMZ 27 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 6 TCP UDP 2 6 1 TCP TCP das Transmission Control Protocol wird in RFC 793 beschrieben und benutzt IP um Pakete zwischen Anwendungen zu transportieren und sicherzustellen dass definiert
20. nume riert Im Header jeden Paketes wird dabei die Nummer des ersten enthaltenen Datenbytes einge tragen Folgenummer Trifft nun ein Paket beim Empf nger ein so berpr ft dieser die Folgenum mer des Paketes Ist sie niedriger als der erwartete Wert so wurde das Paket schon empfangen und der Empf nger kann es entsorgen Ist sie zu hoch so mu ein Paket verlorengegangen sein In diesem Fall wird der Empf nger den Absender darum bitten noch einmal alle Pakete zu senden deren Folgenummer gr er ist als die des letzten Paketes mit einer erwarteten Folgenummer Trifft 29 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall schlie lich ein Paket mit einer korrekten Folgenummer ein so sendet der Empf nger als Best ti gung die Nummer des n chsten erwarteten Paketes Nummer des letzten empfangenen Datenbytes 1 Empf ngt der Sender nach Ablauf einer gewissen Zeit keine Best tigung so wird er die unbe st tigten Pakete noch einmal senden da er annimmt dass sie den Empf nger nicht erreicht haben Dabei ist es durchaus m glich dass mehrere Pakete gesendet werden bevor eine Best tigung erwartet wird Die Folgenummern werden nicht f r jede Verbindung wieder auf null gesetzt Statt dessen wird bei jedem Verbindungsaufbau auf beiden Seiten ein zuf lliger Wert gew hlt der dann als Folgenummer f r die eigenen Pakete dient Dies hat den Vorteil dass zuf llig eintreffende Pakete aus fr heren Verbind
21. outbound oder in beide Rich tungen sich die Regel bezieht Somit k nnen beispielsweise Regeln erstellt werden die alle Pakete beim externen Interface abweisen die eine Ursprungsadresse aus dem internen Netzwerk haben Anti Spoofing Regeln ber die Reiterkarte NAT Abbildung 2 9 12 werden die Regeln f r die Adress Umsetzung getrof fen um beispielsweise eingehende Anfragen f r Port 80 auf einen Webserver in der DMZ umzulei ten Der Aufbau der Tabellen unterscheidet sich deutlich von denen der anderen Hier wird festge legt wie die urspr nglichen Quell und Ziel Adressen sowie Services umgeschrieben werden sollen Beispielsweise um alle Adressen aus dem internen Netzwerk mit der Adresse des externen Interfaces zu versehen Bei allen Regeln k nnen wir statt der bereits oben erw hnten Haupt Objekte auch die Interface Objekte von Host und Firewall Rechnern verwenden 54 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Eile Edit Object Rules Help B3Q RM test 4a v i User E Object Type Firewall Object Name test Platform iptables Version any Host OS linux24 This firewall has three interfaces Eth0 faces outside and has a static routable address ethl faces inside eth2 is connected to DMZ subnet Policy includes inside Policy loopback dmz NAT s 0 ges o Qner192 168 1 0 ner 192 16
22. von vorhandenen Templates Einlesen in das Thema Iptables Einlesen in das Thema Firewall Architekturen S RA KA K Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 5 Projektwoche 5 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 07 M rz 2005 bis 11 M rz 2005 Protokollant Michael Bruckmann Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Arbeiten mit dem Firewall Builder EN Firewall Builder User Guide Englisch wichtige Texte bersetzt M Internetrecherche zum Thema Firewall Iptables und Firewall Builder M Erste Versuche einer Test Firewall auf dem Notebook M Einlesen in das Thema Iptables M Einlesen in das Thema Firewall Architekturen M Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 65 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 6 Projektwoche 6 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 14 M rz 2005 bis 18 M rz 2005 Protokollant Olaf Plaggenborg Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Arbeiten mit dem Firewall Builder EN
23. 3 Auswahlfenster 2 9 4 Fwbuilder GUI 2 9 5 Vordefinierte Firewall Konfiguration 2 9 6 Firewall Templates 2 9 7 Gruppe NETBIOS 2 9 8 Objekt TIME 2 9 9 Firewall Policy erstellen 2 9 10 Insert Rule 2 9 11 zus tzliche Spalte DIRECTION 2 9 12 Reiterkarte NAT 2 9 13 Ausschnitt aus generiertem Code 10 12 14 27 29 31 40 AT 48 49 49 50 52 53 53 54 55 57 57 58 59 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 Wochenprotokolle Wochenprotokolle vom 07 Februar 2005 bis 09 Mai 2005 60 5 1 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Projektwoche 1 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 07 Februar 2005 bis 11 Februar 2005 Protokollant Michael Bruckmann Teambesprechung Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Festlegung eines Projektleiters bzw Ansprechpartner und Besprechung der allgemeinen Vorgehensweise w hrend der Projektarbeit Festlegung eines Ansprechpartners im Projektteam Als Projektleiter wurde Michael Bruckmann gew hlt Informationen ber unsere Projektarbeit und ihre Arbeitsbereiche wurden uns von unserem Projektleiter Herrn Appenzeller vermittelt Projektbesprechung Installation Netzwerk Tools Anbindungen Server usw Thema Allgemeiner Informationsaustausch EN Festlegung
24. 68C6B9 2 p tcp m tcp m multiport dports 53 25 j ACCEPT IPTABLES A Cid4268C6B9 2 p udp m udp dport 53 j ACCEPT Rule 7 global echo Rule 7 global All other access from DMZ to internal net is denied IPTABLES N RULE 7 IPTABLES A OUTPUT s 192 168 2 0 24 d 192 168 1 0 24 j RULE 7 IPTABLES A INPUT s 192 168 2 0 24 d 192 168 1 0 24 j RULE 7 IPTABLES A FORWARD s 192 168 2 0 24 d 192 168 1 0 24 j RULE 7 IPTABLES A RULE 7 j LOG log level info log prefix RULE 7 DENY IPTABLES A RULE 7 j DROP Rule 8 global Abb 2 9 13 Ausschnitt aus generiertem Code 56 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 10 Installation der Regeln Die Installations Routine starten wir ber die Men zeile unter RULES gt INSTALL bzw ber das Bild mit der Workstation und den beiden Pfeilen in der Iconleiste direkt neben dem Zahnrad Falls es schon ein generiertes Firewall Skript gibt haben wir die M glichkeit dieses ohne nderung zu verwenden oder auch neu zu kompilieren Gibt es noch kein Skript wird es vor der Installation er stellt W hrend der Installation k nnen wir den von uns voreingestellten Benutzer f r den Transfer ndern Das Kennwort f r die Installation l sst sich aus Sicherheitsgr nden nicht abspeichern und muss bei jeder Installation von neuem eingegeben werden Handelt es sich nicht um root sondern um einen User
25. 8 2 0 Destination Service Any Any Direction e gov Any Firewalls test Action Time Options Comment anti spoofing rule Abb 2 9 11 zus tzliche Spalte DIRECTION Eile Edit Object Rules Help E 3st e D lli User test Firewalls test E Policy outside inside loopback dmz Original Src Original Det Original Sv Translated Src Translated Det Translated Sw Comment Object Type Firewall Object Name test Platform iptables Version any Host OS linux24 This firewall has three interfaces Eth0 faces outside and has a static routable address ethl faces inside eth2 is connected to DMZ subnet Policy includes acess t 5 net 192 168 2 0 t 192 168 1 0 A Original Original Original no need to transl 0 amp Cane ny rigin om rigins Reeser DMZ internal net GFW net 192 168 1 0 Any Any D outside Original Original Translate source i for outgoing coni a net 192 168 2 0 R Am PI outside Any Original sever on dmz Original Abb 2 9 12 Reiterkarte NAT 55 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 9 bersetzung der Policies Compilieren Jede Firewall verf gt wie bereits oben erl utert ber eine globale Policy eine f r jedes Interface und eine NAT Policy Dabei gelten globale Regeln wie beschrieben f r jedes Pak
26. Accent Any This permits access from inten Any Network to the Internet and DMZ D A 9 Any Any Any el Deny Any A a sI D Abb 2 9 1 Legende Fwbuilder Die graphische Oberfl che von Fwbuilder teilt sich in zwei Bereiche vergl Abbildung 2 9 1 Auf der linken Seite C finden wir die Objekte die in Bibliotheken organisiert sind Unterhalb der Objekt Struktur D finden wir abh ngig von unseren Einstellungen Informationen zu dem ausge w hlten Objekt Auf der rechten Seite B stehen die Policies die f r die aktive Firewall definiert wurden ber die Men leiste A lassen sich z B Regeln einf gen compilieren Objekte erstellen usw 45 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Die Organisation von Netzwerk Objekten erfolgt in Bibliotheken Wir k nnen auf bereits vor handene Objekte der Standard Bibliothek zugreifen Eigene Objekte definieren wir in der Biblio thek USER Dieser Name kann noch ver ndert werden und dar ber hinaus k nnen noch weitere angelegt werden Vor dem Erstellen von Regeln ist jedoch etwas Vorarbeit notwendig Die mit gelieferten Bibliothe ken definieren bereits eine Reihe von Objekten die der Benutzer nutzen kann Dabei sind vor allem die Objekte des Typs SERVICES sehr hilfreich denn sie definieren bereits die g ngigsten Dienste die ansonsten manuell erstellt werden m ssten Alle fehlenden Objekte z B Host Objekte m ssen vor dem erstellen von Regeln definiert w
27. Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Inhaltsverzeichnis 1 Pra UG UN soe os een ee 4 2 Projekidokument lion una 6 2 1 VIII Esso sosse RsS itsik 7 2 1 1 Aufgaben des EE CG 7 2 E 7 2 1 3 ne 8 2 IL DIBIZIDIE asser eMe dotem cu Eater ILE dede 11 GREEN e Or E E nun 12 2 2 PHO JOR CAM WG AE 13 2 2 1 Projeklzeitraum u une en 14 222 Projektteam une ee 14 GE EE 14 2 2 4 Projekihiltsmitiel use eek 14 2 2 OE TC OSU ae een heran 14 PA Vni IA E 14 2 2 1 Kurzbeschreibung des Pie EE 15 2 4 Wer braucht eme Firewall sense aan 19 2 4 1 Sind Cracker Geis ai 19 2 4 2 Durch Cracker gel schte Daten einfach neu erstellen u u nnnen cetus 19 241 3 Vorgehensweise von L rae EGLI nee 20 24 4 Was wollen Cracker EE 20 2 5 Was ist eine TE n pee 21 2 5 As Was eine UR ana eek 21 2 3 2 Was eine Firewall nicht kann ae ea 23 2 3 3 Direwall inschuneen need een 25 2 3 4 Die Basen Dose Fire w all ana eerste 25 2 5 5 Die Demilit risierte Zone DM LZ uicit er tie E e kleid 26 26 L8 vi IE Lo 28 POR LG A 28 206 2 LER Porlbersiche na een 31 2 0 3 UDP ee AEE EE E ERE E 32 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 6 4 G ngige TCP und UD
28. CCEPT DROP oder eine benutzerde finierte Chain sein Dar ber hinaus existieren noch spezielle Targets von denen hier nur die wichtigsten beschrieben werden sollen RETURN Das Paket gt gt f llt aus der Chain lt lt D h es wird an die vorhergehende Chain zur ckgereicht Ist dies nicht m glich weil es sich um die Regel einer Standard Chain handelt so tritt die Policy der Chain in Kraft LOG Das Paket wird im Systemprotokoll vermerkt Dieses Target kennt mehrere Optionen die die Protokollierung beeinflussen log level Level gibt die Priorit t der Meldung an log prefix Prefix bezeichnet ein Pr fix von bis zu 14 Zeichen das der Protokollmeldung vorangestellt wird log tcp sequence bewirkt die Protokollierung der TCP Folgenummer Dies kann ein Sicherheitsrisiko sein wenn normale Benutzer das Systemprotokoll lesen k nnen 41 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall log tcp options protokolliert die Optionen im TCP Header log ip options protokolliert die Optionen im TCP Header 2 8 8 REJECT Das Paket wird verworfen und es wird eine ICMP Fehlermeldung an den Sender geschickt Dieses Target kann nur im Table filter verwendet werden reject with Typ gibt die Fehlermeldung an die gesendet wird M glich sind icmp net unreachable icmp host unreachable icmp port unreachable icmp proto unreachable icmp net prohibited oder icmp host prohibited Ohne diese O
29. Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 1 4 Netzwerk Hier sehen Sie wie das gesamte Netzwerk nach Fertigstellung der Projektarbeiten aussehen soll BBS FIRE als Server stellt unsere Hauptprojektarbeit dar einen eigenst ndigen Server der als Fi rewall arbeitet Zus tzlich dazu noch die Integration einer zus tzlichen Firewall auf dem SUPER Server Terminal Server Projektarbeit welcher bis auf die eben erw hnte Firewall von einer anderen Projektgruppe erstellt wurde Si el CR Schulungs LAN _ _ _ _ _ Samba2003 Terminalserver f Geb 62 10 0 0 0 255 255 255 0 DNS sekund r Schule Datenbankserver E Server f r Windows SE E Clients ferminals Geb bbpfire TERMINALSERVER Geb 62 1 Windows 2003 Terminalserver 13913 22318 T DMZ Geb 60 255 255 255 252 al 139 13 210 0 255 255 255 0 Migration auf 10 60 0 0 255 255 0 0 DHCP Terminals und WLAN prim r 172 16 10 0 255 255 255 0 BOOTP Terminals Ggb 60 TERMINALSERVER Geb 60 PROXY HTTP HTTPS FTP MAIL Server al 172 16 10 0 255 255 255 0 192 16 111 0 255 255 255 0 Migration auf 192168111 0 255 255 255 0 Migration auf 139 13 210 0 255 255 255 0 Migration auf 10 62 0 0 255 255 0 0 10 60 0 0 255 255 0 0 PN 3913 210 0 255 255 255 0 Migration auf 10 62 0 0 255 255 0 0 i Bes 172 16 20 0 255 255 255 0 Abb 2 1 4 Das Schulnetz 12 Berufsbildende Schulen
30. Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 1 5 Dateisystemstruktur Partitionierung F r unsere Projektarbeit wurde ein Software RAID System RAID 1 eingesetzt Die Festplatten 2 x 120 GB wurden wie folgt partitioniert Mount Point Filesystem Gr e ca dev mdO ext2 30 GB dev md1 usr X11R6 ext2 30 GB dev md2 MINIMAL INSTALLATION ext2 30 GB dev md3 swap 2 GB dev md4 opt ext2 28 GB Ein RAID System Abk Redundant Array of Inexpensive Independent Disks dient zur Organisation von mehreren Festplatten bei einem Computer Durch die Verwendung von RAID Systemen kann man die Betriebssicherheit Leistung und oder Kapazit t von Massenspeichern erh hen Dazu gibt es verschiedene M glichkeiten die man als RAID Levels definiert hat RAID Systeme erfordern bei der Einrichtung mehr Aufwand w hrend sie sich f r Benutzer nicht von herk mmlichen Massenspeichern unterscheiden und k nnen durch Controller mit RAID Funktionalit t Hardware RAID oder auf konventionellen Controllern mit speziellen Treibern Software RAID realisiert werden In unserem Projekt haben wir Software RAID im Level 1 verwendet dieses bedeutet RAID 1 Spiegelung RAID 1 bietet Redundanz der gespeicherten Daten da diese immer auf mindestens zwei Festplatten in identischer Form vorliegen Spiegelung F llt eine Platte aus Kann eine andere f r sie ein springen 13 Berufsbildende Schulen Friedenstra e Wilhelmshaven
31. P Portnummern cee eeeeeeeseceesnceceseeecesaeeeceeneeecseeeeseaueecseaeeeeesaes 33 Did NA LT 35 2 7 1 Was ist Network Adress Translation ON ATI 35 2 1 2 Warum sollte man EN NEEN 35 RE 37 SEET 37 EE eech 39 28 RO EE 39 2 8 4 NOT 40 2 8 3 MUST see 40 28 Oo MC ANUS Ta een 40 2 07 DEUTET Deere 41 E VEG NEE 42 2 89 SNAT EE 42 P NIN EE 42 EE 43 28 12 REDIREC KE 43 29 EXnaclNigp2c e 44 2 9 1 Was Preis dc unis ac 44 292 bre f P 44 2 9 3 Allgemeines T LOSBIIOS anne 45 294 Bass CODI 5 UO MT 46 2 9 5 Firsewall Objekt erstellen 48 29 6 Andere EE 49 297 Esewall Policy erstellen asus 52 2 9 8 Interface IAT Resch nen 54 2 9 9 bersetzung der Policies Compilieren eere 56 2 9 T0 Installation der Regeln iie eni e Cer ee el 57 GAN C EEN 57 3 E e 58 4 Abbild ngsverzelc ils eeoecesscossssce bo veo sae ecc esee beo eo2c cp co pne g eo ene e bees ENS Eee ees Un eee oe aa 59 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Ruhig cl e ee 60 5 1 Projektwoche Ur e 61 5 2 uus avid co Tp 62 5 3 Projektwoche 3 uuusssan
32. P Beschreibung 7 echo M Echo Protocol RFC 862 9 discard g Discard Protocol RFC 863 13 daytime si Daytime Protocol RFC 867 19 chargen Character Generator Protocol RFC 864 20 ftp data Hile Transfer Protocol Data Stream 21 ftp S File Transfer Protocol Control Stream 22 ssh Secure Shell 23 telnet Telnet Protocol RFC854 25 smtp Simple Mail Transfer Protocol SMTP 37 time R Time Protocol RFC 868 timeserver 53 domain Domain Name Service DNS 67 bootps BOOTP Server 68 bootpc x BOOTP Client 69 tftp Trivial File Transfer Protocol TFTP 80 http Hypertext Transfer Protocol HTTP 109 pop2 Post Office Protocol POP Version 2 110 pop3 Post Office Protocol POP Version 3 111 sunrpc RFC Port Mapper RFC 1050 portmapper 119 nntp Network News Transfer Protocol NNTP 123 ntp Network Time Protocol NTP 135 i Microsoft DHCP Manager WINS Replikation Exchange Administrator RPC f r Exchange 33 Port 137 138 139 143 161 179 194 389 443 515 563 631 636 873 993 995 1494 2049 3389 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Name UDP TCP Beschreibung s Microsoft Browsing WINS Replikation S Microsoft Browsing Directory Replikation Microsoft Filesharing CIFS SMB und Print Service Directory Replikation Event Viewer Logon Sequence Performance Monitor imap Internet Mail Access Protocol IMAP s
33. Paket als besonders eilig zu markieren urgent Ein zus tzliches Feld im TCP Header namens gt gt Urgent Pointer lt lt gibt den Offset der betreffenden Daten innerhalb des Paketes an Der Verbindungsaufbau erfolgt nun in der Form Rechner A Rechner B 1 SEQ 100 CTL SYN 2 lt SEQ 300 ACK 101 CTL SYN ACK 4 3 SEQ 101 ACK 301 CTL ACK In diesem Beispiel beginnt Rechner A indem er im ersten Schritt Rechner B mitteilt dass er f r seine Pakete mit der Folgenummer 100 beginnt Rechner B best tigt dies indem er mitteilt er erwarte nun ein Paket mit der Folgenummer 101 Zus tzlich gibt er an er werde mit der Folgenummer 300 beginnen Im dritten Schritt best tigt Rechner A dies indem er als Nummer des n chsten von ihm erwarteten Paketes die 301 angibt Merke Ein ankommendes Paket in dem das SYN Bit gesetzt ist das ACK Bit aber nicht weist darauf hin dass eine Verbindung zu unserem Rechner aufgebaut werden soll 2 6 2 TCP Portbereiche von bis Beschreibung 0 1023 Diese gt gt allgemein bekannten lt lt gt gt well known lt lt Ports liegen in dem Bereich den die meisten Systeme f r privilegierte Prozesse vorgesehen haben Die Internet Assigned Numbers Authority IANA kontrolliert die Abbildung von Servicenamen auf Portnummern in diesem Bereich 1024 49151 Diese gt gt registrierten lt lt Portnummern liegen in einem Bereich der bei den meisten Systemen von normalen Benutzerprozessen verw
34. an Zusatzkarte heraus nehmen altes BIOS v1 02 wieder installieren Fe dora Core 3 neu booten und beide Karten waren wieder da Vorsichtshalber konfigurierten wir die beiden Karten mit dem Tool Webmin machten einen Neustart und die beiden Interfaces wurden gestartet Am darauf folgenden Tag steckten wir dann die Zusatzkarte ein womit wir wieder bei un serem alten Problem angelangt waren die eine Onboard Karte streikte Kurz gesagt unter Verwendung von BIOS v1 03 war es nicht m glich beide Onboard Karten und eine zus tzliche Netzwerkkarte zu betreiben Also mu ten wir improvisieren und besorgten uns eine Netzwerkkarte INTEL 1G mit der wir dann unser Problem beheben konnten Somit wurde das Ziel erreicht wir hatten unsere drei Interfaces die wir f r unser Projekt ben tigten und richteten sie mit Webmin ein Nun konnten wir mit unserem eigentlichen Thema beginnen dem Firewall Builder Wir besorgten uns die aktuelle Version 2 0 6 und installierten sie Jetzt war es an der Zeit sich mit der Materie Ip tables und Fwbuilder anhand von B chern und dem Internet auseinandersetzen Im Internet wurden wir schnell f ndig der Fwbuilder als Benutzerhandbuch zum Downloaden Einziges Problem die Beschreibung war komplett auf Englisch und Deutsche Hilfen gab es kaum Somit mu ten wir na t rlich die f r uns wichtigen Teile w hrend der Arbeit mit dem Fwbuilder ins Deutsche ber setzen Nebenbei besch ftigten wir uns unter Zuhilfenahme von B
35. andleitung 1 x Intel 1 GB LAN Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 1 3 Software Folgende Software sollte verwendet werden bzw wurde zur Verf gung gestellt Linux Fedora Core 2 C inklusive aller Updates wurde gestellt 1 Webmin Tool zur Administration von z B Netzwerk Server Hardware usw Download http www webmin com Firewall Builder GUI zur Erstellung der Firewall Regeln Download http www fwbuilder org Zus tzlich wurden noch weitere n tzliche Tools eingesetzt die bei der Fehlersuche in der Firewall oder anderen Netzwerk Funktionen recht hilfreich waren ethereal Network Protokoll Analyzer Download http www ethereal com nmap Netzwerk Mapper Port Scanner Download http www insure org nmap Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall ping Sendet einen ICMP ECHO_REQUEST an festgelegte Hosts traceroute Gibt die Route aus die die Pakete zu einem bestimmten Host nehmen Download http www nrg ee lbl gov Nessus Sicherheits Scanner Download http www nessus org intro html Hier eine kurze Erkl rung zu Webmin In unserer Projektarbeit haben wir dieses Tool nur zur Einrichtung des Netzwerkes benutzt und f r ein paar kleinere Funktionen w hrend unserer Testpha sen Im sp teren Schulbetrieb wird es f r die Remoteadministration verwendet Deshalb wollen wir dieses Tool nur kurz in uns
36. atte neu im RAID Level 1 und installierten Fedora Core 2C neu Siehe da Voller Erfolg e System bootet Bootloader Grub startet e Linux startet das System startet Jetzt konnten wir den weiteren Ablauf erstellen und endlich die weitere Software installieren Web min v1 180 1 usw Wir installierten wieder einen neuen Kernel und f hrten dann das aktuelle Fe dora Core 2C Update durch Ab der zweiten Woche versuchten wir dann das Netzwerk einzurichten Wir installierten den LAN Treiber f r unsere beiden Onboard Netzwerkkarten und setzten eine zus tzliche Karte ein da wir drei Interfaces f r unser Projekt ben tigten und schon hatten wir unser n chstes Problem Linux er kannte nur eine der beiden Onboard Karten Also begaben wir uns erneut auf Fehlersuche wir bauten die zus tzliche Karte aus ohne Erfolg Dann installierten wir das alte BIOS v1 02 und starte ten mit dem Betriebssystem Knoppix und sp ter auch noch mit Fedora Core 3 ohne Erfolg 16 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Unser Projektleiter hatte dann die z ndende Idee dass wir es mit einem CMOS Reset probieren sollten Gesagt getan neuer Versuch mit Fedora Core 3 und die Netzwerkkarten wurden beide er kannt Wir nderten das BIOS auf Version 1 03 und setzten die dritte Netzwerkkarte ein Es folgte ein Neustart und wieder war eine Onboard Karte verschwunden Ratlosigkeit machte sich breit Also fingen wir von vorne
37. atz Sie werden per Drag amp Drop aus den Bibliotheken in die Regeln gezogen Als SOURCE und DESTINATION k nnen alle Adress Adressbereichs Gruppen Host und Netzwerk sowie Firewall Objekte verwendet werden F r SERVICE dement sprechend alle Objekte des Typs Service Unter ACTION geben wir an was geschehen soll wenn die Regel zutrifft Hier stehen Akzeptieren ACCEPT Verbieten DENY und Zur ckweisen RE JECT der getroffenen Pakete zur Auswahl Verbotene Pakete werden stillschweigend verworfen wohingegen f r zur ckgewiesene Pakete eine ICMP Meldung zur ckgegeben wird Unter TIME k nnen Objekte des gleichnamigen Typs verwendet werden ber die OPTIONS Spalte k nnen wir beeinflussen ob getroffene Pakete protokolliert werden sollen oder nicht Die letzte Spalte dient der Erfassung eines Kommentares In ihr sollte eine kurze Beschreibung der Regel erfasst werden um sp ter einen schnelleren berblick zu bekommen Der betreffende Inhalt wird auch in den gene rierten Code ausgegeben Wollen wir ein Objekt von einer Regel entfernen dr cken wir einfach die ENTF Taste oder w hlen den entsprechenden Punkt aus dem Kontextmen der rechten Maustaste 2 9 8 Interface und NAT Regeln Der Aufbau der Tabellen f r die Interfaces hnelt der des Policy Formulars Der einzige Unter schied liegt darin dass es eine zus tzliche Spalte DIRECTION gibt Abbildung 2 9 11 Hier wird festgelegt auf welche Richtung eingehend inbound ausgehend
38. chulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Pakete die von einem lokalen Proze ausgehen werden einmal nach den Regeln der Chain OUT PUT im Table filter erlaubt oder verworfen Hat ein Paket diese Pr fung bestanden so besteht als n chstes die M glichkeit in der Chain OUTPUT im Table nat Zieladresse und port zu ndern Dies ist aber eine eher ungew hnliche Ma nahme F r alle ausgehenden Paketen k nnen schlie lich mit den Regeln in der Chain POSTROUTING im Table nat Quelladresse und Port ge ndert werden Damit kann z B Masquerading realisiert werden Dabei werden alle Pakete so manipuliert dass sie von der Firewall zu stammen scheinen Dies ist insbesondere dann sinnvoll wenn nur die Firewall selbst eine im Internet g ltige Adresse besitzt Dar ber hinaus sorgt Masquerading daf r da die Struktur des internen Netzes aus dem Internet nicht sichtbar ist Weiterleitung PREROUTING DNAT ROUTING Decision Lokale Zustellung FORWARD Filter local Process POSTROUTING S NAT OUTPUT D NAT Abb 2 8 1 Network Address Translation und Paketfilterung im Kernel 2 4 38 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 8 2 Policies Jeder Standard Chain im Table filter kann eine Grundregel mitgegeben werden die Anwendung findet wenn keine andere Regel greift Dies nennt man eine Policy F r iptab
39. dagegen sch tzen dass auf Dienste zugegriffen wird die nicht ffentlich zug nglich sein sollen Haben wir z B einen Webserver der zus tzlich noch ein Fileserver ist so kann eine Firewall verhindern dass aus dem Internet auf die freigegebenen Dateien zugegriffen wird sie kann aber nicht vor allen Angriffen auf den Webserver sch tzen Dies ist der Grund warum die ffentlichen Server oft in einem eigenen Netz DMZ zwar durch eine Firewall gesch tzt werden dass lokale Netz aber noch einmal durch eine weitere Firewall abgetrennt ist Man geht da von aus dass eine Kompromittierung der Server grunds tzlich eine realistische M glichkeit dar stellt weswegen man die Rechner im lokalen Netz nicht nur vor dem Internet sondern auch von den eigenen ffentlichen Servern sch tzen mu 24 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 5 3 Firewall Umgebungen Eine Firewall die nicht nur sich selbst sch tzt sondern auch gleichzeitig als Router fungiert wird als dual homed host bezeichnet also ein Host der in zwei Netzen zuhause ist Mit dieser Technik ist es m glich verschiedene Sicherheitsstufen zu realisieren je nach Anforderung des zu sch tzenden Netzes Im Folgenden haben wir die beiden wichtigsten Modelle dargestellt die Basti on Host Firewall und die Demilitarisierte Zone DMZ 2 5 4 Die Bastion Host Firewall Die einfachste aber auch unsicherste Form einer routenden Firewall ist d
40. e Paketfolgen in der richtigen Reihenfolge beim Empf nger eintreffen ohne dass Pakete doppelt gesendet oder ausge lassen werden Der Sinn einer Adressierung von Anwendungen wird klar wenn man sich vergegenw rtigt dass auf einem Rechner verschiedene Serverdienste gleichzeitig aktiv sein k nnen Ohne ein Konzept wie man diese adressieren kann m te jeder Dienst jedes Paket entgegennehmen und dann entscheiden ob es f r ihn bestimmt ist TCP f hrt hierzu das Konzept der Portnummern ein Sowohl Senderproze als auch Empf ngerpro ze reservieren sich beim Betriebssystem eine Portnummer Auf diese Weise k nnen sowohl die Anfragen zugestellt als auch die Antworten an den Absender zur ck bef rdert werden da die Angabe von Serveradresse Serverportnummer Klientenadresse und Klientenportnummer eine Ver bindung eindeutig beschreibt Auch wenn ein Server auf demselben Port Anfragen von diversen Klientenprogrammen entgegennimmt von denen einige vielleicht sogar denselben Rechner benutzen wenn z B gleichzeitig Klienten verschiedener Hersteller eingesetzt werden kann die Antwort immer eindeutig zugestellt werden weil z B ein Klient Port 1024 zugewiesen bekam w hrend der andere Port 1025 benutzt Als Beispiel f r das Portkonzept soll Abbildung 5 1 dienen Hier haben wir einen HTTP und FTP Server auf den mit drei Anwendungen vom selben Klienten aus zugegriffen wird Klient Server Verbindung dummy 1024 wonderland 80 HTTP Verbindun
41. e ein Angreifer ausnutzen kann um unberechtigt Zugang zu ihm zu erlangen Besitzt man aber hundert Rechner so wird es schwierig alle immer auf dem neuesten Stand zu halten Patches gegen Sicherheitsl cken einzu spielen und immer darauf zu achten dass keine unsicheren Dienste auf ihnen installiert sind Ehe man sich versieht hat schon ein Benutzer eine Freigabe auf Laufwerk C erstellt deren Pa wort nicht vorhanden oder leicht zu erraten ist Oder es richtet sich eine rhosts Datei ein die den Zugang ohne Pa wort von einem Rechner im Internet erlaubt Werden die Rechner gar von verschiedenen Personen administriert so kann man darauf wetten dass die einzelnen Rechner unterschiedlich sicher konfiguriert sind In so einem Fall kann man die Sicherheit des Systems verbessern indem man an zentraler Stelle daf r sorgt dass Angriffe abgefangen werden bevor sie ein m glicherweise gef hrdetes System er reichen So reduziert man die Angriffspunkte von 100 auf einen und kann f r dieses System eine hieb und stichfeste Konfiguration entwickeln 21 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Eine Firewall untersucht den Datenverkehr und l sst nur die Datenzugriffe zu die vorher de finierten Regeln gen gen So ist es z B blich Anfragen von Rechnern im lokalen Netz an Rechner im Internet zu erlauben nicht aber umgekehrt D h wenn ein Rechner im lokalen Netz z B eine Webseite von einem Server im Inter
42. e einzelnen Protokollierungsmechanismen untereinander nicht immer kompatibel Auch zur Verringerung der Netzlast kann eine Firewall eingesetzt werden Laufen alle Zugriffe ber einen zentralen Rechner so bietet es sich an an dieser Stelle einen Mechanismus zu installieren der es erlaubt h ufig heruntergeladene Inhalte zwischenzuspeichern Cachender Proxy Fordern dann mehrere Benutzer z B dieselbe Webseite an so braucht diese nur f r den ersten von ihnen tat s chlich aus dem Internet heruntergeladen zu werden Alle weiteren Nachfragen werden aus dem Zwischenspeicher bedient Dies macht den Zugriff zwar nicht zwangsl ufig sicherer kann aber die Netzlast um 40 60 Prozent verringern Schliesslich kann man auch noch kompliziertere Strukturen aufsetzen Wie mittelalterliche Burgen mehrere Burgh fe besa en die ein Angreifer berwinden mu te bevor er vor dem eigentlichen Wohnhaus des Hausherrn anlangte so kann auch eine Firewall Architektur aus mehreren Netzen mit unterschiedlichem Schutzbedarf bestehen So sind Server die aus dem Internet zugreifbar sein sollen einem deutlich h heren Risiko durch Angriffe ausgesetzt und k nnten bei einer 22 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Kompromittierung als Ausgangsbasis f r weitere Angriffe gegen das lokale Netz genutzt werden Bringt man diese aber in einem eigenen Netz unter einer so genannten Demilitarized Zone oder kurz DMZ so verhinder
43. endet werden darf Die IANA pflegt die Abbildung registrierter Servicenamen auf Portnummern in diesem Bereich bt aber keine Kontrolle ber die Zuweisung aus 49152 65535 Die gt gt dynamischen lt lt oder gt gt privaten lt lt Portnummern die nicht der Kontrolle oder Registrierung durch die IANA unterliegen 3l Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 6 3 UDP UDP das User Datagram Protocol wird in RFC 768 beschrieben Beim ihm handelt es sich um den gt gt kleinen Bruder lt lt von TCP Auch hier werden Anwendungen ber Ports adressiert Die weitergehende Verbindungslogik von TCP mit seinen Folgenummern und Best tigungen fehlt dagegen Bei UDP werden einzelne Pakete sogenannte Datagramme abgeschickt in der Hoffnung der Empf nger m ge sie irgendwann irgendwie erhalten Diese Art von Protokollen wird in der Fachwelt oft auch als gt gt Send and Pray lt lt bezeichnet Nun sollte man aber nicht den Fehler begehen UDP f r antiquiert und obsolet zu erachten Tat s chlich gibt es eine Reihe von Anwendungen bei denen UDP deutliche Vorteile gegen ber dem verbindungsorientierten TCP aufweist Dies ist insbesondere im Multimedia Bereich der Fall Wenn T ne oder Filme in Echtzeit ber das Netz bertragen werden sollen stellt sich der Verwaltungs aufwand von TCP als sp rbarer Nachteil heraus Gehen z B bei einer Musik bertragung ber das Internet einige wenige Pakete verloren
44. entation Praktische Durchf hrung Berufsbildenden Schulen Friedenstra e Wilhelmshaven 70 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 5 11 Projektwoche 11 Projekt Aufbau einer collapsed Firewall mit Grenznetz und Bastion Host mit der M glichkeit zur Remoteadministration Protokoll vom 02 Mai 2005 bis 06 Mai 2005 Protokollant Michael Bruckmann Teamarbeit Ort Berufsbildende Schulen Friedenstra e Wilhelmshaven Thema Abschlu E Gesamt Test durchgef hrt alle Funktion sind gegeben EN Abschlu arbeiten durchgef hrt E Kommentare eingetragen EN Entg ltige Firewall auf minimal Betriebssystem installiert E Abschlu besprechung E Dokumentation Praktische Durchf hrung Berufsbildende Schulen Friedenstra e Wilhelmshaven 71 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 6 Anhang 6 1 Quellenverzeichnis Literatur Autor Titel Verlag Wolfgang Barth Das Firewall Buch SuSE PRESS Andreas G Lessig Linux Firewalls O REILLY Gregor N Purdy Linux iptables O REILLY Brian Ward Der LINUX Probleml ser dpunkt verlag Dr Rainer Hattenhauer Red Hat amp Fedora Linux DATA BECKER Internet Titel Internet Adresse Webmin http www webmin de Firewall Builder Wikipedia Freie Enzyklop die http www fwbuilder org http de wikipedia org wiki Hauptseite 72
45. er Dokumentation erw hnen l View c A O Ep n etas Bom Red Hat Inc i Red Hat Nework Supper Shop Products Training t Automation Das bayng ce Bewerb A DAC Frequently Aske F opusfonm EDV TT T D Ge Abb 2 1 3 Webmin 10 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Die Administration von Linux Servern besteht f r viele Anwender aus Kommandozeilen und kryp tischen Konfigurationsdateien Eine einfach und intuitiv zu bedienende einheitliche Oberfl che wie bei Windows oder MacOS fehlt bei den meisten Distributionen oder eignet sich nicht f r die Fernadministration Genau an dieser Stelle setzt Webmin an Diese Software bietet eine grafische Oberfl che zum Verwalten und Konfigurieren der gebr uchlichsten Dienste unter Linux Unix ber Webmin ist es auch unter Linux m glich Dienste wie SAMBA Apache NFS oder FTP ber eine Grafische Ober fl che zu konfigurieren Die klassische Systemverwaltung wie zum Beispiel die Benutzer und Gruppenverwaltung ist ebenfalls ber Webmin m glich Da Webmin im Webbrowser l uft kann er auch zur Remote Administration eingesetzt werden Ein besonderes Feature ist hierbei dass Webmin auch verschl sselte Verbindungen per SSL aufbauen kann Damit ist dann auch die sichere Fernwartung ber das Internet realisierbar Oder wie f r unse re Projektarbeit gefordert ber das Netzwerk 11 Berufsbildende Schulen
46. er GUI Abbildung 2 9 4 und Sie k nnen mit der eigentlichen Arbeit beginnen Eile Edit Object Rules Help ES Bll amp 5 ut user Firewalls No firewalls defined Firewalls BJ Objects Services Bu Time Object Type Library Of Objects Object Name User 4 objects ObjectGroup Objects ServiceGroup Services ObjectGroup Firewalls IntervalGroup Time en Abb 2 9 4 Fwbuilder GUI 47 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 5 Firewall Objekt erstellen Nachdem wir ermittelt haben welche Objekte fehlen k nnen wir uns daran machen diese zu erfassen Da ein Firewall Rechner auf jeden Fall noch angelegt werden muss machen wir dieses zu erst Wir markieren im Objekt Baum den Ordner FIREWALLS und w hlen ber das Kontextmen der rechten Maustaste den Punkt NEW FIREWALL aus Beim Anlegen einer neuen Firewall geben wir dem Objekt zun chst einen Namen Dabei sollte es sich um den Rechnernamen handeln Dann legen wir fest um welchen Firewall Typen und welches Betriebssystem es sich handelt Nun k nnen wir noch ausw hlen ob wir vorkonfigurierte Firewall Objekte verwenden m chten In diesem Fall bekommen wir eine Auswahl vordefinierter Firewall Konfigurationen angezeigt Abbildung 2 9 5 Choose template object in the list and click Finish when ready Template objects use generic interface names that will be i
47. erden Wie viel wir erfassen m ssen h ngt davon ab wie fein die Regeln erstellt werden sollen und was wir aus den Standard Bibliotheken bereits verwenden k nnen 2 9 4 Basiskonfiguration Bevor wir den Firewall Builder das erste Mal starten legen wir in etc als k nftiges Arbeitsver zeichnis f r die Applikation das Directory etc firewall an Dort sollen sp ter die Konfigurations datei des Tools sowie die erstellten Firewall Regeln lagern Jetzt starten wir den Firewall Builder mit der Eingabe fwbuilder Firewall Builder 2 0 6 Do you want to open existing project file or create a new one Open existing file Create new project file Fame Abb 2 9 2 Firewall Builder 2 0 6 46 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Das Fenster Abbildung 2 9 2 erscheint auf dem Desktop Hier w hlen wir Create new project file beim ersten Start aus Ein weiteres Fenster ffnet sich Abbildung 2 9 3 G Bilder Desktop C3 Dokumentation Lj Fotos Fwbuilder Programme IL test fwb Dateiname Dateityp FWB Files fwb e Abb 2 9 3 Auswahlfenster gt S iff T Dort wird der Name f r die Konfiguration Datei Ihrer Firewall eingegeben mit der Endung fwb und im XML Format dann gespeichert Danach schlie t sich dieses Fenster automatisch und Sie bet tigen die Schaltfl che weiter Abbildung 2 9 2 Jetzt ffnet sich die Fwbuild
48. et das ber die Fi rewall bertragen wird Das ist unabh ngig davon ber welches Interface sie ein oder ausgehen Beim bersetzen der Regeln f r die Zielplattform verarbeitet der Compiler zun chst die NAT Regeln dann die f r die Interfaces und als Letztes die globalen Regeln In dieser Reihenfolge werden die Zeilen des Ziel Codes generiert Den Code generieren wir ber die Men zeile unter RU LES gt COMPILE oder ber das Zahnrad in der Iconleiste darunter Das generierte Skript hei t dabei immer wie der Name des Firewall Objekts mit der Endung fw Einen kurzen Ausschnitt f r den generierten Code zeigt das Beispiel aus Abbildung 2 9 13 Rule 6 global echo Rule 6 global Mail relay needs DNS and can connect to mail servers on the Internet IPTABLES N Cid4268C6B9 0 IPTABLES A INPUT s 192 168 2 10 d 192 168 1 0 24 m state state NEW j Cid4268C6B9 0 IPTABLES A Cid4268C6B9 0 p tcp m tcp m multiport dports 53 25 j ACCEPT IPTABLES A Cid4268C6B9 0 p udp m udp dport 53 j ACCEPT IPTABLES N Cid4268C6B9 1 SIPTABLES A INPUT s 192 168 2 10 d 192 168 1 0 24 m state state NEW j Cid4268C6B9 1 IPTABLES A Cid4268C6B9 1 p tcp m tcp m multiport dports 53 25 j ACCEPT IPTABLES A Cid4268C6B9 1 p udp m udp dport 53 j ACCEPT IPTABLES N Cid4268C6B9 2 IPTABLES A FORWARD s 192 168 2 10 d 192 168 1 0 24 m state state NEW j Cid4268C6B9 2 IPTABLES A Cid42
49. g 2 9 7 die verschiedene UDP Ports f r Netbios zusammenfasst 50 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Eile Edit Object Rules Help Ir a el Firewalls test s QmCustom qa Pai 88 i Tu Lr Tar ESTABLISHED Name NETBIOS Service Action Time Options Comment Esch Accept A SSH Acce 9 Library D I KH dii s id only from i I E B cu Accept A Firewall us 5 mo rae oe i E id on internal ios ios A el Deny A Al other at 2 aor tee n e w JA the firewall g z s uth Reject Ai Quickly rej e e id to ident ze de Accept Mail relay Kai it A 4 f CS E y connectioi Internet Ka ti Accept Ai this rule pe 5 r SCH E n located on i to internal i gt i 0 rs s Accept Any Mail relay 6 18 connect to Object Type Group of Services K smtp Internet Object Name NETBIOS Comment Dei 7 All other a 13 objects 7 is Any e iid Any A internal UDPService netbios dgm 3 Thi Dei bed s ns 8 Any EI Accept Any D ridi ervice netbios ssn 9 Aw len Any A Abb 2 9 7 Gruppe NETBIOS Als Letztes gibt es noch den Objekt Typ TIME Abbildung 2 9 8 Mit diesen Objekten k nnen wir G ltigkeitszeitriume in unseren Regeln bestimmen beispielsweise um bestimmte Dienste nur zu B rozeiten zuzulassen
50. g mit Netscape dummy 1027 wonderland 21 FTP Verbindung mit Netscape dummy 1025 wonderland 80 HTTP Verbindung mit kfm dummy 1026 wonderland 21 FTP Verbindung mit ncftp Jedes Paket kann eindeutig zugestellt werden W rde man eine der vier Angaben weglassen so w re dies nicht mehr m glich 28 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Netscape 1024 ee IN kfm 1025 21 WuFtpd pu tp ncftp 1026 Klient Server dummy client org wonderland server org Abb 2 6 1 Eindeutige Adressierung durch Ports Im Internet sind bestimmte Portnummern fest vergeben So benutzt DNS die Portnummern 53 Dabei gilt auf Unix Systemen dass Klienten in der Regel Portnummern gr er 1023 benutzen w hrend die meisten Server auf Portnummern kleiner als 1024 auf Anfragen warten Leider ist es so dass sich nicht alle Server an diese Regel halten So benutzt z B das X Window System stan dardm ig die Portnummer 6000 TCP soll dar ber hinaus aber auch eine gewisse Verl lichkeit der bertragung sicherstellen Dies ist n tig da IP nur die bertragung einzelner Pakete regelt aber nicht deren Lieferung garantiert So kann es passieren dass Datenpakete verlorengehen doppelt gesendet werden oder in der falschen Reihenfolge beim Empf nger ankommen Genau diese Probleme soll TCP beheben Zu diesem Zweck werden alle gesendeten Bytes
51. herited by the firewall object you create You may need to rename them later to reflect real names of interfaces on your firewall machine S fw template 1 Eise Kr SS fw template 3 host fw template 1 IE linksys firewall S web server This is an example of a firewall protecting a host a serwer ora workstation Only SSH access to the host is permitted Host has dynamic address lt Zur ck Abschlie en Abb 2 9 5 Vordefinierte Firewall Konfigurationen 48 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Ein Beispiel einer solchen Konfiguration ist ein Rechner mit zwei Netzwerk Karten wobei das erste Interface mit dynamischer Adresse zum externen und die andere mit fester Adresse 192 168 1 1 zum internen Netzwerk geh rt Der ausgehende Netzwerkverkehr ist nicht beschr nkt Es werden aber nur Pakete rein gelassen die zu einer existierenden Verbindung geh ren Nachdem wir ein Template ausgew hlt haben wird das neue Objekt in der Struktur angelegt und die f r dieses Tem plate hinterlegten Regeln in unsere Policies bernommen Verwenden wir kein Template m ssen wir die Netzwerk Karten samt Adressen manuell anlegen Anschlie end haben wir die M glichkeit weitere Einstellungen zur Firewall und dem Betriebssys tem vorzunehmen Wenngleich die meisten Einstellung hier optional sind Wenn wir ein Template verwendet haben sind nun schon ein
52. hner im eigenen Netz und das Internet eine Firewall zu installieren Diese kann man sich wie das Burgtor einer mittelalterlichen Stadt vorstellen Es ist der einzige Zugang zur Stadt die ansonsten von allen Seiten durch hohe Mauern gesch tzt ist Um in die Stadt gelangen zu k nnen mu ein Besucher an Wachen vorbei die ihn nach seinen Papieren befragen Erst wenn er ihnen Rede und Antwort gestanden hat darf er die Stadt betreten Eine Firewall sch tzt in hnlicher Weise den Zugang zum lokalen Netz Jeglicher Verkehr mu sie passieren und wird von ihr untersucht Damit kann ein Gro teil der m glichen Angriffe schon abge fangen werden bevor sie ihr Ziel erreichen Allerdings ist dieser Schutz nicht vollkommen Gerade der Fall der Stadt Troja hat eindrucksvoll bewiesen welche Folgen es hat wenn bei der Unter suchung des hereinkommenden Verkehrs eine falsche Entscheidung getroffen wird Im folgenden werden wir sehen wie uns eine Firewall beim Schutz unserer Rechner helfen kann und was mit anderen Mitteln erreicht werden mu 2 5 1 Was eine Firewall kann Wie ein Stadttor alle Angriffe auf einen stark gesicherten Punkt b ndelt an dem man den Gro teil seiner Kr fte Konzentriert so stellt auch die Firewall eine M glichkeit dar Angriffe an einer definierten Stelle abzufangen Besitzt man nur einen Rechner mit dem man Dienste im Internet nutzt so kommt man nicht umhin ihn so zu konfigurieren dass er keine Schwachstellen aufweist di
53. ie Bastion Host Firewall Abbildung 2 5 4 Sie besteht grunds tzlich aus einem Rechner der als dual homed host zwischen dem zu sch tzenden Netz auf der einen Seite und dem unsicheren Netz Internet auf der anderen Seite plaziert ist Dieser Rechner routet Pakete von einem Netz ins andere Jedes Paket das durch diesen Rechner geroutet werden soll mu die drei Regelketten der Firewall durchlaufen Bastion Host Firewall Lokales zu sch tzendes Netzwerk Abb 2 5 4 Lokales zu sch tzendes Netzwerk 25 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Der Begriff Bastion stammt aus dem Milit rischen er kann aber auch wirklich so verstanden werden Eine Bastion ist eine Verteidigungseinrichtung wenn sie f llt dann gibt es keinen Schutz mehr Diese Analogie k nnen wir so ins Computernetz bernehmen Wenn die Bastion Host Fi rewall geknackt werden w rde dann l ge das gesamte Netz schutzlos da der Angreifer der die Fi rewall berwunden h tte kann im LAN tun und lassen was er will Trotzdem ist dieses Modell f r die meisten kleinen Netze v llig ausreichend wenn das zu sch tzende Netz nicht in gro em Ma selbst Dienste im Internet anbieten soll 2 5 5 Die Demilitarisierte Zone DMZ Erheblich sicherer f r gro e Netze ist das Modell der demilitarisierten Zone Dieses Modell trennt das zu sch tzende Netz und das ffentlich zug ngige Netz nochmal auf und arbeitet folgerichtig
54. ieten Diese Sorte Cracker ist extrem selten Gelangweilte Teenager sind das Hauptproblem die Angriffs programme nutzen deren Funktionsweise sie oftmals nicht einmal verstehen Solche Angreifer werden daher auch als SCRIPT KIDDIES bezeichnet da tiefer gehende Computerkenntnisse mit solchen Programmen nicht erforderlich sind Genau deswegen ist das Risiko das Ziel eines Angriffs zu werden auch gr er als man zun chst annehmen sollte Es existiert eine gro e Anzahl an Angreifern die automatisierte Werkzeuge besitzen mit denen sie in k rzester Zeit riesige Bereiche im Internet untersuchen und schlecht gesicherte Rechner automatisch angreifen k nnen 2 4 2 Durch Cracker gel schte Daten einfach neu erstellen Anwender gehen davon aus dass sie keine wichtigen Daten besitzen oder ihre Daten im Notfall neu erstellen k nnen indem sie auf vorhandene Unterlagen und Notizen zur ckgreifen Wenn man seinen Rechner aber beruflich nutzt kann so eine Einstellung fatal sein Man kann vermutlich die meisten Dateien neu erstellen Aber wieviel Arbeitszeit kostet das Was ist wenn ein Angriff Abends erfolgt und wichtige Dokumente oder gar eine Pr sentation f r den n chsten Tag verloren gehen Hier ein Tipp Einmal in Ruhe den Inhalt der Festplatte durch gehen und sich fragen was es bedeu ten w rde wenn die dort abgelegten Dateien verloren gehen w rden Was w re wenn man das Netz als Informationsquelle nutzt und die komplette Lesezeichenliste
55. igen Falls wir die Reihenfolge von Regeln beeinflussen wollen w hlen wir MOVE RULE aus dem Kontextmen COPY RULE ko piert die ausgew hlte Zeile und CUT RULE schneidet sie aus Mit PASTE RULE ABOVE und PASTE RULE BELOW k nne wir vorher ausgeschnittene oder kopierte Regeln vor bzw nach der gew hlten Regel einf gen W hlen wir den Punkt DISABLE RULE wird die betreffende Regel beim Kompilieren nicht ber cksichtigt Der Regel Nummer wird ein rotes X vorangestellt Rufen wir das Kontextmen auf einer deaktivierten Regel auf lautet dieser Men punkt ENABLE RULE womit die Regel wieder f r das Kompilieren aktiviert wird Die gleichen Optionen sind auch ber die Men zeile ber den Punkt RULES erreichbar Das Kontextmen das ber die rechte Maustaste auf einem Objekt erscheint sieht etwas anders aus ber EDIT bearbeiten wir die Einstellung zu diesem Objekt Mit COPY kopieren wir das Objekt und mit CUT schneiden wir es aus und legen es in die Zwischenablage PASTE f gt das Objekt aus der Zwischenablage an die aktuelle Stelle ein Das Ausw hlen von NEGATE negiert das aktuelle Objekt Das Icon des Objektes erh lt ein rotes Kreuz 53 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Mit INSERT RULE wurde nun eine leere Regel erzeugt die alles verbietet Als letzte Regel ist dies okay aber wie bekommen wir nun vern nftige Regeln Hier kommen nun die vorher angelegten und die Standard Objekte zum Eins
56. l vom Administrator gew hrleistet F r die Installation des Servers verwendeten wir das Betriebssystem Linux Fedora Core 2 Die Firewall wurde mithilfe von Netfilter realisiert iptables diente dazu dieses Subsystem zu Konfigurieren Damit wir die iptables Befehlsstrukturen in der Praxis besser umsetzten konnten verwendeten wir f r unser Projekt das graphische Hilfstool Firewallbuilder N a Aufgaben des Projektteams Linux Installation mit RAID Grafische Oberfl che Extra Partition muss von root h ndisch gemountet werden Keine berfl ssigen Dienste und Softwarepakete d rfen installiert sein Einarbeitung in die Technik einer Firewall iptables Einarbeitung in die Software Firewallbuilder Erstellung der Firewall Regeln Dokumentation und Test aller Schritte Schulung Administratoren E BR RH RH RR RH BA Pr sentation Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 1 2 Hardware Diese Server Hardware wurde uns f r die Projektarbeit von den Berufsbildenden Schulen zur Verf gung gestellt H A RH RH RH RR RH RH RH A Bom a E Abb 2 1 2 Firewall Rechner Innenleben Servergeh use 19 Rack Einheit 4HE Motherboard Tyan 5350 mit 2x CPU Xeon 2800 MHz FSB 800 1 GB ECC PC 333 RAM Grafik on Board 2 x 400 W redundantes Netzteil LG GSA 4160 DVD Brenner Diskettenlaufwerk 3 5 2 x Maxtor SATA Festplatte 120 GB 2 x GB LAN on Board 1 x Intel 10 100 PCI St
57. les existieren die Policies ACCEPT Das Paket darf passieren DROP Das Paket wird verworfen Selbstdefinierte Chains besitzen keine Policies Ist keine der Regeln der Chain anwendbar so wird die n chste Regel derjenigen Chain untersucht aus der in die selbstdefinierte Chain verzweigt wurde F r das Einrichten einer Firewall erscheint die Policy ACCEPT nur in Sonderf llen sinn voll blicherweise w hlt man beim Einrichten von Firewalls DROP nach dem Grundsatz gt gt Was nicht erlaubt ist ist verboten lt lt Die Syntax f r das Erstellen einer Policy lautet iptables P lt Chain gt lt Policy gt 2 8 3 Regeln Eine Regel besteht aus Mustern und Aktionen Die Muster legen fest auf welche Pakete die Regel anzuwenden ist und die Aktion definiert was mit Paketen geschieht wenn das Muster pa t Verwaltet werden die Regeln mit den folgenden Befehlen iptables t Table A chain Muster Aktion iptables t Table I chain pos Muster Aktion iptables t Table R chain pos Muster Aktion iptables t Table D chain Muster Aktion iptables t Table D chain pos Dabei gilt A H ngt eine Regel hinten an eine Chain an append I f gt eine Regel an einer Position pos ein insert Ist pos ausgelassen so wird die Regel als erste eingef gt Die Nummerierung der Regel beginnt mit 1 39 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall R ersetzt die Regel an Position pos replace
58. lladresse source Als Maske kann entweder die Anzahl der zu betrachtenden Bits oder eine Maske angegeben werden w x y z 24 entspricht damit w x y 2 255 255 255 0 d Adresse Maske bezeichnet die Zieladresse 40 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall i interface bezeichnet ein Interface iiber das ein Paket empfangen wurde Dabei ist es m glich mit gt gt lt lt alle Interfaces zu adressieren die mit dem richtigen Namen anfangen So w rde i eth sowohl auf ethO als auch eth1 passen Dieses Muster kann nur in INPUT FORWARD und PREROUTING Chains verwendet werden o interface bezeichnet das Interface ber das das Paket gesendet werden wird Dieses Muster kann nur in OUTPUT FORWARD und POSTROUTING Chains verwendet werden f spezifiziert Folgefragmente Diese enthalten weder einen Quell oder Zielport noch einen ICMP Typ Die normalen Regeln werden daher normalerweise nicht auf Folgefragmente passen Wenn Sie allerdings Network Address Translation oder Connection Tracking benutzen brauchen Sie sich keine Gedanken um Fragmente zu machen In diesen F llen werden Pakete sowieso zusammengef gt bevor die Paketfilterregeln angewendet werden 2 8 7 Aktionen Ist ein Muster spezifiziert gilt es eine Aktion festzulegen die von ihm ausgel st werden soll Dies geschieht mit j Target Optionen Target kann hierbei u a eine der oben benannten Policies A
59. mu dieser ber die entsprechenden Rechte verf gen um die Regeln zu aktivieren 2 9 11 Fazit Wenngleich wir mit diesem Programm recht einfach unsere Regels tze zusammenstellen und in stallieren konnten sind dennoch Firewall Kenntnisse f r die Zielplattform in unserem Fall ip tables notwendig Die vordefinierten Objekte der Standard Bibliothek bildeten eine gute Aus gangsbasis f r unsere Regeln Dennoch mussten einige Objekte manuell erfasst werden Wenn die Objekt Basis erst einmal geschaffen wurde wird jeder der schon manuell iptables Regeln erstellt hat die Einfachheit der Regel Erstellung mit diesem Programm zu sch tzen wissen Dass beim bersetzen der Regeln berlagernde Regeln erkannt werden ist eine hilfreiche Funktion Insgesamt w rden wir sagen Wer die ersten H rden mit diesem Programm genommen hat der wird es nicht mehr missen wollen 57 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 3 Fazit Im Vorfeld konnte keiner von uns Erfahrungen im Bereich Firewall nachweisen Die Projektarbeit erlaubte es uns nun in ein neues und sehr interessantes Gebiet vorzustossen Wir hatten gro e Freu de an der Konzeption und Entwicklung des Systems und haben dementsprechend auch viel Zeit und Herzblut investiert Die Arbeit mit Tools wie dem Firewall Builder hat uns mit der Zeit dazu ermu tigt weitere Open Source L sungen in unsere Projektarbeit einfliessen zu lassen oder uns von ent spreche
60. n werden Je nach Aufgaben werden die Chains in mehrere lt lt Tables gt gt zusammengefa t Der Table nat ent h lt Chains f r die Network Address Translation w hrend der Table filter Chains zur Paketfilte rung enth lt Die f r uns interessanten Chains dieser beiden Tables sind in Abbildung 2 8 1 darge stellt Die mit lt lt D NAT gt gt und lt lt S NAT gt gt markierten Chains stehen dabei im Table nat die mit lt lt Filter gt gt bezeichneten im Table filter Trifft nun ein Paket ber ein Netzwerk Interface ein so werden als erstes Regeln der Chain PRE ROUTING im Table nat ausgef hrt Hier k nnen gegebenenfalls Zieladresse und port ge ndert werden Dies ist insbesondere praktisch wenn man einen transparenten Proxy aufsetzen d h alle Anfragen die direkt an Server im Internet gestellt werden auf einen Proxy auf der Firewall umlei ten will Als n chstes wird eine Routing Entscheidung getroffen Falls das Paket f r den Rechner selbst be stimmt ist werden die Regeln in der Chain INPUT im Table filter angewendet Hier wird entschie den ob das Paket angenommen oder verworfen werden soll Wird das Paket angenommen so wird es nun an den Zielproze auf dem Rechner weitergeleitet Pakete die nicht f r den Rechner selbst bestimmt sind sondern nur von ihm an ein anderes Netz weitergeleitet werden werden statt dessen nach den Regeln in der Chain FORWARD im Table filter erlaubt oder verworfen 37 Berufsbildende S
61. nden L sungsans tzen inspirieren zu lassen Wir konnten feststellen dass f r fast jede kommerzielle Software ein ebenb rtiges Open Source Derivat existiert Zwar sind diese nicht immer ausreichend dokumentiert doch wenn man die Zeit hat und in den richtigen Foren stobert kommt man schon auf einen gr nen Zweig Wir sind der Meinung dass dieses Projekt nicht nur eine au ergew hnliche Herausforderung f r uns darstellte sondern dass wir auch jede Menge gelernt haben z B Teamf higkeit was uns auf den zuk nftigen Berufsalltag als Techniker authentisch vorbereitet hat Au erdem besitzen wir nun endlich auch eine eigene Firewall also ganz uneigenn tzig war diese Projektarbeit nicht Nun ja dieses Loblied k nnte hier unendlich fortgesetzt werden aber wir denken hier ist der Ort und Zeitpunkt um allen Beteiligten ein gro es Dankesch n auszusprechen Danke sch n an alle Beteiligten 58 4 Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Abb Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Abbildungsverzeichnis 2 1 2 Firewall Rechner Innenleben 2 1 3 Webmin 2 1 4 Das Schulnetz 2 5 4 Lokales zu sch tzendes Netzwerk 2 5 5 Die DMZ 2 6 1 Eindeutige Adressierung durch Ports 2 8 1 Network Address Translation und Paketfilterung im Kernel 2 4 2 9 1 Legende Fwbuilder 2 9 2 Firewall Builder 2 0 6 2 9
62. net anfordert so wird die Antwort die Webseite von der Firewall entgegengenommen und in das lokale Netz weitergeleitet Pakete von Rechnern im Internet werden aber nicht durchgelassen wenn sie nicht zuvor explizit von einem Rechner im lokalen Netz angefordert wurden Schon diese Regel verhindert dass ein Angreifer auf m glicherweise schlecht gesicherte Dienste von Rechnern im lokalen Netz zugreift Auch kann man definieren dass ein Benutzer auf bestimmte Dienste zugreifen darf auf andere aber nicht So kann man z B verhindern dass er aus Unkenntnis Protokolle benutzt bei denen das Pa wort im Klartext bertragen wird Wird auf Webserver zugegriffen bieten einige Firewalls auch die M glichkeit unerw nschte In halte zu filtern So kann man z B das Laden von Werbebannern unterdr cken aktive Inhalte aus Webseiten beim Herunterladen entfernen und das Senden von Cookies verhindern Kommt es zu verd chtigen Zugriffen auf die eigenen Rechner so bietet eine Firewall die M glich keit diese zu protokollieren und f r eine sp tere Auswertung zu speichern Ohne eine Firewall k nnte dies nur auf den Zielsystemen geschehen und w rde bedeuten entweder auf jedem Rechner eigene Auswertungen durchzuf hren oder eine Zus tzliche Software zu installieren die die Systemprotokolle aller Rechner an einer zentralen Stelle zusammenf hrt Hinzu kommt dass nicht alle Betriebssysteme die gleichen Protokollierungsm glichkeiten besitzen Auch sind di
63. nmp S Simple Network Management Protocol SNMP bgp Border Gateway Protocol BGP irc Internet Relay Chat IRC ldap Lightweight Directory Access Protocol LDAP https HTTP ber SSL printer Unix Print Spooler nntps NNTP ber SSL ipp Internet Printing Protocol IPP Idaps LDAP ber SSL rsync Rsync siehe http rsync samba org imaps IMAP ber SSL pop3s POP Version 3 ber SSL Microsoft ICA CITRIX nfs nfsd s 5 Network File System NFS Microsoft RDP Remote Desktop Protocol 34 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 7 NAT 2 7 4 Was ist Network Adress Translation NAT Gew hnlich reisen Pakete in einem Netzwerk von ihrer Quelle z B eigener Computer zu ihrem Ziel z B www bbs fh wilhelmshaven de durch viele verschiedene Links Nehmen wir an es w ren 10 verschiedene Links bis zum Ziel Keiner dieser Links ver ndert das Paket wirklich sie schicken es einfach weiter Wenn einer dieser Links NAT machen w rde dann w rde er die Quelle oder das Ziel des Pakets ver ndern wenn es eintrifft Wie man sich vorstellen kann wurde das System entworfen so zu arbeiten also ist NAT immer etwas was man mit Vorsicht behandeln sollte Gew hnlich wird sich der Link der NAT macht daran erinnern wie er das Paket ver ndert hat und wenn ein Antwortpa ket aus der anderen Richtung kommt wird er genau das Umgekehrte darauf anwenden und so f
64. on Addr Addr Port Port Hier kann sowohl ein Bereich von Adressen wie auch 42 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Ports angegeben werden aus denen eine neue Zielangabe generiert wird Eine Portangabe ist dabei allerdings nur zul ssig wenn die Regel p tcp oder p udp enth lt Fehlt die Port angabe so wird der Zielport nicht ge ndert 2 8 11 MASQUERADE Dieses Target legt fest dass die Quelladresse des Pakets sowie nachfolgender Pakete derselben Ver bindung in die Adresse des Interfaces ge ndert wird ber den es den Rechner verl t Wird der Zu stand des Interfaces auf gt gt down lt lt ge ndert so werden alle bestehenden Verbindungen gt gt vergessen lt lt Dies ist insbesondere bei der Verwendung von dynamischen IP Adressen sinnvoll Beim n chsten Aktivieren des Interfaces wird ihm hier vielleicht schon eine ganz andere Adresse zugewiesen Das Target kann nur in Chains im Table nat verwendet werden Hier auch nur in POSTROUTING sowie in Chains in die aus POSTROUTING verzweigt wurde Wenn in der Regel p tcp oder p udp spezifiziert wurde kann die folgende Option verwendet werden to ports Port Port legt einen Portbereich fest aus dem n tigenfalls ein Quellport gew hlt wird Es gelten dieselben Regeln wie bei SNAT 2 8 12 REDIRECT Dieses Target entspricht DNAT Allerdings wird die Zieladresse auf den Rechner selbst gesetzt Auf diese Weise k nnen z B Anf
65. paar Regeln f r unser Firewall Objekt zu sehen Diese bilden eine gute Ausgangsbasis Falls wir jedoch ein internes Netzwerk nicht im Adressraum 192 168 1 x betreiben m ssen einerseits einige Regeln und auch die Konfiguration der Netzwerk Karte zum internen Netz ver ndert werden denn die Templates basieren auf diesem Adress Raum Es ist leider beim Ausw hlen der Templates nicht m glich deren Voreinstellungen zu ver ndern 2 9 6 Andere Objekte Neben den bereits beschriebenen Firewall Objekten gibt es noch zahlreiche andere Objekt Typen So dienen Adressen Objekte dazu Adressen den Hostnamen zuzuordnen Daneben dienen Adress Bereiche dazu das Netzwerk zu gruppieren z B in ein Server und ein Workstation Segment GROUPS Objekte dienen der logischen Zusammenfassung von Objekten Falls wir verschiedene interne Netze betreiben k nnen wir die betreffenden Netzwerk Objekte zu einer logischen Gruppe zusammenfassen um damit allgemein g ltige Regeln f r sie zu definieren Die Lesbarkeit der Poli cies verbessert sich dadurch erheblich Im Gegensatz zu Adressen Objekten beschreiben Host Objekte die betreffenden Computer etwas n her Wie bei den Firewall Objekten k nnen wir aus Templates ausw hlen Abbildung 2 9 6 Dabei handelt es sich um PCs mit einer oder zwei Netzwerk Karten oder Router Die Adressen liegen wie bei dem Firewall Objekt im 192 168 1 0er bzw im 192 168 2 0er Netz und m ssen ma nuell angepasst werden Neben den Template
66. ption wird icmp port unreachable verwendet Als Reaktion auf ein Ping Paket kann auch echo reply verwendet werden F r TCP Pakete kann in der Chain INPUT oder einer eigenen Chain in die aus INPUT verzweigt wurde auch tcp reset verwendet werden wodurch ein TCP Paket mit gesetztem RST Flag gesendet wird 2 8 9 SNAT Dieses Target legt fest dass das Paket weitergeleitet die Quelladresse aber ver ndert wird Dies ge schieht nicht nur f r das Paket selbst sondern auch f r alle nachfolgenden Pakete derselben Ver bindung Das Target kann nur in der POSTROUTING Chain des Tables nat und Chains in die aus dieser verzweigt wurde verwendet werden to source Addr Addr Port Port legt fest welche Quelladresse im Paket eingetragen werden soll Hier kann auch ein Adressbereich angegeben werden Unter Umst nden ist es auch n tig den Quellport des Pakets zu ndern Wenn die Regel der Protokollangabe p tcp oder p udp enth lt kann hierzu ein Portbereich angegeben werden andernfalls wird darauf geachtet dass f r Pakete deren Quellport in einem der Bereiche 1 511 512 1023 1023 65535 liegt dieser jeweils durch einen Quellport aus demselben Bereich ersetzt wird Wo immer m glich wird die Portangabe nicht ge ndert 2 8 10 DNAT ist das Gegenst ck zu SNAT hier wird die Zieladresse ver ndert G ltig ist das Target nur in den PREROUTING und OUTPUT Chains des Tables nat sowie in daraus angesprungenen Chains to destinati
67. r Deren Netzen kann es durchaus schon einmal vorkommen dass Angestellte die mit dem gebotenen Internet Zugang unzufrieden sind ein eigenes Modem an ihren Computer anschlie en Damit um gehen sie nat rlich alle Schutzma nahmen die in der Firewall realisiert werden Um solchen Risiken zu begegnen sind technische Ma nahmen weitgehend wirkungslos Hier hilft einzig organisatorische Regeln POLICIES genannt aufzustellen die den Umgang des Benutzers mit den von einem selbst betreuten System regeln Dar ber hinaus ist es auch n tig Aufkl rungs kampagnen durchzuf hren die diese Regeln allgemein bekannt machen und im schlimmsten Fall auch durch disziplinarische Ma nahmen Geltung zu verschaffen Bietet man Dienste wie Web und Mailserver an auf die aus dem Internet zugegriffen werden kann so besteht dar ber hinaus das Risiko dass die Programme die diese Dienste realisieren fehlerhaft programmiert sind Der Hauptteil der Schutzwirkung einer Firewall basiert ja darauf den Zugriff auf Dienste zu verhindern Hier aber ist genau dies erw nscht Wenn also ein Zugriff auf einen We 23 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall bserver dazu f hrt dass der gesamte Rechner auf dem der Dienst l uft danach unter der Kontrolle eines Angreifers steht so ist dieser Vorgang f r eine Firewall in der Regel nicht von einem norma len lesen von Webseiten zu unterscheiden Die Firewall kann hier nur
68. r hoch motiviert diese Aufgabe an Zuerst galt es f r dieses Projekt unser Wissen im Bereich PC Hardware Linux und Netzwerktechnik aufzufrischen welches wir w hrend der bishe rigen Technikerausbildung vermittelt bekommen haben Die Schwierigkeit bestand darin sich mit dem v llig neuen Thema Firewall bzw Iptables auseinander zusetzen Diese Regeln stellten sich f r uns am Anfang doch recht kryptisch dar Aber auch hier war nach einiger Zeit Licht am Ende des Tunnels Weitere umfangreiche Bereiche stellte zum einen der Umgang mit dem Tool Firewall Builder Anleitung nur in Englischer Sprache dar und zum anderen ein Aussagekr ftiger Testauf bau zur Abnahme der Funktionen Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall F r unser Team war dieses Projekt eine gro e Herausforderung und wir machten uns mit viel Ein satz und Engagement an die uns gestellte Aufgabe um diese zu einem positiven Abschluss zu bringen Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 Projektdokumentation 2 1 Aufgabenstellung Unser Aufgabe bestand darin f r das Netzwerk der Berufsbildenden Schulen Friedenstra e eine Firewall mit Grenznetz und zus tzlichem dual homed Bastion Host aufzubauen und zu testen Au erdem sollte aus Sicherheitsgr nden Software RAID Festplattenspiegelung eingesetzt werden und zur Administration Webmin verwendet werden Damit wurde eine Fernwartung der Firewal
69. ragen an Server im Internet auf einen Proxy auf der Firewall um geleitet werden Wenn in der Regel p tcp oder p udp spezifiziert wurde kann die folgende Option verwendet werden to ports Port Port legt einen Bereich von Ports fest aus denen ein Zielport f r das Paket gew hlt wird 43 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 9 Firewall Builder Info Dieses ist eine allgemeine Anleitung f r den Fwbuilder wonach jeder eine Firewall erstellen kann Eine spezielle Anleitung im Bezug auf unsere beiden Projekt Firewalls mit allen verwendeten Regeln finden Sie im Benutzer Handbuch Kapitel 3 2 9 1 Was ist der Fwbuilder Firewall Builder Fwbuilder ist ein graphisches Konfigurationstool zum Erstellen und Verwalten von Firewall Konfigurationen Administratoren verwalten Netzwerk Objekte wie beispielsweise Firewall Rechner Netzwerke Hosts und Services Per Drag amp Drop k nnen daraus Firewall Policies erstellt und ver ndert werden Die aktuellste Version f r unser Projekt ist die Version 2 0 6 Damit werden ber die verf gbaren so genannten Policy Compiler iptables ipfilter OpenBSD PF und Cisco PIX kostenpflichtig unterst tzt Die Policy Compiler bersetzen die Policies in ein f r die Zielplattform verst ndliches Format Mit einer zentralen Konfiguration k nnen somit verschie dene Firewall Typen verwaltet werden Die Datenerhaltung erfolgt in einer XML Datei 2
70. s ist auch hier eine manuelle Erfassung m glich Der Vorteil des Host Objektes liegt darin dass man virtuelle Adressen Adressen an eine Netzwerk Karte h ngen kann 49 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Choose template object in the list and click Finish when ready Template objects use generic interface names that will be iherited by the firewall object you create You may need to rename them later to reflect real names of interfaces on your firewall machine CS DC with 1 interface d PC with 2 interfaces Interface ethO 0 CS Router with 2 interface 192 168 1 1 255 255 255 0 2 lt EE This object represents a PC with a single network interface lt Zur ck Abschlie en Abbrechen Abb 2 9 6 Firewall Templates Netzwerk Objekte sind den Adressen Objekten sehr hnlich Hierbei werden allerdings die Netz werk Adressen mit entsprechender Netzmaske definiert beispielsweise 192 168 1 0 255 255 255 0 Service Objekte dienen zum Festlegen wie Netzwerk Pakete in den Regeln behandelt werden sollen Hier k nnen Objekte der Typen CUSTOM GROUPS ICMP IP TCP und UDP erfasst werden Mit Hilfe der Standard Objekte l sst sich recht einfach feststellen wie diese einzusetzen sind Durch das Gruppieren lassen sich Service Objekte ebenfalls logisch zusammenfassen ein Beispiel aus der Standard Bibliothek ist die Gruppe NETBIOS Abbildun
71. se einrichten Zur Sicherheit haben wir die Interfaces ethO eth1 und eth2 ihren eigentli chen IP s zugeordnet um bei der Firewall sp ter kein Risiko einzugehen Sie sollten bei beiden In stallationen identisch sein Jetzt galt es noch die Firewall bbsfire fw bei der Minimal Installation aufzusetzen was vom Su perserver aus geschehen sollte da auch hier der Fwbuilder installiert war Die Version 2 0 6 bietet das Installieren von einem zum anderen Rechner an sofern die alten Regeln dieses nat rlich zu lassen oder der SSH Zugriff dieses verbietet Bei abschlie enden Tests mit Herrn Appenzeller ob die Regeln auf bbsfire und Super auch wirklich den gew nschten Effekt bringen brauchten wir nur noch geringf gig an unseren Regeln Verbesse rungen bzw Ver nderungen einarbeiten die sich bei den Tests ergaben um dann unseren prak tischen Projektteil zu einem positiven Abschlu zu bringen Von da an konnten wir uns ganz der Dokumentation widmen was nat rlich noch eine erhebliche Zeit in Anspruch nahm 18 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 4 Wer braucht eine Firewall 2 4 4 Sind Cracker Genies Sie h tten vermutlich kaum das Bed rfnis sich unter Millionen von Rechner im Internet Ihren vorzunehmen wenn dies so w re Statt dessen w rden sie sich mit Rechnern von Regierungen und Banken besch ftigen die eine viel gr ere Herausforderung und ein finanziell lohnenswertes Ziel b
72. t man dass ein erfolgreicher Angriff auf einen ffentlichen Server dem Angreifer den Zugriff auf die Arbeitsplatzrechner erleichtert 2 5 2 Was eine Firewall nicht kann Obwohl eine Firewall ein wichtiges Werkzeug ist um die Sicherheit eines Rechners zu erh hen so ist sie doch nicht das eine Werkzeug das ganz allein alle Probleme beseitigt Eine Firewall ist nur ein Baustein in einer ganzen Reihe von technischen und organisatorischen Ma nahmen die n tig sind wenn man einen brauchbaren Schutz von Systemen erreichen will Eine Firewall wird z B nicht vor Angriffen sch tzen die aus dem eigenen Netz heraus ausgef hrt werden Eine g ngige Faustregel besagt dass 80 aller computergest tzten Delikte von Insidern begangen werden Wenn sich eigene Anwender dazu entschliessen Angriffe auf die eigenen Server durchzuf hren Daten zu l schen oder fremde Dateien auszuspionieren so ist selbst die beste Fi rewall absolut wirkungslos Dazu ist nicht einmal b ser Wille n tig Es reicht dass ein Anwender Software herunterl dt oder von zu hause mitbringt und auf einem der Rechner installiert War diese mit Viren verseucht oder handelt es sich um einen Trojaner so kann man unwissentlich gro en Schaden anrichten Auch ein Laptop ohne installierten Virenschutz der von zu hause mitgebracht wird kann zu einer Verseu chung des ganzen Netzes f hren Auch kann eine Firewall keinen Netzverkehr kontrollieren der nicht ber sie geleitet wird In g
73. terne Datenbanken zur ck zu Greifen Server unter externer Wartung sind online ohne der Anreise eines Technikers konfigurierbar und aktuelle Programme und Treiber liegen auf ffentlichen FTP Servern zum herunterladen bereit Nur was ist eigentlich mit der Sicherheit Wenn ber Computersicherheit gesprochen wird h rt man oft Ich habe keine Probleme Meine Daten sind weder wertvoll noch geheim und falls jemand meine Festplatte l scht habe ich kein Problem damit alles neu zu installieren Wenn dies der Fall ist so brauchen Sie eigentlich keine Sicherheit Oder In der Regel ist es aber nicht ganz so einfach Oft liegen der Vorstellung nicht von diesen Proble men betroffen zu sein falsche Annahmen zugrunde Aber auch hier gilt wie fast berall im Leben Unwissenheit sch tzt vor Strafe nicht Bei der Suche nach einem geeigneten Projekt Thema wollten wir uns deshalb gerne mit dem The ma Computersicherheit besch ftigen Aus diesem Grund haben wir uns f r einen Projektvorschlag der Berufsbildenden Schulen Friedenstra e entschieden ein Firewall System f r diese Schule zu entwickeln Die Firewall sollte auf einem extra Server mit dem freien Betriebssystem Linux Open Source realisiert werden und zur zus tzlichen Sicherheit eine Festplattenspiegelung mit sogenann tem Software RAID durchgef hrt werden Als Firewallarchitektur diente Iptables Netfilter die im Linux Kernel seit Version 2 4 vorhanden sind Somit traten wi
74. tzen Webserver Proxy und Terminalserver Firewall Rechner kam Es ging sogar soweit dass der Proxy aus dem Terminalserver herausgenommen werden mu te und seinen Dienst seit dem auf dem Firewall Rechner verrichtet Eine genauere Beschreibung zu den Regeln und dem Fwbuilder folgt in den n chsten Kapiteln Um das Zugreifen f r Eindringlinge so schwierig wie m glich zu gestalten sollten wir noch die Dienste auf ein Minimum reduzieren und die Grafik abmounten was wir auch relativ schnell in den Griff bekamen Wenn es dennoch ein Eindringling geschafft h tte unsere Firewall ausser Gefecht zu setzen h tte man noch eine Minimal Installation gehabt auf der die Firewall zus tzlich installiert ist um das System sofort wieder starten zu k nnen ohne gro e Ausfallzeiten zu haben Womit wir bei der minimal Installation w ren Nach einigem hin und her berlegen kamen wir zu dem Schlu dass es mehr Sinn macht von vornherein die Minimale zu benutzen da auf dieser gar keine Grafik vorhanden ist und die Dienste immer auf ein Minimum beschr nkt sind was die Sache auf den ersten Blick deutlich einfacher Aussehen l t Also machten wir uns an die Arbeit eine Partition frei geben f r die Minimale Installation und dann aufspielen von Fedora Core 2C Minimal Von unseren drei Netzwerkkarten wurden zwei erkannt was kurzfristig Panik ausl ste Beim Neustart von Linux bot uns die Hardware Erkennung KUDZU die dritte Netzwerkkarte an und wir konnten die
75. u alt als das es viel n tzt Gl cklicherweise sind solche F lle eher selten in denen Cracker so vorgehen 2 4 4 Was wollen Cracker Eigene Dateien sind vermutlich eher uninteressant fiir den durchschnittlichen Cracker Zwei andere Dinge werden ihn vielmehr interessieren Zum einen seine Ressourcen Einen Rechner den niemand mit dem Cracker in Verbindung bringen kann k nnte er f r viele Dinge nutzen Er k nnte Server einrichten um mit Gleichgesinnten Daten auszutauschen Auch sind fremde Rechner als Ausgangsbasis f r eine Angriff auf Drittrechner viel besser geeignet Als zweites ist es f r einen Cracker interessant die Anwender zu beobachten die einen Rechner benutzen Er kann Pa w rter belauschen Kauft man online ein kann er sogar die Kreditkartennum mer abfangen und f r eigene Eink ufe verwenden Hierzu wird er Programme installieren die Tastatureingaben oder Pakete im lokalen Netz belauschen um nicht st ndig zugegen zu sein Er wird diese gesammelten Informationen dann bei einem sp teren Besuch von dem jeweiligen Rechner ziehen Das schreiben solcher Programme ist nicht wirklich schwierig aber der durch schnittliche Cracker wird hierf r verf gbare Programme aus dem Internet verwenden 20 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 5 Was ist eine Firewall Eine g ngige Ma nahme um sich vor den Gefahren des Internets zu sch tzen besteht darin zwischen die Rec
76. umentation EN Pr sentation 15 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall 2 3 1 Kurzbeschreibung des Projekts Der Startschuss f r unser Projekt war der 07 02 05 Wir bekamen unseren Server der bereits zu sammen gebaut in einem extra Klassenzimmer stand und das Betriebssystem Fedora Core 2C auf einer DVD Die Software die wir sonst noch brauchten besorgten wir uns im Laufe der Projekt arbeit aus dem Internet Au erdem erhielten wir von unserem Projektleiter Herrn Appenzeller eine allgemeine Projekt Einweisung Am ersten offiziellen Projekttag den 09 02 05 begannen wir voller Tatendrang mit unserer Arbeit wir installierten Linux im RAID Level 1 was keine gr eren Probleme machte Nach dem Neustart des Systems startete der Bootloader Grub aber nicht was zur folge hatte dass wir das System nicht starten konnten Unser erstes Problem war geboren Fehlersuche war angesagt also durchsuchte einer von uns das Internet und der zweite studierte die Beschreibung vom Mainboard Wir brachen den RAID Verbund auf aber ohne Erfolg das System wollte nicht starten Es mu te wohl an Linux liegen dachten wir und machten ein komplettes Fedora Update inklusive Kernel Aber auch das brachte nicht den gew nschten Erfolg Schlie lich kamen wir zu dem Schlu es mu am Mainboard liegen Aus diesem Grund beschlossen wir ein BIOS Update auf Version 1 03 durchzuf hren au erdem partitionierten wir die Festpl
77. ungen daran erkannt werden k nnen dass ihre Folgenummern au erhalb eines zul ssigen Bereiches liegen Um der Gegenstelle mitzuteilen welche Folgenummern man zu benutzen gedenkt findet ein Ver bindungsaufbau statt der aus drei Paketen besteht Im Header dieser Pakete sind dabei drei Felder f r diese Darstellung interessant SEQ Folgenummer des Paketes Sequence Number ACK Folgenummer die von der Gegenstelle erwartet wird Acknowledgement Number CTL Feld mit mehreren Bits Flags genannt die Kontrollinformationen signalisieren Control Flags SYN Dieses Paket gibt die neue Folgenummer des Senders bekannt Wird nur beim Verbindungsaufbau benutzt synchronize ACK Dieses Paket best tigt ein vorangegangenes Paket acknowledge FIN Der Sender wird keine weiteren Daten mehr schicken Haben beide Seiten ein FIN gesendet ist die Verbindung beendet finish RST Die Verbindung wird sofort beendet reset PSH Normalerweise sammelt der Kernel Daten erst einmal und gibt sie dann in gr eren Bl cken an die Anwendung weiter Dieses Flag soll das verhindern und bewirken dass die Daten sofort weitergegeben werden push Au erdem garantiert das Setzen dieses Bits dass das Paket best tigt wird unabh ngig davon ob dies normalerweise geschehen w rde oder nicht Das Flag wird unter Linux kaum verwendet 30 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall URG Dient dazu einen Teil der Daten im
78. unktioniert es 2 7 2 Warum sollte man NAT wollen Modemverbindung zum Internet Die meisten Internetanbieter vergeben eine einzelne Adresse wenn man sich bei ihnen einw hlt Man kann Pakete mit welcher Quell Adresse auch immer verschicken aber nur Pakete mit dieser Antwort Adresse werden zu einem zur ckkommen Wenn man mehrere verschiedene Maschinen so wie ein Heim Netzwerk benutzen will um sich durch diesen Link mit dem Internet zu ver binden wird man NAT brauchen Dies ist die heute am meisten verbreitete Art von NAT gew hnlich in der Linuxwelt als Masquer ading bekannt Man nennt dies auch SNAT weil die Quell Adresse des ersten Pakets ge ndert wird Mehrere Server Manchmal m chte man ndern wohin einkommende Pakete in einem Netzwerk gehen sollen Oft ist das so weil man wie oben erw hnt nur eine IP Adresse hat man m chte den Leuten aber die M glichkeit geben auch die Rechner hinter dem einen mit der echten IP Adresse zu erreichen Man kann das schaffen wenn man das Ziel von einkommenden Paketen ndern kann Eine bekannte Variation dessen nennt sich load sharing Eine gro e Anzahl von Paketen wird ber eine Reihe von Maschinen ver ndert indem die Pakete aufgef chert werden Diese Version von NAT wurde von fr heren Linuxversionen Port Forwarding genannt 35 Berufsbildende Schulen Friedenstra e Wilhelmshaven Projektarbeit Firewall Transparente Proxies Manchmal m chte man so tun als ob

Download Pdf Manuals

Related Search

Related Contents

DE 00 Einband - BIANCHI MARE' SpA  caution    Instrucciones    Pelco PMCL300 Car Video System User Manual  manual de instrucciones segadora bilateral de discos traseros con  PHOENIX Green-notice d`installation    

Copyright © All rights reserved. Failed to retrieve file