Workshop Firewall 1

Aus LOMSO
Wechseln zu: Navigation, Suche
Du bist hier : Wiki home -> Events -> Workshops -> Workshop Firewall 1


Programm

iptables - Einführung

Netfilter ist das neue Konzept, um IP Pakete zu filtern. Iptables ist ein command-line Interface dazu.

Alternativen/Frontends zu iptables

Ein Artikel in der Linux User 2005-05 beschäftigt sich damit. Außerdem gibt es hier einen guten Foliensatz.
graphische Oberfläche, man beschreibt sein komplettes Netzwerk, und es erstellt für jede Maschine ein Satz iptables-Regeln
muss einmal aufgerufen werden, danach nicht mehr.
Dokumentation für zwei Netzwerkkarten. Das entspricht dem Aufbau im Workshop.
liest Config-Datei ein, erzeugt iptables-Befehle, die er gleich ausführt
muss bei jedem Start aufgerufen werden, weil es die Regeln dynamisch erzeugt
muss auf jedem Rechner installiert sein, wo man eine Firewall benötigt
ist eine sichere Firewall für Rechner mit einer oder mehreren Netzkarten. Es unterstützt NAT und SNAT, Port-Forwarding, ADSL-Ethernet-Modems mit statischen oder dynamisch zugewiesenen IP-Adressen, Filterung von MAC-Adressen, Entdeckung von verdeckten Portscans, DMZ und das Forwarden von der DMZ ins LAN, Schutz gegen SYN- und ICMP-Flooding und ausführliches benutzerdefiniertes Loggen mit Begrenzung der Häufigkeit von Einträgen. Es unterstützt alle IP-Protokolle und VPNs, auch mit IPsec. Es ist einfach zu konfigurieren und vielseitig anpaßbar. Ein Filterskript, das die Firewall-Logs besser lesbar macht, ist ebenfalls enthalten.

Grundregeln (Netzwerkhygiene)

  • Personal FW macht Sinn, insbesondere bei Laptops, weil man nie weiss, wie feindlich das Netz ist, wo man sich gerade befindet.
  • Verkehr lokales Netz -> Internet sollte nicht ganz offen sein, sondern ebenfalls von der FW eingeschränkt, damit sich Viren & Co nicht frei verbreiten, und andere Rechner infizieren können.

Advanced

  • Warnung : zwischen Hochfahren von NW Karte und Aktivieren von Netfilter ist der Rechner angreifbar weil alle Ports offen !
  • Man kann Netfilter nicht im Voraus configurieren, ein Interface muss mindestens da sein.
  • Lösung : 2. NW Karte hochfahren, Netfilter für 1. mitconfigurieren (das geht), dann erst 1. hochfahren.

Wie prüfe ich, dass ich von Aussen richtig abgesichert bin

  • nmap : um ein Portscan durchzuführen
Vorsicht jedoch ! Nmap listet offene Ports, was aber noch lange nicht bedeutet, dass ein Programm hinter diesem Port lauscht. Das ist insbesondere der Fall für Ports, die (x)inetd managed
Liste der Ports unter /etc/services zu finden, bzw ausführlich unter http://www.iana.org/assignments/port-numbers
  • nessus : um zu prüfen, ob die Programme, die an den Ports hängen, verwundbar sind

Aus Zeitgründen nicht behandelte Themen

  • Masquerading oder Proxies?
  • wie erstelle ich Queues, um die Bandbreite zu managen (QoS)? - VoIP vs. Download. Es gibt erste Ansätze bei Shorewall zu lesen.
  • was kann und sollte man sonst noch filtern?

Teilnehmer