![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Damit ein Angreifer keinerlei Information über das interne Netzwerk erfährt, wird der bastion host so konfiguriert, daß er falsche Informationen über das interne Netzwerk liefert, jedoch korrekte Informationen über alle von außen sichtbaren und erreichbaren Hosts. Dafür wird dann intern ein unabhängiger DNS-Server aufgesetzt, der die richtigen Informationen über interne und externe Adressen des Netzwerk besitzt. Beide DNS-Server, insbesondere der externe DNS-Server muß gut gegen Anfriffe abgesichert sein, da er die Einträge für Mail-Server (MX) des Unternehmens nach außen hin trägt. Werden diese verändert, so können von außerhalb keine e-Mails mehr empfangen werden, diese werden evtl. an einen beliebigen Server im Internet vom Angreifer umgeleitet. Damit kein Angreifer eine falsche IP - Nummer vortäuschen kann, sollte der bastion host und der interne DNS-Server stets ein double reverse lookup durchführen. Hierbei wird die IP-Adresse über reverse lookup in den Namen und der Name wieder in die IP - Nummer aufgelöst. Stimmen die Ergebnisse nicht überein, ist entweder der zugreifende Client ein Angreifer, oder falsch konfiguriert. Jedefalls kann er seine Identität nicht nachweisen, und somit sollte er strikt abgelehnt werden. Hierzu müssen alle Dämonen des bastion hosts mit der Bibliothek des TCP Wrappers (TCPD) unter UNIX zusammen kompiliert werden. Der Wrapper prüft vor des Start eines Dienstes, ob der double reverse lookup korrekt war. War er das nicht, so wird der Client abgelehnt. Der TCP Wrapper und der INETD sind auch unter Windows NT verfügbar.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |