Firewall Handbuch für LINUX 2.0 und 2.2: Firewall mit Screened Host Architektur

20. Firewall mit Screened Host Architektur

Firewall mit überwachtem Host:


  I N T E R N E T
         ^
         |      
         |
     Firewall 
         |             lokales Netz
         +--------+--------+--------+------->
         |        |        |        |
      Server1   Host A   Host B   Host C

                 Beispiel 3

Diese Architektur ist im Gegensatz zu einem Firewall - Aufbau mit nur einer Firewall und einem im Intranet positionierten, von der Firewall überwachten Host (Server1) kostengünstiger, aber auch unsicherer. Der gesamte Datenverkehr mit dem Internet wird über diesen überwachten Host abgewickelt (screened host). Da kein Grenznetz existiert, gelten für den überwachten Host besondere Restriktionen. Er ist mit einer festen IP - Nummer über aus dem Internet erreichbar. Dieser stellt als das klassische Extranet dar, einen WWW-Server, der im Hause steht, aber von außerhalb jederzeit zu erreichen ist. Dieser Server sollte unbedingt wie ein bastion host abgesichert und darüber hinaus auch gegen buffer overflows abgesichert sein. Es muß sichergestellt werden, daß alle Arbeitsstationen im Intranet ausschließlich über den bastion host ihren Datenverkehr mit Hosts im Internet abwickeln. Die Firewall sollte also alle internen Arbeitsstationen für direkten Zugriff auf Server im Internet sperren. Es werden aber auch besondere Anforderungen an die Firewall gestellt, das gilt besonders für die Auswahl relevanter Ereignisse, die an den Systemadministrator gemeldet werden müssen. Da bei dieser Konfiguration kein Abgleich zwischen Logfiles von innerer und äußerer Firewall erfolgen kann, ist also hier besondere Aufmerksamkeit erforderlich. Es ist von einer solchen Konfiguration abzuraten, da sie keinerlei Sicherheitsreserven bieten kann.


Regel Richtung Quell-IP Ziel-IP Prot Quellport Zielport ACK? Aktion
SPOOF ein      intern   bel.    bel. bel.      bel.     bel. verbieten

TEL1  aus      intern   bel.    TCP  >1023     23       bel. zulassen
TEL2  ein      bel.     intern  TCP  23        >1023    ja   zulassen

FTP1  aus      intern   bel.    TCP  >1023     21       bel. zulassen
FTP2  ein      bel.     intern  TCP  21        >1023    ja   zulassen
FTP3  aus      intern   bel.    TCP  >1023     >1023    bel. zulassen
FTP4  ein      bel.     intern  TCP  >1023     >1023    ja   zulassen

SMTP1 aus      Service  bel.    TCP  >1023     25       bel. zulassen
SMTP2 ein      bel.     Service TCP  25        >1023    ja   zulassen
SMTP3 ein      bel.     Service TCP  >1023     25       bel. zulassen
SMTP4 aus      Service  bel.    TCP  25        >1023    ja   zulassen

NNTP1 aus      Server   NNTP    TCP  >1023     119      bel. zulassen
NNTP2 ein      NNTP     Server  TCP  119       >1023    ja   zulassen
NNTP3 ein      NNTP     Server  TCP  >1023     119      bel. zulassen
NNTP4 aus      Server   NNTP    TCP  119       >1023    ja   zulassen

HTTP1 aus      Service  bel.    TCP  >1023     bel.     bel. zulassen
HTTP2 ein      bel.     Service TCP  bel.      >1023    ja   zulassen

DNS1  aus      Service  bel.    UDP  53        53            zulassen
DNS2  ein      bel.     Service UDP  53        53            zulassen
DNS3  ein      bel.     Service UDP  bel.      53            zulassen
DNS4  aus      Service  bel.    UDP  53        bel.          zulassen
DNS5  aus      Service  bel.    TCP  >1023     53       bel. zulassen
DNS6  ein      bel.     Service TCP  53        >1023    ja   zulassen
DNS7  ein      bel.     Service TCP  >1023     53       bel. zulassen
DNS8  aus      Service  bel.    TCP  53        >1023    ja   zulassen

STD1  aus      bel.     bel.    bel. bel.      bel.     bel. verbieten
STD2  ein      bel.     bel.    bel. bel.      bel.     bel. verbieten

Regel-Erläuterungen

SPOOF: Pakete, die angeblich von internen IP-Adressen stammen, d.h. gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden blockiert.
TEL1 und TEL2: Ausgehende TELNET-Verbindungen werden durch diese Regeln erlaubt.
FTP1, FTP2, FTP3 und FTP4: Ausgehende FTP-Verbindungen im passiven Modus werden durch diese Regeln zugelassen, wobei die Regeln FTP1 und FTP2 den Kommandokanal und die Regeln FTP3 und FTP4 den Datenkanal ermöglichen. Beliebige TCP-Verbindungen vom Service-Host zu jedem Rechner im Internet werden durch die beiden letztgenannten Regeln ebenfalls ermöglicht, falls auf beiden Seiten Portnummern >1023 vorliegen.
SMTP1 und SMTP2: Ausgehende Post vom Service-Host ins Internet wird durch diese Regeln zugelassen.
SMTP3 und SMTP4: Eingehende Post aus dem Internet zum Service-Host wird durch diese Regeln zugelassen.
NNTP1 und NNTP2: Ausgehende Usenet-News von Ihrem News-Server zum News-Server Ihres Service-Providers werden durch diese Regeln zugelassen.
HTTP1 und HTTP2: Diese Regeln erlauben Verbindungen zu HTTP-Servern auf beliebigen Maschinen im Internet durch den HTTP-Proxy-Server auf dem Service-Host. Desweiteren werden allen TCP-Clients auf dem Service-Host, die Portnummern >1023 benutzen, Verbindungen zu allen Servern und allen Ports auf beliebigen Rechnern im Internet gestattet. Dadurch wird dem HTTP-Proxy-Server ermöglicht zu HTTP-Servern, die nicht die Standard-Portnummer 80 benutzen, Verbindungen herzustellen. Trotz der Großzügigkeit dieser Regeln filtern sie jedoch, um nur ausgehende Verbindungen zuzulassen, bezüglich der ACK-Bits. Die Regeln FTP3 und FTP4 überlappen mit diesen, auch durch die Entfernung eines Paares ist es FTP- oder HTTP-Clients immer noch möglich auf die meisten Server zuzugreifen.
DNS1: DNS-Anfragen über UDP und Antworten der internen DNS-Server auf dem Service-Host zu DNS-Servern im Internet werden hierdurch erlaubt.
DNS2: DNS-Anfragen über UDP von DNS-Servern im Internet zum DNS-Server auf dem Service-Host, sowie Antworten auf diese werden hierdurch erlaubt.
DNS3 und DNS4: Um Anfragen an den DNS-Server auf dem Service-Host zu stellen und dessen Antworten zu empfangen gestatten diese Regeln externen DNS-Clients UDP-Verbindungen.
DNS5 und DNS6: DNS-Anfragen über TCP vom Service-Host zu DNS-Servern im Internet werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Service-Host als sekundärem Server und einem externen DNS-Server als primärem Server erlaubt.
DNS7 und DNS8: DNS-Anfragen über TCP aus dem Internet zum DNS-Servern auf dem Service-Host werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Service-Host als primärem Server und einem externen DNS-Server als sekundärem Server erlaubt.
STD1 und STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in einer der vorhergehenden Regeln erlaubt wurden.

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING