![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Die LINUX Kernel Firewall ipfwadm und ipchains decken mit den unterstützten Protokollen (SMTP, FTP, REALVIDEO/AUDIO, TELNET) sicher 99% des Bedarfs eines normalen Unternehmens ab. Gerade auch die Unterstützung von Masquerading und NAT ist ein Kriterium, welches LINUX auch für die Vernetzung größerer Unternehmensbereiche geeignet erscheinen läßt.
In einigen wenigen Fällen werden jedoch höhere Anforderungen gestellt, insbesondere dann, wenn auf Application Level einige Protokolle gefiltert werden müssen. Zusammen mit DELEGATE stellt eine LINUX Firewall wirklich außerordentliche Fitermöglichkeiten zur Verfügung. Allein schon die Beschreibung der Filtersprache füllt ein kleines Buch.
Man sollte allerdings berücksichtigen, daß Application Level Gateways erheblich anfälliger gegen buffer overflows sind, als normale circuit level gateways, weil die Filter erheblich komplexer sind. Die Zahl der möglichen Fehler, die ein Angreifer ausnutzen kann, ist hier erheblich höher. Ebenso wie andere Filter, sollte auch DELEGATE immer und unter allen Umständen zwischen zwei Circuit-Level Gateways (Firewalls, zumindest aber Routern) stehen, damit ein Einbruch in den Filter bemerkt werden kann. DELEGATE ist seit Jahren im Einsatz, trotzdem wurde aber erst kürzlich eine Sicherheitslücke entdeckt. Dies ist ein sicheres Anzeichen dafür, daß jede Art von Filter immer durch Firewalls zusätzlich abgesichert sein sollte.
Der Einsatz von Filtern auf der Firewall selber ist eine prinzipielle, grobe Fahrlässigkeit, die im Kapitel Buffer Overflows genau begründet wird.
Nun aber zu den anderen Firewall Lösungen:
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |