Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
In einer Firewall exisitiert eine "default policy". Diese beschreibt das Verhalten, wenn keine Regel aktiv ist. Es gibt zwei Möglichkeiten: Entweder die Firewall läßt alle Pakete passieren, oder sie blockt alle ab. In dem ersten Fall muß der Firewall explizit mitgeteilt werden, was verboten ist, in dem anderen Fall muß ihr mitgeteilt werden, was erlaubt ist, alles andere ist dann nämlich verboten. Da der Mensch gerne etwas vergißt, sollte man sich sicherheitshalber für die zweite Möglichkeit entscheiden. Es gibt aber auch Ausnahmen: Kapitel Firewall Tuning. Wir bauen nun die Firewall - Regeln Schritt für Schritt auf. Am Anfang steht immer die Policy. Genaugenommen stehen die Spoofing Regeln stets am Anfang, diesen ist aber später ein eigenes Kapitel Spoofing gewidmet.....
#Default Policy
ipfwadm -I -p deny
ipfwadm -O -p deny
ipfwadm -F -p deny
Die Bedeutung im Einzelnen wird klarer, wenn man sich bewußt wird, daß eine
Firewall auf jedem Interface eingehende und ausgehende Pakete regeln muß.
Das Konfigurationswerkzeug, um auf die Firewall - Filter im Kernel zuzugreifen, ist ipfwadm. Die Optionen -I -O -F stehen für Input oder Ingoing, -O ist die Abkürzung für Output oder Outgoing, -p bedeutet Policy, deny bedeutet "verboten". Zusammengefasst steht also folgendes in den ersten beiden Zeilen:
Der Kernel wird angewiesen, alle eingehenden und ausgehenden Pakete abzulehnen, wenn keine der Regeln zutreffen sollte. Als Standardeinstellung der Policy ist dies soweit ok.
Die dritte Zeile enthält -F. -F ist die Bezeichnung für forwarding. Hiermit ist die Weiterleitung zwischen den Netzwerkkarten gemeint.
Diese drei Zeilen sind insbesondere deswegen wichtig, weil hier festgelegt wird, ob Pakete transportiert werden, wenn die Firewallregeln gelöscht sind. Die forwarding Einstellungen können sowohl mit Hilfe des Werkzeuges sysctrl oder mit Hilfe eines echo "0" > /proc/net/ip_forward aus der Shell heraus abschalten. Einige Konfigurationsdateien von LINUX beim Bootvorgang schalten nämlich das Forwarding beim Booten ab und später wieder ein. Das passiert immer in dem Moment, wenn z.B. die Firewallregeln aktualisiert werden. In der Vergangenheit ist es bei Zertifizierungen von Firewalls häufiger bemängelt worden, daß während des Boot - Vorganges die Firewall für kurze Zeit transparent wurde. Angreifer hätten diesen Mangel einfach ausnutzen können, indem sie einen Fehler im TCP/IP Stack ausnutzen, um die Firewall ständig neu zu booten. In den wenigen Sekunden, die dann verbleiben, um Pakete durch die Firewall zu senden, lassen sich schon einige Dinge anstellen.
Doch nun zurück zu den forwarding Regeln:
Leider ist noch keine Angabe darüber gemacht, zwischen welchen der Netzwerkkarten forwarding verboten ist, noch darüber, an welchen Interfaces der Kernel die ein- und ausgehenden Pakete ablehnen soll. Per Definition wendet er diese Regeln auf alle Interfaces an, außer - man informiert den Kernel darüber, auf welches Interface sich das Kommando genau bezieht. Hierzu gibt es die Option -w Hierzu aber später mehr.
Mit dem Forwarding hat es noch eine besondere Bewandtnis, dies ist wichtig für das Verständnis von UNIX allgemein und hat Auswirkungen auf die Sicherheit des Systems, wenn auch nur der kleinste Fehler gemacht wird.
ipfwadm -F -p deny besagt, daß alle Pakete zwischen allen Interfaces nicht weitergeleitet werden.
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |