|
Posted by William L. Sun on February 5, 2005, 4:47 pm
If you were Registered and logged in, you could reply and use other advanced thread options
Brandmauer FAQ in deutschem Teil 1
Internet-Brandmauern:
Häufig Gestellte Fragen
Paul D. Robertson paul@compuwar.net
Mattes Curtin cmcurtin@interhack.net
Marcus J. Ranum mjr@ranum.com
(übersetzt durch William Sun sun@thegild.com
)
Datum: 2004/07/26 15:34:42
Änderung: 10.4
Dieses Dokument vorhanden in Postskriptumand pdf.
Inhalt
1 Administrativia
1.1 Über das FAQ
1.2 Für wem wird das FAQ geschrieben?
1.3 Bevor Post Gesendet Wird
1.4 Wo kann ich die aktuelle Version des FAQ finden?
1.5 Wo kann ich Nicht-Englische Versionen des FAQ finden?
1.6 Mitwirkende
1.7 Copyright und Verbrauch
2 Hintergrund-und Brandmauer-Grundlagen
2.1 Was ist ein Netzfirewall?
2.2 Warum würde ich eine Brandmauer wünschen?
2.3 Kann eine Brandmauer gegen was sich schützen?
2.4 Nicht kann eine Brandmauer gegen was sich schützen?
2.5 Was über Viren und anderes malware?
2.6 Bildet IPSEC Brandmauern überholt?
2.7 Was sind gute Quellen der Druckinformationen über Brandmauern?
2.8 Wo kann ich mehr Informationen über Brandmauern auf dem Internet
erhalten?
3 Design-und Implementierung-Ausgaben
3.1 Was sind einige der grundlegenden Designentscheidungen in einer
Brandmauer?
3.2 Was sind die grundlegenden Typen der Brandmauern?
3.3 Was sind Vollmachtservers und wie sie arbeiten?
3.4 Was sind einige preiswerte Paketsiebunghilfsmittel?
3.5 Was sind einige angemessene filternrichtlinien für einen
Kern-gegründeten Paketbildschirm?
3.6 Was sind einige angemessene filternrichtlinien für ein Cisco?
3.7 Was sind die kritischen Betriebsmittel in einer Brandmauer?
3.8 Was ist ein DMZ und warum ich wünschen ein?
3.9 Wie konnte ich die Sicherheit und das scalability meines DMZ
erhöhen?
3.10 Was ist ein ` einzelner Punkt des Ausfalls ' und wie ich
vermeiden, ein zu haben?
3.11 Wie kann ich die ganze falsche Material blocken?
3.12 Wie kann ich Web-Zugriff einschränken, also können Benutzer nicht
die Sites ansehen, die, um zu arbeiten ohne Bezug sind?
4 Verschiedene Angriffe
4.1 Was ist Quelle verlegter Verkehr und warum ist es eine Drohung?
4.2 Was sind ICMP umadressiert und umadressiert Bomben?
4.3 Was über Leistungsverweigerung?
4.4 Was sind einige geläufige Angriffe und wie können ich mein System
gegen sie schützen?
5 Wie I...
5.1 Möchte ich wirklich alles gewähren, das meine Benutzer um bitten?
5.2 Wie bilde ich Web/HTTP Arbeit durch meine Brandmauer?
5.3 Wie lasse ich SSL durch die Brandmauer arbeiten?
5.4 Wie bilde ich DNS Arbeit mit einer Brandmauer?
5.5 Wie lasse ich ftp durch meine Brandmauer arbeiten?
5.6 Wie lasse ich telnet durch meine Brandmauer arbeiten?
5.7 Wie lasse ich Finger und WHOIS durch meine Brandmauer arbeiten?
5.8 Wie bilde ich Gopher, archie, und andere Dienstleistungen arbeiten
durch meine Brandmauer?
5.9 Was sind die Ausgaben über X11 durch eine Brandmauer?
5.10 Wie lasse ich RealAudio durch meine Brandmauer arbeiten?
5.11 Wie bilde ich meine web servertat als Vorderseiten für eine
Datenbank, die in meinem privaten Netz lebt?
5.12 Aber meine Datenbank hat ein integriertes web server, und ich
möchte den verwenden. Nicht kann ich gerecht eine Bohrung in der Brandmauer
stoßen und diesen Kanal einen Tunnel anlegen?
5.13 Wie Lasse Ich IP Multicast Mit Meiner Brandmauer Arbeiten?
6 TCP und UDP Kanäle
6.1 Was ist ein Kanal?
6.2 Wie weiß ich, welche Anwendung benutzt, welcher Kanal?
6.3 Was sind HÖRENDE Kanäle?
6.4 Für wie stelle fest ich, welchen Service der Kanal ist?
6.5 Welche Kanäle sind sicher, durch eine Brandmauer zu überschreiten?
6.6 Das Verhalten von ftp
6.7 Welche Software verwendet, welcher ftp Modus?
6.8 Ist mein Brandmauerversuchen, draußen anzuschließen?
6.9 Die Anatomie eines TCP Anschlußes
A. Einige Handelsprodukte und Verkäufer
B. Glossar der Brandmauer-In Verbindung stehenden Bezeichnungen
Bibliographie
1 Administrativia
1.1 Über das FAQ
Diese Ansammlung von Frequenty stellte Fragen (FAQ) und Antworten ist
über eine Zeitdauer von den Jahren kompiliert worden und gesehen, welche
Fragen Leute über Brandmauern in solchen Foren wie USENET, Postsendunglisten
und Web-Sites stellen. Wenn Sie eine Frage haben, vor der Eintragung, hier
ist schauen, um, ob es Ihre beantwortet wird Frage zu sehen gutes Formular.
Schicken Sie den FAQ Versorgern Ihre Fragen über Brandmauern nicht.
Die Versorger begrüßen Input und Kommentar zum Inhalt dieses FAQ.
Kommentar stand auf dem FAQ sollte an firewalls-faq@interhack.net gewendet
werden in Verbindung. Bevor Sie uns Post schicken, seien Sie bitte sicher zu
sehen, daß Kapitel 1.2 und 1.3 , zum sicherzustellen dieses das rechte
Dokument ist, damit Sie lesen.
1.2 Für wem wird das FAQ geschrieben?
Brandmauern sind weit von den Tagen gekommen, als dieses FAQ begann.
Sie sind vom Sein die in hohem Grade kundenspezifischen Systeme gegangen,
die durch ihre implementors zu einem Hauptströmungsgebrauchsgut ausgeübt
werden. Brandmauern sind nicht mehr nur in den Händen von denen, die
Sicherheit Systeme konzipieren und einführen; sogar haben Sicherheit-bewußte
Endbenutzer sie zu Hause.
Wir schrieben dieses FAQ für Computersystementwickler und -verwalter.
Wir haben versucht, ziemlich einschließlich zu sein und Raum für die
Neulinge gebildet, aber wir nehmen noch etwas grundlegenden technischen
Hintergrund an. Wenn Sie finden, daß Sie nicht dieses Dokument verstehen,
aber, daß Sie mehr über Brandmauern wissen müssen denken, konnte es
hervorquellen ist, daß Sie wirklich mehr Hintergrund in der
Computervernetzung zuerst erhalten müssen. Wir stellen Referenzen zur
Verfügung, die uns geholfen haben; möglicherweise helfen sie Ihnen auch.
Wir konzentrieren überwiegend auf "Netz" Brandmauern, aber `` bewirten
Sie '', oder ``"personal '' Brandmauern werden adressiert, wo passend.
1.3 Bevor Post Gesendet Wird
Beachten Sie, daß diese Ansammlung häufig-gefragte Fragen ein Resultat
des Einwirkens auf viele Leute der unterschiedlichen Hintergründe in einer
breiten Vielzahl der allgemeinen Foren ist. Die Adresse Brandmauer-FAQ ist
nicht ein Hilfe Schreibtisch. Wenn Sie versuchen, eine Anwendung zu
verwenden, die sagt, daß es nicht wegen einer Brandmauer funktioniert und
Sie denken, daß Sie Ihre Brandmauer löschen müssen, bitte schicken Sie uns
die Post nicht, die wie fragt.
Wenn Sie können möchten `` loswerden Ihr Brandmauer '', weil Sie nicht
irgendeine Anwendung verwenden können, schicken Sie uns die Post nicht, die
um Hilfe bittet. Wir können nicht Ihnen helfen. Wirklich.
Wer kann Ihnen helfen? Gute Frage. Das hängt auf ab, was genau das
Problem ist, aber ist hier einige Zeiger. Wenn keines von diesen arbeitet,
bitte bitten uns nicht um irgendwie mehr. Wir wissen nicht.
Der Versorger der Software, die Sie benutzen.
Der Versorger der Hardware `` Gerät'', das Sie benutzen.
Der Versorger des Vermittlungsdienstes, den Sie verwenden. Das heißt,
wenn Sie auf AOL sind, bitten Sie um um sie. Wenn Sie versuchen, etwas in
einem privaten kommunikationsnetz zu verwenden, sprechen Sie mit Ihrem
Systemverwalter.
1.4 Wo kann ich die aktuelle Version des FAQ finden?
Das FAQ kann auf dem Web an gefunden werden
http://www.compuwar.net/pubs/fwfaq/.
http://www.interhack.net/pubs/fwfaq/.
Es ist auch informierte Monatszeitschrift zu
comp.security.firewalls,
comp.security.unix,
comp.security.misc,
comp.answersund
news.answers.
Informierte Versionen werden in allen üblichen Plätzen archiviert.
Leider gab die Version zur USENET bekannt und diesen Version Mangel von den
hübschen Abbildungen und von den nützlichen Hypertext-Links archiviert fand
in der Web-Version.
1.5 Wo kann ich Nicht-Englische Versionen des FAQ finden?
Einige Übersetzungen sind vorhanden. (wenn Sie eine Übersetzung getan
haben und sie nicht hier ausgedruckt wird, schreiben Sie uns bitte, also
können wir den Originalbeleg aktualisieren.)
Norwegisch
Übersetzung durch Jon Haugsand
http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html
1.6 Mitwirkende
Viele Leute haben nützliche Vorschläge und durchdachten Kommentar
geschrieben. Wir sind alle Mitwirkenden dankbar. Wir möchten afew namentlich
danken: Keinanen ;Vesa, Allen Leibowitz, Brent-ambulanter Händler, Brian
Boyle, D. Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz
Zuazaga und Theodore Hoffnung.
1.7 Copyright und Verbrauch
Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
Mattes Curtin. Copyright 2004, Paul D. Robertson. Alle Rechte vorbehalten.
Dieses Dokument kann benutzt werden, neugedruckt werden und neuverteilt
werden, wie diesen Urheberrechtsvermerk und alle Zuerkennungen bleiben
intakt zur Verfügung stellt. Übersetzungen des kompletten Textes von
ursprünglichen Englisch zu anderen Sprachen werden auch ausdrücklich
erlaubt. Übersetzer können ihre Namen dem `` Kapitel der Mitwirkenden '
hinzufügen.
2 Hintergrund-und Brandmauer-Grundlagen
Bevor man kann, eine komplette Diskussion über Brandmauern zu
verstehen, es ist wichtig, die Grundprinzipien zu verstehen, die Brandmauern
arbeiten lassen.
2.1 Was ist ein Netzfirewall?
Eine Brandmauer ist ein System oder eine Gruppe Systeme, die eine
Zugriffssteuerungpolitik zwischen zwei oder mehr Netzen erzwingt. Die
tatsächlichen Mittel, durch die dieses vollendet wird, schwankt weit, aber
prinzipiell, die Brandmauer können für ein Paar Einheiten gehalten werden:
ein, das existiert, um Verkehr zu blocken und das andere, das existiert, um
Verkehr zu ermöglichen. Einige Brandmauern legen einen grösseren Nachdruck
auf dem Blocken des Verkehrs, während andere ermöglichenden Verkehr
hervorheben. Vermutlich ist die wichtigste über eine Brandmauer zu erkennen
Sache, daß sie eine Zugriffssteuerungpolitik einführt. Wenn Sie nicht eine
gute Idee haben von, welcher Art des Zugriffs Sie gewähren oder verweigern
möchten, hilft eine Brandmauer wirklich Ihnen nicht. Es ist auch wichtig, zu
erkennen, daß die Konfiguration der Brandmauer, weil es eine Einheit für das
Erzwingen von von Politik ist, seine Politik alles hinter ihr auferlegt. Die
Verwalter für Brandmauern die Konnektivität für viele Hauptrechner
handhabend haben folglich eine schwere Verantwortlichkeit.
2.2 Warum würde ich eine Brandmauer wünschen?
Das Internet, wie jede mögliche andere Gesellschaft, wird mit der Art
der Rucke gequält, die das elektronische Äquivalent auf Wände der Leute mit
spraypaint weg von schreiben, ihre Mailboxes von heftig zerreißen, oder in
der Straße gerade von sitzen genießen, die ihre Autohorne durchbrennt.
Einige Leute versuchen, reale Arbeit zu erhalten erledigt über dem Internet,
und andere haben die empfindlichen oder eigenen Daten, die sie sich schützen
müssen. Normalerweise ist der Zweck einer Brandmauer, die Rucke aus Ihrem
Netz heraus, beim Sie zu halten Ihre Arbeit erhalten noch lassen erledigt.
Viele traditional-style Korporationen und Rechenzentren haben
rechnende Sicherheit Politik und Praxis, die gefolgt werden müssen. In einem
Fall, in dem die politischen Richtlinien einer Firma vorschreiben, wie Daten
geschützt werden müssen, ist eine Brandmauer sehr wichtig, da es die
Verkörperung der korporativen Politik ist. Häufig schließt das härteste Teil
des Anspannens zum Internet, wenn Sie eine große Firma sind, nicht die
Unkosten oder die Bemühung aus, aber überzeugt Management, daß so zu tun ist
sicher. Eine Brandmauer liefert nicht nur dingliche Sicherheit -- sie spielt
häufig eine wichtige Rolle als Sicherheit Decke für Management.
Zuletzt kann eine Brandmauer als Ihr korporatives `` Botschafter ''
zum Internet dienen. Viele Korporationen benutzen ihre Brandmauersysteme als
Platz, um allgemeine Informationen über korporative Produkte zu speichern
und Dienstleistungen, zu downloaden die Dateien, Programmfehler-regelt, und
so weiter. Mehrere dieser Systeme haben gewordene wichtige Teile der
Internet-Service-Struktur (z.B., UUnet.uu.net, whitehouse.gov,
gatekeeper.dec.com) und haben sich gut auf ihren organisatorischen Förderern
reflektiert. Beachten Sie, daß, während diese historisch zutreffend ist, die
meisten Organisationen jetzt allgemeine Informationen auf ein web server
plazieren, häufig geschützt durch eine Brandmauer, aber nicht normalerweise
über die Brandmauer selbst.
2.3 Kann eine Brandmauer gegen was sich schützen?
Einige Brandmauern ermöglichen nur email Verkehr durch sie, dadurch
sieschützen sieschützen das Netz gegen alle mögliche Angriffe anders als
Angriffe gegen den email Service. Andere Brandmauern liefern weniger strenge
Schutze und blocken Dienstleistungen, die bekannt, um Probleme zu sein.
Im Allgemeinen werden Brandmauern konfiguriert, um sich gegen zu
schützen unauthenticated interaktive LOGON von der `` Außenseite '' Welt.
Dieses, mehr als alles, Hilfen hindern Vandalen am Protokollieren in
Maschinen in Ihrem Netz. Durchdachtere Brandmauern blocken Verkehr von der
Außenseite zum Innere, aber ermöglichen Benutzer auf dem Innere, mit der
Außenseite frei zu verständigen. Die Brandmauer kann Sie gegen irgendeinen
Typen Netz-getragener Angriff schützen, wenn Sie ihn trennen.
Brandmauern sind auch wichtig, da sie ein einzelnes `` Drosselklappe
Punkt '' zur Verfügung stellen können, in dem Sicherheit und Revision
auferlegt werden können. Anders als innen eine Situation, in der ein
Computersystem von jemand in Angriff genommen wird, das innen mit einem
Modem wählt, kann die Brandmauer als ein wirkungsvolles `` Telefonhahn ''
und ein verfolgenhilfsmittel dienen. Brandmauern liefern eine wichtige
protokollierende und revidierenfunktion; häufig stellen sie
Zusammenfassungen zum Verwalter über welche Arten und Menge Verkehr durch
sie überschritt, wieviele Versuche dort in sie brechen sollten, usw. zur
Verfügung.
Wegen dieses sind Brandmauerprotokolle kritisch wichtige Daten. Sie
können als Beweis in einem Gericht in den meisten Ländern benutzt werden.
Sie sollten sichern, zu analysieren und yoru Brandmauer zu schützen
protokolliert dementsprechend.
Dieses ist ein wichtiger Punkt: das Zur Verfügung stellen dieses ``
Drosselklappe Punkt '' kann den gleichen Zweck in Ihrem Netz dienen, das
eine vorsichtige Gatterdose für körperliche Voraussetzungen Ihrer Sites. Das
Mittel, immer wenn Sie eine Änderung `` in den Zonen ' oder in den Stufen
von Empfindlichkeit haben, solch ein Prüfpunkt ist angebracht. Eine Firma
hat selten nur ein äußeres Gatter und keine Empfangsdame oder Sicherheit
Personal, zum der Abzeichen auf der Methode innen zu überprüfen. Wenn es
Schichten Sicherheit auf Ihrer Site gibt, ist es angemessen, Schichten
Sicherheit in Ihrem Netz zu erwarten.
2.4 Nicht kann eine Brandmauer gegen was sich schützen?
Brandmauern können nicht gegen Angriffe sich schützen, die nicht die
Brandmauer durchlaufen. Viele Korporationen, die an das Internet
anschließen, sind über die eigenen Daten sehr beteiligt, die aus der Firma
heraus durch diesen Weg auslaufen. Leider für betroffene die, Laufwerke
machen ein Magnetband, eine Digitalschallplatte, DVD oder USB eines Blitzes
ein, gerade wie effektiv verwendet Sie seien, Daten zu exportieren. Viele
Organisationen, die (auf einer Führungsebene) von den Internet-Anschlüssen
terrified, haben keine zusammenhängende Politik über, wie Vorwahlknopf- im
Zugriff über Modem geschützt werden sollte. Es ist dumm, eine Sechsfuß
starke Stahltür aufzubauen, wenn Sie in einem hölzernen Haus leben, aber es
gibt eine Menge Organisationen aus kostspielige Brandmauern dort kaufen und
das zahlreiche vernachlässigen andere Zurücktüren in ihr Netz. Damit eine
Brandmauer arbeitet, muß es ein Teil einer gleichbleibenden gesamten
organisatorischen Sicherheit Architektur sein. Brandmauerpolitik muß
realistisch sein und die Stufe der Sicherheit im gesamten Netz reflektieren.
Z.B. benötigt eine Site mit oberen geheimen oder eingestuften Daten eine
Brandmauer nicht an allen: sie sollten nicht bis zum Internet an erster
Stelle anspannen, oder die Systeme mit den wirklich geheimen Daten sollten
vom Rest des privaten kommunikationsnetzes lokalisiert werden.
Eine andere Sache, die eine Brandmauer nicht Sie gegen wirklich
schützen kann, ist Traitors oder Idioten innerhalb Ihres Netzes. Während ein
industrieller Spion Informationen durch Ihre Brandmauer exportieren konnte,
ist er als wahrscheinlich gerecht, sie durch ein Telefon, EINE
TELEFAX-Maschine oder eine Digitalschallplatte zu exportieren. CDs sind weit
wahrscheinlichere Mittel zu Information, von Ihrer Organisation als eine
Brandmauer auszulaufen. Brandmauern können nicht Sie gegen auch Stupidity
schützen. Benutzer, die empfindliche Informationen über dem Telefon
aufdecken, sind gute Ziele für Sozialtechnik; ein Angreifer kann können, in
Ihr Netz zu brechen, indem er vollständig Ihre Brandmauer umgeht, wenn er
ein `` nützliches '' Angestelltinnere finden kann, das in das Geben des
Zugriffs zu einem Modempool getäuscht werden kann. Bevor es entscheidet, ist
dieses nicht ein Problem in Ihrer Organisation, sich fragen, wieviel Mühe
eine Fremdfirma das Erhalten protokolliert in das Netz hat, oder wieviel
Schwierigkeit ein Benutzer, der vergaß, sein Kennwort das Müssen es
zurücksetzen. Wenn die Leute auf dem Hilfe Schreibtisch glauben, daß jeder
Aufruf intern ist, haben Sie ein Problem, das nicht geregelt werden kann,
indem man Kontrollen auf den Brandmauern festzieht.
Brandmauern können nicht gegen Einen Tunnel anlegen Überschuß sich
schützen die meisten Anwendungsprotokolle zu oder schlecht schriftliche
Klienten trojaned. Es gibt keine magischen Gewehrkugeln und eine Brandmauer
ist nicht eine Entschuldigung, zum von von Software-Kontrollen in den
internen Netzen nicht einzuführen oder von von Hauptrechnersicherheit auf
Servers zu ignorieren. Einen Tunnel anlegen `` falsche '' Sachen über HTTP,
smtp und anderen Protokollen ist durchaus einfach und belanglos
demonstriert. Sicherheit ist nicht `` Feuer und vergißt ' '.
Zuletzt können Brandmauern nicht gegen die falschen Sachen sich
schützen, die durch sie gelassen werden. Zum Beispiel verwenden viele Trojan
Pferde das Protokoll des Internet Relay Chat (IRC), um einem Angreifer zu
erlauben, einen verglichenen internen Hauptrechner von einem Öffentlichkeit
IRC Server zu steuern. Wenn Sie irgendein internes System an irgendein
externes System anschließen lassen, dann liefert Ihre Brandmauer keinen
Schutz vor diesem Vektor des Angriffs.
2.5 Was über Viren und anderes malware?
Brandmauern können nicht gegen Sachen wie Viren oder böswillige
Software (malware) sehr gut sich schützen. Es gibt zu viele Methoden der
Verschlüsselung der Binärdateien für Übertragung über Netze und zu viele
unterschiedliche Architektur und Viren, um zu versuchen, nach ihnen alle zu
suchen. Das heißt, kann eine Brandmauer nicht Sicherheit-Bewußtsein von
seiten Ihrer Benutzer ersetzen. Im allgemeinen kann eine Brandmauer nicht
gegen einen data-driven Angriff sich schützen -- Angriffe, in denen etwas zu
einem internen Hauptrechner gesendet oder kopiert wird, in dem es dann
durchgeführt wird. Dieses Formular des Angriffs ist in der Vergangenheit
gegen verschiedene Versionen von sendmail ,das ghostscript aufgetretenund
Postbenutzermittel wie Aussicht- und Web-Datenbanksuchroutinen wie Internet
Explorer scripting.
Organisationen, die tief über Viren betroffen werden, sollten
Organisation-breite Viruskontrollmaßnahmen einführen. Anstatt nur
versuchend, Viren an der Brandmauer heraus zu rastern, überprüfen Sie, ob
jeder verletzbare Schreibtisch Virusabtastungsoftware hat, die laufen
gelassen wird, wenn die Maschine neu geladen wird. Das Bedecken Ihres Netzes
mit Virusabtastungsoftware schützt sich gegen Viren, die über Disketten,
CDs, Modem und das Internet hereinkommen. Das Versuchen, Viren an der
Brandmauer zu blocken schützt nur sich gegen Viren vor dem Internet.
Virusabtastung an der Brandmauer oder an der E-mail Gateway stoppt viel
Infektion.
Dennoch bieten eine zunehmende Anzahl von Brandmauerverkäufern `` das
Virus an, das '' Brandmauern entdeckt. They're vermutlich nur nützlich für
die naiven Benutzer, die Windows-auf-Intel vollziehbare Programme und
böswillig-Makro-fähige Anwendung Dokumente austauschen. Es gibt viele
Brandmauer-gegründete Annäherungen für das Beschäftigen Probleme wie die ``
ILOVEYOU '' Endlosschraube und die in Verbindung gestandenen Angriffe, aber
diese sind wirklich allzu vereinfachte Annäherungen, die versuchen, die
Beschädigung von etwas zu begrenzen, das ist, also dumm sollte sie an erster
Stelle nie aufgetreten sein. Zählen Sie nicht auf irgendeinem Schutz vor
Angreifern mit diesem Merkmal. (da `` ILOVEYOU '' umherging, haben wir
mindestens ein halbes Dutzend ähnliche Angriffe, einschließlich Melisse,
Happy99 gesehen, Rot und Badtrans.B codieren, die glücklich durch viele
Virus-entdeckende Brandmauern und E-mail Gateways. geführt wurden)
Eine starke Brandmauer ist nie ein Ersatz für vernünftige Software,
die die Natur erkennt von, was sie -- untrusted Daten von unauthenticated
Partei -- and sich benimmt passend handhat. Denken Sie nicht daß, weil ``
jeder '' diese Werbung benutzt, oder weil der Verkäufer eine gewaltige
multinationale Firma ist, Sie sind sicher. Tatsächlich ist es nicht
zutreffend, daß `` jeder '' jede mögliche Werbung benutzt, und Firmen, die
auf die drehentechnologie sich spezialisieren, die anderwohin in etwas
erfunden wird, das `` einfach ist, '' ohne irgendeine Sachkenntnis zu
benutzen, sind wahrscheinlicher, Software zu produzieren, die getäuscht
werden kann. Weitere Erwägung dieses Themas würde [ 3 ]lohnendsein, aber ist
über dem Bereich dieses Dokumentes hinaus.
2.6 Bildet IPSEC Brandmauern überholt?
Einige haben argumentiert, daß dieses der Fall ist. Bevor man solch
eine ausgedehnte Vorhersage jedoch ausspricht ist es lohnend, zu betrachten,
was IPSEC ist und was es. Sobald wir dieses wissen, können wir betrachten,
ob IPSEC die Probleme löst, die wir versuchen, mit Brandmauern zu lösen.
IPSEC (IP Sicherheit) spricht ein Set Standards an, die durch das
Internet Engineering Task Force (IETF) entwickelt werden. Es gibt viele
Dokumente, die zusammen definieren, was als `` IPSEC '' [ 6]bekannt. IPSEC
löst zwei Probleme, die die IP Protokollsuite für Jahre gequält haben:
Hauptrechner-zu-Hauptrechner Authentisierung (die Hauptrechner informiert,
daß sie mit den Hauptrechnern sprechen, die sie denken, sie) und
Verschlüsselung sind (die verhindert, daß Angreifer können, den Verkehr zu
überwachen, zwischen Maschinen zu gehen).
Beachten Sie, daß kein dieser Probleme ist, was Brandmauern
hergestellt wurden, um zu lösen. Obgleich Brandmauern can help to mitigate
some of the risks present on an Internet without authentication or
encryption, there are really two classes of problems here: integrity and
privacy of the information flowing between hosts and the limits placed on
what kinds of connectivity is allowed between different networks. IPSEC
addresses the former class and firewalls the latter.
What this means is that one will not eliminate the need for the other,
but it does create some interesting possibilities when we look at combining
firewalls with IPSEC-enabled hosts. Namely, such things as
vendor-independent virtual private networks (VPNs), better packet filtering
(by filtering on whether packets have the IPSEC authentication header), and
application-layer firewalls will be able to have better means of host
verification by actually using the IPSEC authentication header instead of
``just trusting'' the IP address presented.
2.7 What are good sources of print information on firewalls?
There are several books that touch on firewalls. The best known are:
Building Internet Firewalls, 2d ed.
Authors
Elizabeth D. Zwicky, Simon Cooper, and D. Brent Chapman
Publisher
O'Reilly
Edition
2000
ISBN
1-56592-871-7
Firewalls and Internet Security: Repelling the Wily Hacker
Authors
Bill Cheswick, Steve Bellovin, Avi Rubin
Publisher
Addison Wesley
Edition
2003
ISBN
020163466X
Practical Internet & Unix Security
Authors
Simson Garfinkel and Gene Spafford
Publisher
O'Reilly
Edition
1996
ISBN
1-56592-148-8
Note
Discusses primarily host security.
Related references are:
Internetworking with TCP/IP Vols I, II, and III
Authors
Douglas Comer and David Stevens
Publisher
Prentice-Hall
Edition
1991
ISBN
0-13-468505-9 (I), 0-13-472242-6 (II), 0-13-474222-2 (III)
Comment
A detailed discussion on the architecture and implementation of the
Internet and its protocols. Volume I (on principles, protocols and
architecture) is readable by everyone. Volume 2 (on design, implementation
and internals) is more technical. Volume 3 covers client-server computing.
Unix System Security--A Guide for Users and System Administrators
Author
David Curry
Publisher
Addison Wesley
Edition
1992
ISBN
0-201-56327-4
2.8 Where can I get more information on firewalls on the Internet?
Site Security Handbook
http://www.rfc-editor.org/rfc/rfc2196.txt The Site Security Handbook
is an information IETF document that describes the basic issues that must be
addressed for building good site security. Firewalls are one part of a
larger security strategy, as the Site Security Handbook shows.
Firewalls Mailing List
http://www.isc.org/index.pl?/ops/lists/firewalls/ The internet
firewalls mailing list is a forum for firewall administrators and
implementors.
Firewall-Wizards Mailing List
http://honor.icsalabs.com/mailman/listinfo/firewall-wizards The
Firewall Wizards Mailing List is a moderated firewall and security related
list that is more like a journal than a public soapbox.
Firewall HOWTO
http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html Describes exactly
what is needed to build a firewall, particularly using Linux.
Firewall Toolkit (FWTK) and Firewall Papers
ftp://ftp.tis.com/pub/firewalls/
Marcus Ranum's firewall related publications
http://www.ranum.com/pubs/
Texas A&M University security tools
http://www.net.tamu.edu/ftp/security/TAMU/
COAST Project Internet Firewalls page
http://www.cerias.purdue.edu/coast/firewalls/
Back to Top
Brandmauer FAQ in deutschem Teil 2
3 Design-und Implementierung-Ausgaben
3.1 Was sind einige der grundlegenden Designentscheidungen in einer
Brandmauer?
Es gibt eine Anzahl von grundlegenden Designpunkten, die von der
glücklichen Person angesprochen werden sollten, die tasked mit der
Verantwortlichkeit des Konzipierens, des Spezifizierens und des Einführens
oder des Beaufsichtigens der Installation einer Brandmauer gewesen ist.
Die erste und meiste wichtige Entscheidung reflektiert die Politik
von, wie Ihre Firma oder Organisation das System laufen lassen möchte: ist
die Brandmauer im Platz, ausdrücklich, zum aller Services ausgenommen die zu
verweigern, die zur Mission des Anschließens an das Netz kritisch sind oder
ist die Brandmauer im Platz, zum einer gemessenen und revidierten Methode ``
des einreihenden '' Zugriffs bereitzustellen in einer nicht-bedrohenden
Weise? Es gibt Grad Paranoia zwischen diesen Positionen; die abschließende
Position Ihrer Brandmauer konnte mehr das Resultat eines politischen als
eine Technikentscheidung sein.
Die Sekunde ist: welche Stufe der Überwachung, Redundanz und Steuerung
wünschen Sie? , die annehmbare Gefahr Stufe (d.h., wie Paranoid Sie sind),
indem Sie die erste Ausgabe beheben, können Sie herstellend bilden eine
Checkliste von, was überwacht werden, die Erlaubnis gehabt werden und
verweigert werden sollte. Das heißt, beginnen Sie, indem Sie aus Ihren
gesamten Lernzielen darstellen, und kombinieren dann benötigen Analyse mit
einer Risikobeurteilung und sortieren die fast immer kontroversen
Anforderungen heraus in eine Wäschereiliste, die spezifiziert, was Sie
planen, einzuführen.
Die dritte Ausgabe ist finanziell. Wir können nicht dieses hier in
alles andere als in den vage Bezeichnungen adressieren, aber es ist wichtig
zu versuchen, mengenmäßig zu bestimmen alle mögliche vorgeschlagenen
Lösungen in, wieviel ausgedrückt es irgendein, um zu kaufen kostet oder
einzuführen. Z.B. kann ein komplettes Brandmauerprodukt zwischen $100.000 am
hohen Ende kosten und gibt am niedrigen Ende frei. Die freie Option, des
Tuns irgendeiner Phantasie, die auf einem Cisco oder einem ähnlichen Fräser
konfiguriert, kostet nichts aber Personalzeit und einige Cup Kaffee. Das
Einführen einer hohen Ende Brandmauer vom Kratzer konnte einige Mann-Monate
kosten, die zu Wert $30.000 des Personalgehaltes und -nutzens gleichstellen
können. Die Systemmanagementunkosten sind auch eine Erwägung. Haus-brauen
aufzubauen ist fein, aber es ist wichtig, es aufzubauen, damit es nicht
konstante (und kostspielige) Aufmerksamkeit benötigt. Es ist wichtig, das
heißt, Brandmauern kostet auszuwerten nicht nur in was ausgedrückt sie jetzt
kosten, aber fortfahrend wie Support.
Auf der technischen Seite gibt es Paare zu bilden der Entscheidungen,
basiert auf der Tatsache, die zu mit allen praktischen Zwecken was wir uns
befassen ein statischer Verkehrslenkung Service ist, der zwischen den Fräser
des Vermittlungsdienst-Versorgers und Ihr internes Netz plaziert wird. Der
Verkehrslenkung Service kann auf einer IP Stufe über etwas wie
Siebungrichtlinien in einem Fräser oder auf einer Anwendung Stufe über
Vollmachtgateways und -dienstleistungen eingeführt werden.
Die zu bilden Entscheidung ist, ob man eine herausgestellte
entfernte-unten Maschine auf das äußere Netz plaziert, um Vollmachtservices
für telnet, ftp, Nachrichten, etc. laufen zu lassen oder ob man ein
screening router als Filter aufstellt und Kommunikation mit einer oder mehr
internen Maschinen ermöglicht. Es gibt Nutzen und Nachteile zu beiden
Annäherungen, wenn die Vollmachtmaschine eine grössere Stufe der Revision
und, möglicherweise, Sicherheit in der Rückkehr für erhöhte Kosten
bereitstellt, in der Konfiguration und eine Abnahme an der Stufe des
Services, die zur Verfügung gestellt werden kann (da eine Vollmacht für
jeden gewünschten Service entwickelt werden muß). Der alte Kompromiß
zwischen Benutzerfreundlichkeit und Sicherheit kommt zurück, um uns mit
einem vengeance zu frequentieren.
3.2 Was sind die grundlegenden Typen der Brandmauern?
Begrifflich gibt es drei Typen Brandmauern:
Vermittlungsschicht
Anwendungsschicht
Mischlinge
Sie sind nicht so unterschiedlich, wie Sie denken konnten, und neueste
Technologien verwischen die Unterscheidung zum Punkt, in dem sie nicht mehr
klar ist, wenn irgendein man ist `` besseres '' oder `` falscheres.'' Als
immer, müssen Sie achtgeben, daß den Typen auswählen, der Ihre Bedürfnisse
erfüllt.
Welches ist, welches abhängt von, welchen Einheiten die Brandmauer
verwendet, Verkehr von einer Sicherheit Zone zu anderen zu führen. Das
internationale Standard-Organisation (ISO) geöffnete Systeme Verknüpfung
(OSI) Modell für Vernetzung definiert sieben Schichten, in denen jede
Schicht Dienstleistungen liefert, denen `` hochgradige '' Schichten von
abhängen. In der Ordnung von der Unterseite, sind diese Schichten,
Datenübermittlungsabschnitt, Netz, Transport, Sitzung, Darstellung,
Anwendung körperlich.
Die wichtige zu erkennen Sache ist, daß das auf der unteren Ebene die
Versendeneinheit, weniger Prüfung, welche, kann die Brandmauer durchführen.
Allgemeines sprechend, sind auf der unteren Ebenebrandmauern schneller, aber
sind einfacher, in das Tun der falschen Sache zu täuschen.
Diese Tage, fallen die meisten Brandmauern in die `` hybride ''
Kategorie, die das Netz tun, das sowie irgendeine Menge Anwendung Kontrolle
filtert. Die Menge ändert abhängig von dem Verkäufer, dem Produkt, dem
Protokoll und der Version, also ist irgendeine Stufe des Grabens und/oder
der Prüfung häufig notwendig.
3.2.1 Vermittlungsschichtbrandmauern
Diese treffen im Allgemeinen ihre Entscheidungen, die auf der Quelle,
den Zieladressen und den Kanälen basieren (sehen Sie Anhang 6 für eine
ausführlichere Diskussion über Kanäle), in den einzelnen IP Paketen. Spricht
mit, ein einfacher Fräser ist die `` traditionelle ''
Vermittlungsschichtbrandmauer, da es kann nicht, besonders hoch entwickelte
Entscheidungen über, von einem welchem Paket zu treffen wirklich oder von wo
es wirklich kam. Moderne Vermittlungsschichtbrandmauern sind in zunehmendem
Maße hoch entwickelt geworden und jetzt interne Informationen über den
Zustand der Anschlüsse beibehalten, die durch sie überschreiten, den Inhalt
von einigem von den Datenströmen und so weiter. Eine Sache, die eine
wichtige Unterscheidung über viele Vermittlungsschichtbrandmauern ist ist,
daß sie Verkehr direkt zwar sie verlegen, also zu Gebrauch einer müssen Sie
entweder einen gültig zugewiesenen IP addressblock haben oder einen ``
privaten Internet '' Adresse Block [ 5]benutzen.
Vermittlungsschichtbrandmauern neigen, zu sein sehr schnell und zu neigen,
zu den Benutzern sehr transparent zu sein.
Abbildung 1: Mite Filter versehen Hauptrechner-Brandmauer
In Abbildung 1, benannte eine Vermittlungsschichtbrandmauer einen ``
miten Filter versehen Hauptrechner, Brandmauer, die '' dargestellt wird. In
einer miten Filter versehen Hauptrechnerbrandmauer ist Zugriff nach und von
einem einzelnen Hauptrechner mittels eines Fräsers kontrolliert, der an
einer Vermittlungsschicht funktioniert. Der einzelne Hauptrechner ist ein
bastion host; ein hoch-verteidigter und gesicherter Starkpunkt, dem
(hoffnungsvoll) Angriff widerstehen kann.
Abbildung 2: Mite Filter versehen Teilnetz-Brandmauer
Beispiel-Vermittlungsschichtbrandmauer: In Abbildung 2, benannte eine
Vermittlungsschichtbrandmauer ein `` mites Filter versehen
Teilnetzbrandmauer '' wird dargestellt. In einer miten Filter versehen
Teilnetzbrandmauer ist Zugriff nach und von einem vollständigen Netz mittels
eines Fräsers kontrolliert, der an einer Vermittlungsschicht funktioniert.
Er ist einem miten Filter versehen Hauptrechner ähnlich, außer daß es ist
effektiv ein Netz der miten Filter versehen Hauptrechner.
3.2.2 Anwendungsschichtbrandmauern
Diese sind im Allgemeinen die Hauptrechner, die Vollmachtservers
laufen lassen, die keinen Verkehr direkt zwischen Netzen ermöglichen und die
das durchdachte Protokollieren und die Revidierung des Verkehrs
überschreiten durch sie durchführen. Da die Vollmachtanwendungen die
Softwarebausteine sind, die auf die Brandmauer laufen, ist es ein guter
Platz, zum der Lots des Protokollierens und der Zugriffssteuerung zu tun.
Anwendungsschichtbrandmauern können als Endsystemadresseübersetzer benutzt
werden, da Verkehr in einen `` seitliches '' und aus dem anderen geht,
nachdem erüberschritten nachher durch eine Anwendung erüberschritten hatte,
die effektiv den Ursprung des initialisierenden Anschlußes verdeckt. Haben
einer Anwendung in der Methode kann Leistung in einigen Fällen auswirken und
kann die Brandmauer weniger transparent bilden. Frühe
Anwendungsschichtbrandmauern wie die aufgebaut mit dem TIS Brandmauer
Toolkit, sind nicht zu den Endbenutzern besonders transparent und können
etwas Training benötigen. Moderne Anwendungsschichtbrandmauern sind häufig
völlig transparent. Anwendungsschichtbrandmauern neigen, ausführlichere
Prüfungsberichte zur Verfügung zu stellen und zu neigen, konservativere
Sicherheit Modelle als Vermittlungsschichtbrandmauern zu erzwingen.
Abbildung 3: Verdoppeln Selbstpeilende Gateway
Beispiel-Anwendungsschichtbrandmauer: In Abbildung 3, wird eine
Anwendungsschichtbrandmauer, die ein `` selbstpeilendes Gateway Doppel''
genannt wird, dargestellt. Eine selbstpeilende Doppelgateway ist ein in
hohem Grade gesicherter Hauptrechner, der Vollmachtsoftware laufen läßt. Sie
hat zwei Netzschnittstellen, eine in jedem Netz und blockt allen Verkehr,
der durch sie überschreitet.
Die meisten Brandmauern liegen jetzt irgendwo zwischen
Vermittlungsschichtbrandmauern und Anwendungsschichtbrandmauern. Wie
erwartet, haben Vermittlungsschichtbrandmauern gewordenes in zunehmendem
Maße `` bewußtes '' der Informationen, die sie durchlaufen, und
Anwendungsschichtbrandmauern haben gewordenes in zunehmendem Maße ``
niedrige Stufe '' und transparente. Das Ende Resultat ist, daß jetzt es
schnelle Paket-Siebung Systeme gibt, die Protokoll und Revision Daten, wie
sie durch das System überschreiten. In zunehmendem Maße enthalten
Brandmauern (Netz und Anwendungsschicht) Verschlüsselung, damit sie den
Verkehr schützen können, der zwischen sie über das Internet überschreitet.
Brandmauern mit aufeinanderfolgender Verschlüsselung können durch
Organisationen mit mehrfachen Punkten der Internet-Konnektivität benutzt
werden, um das Internet als `` privates Rückgrat '' zu benutzen, ohne um
ihre Daten oder Kennwörter sich zu sorgen, die geschnüffelt werden. (IPSEC,
beschrieben in Kapitel 2.6, spielt eine in zunehmendem Maße bedeutende Rolle
im Aufbau solcher virtueller privater Netze.)
3.3 Was sind Vollmachtservers und wie sie arbeiten?
Ein proxy server (manchmal gekennzeichnet als eine Anwendung Gateway
oder ein Absender) ist eine Anwendung, die Verkehr zwischen einem
geschützten Netz und dem Internet vermittelt. Vollmächte werden häufig
anstelle von Fräser-gegründeten Verkehrssteuerungen verwendet, um Verkehr am
Überschreiten direkt zwischen Netze zu verhindern. Viele Vollmächte
enthalten die protokollierenden Extrakosten oder unterstützen für
Benutzerauthentisierung. Da Vollmächte `` '' verstehen müssen das
Anwendungsprotokoll, das verwendet wird, können sie spezifische Sicherheit
des Protokolls auch einführen (z.B., konnte eine ftp Vollmacht
konfigurierbar sein, ankommendes ftp zu ermöglichen und gehend ftp zu
blocken).
Vollmachtservers sind Anwendung Besondere. Um ein neues Protokoll über
eine Vollmacht zu unterstützen, muß eine Vollmacht für sie entwickelt
werden. Ein populäres Set Vollmachtservers ist der TIS
Internet-Brandmauertoolkit (``FWTK ' ') der Vollmächte für telnet, rlogin,
ftp, die X Fenster System, HTTP/Web und NNTP/Usenet Nachrichten einschließt.
SOCKEN ist ein generisches Vollmachtsystem, das in eine Klient-Seite
Anwendung kompiliert werden kann, um es Arbeit durch eine Brandmauer zu
bilden. Sein Vorteil ist, daß zu verwenden ist einfach, aber er unterstützt
nicht die Hinzufügung der Authentisierung Haken oder führt spezifisches
Protokollieren Protokoll. Zu mehr Information über SOCKEN, sehen Sie
http://www.socks.nec.com/.
3.4 Was sind einige preiswerte Paketsiebunghilfsmittel?
Die Texas A&M Universitätssicherheit Hilfsmittel schließen Software
für einführende Siebungfräser ein. Karlbridge ist ein PC-GEGRÜNDETER
screening routerinstallationssatz, der von
ftp://ftp.net.ohio-state.edu/pub/kbridge/ vorhanden ist.
Es gibt zahlreiche Kern-Stufe Paketbildschirme, einschließlich ipf,
ipfw, ipchains, PFund ipfwadm. Gewöhnlich sind diese in den verschiedenen
freien Unix Implementierungen, wie FreeBSD ,OpenBSD ,NetBSD und Linux
eingeschlossen. Sie konnten diese Hilfsmittel vorhanden auch finden in Ihrer
kommerziellen Unix Implementierung.
Wenn Sie bereit sind, Ihren Händen ein wenig schmutziges zu erhalten,
ist es vollständig möglich, eine sichere und völlig Funktionsbrandmauer für
den Preis der Hardware aufzubauen und etwas von Ihrer Zeit.
3.5 Was sind einige angemessene filternrichtlinien für einen
Kern-gegründeten Paketbildschirm?
Dieses Beispiel wird spezifisch für ipfwadm auf Linux geschrieben,
aber die Grundregeln (und sogar viel der Syntax) beanträgt andere
Kernschnittstellen für Paketsiebung auf `` geöffneten Quell'' Unix Systemen.
Es gibt vier grundlegende Kategorien, die durch die ipfwadm
Richtlinien abgedeckt werden:
- A
Paket-Buchhaltung
- I
Inputbrandmauer
- O
Ausgabebrandmauer
- F
Versendenbrandmauer
ipfwadm hat auch das Masquerading (-M) Fähigkeiten. Zu mehr
Information über Schalter und Optionen, sehen Sie die ipfwadm Mann- Seite.
3.5.1 Implementierung
Hier benutzt unsere Organisation ein privates (RFC 1918) Kategorie C
Netz 192.168.1.0. Unser ISP hat uns die Adresse 201.123.102.32 für externe
Schnittstelle unserer Gateway und 201.123.102.33 für unser externes mail
server zugewiesen. Organisatorische Politik sagt:
Erlauben Sie alle gehend TCP Anschlüsse
Erlauben Sie ankommendes smtp und DNS zum externen mail server
Blocken Sie weiteren ganzen Verkehr
Der folgende Block von Befehlen kann in eine System Aufladung Datei
(möglicherweise rc.local auf Unix Systemen) gelegt werden.
ipfwadm - F - f ipfwadm - F - p verweigern
ipfwadm - F - i m - b - P TCP - S 0.0.0.0/0 1024:65535 - D
201.123.102.33 25 ipfwadm - F - i m - b - P TCP - S 0.0.0.0/0
1024:65535 - D 201.123.102.33 53 ipfwadm - F - i m - b - P UDP - S
0.0.0.0/0 1024:65535 - D 201.123.102.33 53 ipfwadm - F - ein m - S
192.168.1.0/24 - D 0.0.0.0/0 - W eth0 /sbin/route fügen hinzu -
bewirten 201.123.102.33 gw 192.168.1.2
3.5.2 Erklärung
Zeile man leert (- f) alle Richtlinien des Versendens(-F).
Zeile zwei Sets die Rückstellung Politik (-P) verweigern.
Zeilen drei bis fünf sind eingegebene Richtlinien (-i) im folgenden
Format:
ipfwadm - F (Vorwärts) - i (Input) m (masq.) - b (Umkehr) - P
protocol)[protocol ]- S (source)[subnet/mask ] [ Kanäle entstehend ]- D
(destination)[subnet/mask][port ]
Zeile sechs fügt hinzu (-A) wendet eine Richtlinie, die alles interne
IP ermöglicht, heraus an alle externen Adressen auf allen Protokollen, alle
Kanäle.
Zeile acht fügt einen Weg hinzu, damit der Verkehr, der bis
201.123.102.33 geht, auf die interne Adresse 192.168.1.2 verwiesen wird.
3.6 Was sind einige angemessene filternrichtlinien für ein Cisco?
Das Beispiel in Abbildung 4 zeigt eine mögliche Konfiguration für das
Verwenden des Cisco als filternfräser. Es ist eine Probe, die die
Implementierung von als spezifische Politik zeigt. Ihre Politik verändert
ohne Zweifel sich.
Abbildung 4: Paket-Filternfräser
In diesem Beispiel hat eine Firma Kategorie C Endsystemadresse
195.55.55.0. Firmanetz wird an Internet über IP Diensterbringer
angeschlossen. Firmapolitik ist, jeder Zugriff zu den
Internet-Dienstleistungen zuzugestehen, also werden alle gehend Anschlüsse
angenommen. Alle ankommenden Anschlüsse laufen `` mailhost ' ' durch. Post
und DNS sind nur ankommende Dienstleistungen.
3.6.1 Implementierung
Erlauben Sie alles gehend TCP-connections
Erlauben Sie ankommendes smtp und DNS zum mailhost
Erlauben Sie ankommende ftp Datenverbindungen zum hohen TCP Kanal
(1024)
Versuchen Sie, Dienstleistungen zu schützen, die auf hohen Portzahlen
leben
Nur ankommenden Paketen vom Internet werden innen diese Konfiguration
überprüft. Richtlinien werden in der Ordnung geprüft und stoppen, wenn die
erste Übereinstimmung gefunden wird. Es gibt verweigern Richtlinie am Ende
einer Zugriff Liste ein implizites, die alles verweigert. Diese IP Zugriff
Liste nimmt an, daß Sie Cisco IOS V laufen lassen. 10.3 oder späteres.
kein IP Quelle-verlegen! Schnittstelle Ethernet 0
IP address, 195.55.55.1, die kein IP verweisen-übertrug!
Schnittstelle Serie 0 kein IP verweisen-übertrug IP
Zugriff-Gruppe 101 Zoll! Zugriff-Liste 101 verweigern IP,
127.0.0.0, die 0.255.255.255 jede mögliche Zugriff-Liste 101 IP
verweigern, 10.0.0.0 0.255.255.255 irgendeine Zugriff-Liste 101 IP
verweigern, 172.16.0.0 0.15.255.255 jede mögliche Zugriff-Liste
101 IP verweigern, 192.168.0.0 0.0.255.255 irgendeine Zugriff-Liste
101 IP irgendwelche 0.0.0.255 255.255.255.0 verweigern,
Zugriff-Liste 101 IP irgendwelche 0.0.0.0 255.255.255.0 verweigern!
Zugriff-Liste 101 verweigern IP 195.55.55.0 0.0.0.255
Zugriff-Liste 101 Erlaubnis-TCP irgendwelche irgendwie hergestellt!
Zugriff-Liste 101 Erlaubnis-TCP irgendein Hauptrechner
195.55.55.10 eq smtp Zugriff-Liste 101 Erlaubnis-TCP irgendein
Hauptrechner 195.55.55.10 eq DNS Zugriff-Liste 101 Erlaubnis-UDP
irgendein Hauptrechner 192.55.55.10 eq DNS! Zugriff-Liste
101 verweigern TCP jede mögliche irgendeine Strecke 6000 6003, die
Zugriff-Liste 101 TCP jede mögliche irgendeine Strecke verweigern,
2000 2003 Zugriff-Liste 101 TCP verweigern, jede mögliche
irgendeine eq Zugriff-Liste 2049 101 UDP jedem möglichem
irgendeinem eq 2049 verweigern Sie! Zugriff-Liste 101
Erlaubnis-TCP irgendwelche 20 irgendein gt 1024!
Zugriff-Liste 101 Erlaubnis-ICMP irgendein irgendein!
SNMP-Server Gemeinschafts-FOOBAR RO 2 Zeile vty 0 4
Zugriff-Kategorie 2 in Zugriff-Liste 2 Erlaubnis 195.55.55.0
0.0.0.255
3.6.2 Erklärungen
Lassen Sie alle Quelle-verlegten Pakete fallen. Quellwegewahl kann für
die spoofing Adresse verwendet werden.
Tropfen verwies Sendungen, die in den smurf Angriffen verwendet
werden.
Wenn ein ankommendes Paket behauptet, von einem lokalen Netz, von
einem Schleifenbetriebnetz oder von einem privaten Netz zu sein, lassen Sie
es fallen.
Alle Pakete, die ein Teil bereits hergestelltes TCP-connections sind,
können durch überschreiten, ohne weiter zu überprüfen.
Alle Anschlüsse zu den niedrigen Portzahlen werden ausgenommen smtp
und DNS geblockt.
Blocken Sie alle Dienstleistungen, die auf TCP Anschlüsse auf hohen
Portzahlen hören. X11 (Kanal 6000+), OpenWindows (Kanal 2000+) sind einige
Anwärter. NFS (Kanal 2049) läßt normalerweise Über-UDP, aber es kann über
TCP laufen gelassen werden, also Sie sollte ihn blocken laufen.
Ankommende Anschlüsse von Kanal 20 in hohe Portzahlen sollen ftp
Datenverbindungen sein.
Zugriff-Liste 2 begrenzt Zugriff zum Fräser selbst (telnet u. SNMP)
Aller UDP Verkehr wird geblockt, um RPC Dienstleistungen zu schützen
3.6.3 Fehler
Sie können nicht starke Zugriff Politik mit Fräserzugriff Listen
erzwingen. Benutzer können backdoors zu ihren Systemen leicht installieren,
um Überschuß `` kein ankommendes telnet '' oder `` keine '' X11 Richtlinien
zu erhalten. Auch Cracker installieren telnet backdoors auf Systeme, wohin
sie innen brechen.
Sie können sicher nie sein, welchen Dienstleistungen Sie das Hören auf
Anschlüssen auf hohen Portzahlen haben. (Sie können nicht von, welchen
Dienstleistungen sicher sein Sie das Hören auf Anschlüssen auf niedrigen
Portzahlen haben, irgendein, besonders in in hohem Grade dezentralisierten
Umgebungen, in denen Leute ihre eigenen Maschinen auf das Netz setzen
können, oder wo sie administrativen Zugriff zu ihren eigenen Maschinen
erhalten können.)
Den Quellkanal auf ankommenden ftp Datenverbindungen zu überprüfen ist
eine schwache Sicherheit Methode. Es bricht auch Zugriff zu einigen ftp
Sites. Es gebraucht den Service, der für Benutzer schwieriger ist, ohne
falsche Kerle am Absuchen Ihrer Systeme zu hindern.
Gebrauch-mindestens Cisco Version 9.21 so können Sie ankommende Pakete
filtern und auf spoofing Adresse überprüfen. Es ist noch besser, 10.3 zu
verwenden, wo Sie einige Extramerkmale (wie die Entstörung auf Quellkanal)
und etwas Verbesserungen auf Filtersyntax erhalten.
Sie haben noch einige Methoden, Ihre Installation stärker zu bilden.
Blocken Sie alles ankommende TCP-connections und erklären Sie Benutzern,
Klienten PassivFtp zu verwenden. Sie können gehend ICMP auch blocken
Echo-antworten und Zieleinheit-nicht-erreichbare Meldungen, um Ihr Netz zu
verstecken und Gebrauch der Netzscanner zu verhindern. Cisco.com Gebrauch,
ein Archiv der Beispiele für das Aufbauen der Brandmauern mit Cisco Fräsern
zu haben, aber es scheinen nicht, online sein mehr. Es gibt einige
Anmerkungen über Cisco Zugriffssteuerunglisten mindestens an
ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.
3.7 Was sind die kritischen Betriebsmittel in einer Brandmauer?
Es ist wichtig, die kritischen Betriebsmittel Ihrer
Brandmauerarchitektur zu verstehen, also, wenn Sie Kapazität Planung,
Leistung Optimierungen, etc. tun, wissen Sie genau, was Sie tun müssen und
wieviel Sie benötigen, um es zu tun, um das gewünschte Resultat zu erhalten.
Was genau die kritischen Betriebsmittel der Brandmauer sind, neigt,
von Site zu Site, abhängig von der Sortierung des Verkehrs zu schwanken, der
das System lädt. Einige Leute denken, daß sie automatisch können, den
Datendurchsatz ihrer Brandmauer, indem sie in einen Kasten mit einer
schnelleren CPU oder eine andere, CPU sich setzen zu erhöhen, wenn dieses
nicht notwendigerweise der Fall ist. Möglicherweise könnte diese eine große
Geldverschwendung sein, das nicht nichts tut, das zur Hand Problem zu lösen
oder das erwartete scalability zur Verfügung zu stellen.
Auf besetzten Systemen ist Speicher extrem wichtig. Sie müssen
genügend RAM haben, zum jedes Falls jedes Programms zu unterstützen, das
notwendig ist, die Eingabe instandzuhalten, die auf diese Maschine plaziert
wird. Andernfalls beginnt das abwechselnde Ein- und Auslagern und die
Produktivität stoppt. Das helle abwechselnde Ein- und Auslagern ist nicht
normalerweise viel eines Problems, aber, wenn Austauschplatz eines Systems
anfängt, besetzt zu erhalten, dann es ist normalerweise Zeit für mehr RAM.
Ein System, das schwer austauscht, ist häufig verhältnismäßig einfach, über
den Rand in einem Ablehnung-von-Service Angriff zu drücken oder fällt
einfach, nach, in, die Eingabe zu verarbeiten, die auf es plaziert wird.
Dieses ist, wo langes email Anfang verzögert.
Über der Anforderung des Systems für Speicher hinaus, ist es nützlich,
zu verstehen, daß unterschiedliche Dienstleistungen unterschiedliche System
Betriebsmittel benutzen. So sollte die Konfiguration, die Sie für Ihr System
haben, von der Art der Eingabe hinweisend sein, die Sie planen
instandzuhalten. Ein 1400 MHZ Prozessor wird nicht Sie tun viel gutes, wenn
alle, die Sie tun, Netnews und Post ist und versucht, sie auf einer IDE
Platte mit einem ISA Controller zu tun.
Tabelle 1: Kritische Betriebsmittel für Brandmauer-Dienstleistungen
Service Kritisches Hilfsmittel
Email Platte I/O
Netnews Platte I/O
Web Hauptrechner OS Einfaßung Leistung
IP Wegewahl Hauptrechner OS Einfaßung Leistung
Web-Cache Hauptrechner OS Einfaßung Leistung, Platte I/O
3.8 Was ist ein DMZ und warum ich wünschen ein?
`` DMZ '' ist eine Abkürzung für `` demilitarized Zone ' '. Im Kontext
der Brandmauern, spricht dieses ein Teil des Netzes, das weder Teil des
internen Netzes ist an noch zerteilt direkt vom Internet. Gewöhnlich ist
dieses der Bereich zwischen Ihrem Internet-Zugriff Fräser und Ihrem bastion
host, obwohl es zwischen allen möglichen zwei Politik-erzwingenden
Bestandteilen Ihrer Architektur sein kann.
Ein DMZ kann erstellt werden, indem man Zugriffssteuerunglisten auf
Ihren Zugriff Fräser setzt. Dieses setzt die Berührung der Hauptrechner auf
Ihrem externen LAN durch die anerkannten und gehandhabten Services Gewährens
nur an jenen Hauptrechnern, um durch Hauptrechner auf dem Internet
zugänglich zu sein herab. Viele kommerzielle Brandmauern bilden einfach eine
dritte Schnittstelle weg vom bastion host und beschriften sie das DMZ, ist
der Punkt, daß das Netz weder `` Innere'' noch `` -außenseite ' ' ist.
Z.B. konnte ein web server, das auf NT läuft, zu einer Anzahl von
Ablehnung-von-Service Angriffen gegen solche Dienstleistungen wie RPC,
NetBIOS und SMB verletzbar sein. Diese Dienstleistungen werden nicht für die
Operation eines web server benoetigt und so blocken TCP Anschlüsse zu
Kanälen 135, 137, 138, und 139 auf diesem Hauptrechner verringern die
Aussetzung zu einem Ablehnung-von-Service Angriff. Tatsächlich wenn Sie
alles aber HTTP Verkehr zu diesem Hauptrechner blocken, hat ein Angreifer
nur einen anzugreifen Service.
Dieses veranschaulicht eine wichtige Grundregel: nie möchten die
Angebotangreifer mehr, zum mit zu arbeiten als absolut notwendig, um die
Dienstleistungen zu unterstützen sind Sie, die Öffentlichkeit
Back to Top
Brandmauer FAQ in deutschem Teil 3
3.9 Wie konnte ich die Sicherheit und das scalability meines DMZ
erhöhen?
Eine geläufige Annäherung für einen Angreifer soll in einen
Hauptrechner, der zum Angriff verletzbar ist, und in Großtatvertrauen
Verhältnisse brechen zwischen dem verletzbaren Hauptrechner und den
interessanteren Zielen.
Wenn Sie eine Anzahl von Dienstleistungen laufen lassen, die
unterschiedliche Stufen der Sicherheit haben, konnten Sie Ihr DMZ, in einige
`` Sicherheit Zonen ' zu brechen erwägen wünschen. Dieses kann indem man
eine Anzahl von unterschiedlichen Netzen innerhalb des DMZ getan werden hat.
Z.B. konnte der Zugriff Fräser zwei Ethernets, beide einziehen, die von ACLs
und folglich im DMZ geschützt wurden.
Auf einem des Ethernets, konnten Sie Hauptrechner haben deren Zweck
ist, Notwendigkeit Ihrer Organisation an der Internet-Konnektivität
instandzuhalten. Diese geben wahrscheinlich Post, Nachrichten und
Hauptrechner DNS weiter. Auf dem anderen Ethernet sein konnten Ihr Web
server(s) und andere Hauptrechner, die Dienstleistungen zugunsten der
Internet-Benutzer zur Verfügung stellen.
In vielen Organisationen neigen Services für Internet-Benutzer,
weniger sorgfältig geschützt zu werden und sind wahrscheinlicher, unsichere
Sachen zu tun. (zum Beispiel, im Fall von einem web server, unauthenticated
und untrusted Benutzer konnte cgi, PHP oder andere vollziehbare Programme
laufen lassen. Dieses konnte für Ihr web server angemessen sein, aber holt
mit ihm ein bestimmtes Set Gefahren, die gehandhabt werden müssen. Es ist
diese Dienstleistungen ist zu riskant für eine Organisation, sie auf einem
bastion host laufen zu lassen wahrscheinlich, in dem kann den kompletten
Ausfall der Sicherheit Einheiten ergeben. gleitenSie)
Indem Sie die Hauptrechner mit ähnlichen Stufen der Gefahr auf Netze
in das DMZ zusammenfügen, können Sie helfen, den Effekt eines Trainierens an
Ihrer Site herabzusetzen. Wenn jemand in Ihr web server einbricht, indem er
irgendeinen Programmfehler in Ihrem web server ausnutzt, können sie nicht,
es als ausstoßender Punkt zu verwenden, um in Ihr privates Netz zu brechen,
wenn die Web-Servers auf einem unterschiedlichen LAN von den
Bastionhauptrechnern sind, und Sie haben keine Vertrauen Verhältnisse
zwischen dem web server und dem bastion host.
Jetzt halten Sie im Verstand, daß dieses Ethernet ist. Wenn jemand in
Ihr web server einbricht und Ihr bastion host auf dem gleichen Ethernet ist,
kann ein Angreifer einen Sauganleger auf Ihr web server installieren und
überwacht den Verkehr nach und von Ihrem bastion host. Dieses konnte Sachen
aufdecken, die verwendet werden können, um in das bastion host zu brechen
und zum internen Netz Zutritt zu erhalten. (geschaltetes Ethernet kann Ihre
Aussetzung zu dieser Art des Problems verringern, aber wird sie nicht.
beseitigen)
Aufspaltendienstleistungen oben nicht nur durch Hauptrechner, aber,
indem Sie Netze, und die Stufe des Vertrauens zwischen Hauptrechnern in
jenen Netzen, Sie kann die Wahrscheinlichkeit eines Trainierens auf einem
Hauptrechner groß verringern begrenzen, der verwendet wird, in den anderen
zu brechen. Succinctly angegeben: das Brechen in das web server in diesem
Fall bildet es nicht irgendwie einfacher, in das bastion host zu brechen.
Sie können das scalability Ihrer Architektur auch erhöhen, indem Sie
Hauptrechner auf unterschiedliche Netze plazieren. Wenige Maschinen gibt es,
die vorhandene Bandweite zu teilen, mehr Bandweite erhält jedes.
3.10 Was ist ein ` einzelner Punkt des Ausfalls ' und wie ich
vermeiden, ein zu haben?
Eine Architektur deren Sicherheit nach einer Einheit schwenkbar
lagert, hat einen einzelnen Punkt des Ausfalls. Software, die
Bastionhauptrechner laufen läßt, hat Programmfehler. Anwendungen haben
Programmfehler. Software, die Fräser steuert, hat Programmfehler. Sie ist
sinnvoll, alle diese Bestandteile zu benutzen, um ein sicher konzipiertes
Netz aufzubauen, und sie in den überflüssigen Methoden zu benutzen.
Wenn Ihre Brandmauerarchitektur ein mites Filter versehen Teilnetz
ist, haben Sie zwei filternfräser des Pakets und ein bastion host. (sehen
Sie Frage 3.2 von diesem Kapitel.) Ihr Internet-Zugriff Fräser ermöglicht
nicht Verkehr vom Internet, in Ihr privates Netz vollständig zu erhalten.
Jedoch wenn Sie nicht daß Richtlinie mit irgendwelchen anderen Einheiten auf
dem bastion- host und/oder Drosselklappenfräser erzwingen, nur ein
Bestandteil Ihrer Architektur ausfallen oder verglichen werden muß, um nach
innen zu erhalten. Andererseits wenn Sie eine überflüssige Richtlinie auf
dem bastion host haben, und wieder auf dem Drosselklappe Fräser, muß ein
Angreifer drei Einheiten besiegen.
Weiter wenn das bastion host oder der Drosselklappe Fräser seine
Richtlinie hervorrufen muß, um äußeren Zugriff zum internen Netz zu blocken,
konnten Sie wünschen es eine Warnung irgendeiner Sortierung starten lassen,
da Sie wissen, daß jemand durch Ihren Zugriff Fräser erhalten hat.
3.11 Wie kann ich die ganze falsche Material blocken?
Für Brandmauern, in denen das Hauptgewicht auf Sicherheit anstelle von
der Konnektivität ist, sollten Sie alles, durch Rückstellung zu blocken, und
nur spezifisch zu erlauben erwägen, welche Dienstleistungen Sie auf einer
Schachtel-durch-Schachtel Grundlage benötigen.
Wenn Sie alles, ausgenommen ein spezifisches Set Dienstleistungen,
dann blocken, haben Sie bereits Ihren Job viel einfacher gebildet. Anstelle
von um jedes Sicherheit Problem mit alles Produkt und Service sich sorgen zu
müssen herum, Sie müssen nur sich um jedes Sicherheit Problem mit einem
spezifischen Set Dienstleistungen und Produkten sorgen.
Vor dem Drehen auf einen Service, sollten Sie ein Paar von Fragen
betrachten:
Ist das Protokoll für dieses Produkt ein weithin bekanntes,
erschienenes Protokoll?
Ist der Anwendung Service dieses Protokoll, das für allgemeine
Kontrolle seiner Implementierung vorhanden ist?
Wie gut bekannt der Service und das Produkt?
Wie, diesen Service erlaubend ändert die Brandmauerarchitektur? Sieht
ein Angreifer Sachen anders als? Könnte sie ausgenutzt werden, um an meinem
internen Netz zu erhalten, oder Sachen auf Hauptrechnern in meinem DMZ zu
ändern?
Wenn in Betracht der oben genannten Fragen, halten Sie das folgende im
Verstand:
`` Sicherheit durch Obscurity '' ist keine Sicherheit an allen.
Unveröffentlichte Protokolle sind von den falschen Kerlen überprüft worden
und besiegt worden.
Trotz was die Marketing-Vertreter sagen, ist nicht jedes Protokoll
oder Service mit Sicherheit im Verstand konzipiert. Tatsächlich ist die
Zahl, das sind, sehr wenig.
Sogar in den Fällen wo Sicherheit eine Erwägung ist, haben nicht alle
Organisationen kompetenten Sicherheit Personal. Unter denen, die nicht, sind
nicht alle bereit, einen kompetenten Berater in das Projekt zu holen. Das
Ende Resultat ist andernfalls-kompetentes das, gut-beabsichtigte Entwickler
kann unsichere Systeme konzipieren.
Kleiner ein Verkäufer bereit, Ihnen zu erklären ist, daß über, wie ihr
System arbeitet wirklich, ist es das wahrscheinlicher, daß Sicherheit (oder
andere), Probleme existiert. Nur Verkäufer mit etwas sich zu verstecken
haben einen Grund, ihre Designs und Implementierungen [ 2]zu verstecken.
3.12 Wie kann ich Web-Zugriff einschränken, also können Benutzer nicht
die Sites ansehen, die, um zu arbeiten ohne Bezug sind?
Einigen Jahren, erhielt jemand die Idee, daß es eine gute Idee, ist ``
falsche '' Web-Sites zu blocken, d.h. die, die vor das dieses Material
enthalten, die Firma `` nicht angebrachtes ' ' ansieht. Die Idee hat sich
der Popularität erhöht, aber es gibt einige beim Denken zu betrachten
Sachen, an das Einführen solcher Kontrollen in Ihrer Brandmauer.
Es ist nicht möglich, alles praktisch zu blocken, das ein Arbeitgeber
' `` nicht angebracht ' meint. Das Internet ist von jeder Sortierung des
Materials voll. Das Blocken von von einer Quelle adressiert nur Verkehr zu
einer anderen Quelle solchen Materials um, oder veranlassen Sie jemand, eine
Methode um den Block darzustellen.
Die meisten Organisationen haben nicht einen Standard für das
Beurteilen der Verwendbarkeit des Materials, die ihre Angestellten holen, um
z.B. Bücher und Zeitschriften zu bearbeiten. Prüfen Sie jeder Aktenkoffer
auf `` nicht angebrachtes materielles '' jeden Tag über? Wenn Sie nicht,
dann warum würden Sie jedes Paket auf `` nicht angebrachtes Material ' '
überprüfen? Alle mögliche Entscheidungen entlang jenen Zeilen in solch einer
Organisation sind willkürlich. Das Versuchen, Disziplinärmaßnahme gegen
einen Angestellten zu nehmen, in dem der einzige Standard gewöhnlich
willkürlich ist, ist nicht, aus Gründen gut über dem Bereich dieses
Dokumentes hinaus klug.
Die Produkte, die das Site-Blocken durchführen, kommerzielles und
anders, sind gewöhnlich einfach zu verhindern. Hostnames kann als IP
Adressen neu geschrieben werden. IP Adressen können als 32-bit Ganzzahl Wert
oder als vier 8-bit Ganzzahlen (das geläufigste Formular) geschrieben
werden. Andere Möglichkeiten existieren, außerdem. Anschlüsse können sein
proxied. Webseiten können über email geholt werden. Sie können nicht sie
alle blocken. Die Bemühung, der Sie das Versuchen aufwenden, solche
Kontrollen einzuführen und zu handhaben, fast übersteigt zweifellos weit
jede mögliche Stufe der Beschädigung Steuerung, die Sie hoffen, zu haben.
Der Richtlinie-von-Daumen, zum sich hier zu erinnern ist, daß Sie
nicht Sozialprobleme mit Technologie lösen können. Wenn es ein Problem mit
jemand gibt, das zu einer `` nicht angebrachten '' Web site geht, ist das,
weil jemand anderes es sah und beleidigt wurde durch, was er sah, oder weil
Produktivität dieser Person unterhalb der Erwartungen ist. In jedem Fall
sind die Stoffe für die Personalabteilung, nicht der Brandmauerverwalter.
4 Verschiedene Angriffe
4.1 Was ist Quelle verlegter Verkehr und warum ist es eine Drohung?
Normalerweise wird der Weg, den ein Paket von seiner Quelle zu seiner
Zieleinheit nimmt, durch die Fräser zwischen der Quelle und der Zieleinheit
festgestellt. Das Paket selbst sagt nur, wo es gehen möchte (die
Zieladresse), und nichts über, wie es erwartet, dort zu erhalten.
Es gibt eine wahlweise freigestellte Methode für den Absender eines
Pakets (die Quelle) Informationen im Paket einzuschließen, das den Weg
erklärt, den, das Paket nehmen sollte, um an seine Zieleinheit zu gelangen;
so die Namens`` Quellwegewahl ' '. Für eine Brandmauer ist- Quellwegewahl
bemerkenswert, da ein Angreifer den Verkehr festlegen kann, der behauptet,
von einem System `` Innere '' zu sein die Brandmauer. Im allgemeinen würde
solcher Verkehr nicht auf der Brandmauer richtig verlegen, aber mit der
Quellwegewahloption, bringen alle Fräser zwischen der Maschine des
Angreifers und dem Ziel Verkehr entlang dem Rückpfad des Quellweges zurück.
Solch einen Angriff einzuführen ist ziemlich einfach; so sollten
Brandmauererbauer nicht es diskontieren, wie unwahrscheinlich zu geschehen.
In der Praxis wird Quellwegewahl sehr wenig verwendet. Tatsächlich im
Allgemeinen ist der gesetzmaßige hauptsächlichgebrauch in den
Ausprüfennetzproblemen oder Verlegung der spezifischen Links des Verkehr
Überschusses zur Ansammlungsteuerung für fachkundige Situationen. Wenn man
eine Brandmauer aufbaut, sollte Quellwegewahl an etwas Punkt geblockt
werden. Die meisten kommerziellen Fräser enthalten die Fähigkeit,
Quellwegewahl spezifisch zu blocken, und viele Versionen von Unix, die
verwendet werden konnten, um Brandmauerbastionhauptrechner aufzubauen, haben
die Fähigkeit, Quelle verlegten Verkehr zu sperren oder zu ignorieren.
4.2 Was sind ICMP umadressiert und umadressiert Bomben?
Ein ICMP adressieren erklärt das aufnahmefähige System, über etwas in
seiner Leitwegtabelle ausser Kraft zu setzen um. Es wird gesetzmaßig durch
Fräser verwendet, um Hauptrechnern zu erklären, daß der Hauptrechner ein
nicht-optimales verwendet, oder verstorbener Weg zu einer bestimmten
Zieleinheit d.h. der Hauptrechner sie zum falschen Fräser schickt. Der
falsche Fräser schickt Hauptrechner zurück, das ein ICMP Paket
umadressieren, das dem Hauptrechner erklärt, was der korrekte Weg sein
sollte. Wenn Sie ICMP schmieden können, adressieren Sie Pakete um, und wenn
Ihr Zielhauptrechner sie beachtet, können Sie die Leitwegtabellen auf dem
Hauptrechner ändern und die Sicherheit des Hauptrechners durch das
Veranlassen des Verkehrs vielleicht umstürzen, über einen Pfad zu fließen,
den das Netzmanager didn't beabsichtigen. ICMP adressiert kann für
Leistungsverweigerung Angriffe auch beschäftigt werden, in denen ein
Hauptrechner einem Weg geschickt wird, der ihn Konnektivität verliert, oder
wird geschickt einem nicht-erreichbaren Paket des ICMP Netzes um, das es
erklärt, daß es auf ein bestimmtes Netz nicht mehr zugreifen kann.
Viele Brandmauererbauer rastern ICMP Verkehr von ihrem Netz, seit ihm
begrenzt die Fähigkeit der Außenseiter ping Hauptrechner oder ändert ihre
Leitwegtabellen.
Bevor Sie entscheiden, alle ICMP Pakete zu blocken, sollten Sie
berücksichtigen, wie das TCP Protokoll `` Pfad MTU Entdeckung '', zu
vergewissern, daß Sie Konnektivität nicht zu anderen Sites brechen. Wenn Sie
nicht sie sicher überall blocken können, können Sie ausgewählte, Typen von
ICMP zu ausgewählten verlegeneinheiten zu erlauben erwägen. Wenn Sie es
nicht blocken, sollten Sie mindestens sichergehen, daß Ihre Fräser und
Hauptrechner nicht auf Sendung Pingpakete reagieren.
4.3 Was über Leistungsverweigerung?
Leistungsverweigerung ist, wenn jemand entscheidet, Ihr Netz oder
Brandmauer unbrauchbar zu bilden, indem er sie stört und zerschmettert sie
und staut sie oder Überschwemmung es. Das Problem mit Leistungsverweigerung
am Internet ist, daß zu verhindern ist unmöglich. Der Grund bezieht der
verteilten Natur des Netzes mit ein: jeder Netzknoten wird über andere
Netze, die der Reihe nach an andere Netze anschließen, usw. angeschlossen.
Ein Brandmauerverwalter oder ein ISP hat nur Steuerung von einigen der
lokalen Elemente innerhalb der Reichweite. Ein Angreifer kann ein Anschluß
immer stören `` aufwärts gerichtetes '' von, wo das Opfer es steuert. Das
heißt, wenn jemand ein Netz die Luft entfernen wollte, könnte er sie tun
entweder, indem er das Netz die Luft entfernte oder, indem es den Netzen
nimmt, schließt es an weg von die Luft, endlos an. Es gibt viele, viele,
Methoden, die jemand den Service verweigern kann und reicht vom Komplex bis
zu der trivialen Rohling-Kraft. Wenn Sie mit Internet für einen Service
betrachten, der absolut, die die Zeit oder ist Mission kritisch sind,
sollten Sie Ihre Rückfall Position betrachten, im Falle daß das Netz unten
oder beschädigt ist.
TCP/IP's UDP Echoservice wird belanglos mißbraucht, um zwei Servers zu
erhalten, um ein Netzsegment mit Echopaketen zu überschwemmen. Sie sollten
aus, unbenutzten Einträgen in /etc/inetd.conf der Unix Hauptrechner und
Cisco Fräsern no ip small-servers hinzufügen oder dem Äquivalent für Ihre
Bestandteile zu kommentieren erwägen.
4.4 Was sind einige geläufige Angriffe und wie können ich mein System
gegen sie schützen?
Jede Site ist zu jedem anderem ein wenig unterschiedliches in, welchen
Angriffen ausgedrückt wahrscheinlich sind, gegen es verwendet zu werden.
Einige wiederkehrende Themen entstehen, zwar.
4.4.1 Überfallender Smtp Server (Nicht autorisiertes Weitergeben)
Dieses ist, wohin ein Spammer viele Tausenden Exemplare einer Meldung
nimmt und es zu einer sehr großen Liste der email Adressen schickt. Weil
diese Listen häufig und zwecks die Verarbeitungsgeschwindigkeit für den
Spammer zu erhöhen so falsch sind, haben viele auf die ganze ihre Post zu
einem smtp Server einfach schicken zurückgegriffen, der um die Post wirklich
liefern kümmert.
Selbstverständlich kommen die ganze von Schläge, von Spam
Beanstandungen, Hass von und von falschen Fotorezeptor für die Site, die als
Relais benutzt wurde. Es gibt sehr reale Kosten, die mit diesem verbunden
sind, meistens, wenn man Leute zahlt, um herauf die Verwirrung danach zu
säubern.
Die Post-Mißbrauch Verhinderung-System1Transport-Sicherheit
Initiative2behält eine komplette Beschreibung des Problems bei und wie man
über jede Werbung auf dem Planeten konfiguriert, um sich gegen diesen
Angriff zu schützen.
4.4.2 Ausnutzung der Programmfehler in den Anwendungen
Verschiedene Versionen der Web-Servers, der Postservers und anderer
Internet-Service-Software enthalten Programmfehler, die Remote (Internet-)
Benutzern erlauben, die Sachen zu tun, die von der Gewinnsteuerung der
Maschine bis zu diesen Anwendung Systemabsturz in-between bilden und gerade
über alles reichen.
Die Aussetzung zu dieser Gefahr kann durch das Laufen lassen nur der
notwendigen Dienstleistungen, das Halten aktuell auf Änderungen am
Objektprogramm und das Verwenden der Produkte verringert werden, die um wann
gewesen sind.
4.4.3 Programmfehler in Betriebssystemen
Wieder werden diese gewöhnlich von den Benutzern entfernt
initialisiert. Betriebssysteme, die zur IP Vernetzung verhältnismäßig neu
sind, neigen, als fälligere Betriebssysteme problematischer zu sein haben
gehabt Zeit, ihre Programmfehler zu finden und zu beseitigen. Ein Angreifer
kann das Zielausrüstung Neuladen häufig ununterbrochen bilden, die Fähigkeit
zerschmettern, verlieren, mit dem Netz zu sprechen, oder Dateien auf der
Maschine zu ersetzen.
Hier laufend als wenige Betriebssystemdienstleistungen als mögliche
Dose Hilfe. Auch Haben eines Paketfilters vor dem Betriebssystem kann die
Aussetzung zu vielen diesen Typen Angriffe verringern.
Und ein beständiges Betriebssystem selbstverständlich chosing hilft
hier außerdem. Wenn Sie ein OS auswählen, seien nicht getäuscht Sie in das
Glauben das ``, pricier, das bessere ' '. Freie Betriebssysteme sind häufig
viel robuster als ihre kommerziellen Gegenstücke
5 Wie I...
5.1 Möchte ich wirklich alles gewähren, das meine Benutzer um bitten?
Es ist völlig möglich, daß die Antwort `` keine ' ' ist. Jede Site hat
seine eigenen politischen Richtlinien über, was nicht erforderlich ist und
ist, aber es ist wichtig, daran zu erinnern, daß ein großes Teil des Jobs
des Seins der Pförtner einer Organisation Ausbildung ist. Benutzer wünschen
strömenden Bildschirm, Echtzeitschwätzchen, und zu können, Dienstleistungen
außergebietlichen Abnehmern anzubieten, die Interaktion mit
Phasendatenbanken im internen Netz benötigen.
Das bedeutet nicht, daß irgendwelche dieser Sachen erfolgt werden
können, ohne mehr Gefahr der Organisation, als darzustellen das angenommene
`` Wert '' der Überschrift hinunter diese Straße wertIST. Die meisten
Benutzer möchten nicht ihre Organisation an der Gefahr setzen. Sie lesen
gerade die Geschäftslappen, sehen Reklameanzeigen, und sie möchten jene
Sachen tun, auch. Zu schauen ist wichtig, in, was es, daß sie wirklich tun
möchten, und ihnen zu helfen zu verstehen, ist, wie sie können konnten, ihr
reales Lernziel in einer sichereren Weise zu vollenden.
Sie nicht immer sind populär, und Sie konnten sogar sich finden
Richtung gebend, um zu tun dummes etwas unglaublich, wie `` erschließen
gerade Kanäle foo durch Stab ' '. Wenn das geschieht, sorgen Sie nicht sich
um es. Es würde klug sein, alle Ihre Austäusche auf solch einem Fall zu
halten, damit, wenn ein Index 12-year-old Kiddie innen bricht, Sie
mindestens können, sich von der Ganzverwirrung zu trennen.
5.2 Wie bilde ich Web/HTTP Arbeit durch meine Brandmauer?
Es gibt drei Möglichkeiten, sie zu tun.
Erlauben Sie `` hergestellte '' Anschlüsse heraus über einen Fräser,
wenn Sie Siebungfräser benutzen.
Verwenden Sie ein web client, das SOCKEN unterstützt, und lassen Sie
SOCKEN auf Ihrem bastion host laufen.
Lassen Sie irgendeine Art Vollmacht-fähiges web server auf dem bastion
host laufen. Etwas Optionen schließen Kalmar3, Apache4, Netscape
Vollmacht5und HTTP-HTTP-GW vom TIS Brandmauer Toolkit ein. Die meisten
diesen Dose auch Vollmacht andere Protokolle (wie Gopher und ftp) und können
Nachrichten, die auch eine gewöhnlich Leistung Erhöhung für die Benutzer
ergeben, und leistungsfähigeren Gebrauch von Ihrem Anschluß zum Internet
cachieren die geholten. Im Wesentlichen alle Web-Klienten (Mozilla, Internet
Explorer, Lynx, usw..) haben Sie proxy serversupport aufgebaut direkt in
sie.
5.3 Wie lasse ich SSL durch die Brandmauer arbeiten?
SSL ist ein Protokoll, das sichere Anschlüsse über dem Internet
erlaubt. Gewöhnlich wird SSL benutzt, um HTTP Verkehr zu schützen. Jedoch
können andere Protokolle (wie telnet) auf SSL laufen.
Dem Aktivieren von von SSL durch Ihre Brandmauer kann getan werden die
gleiche Methode, daß Sie HTTP Verkehr erlauben würden, wenn es HTTP ist, daß
Sie SSL benutzen, um zu sichern, das normalerweise zutreffend ist. Der
einzige Unterschied ist der, anstatt, etwas, das HTTP einfach, weitergibt
Sie zu verwenden, benötigt etwas, das SSL einen Tunnel anlegen kann. Dieses
ist ein Merkmal, das auf den meisten Web-Nachricht Caches vorhanden ist.
Sie können mehr über SSL von Netscape 6herausfinden.
5.4 Wie bilde ich DNS Arbeit mit einer Brandmauer?
Einige Organisationen möchten DNS Namen von der Außenseite verstecken.
Viele Experten denken nicht, die daß DNS versteckt Namen lohnend ist, aber
wenn site/corporate Politik versteckenden Gebiet Namen unterstellt, dieses
eine Annäherung ist, die bekannt, um zu arbeiten. Ein anderer Grund, den Sie
Gebiet Namen verstecken müssen können, ist, wenn Sie einen wendenden
Nicht-Standard-Entwurf in Ihrem internen Netz haben. In diesem Fall haben
Sie keine Wahl aber, jene Adressen zu verstecken. Täuschen Sie sich nicht in
das Denken das, wenn Ihre DNS Namen versteckt werden, denen es einen
Angreifer hinunter viel verlangsamt, wenn sie in Ihre Brandmauer brechen.
Informationen über was in Ihrem Netz ist, werden zu leicht von der
Vernetzung Schicht selbst aufgelesen. Wenn Sie eine interessante
Demonstration von diesem wünschen, ping die Teilnetzsendung Adresse auf
Ihrem LAN und tun dann einen `` arp - ` a.'' Beachten Sie auch das
versteckende Namen in der DNS adressiert nicht das Problem Hauptrechnernamen
`` undichtes '' heraus in den Postvorsätzen, in den Nachrichten Artikeln, in
usw..
Diese Annäherung ist eine von vielen, und ist für Organisationen
nützlich, die ihre Hauptrechnernamen vom Internet verstecken möchten. Der
Erfolg dieser Annäherung liegt auf der Tatsache, daß DNS Klienten auf einer
Maschine nicht mit einem DNS Server auf dieser gleichen Maschine sprechen
müssen. Das heißt, gerade weil ist es einen DNS Server auf einer Maschine
gibt, dort nichts falsch mit (und es gibt häufig Vorteile), dem
Umadressieren von von Aktivität Klient DNS dieser Maschine zu einem DNS
Server auf einer anderen Maschine.
Zuerst stellen Sie einen DNS Server auf dem bastion host auf, dem die
äußere Welt sprechen kann mit. Sie stellen diesen Server auf, damit er
behauptet, für Ihre Gebiete maßgebend zu sein. Tatsächlich dieser weiß
ganzer Server ist, was Sie die äußere Welt wissen wünschen; die Namen und
die Adressen Ihrer Gateways, Ihre Wildcard MX Sätze, und so weiter. Dieses
ist der `` allgemeine '' Server.
Dann stellten Sie einen DNS Server auf einer internen Maschine auf.
Dieser Server behauptet auch, für Ihre Gebiete maßgebend zu sein; anders als
den allgemeinen Server dieser sagt die Wahrheit. Dieses ist Ihr `` normales
'' nameserver, in das Sie Ihr ganzes `` normale '' DNS Material setzen. Sie
stellen auch diesen Server bis zu den Vorwärtsabfragen ein, die er nicht zum
allgemeinen Server beheben kann (eine `` Zeile der Absender ' in
/etc/named.boot auf einer Unix Maschine verwendend, z.B.).
Schließlich stellten Sie alle Ihre DNS Klienten (die /etc/resolv.conf
Datei auf einem Unix Kasten, zum Beispiel), einschließlich die auf der
Maschine mit dem allgemeinen Server auf, um den internen Server zu benutzen.
Dieses ist die Taste.
Ein interner Klient, der nach einem internen Hauptrechner fragt,
bittet um um den internen Server und erhält eine Antwort; ein interner
Klient, der nach einem externen Hauptrechner fragt, bittet um um den
internen Server, der um um den allgemeinen Server bittet, der um um das
Internet bittet, und die Antwort wird zurück weitergegeben. Ein Klient auf
dem allgemeinen Server bearbeitet gerade die gleiche Methode. Ein externer
Klient jedoch fragend nach einem internen Hauptrechner bekommt die ``
eingeschränkte '' Antwort vom allgemeinen Server zurück.
Diese Annäherung nimmt an, daß es eine filternbrandmauer des Pakets
zwischen diesen zwei Servers gibt, die sie DNS miteinander sprechen lassen,
aber anders DNS zwischen anderen Hauptrechnern einschränkt.
Ein anderer Trick, der in diesem Entwurf nützlich ist, soll Wildcard
PTR Sätze in Ihren IN-ADDR.ARPA Gebieten einsetzen. Diese verursachen ein
Adressieren-zuname Nachschlagen für irgendwelche Ihrer nicht öffentlichen
Hauptrechner zur Rückkehr etwas wie `` unknown.YOUR.DOMAIN '' anstatt einen
Fehler. Dieses erfüllt Anonymous FTPSITES, wie ftp.uu.net, die auf Haben
eines Namens für die Maschinen sie bestehen, mit sprechen. Dieses kann bei
der Unterhaltung ausfallen mit Sites, die eine DNS überprüfung tun, in der
der Hauptrechnername gegen seine Adresse und umgekehrt zusammengebracht
wird.
5.5 Wie lasse ich ftp durch meine Brandmauer arbeiten?
Im Allgemeinen wird das Lassen von von ftp durch die Brandmauer
arbeiten entweder mit einem proxy server wie dem ftp-ftp-gw des Brandmauer
Toolkits oder indem man ankommende Anschlüsse zum Netz an einer
eingeschränkten Portstrecke ermöglicht, und ankommende Anschlüsse mit etwas
wie `` hergestellten '' Siebungrichtlinien anders, einschränkend getan. Der
ftp Klient wird dann geändert, um den Datenkanal an einen Kanal innerhalb
dieses Bereiches zu binden. Dieses hat zur Folge, zu können, die ftp Klient
Anwendung auf internen Hauptrechnern zu ändern.
In einigen Fällen wenn ftp Downloads alle sind, möchten Sie
unterstützen, konnten Sie ftp zu erklären, erwägen wünschen ein `` totes
Protokoll '' und Sie lassend, downloaden Benutzer Dateien über das Web
anstatt. Die Benutzerschnittstelle ist zweifellos netter, und sie erhält um
das häßliche Rückrufkanalproblem. Wenn Sie die Ftp-über-Web Annäherung
wählen, sind Ihre Benutzer zu den ftp Dateien heraus nicht imstande, die,
abhängig von was Sie versuchen, zu vollenden, ein Problem sein können.
Eine andere Annäherung soll das ftp benutzen `` PASV '' Option, um
anzuzeigen, daß das Remoteftp server den Klienten ermöglichen sollte,
Anschlüsse zu initialisieren. Die PASV Annäherung nimmt daß das ftp server
auf den Support des ferninstallierten Systems an, die Operation. (Sehen Sie
`` Brandmauer-Freundliches Ftp '' [1].)
Andere Sites ziehen es vor, Klient Versionen des ftp Programms
aufzubauen, die gegen eine SOCKEN Bibliothek gebunden werden.
5.6 Wie lasse ich telnet durch meine Brandmauer arbeiten?
Telnet wird im Allgemeinen entweder unterstützt, indem man eine
Anwendung Vollmacht wie der tn-tn-gw des Brandmauer Toolkits verwendet oder
indem man einfach einen Fräser konfiguriert, um gehend Anschlüsse mit etwas
wie den `` hergestellten '' Siebungrichtlinien zu ermöglichen. Anwendung
Vollmächte konnten sein in Form einer unabhängigen Vollmacht, die auf das
bastion host läuft, oder in Form eines SOCKEN Servers und eines geänderten
Klienten.
5.7 Wie lasse ich Finger und WHOIS durch meine Brandmauer arbeiten?
Viele Brandmauer admins ermöglichen Anschlüsse zum Fingerkanal von nur
verläßlichen Maschinen, denen herausgeben kann Fingeranträge in Form von:
Finger user@host.domain@firewall. Diese Annäherung arbeitet nur mit der
Standardunix Version des Fingers. Steuernzugriff zu den Dienstleistungen und
zum Einschränken sie zu den spezifischen Maschinen wird entweder mit
tcp_wrappers oder netacl vom Brandmauer Toolkit gehandhabt. Diese Annäherung
arbeitet nicht auf allen Systemen, da einige Fingerservers nicht
user@host@host Betasten ermöglichen.
Viele inbound Fingeranträge des Site-Blockes für eine Vielzahl von
Gründen, vorderstes Sein hinter Sicherheit Programmfehlern im Fingerserver
(die Morris Internet-Endlosschraube bildete diese Programmfehler berühmt)
und die Gefahr der eigenen oder empfindlichen Informationen, die in den
Fingerinformationen des Benutzers aufgedeckt werden. Im allgemeinen jedoch
wenn Ihre Benutzer das Einsetzen der eigenen oder empfindlichen
Informationen in ihre plan Dateien gewöhnt werden, haben Sie ein ernsteres
Sicherheit Problem, als gerade eine Brandmauer lösen kann.
5.8 Wie bilde ich Gopher, archie, und andere Dienstleistungen arbeiten
durch meine Brandmauer?
Die Mehrheit einen Brandmauerverwaltern beschließen, Gopher und archie
durch Web-Vollmächte, anstelle von direkt zu unterstützen. Vollmächte wie
die des Brandmauer Abfragen des Bekehrten gopher/gopher+ HTTP-HTTP-GW
Toolkits in HTML und umgekehrt. Für das Unterstützen von von archie und von
von anderen Abfragen, beruhen viele Sites auf Internet-gegründeten Servers
Web-zu-archie, wie ArchiePlex. Die Tendenz des Webs, alles auf
Internet-aussehen wie einem Web-Service zu bilden ist ein Segen und ein
Fluch.
Es gibt viele neue Dienstleistungen, die ständig oben ernten. Häufig
sind sie misdesigned oder sind konzipiert nicht mit Sicherheit im Verstand,
und ihre Entwerfer erklären Ihnen, wenn freundlich Sie sie verwenden, die
möchten Sie, Notwendigkeit Kanal xxx durch Ihren Fräser ließ. Leider kann
nicht jeder das tun und also sind eine Zahl des Interessierens der neuen
Spielwaren schwierig, für Leute hinter Brandmauern zu verwenden. Sachen
mögen RealAudio, die direkten UDP Zugriff benötigen, sind besonders
unerhörte Beispiele. Die Sache, zum zu bedenken, wenn Sie gegenübergestellt
mit einem dieser Probleme sich finden, ist, herauszufinden soviel wie, Sie
über die Sicherheit Gefahren können, die der Service darstellen kann, bevor
Sie ihn gerade durch erlauben. Es ist der Service hat keine Sicherheit
Implikationen ziemlich möglich. Es ist gleichmäßig möglich, daß es
unentdeckte Bohrungen hat, die Sie einen LKW durch antreiben konnten.
5.9 Was sind die Ausgaben über X11 durch eine Brandmauer?
Das X Windows System ist ein sehr nützliches System, aber hat leider
einige Hauptsicherheitsschwachstellen. Ferninstallierte Systeme, die
gewinnen können, oder spoof Zugriff zur Bildschirmanzeige X11 eines
Arbeitsplatzes Tastenanschläge überwachen kann, die ein Benutzer einträgt,
Downloadexemplare des Inhalts ihrer Fenster, usw..
Während Versuche, sie zu überwinden gebildet worden sind (z.B., MIT ``
magisches Plätzchen ' ') ist es noch völlig zu einfach für einen Angreifer,
Bildschirmanzeige X11 eines Benutzers zu behinderen. Die meisten Brandmauern
blocken allen Verkehr X11. Einige ermöglichen Verkehr X11 durch Anwendung
Vollmächte wie die Dez CRL X11 Vollmacht (ftp crl.dec.com). Der Brandmauer
Toolkit schließt eine Vollmacht für X11 ein, benannt x-x-gw, den ein
Benutzer über die telnet Vollmacht hervorrufen kann, um einen virtuellen
Server X11 auf der Brandmauer herzustellen. Wenn Anträge für einen Anschluß
X11 auf dem virtuellen Server X11 gebildet werden, wird der Benutzer mit
einem pop-up Fragen sie dargestellt, ob es OKAY ist, den Anschluß zu
erlauben. Während dieses ein wenig unaesthetic ist, ist es völlig in
Uebereinstimmung mit dem Rest von X11.
5.10 Wie lasse ich RealAudio durch meine Brandmauer arbeiten?
RealNetworks behält etwas Informationen über bei, wie man RealAudio
erhält, das durch Ihre Brandmauer 7arbeitet. Es würde unklug sein, alle
mögliche Änderungen an Ihrer Brandmauer vorzunehmen, ohne zu verstehen, was
die Änderungen, genau tun, und wissend, welche Gefahren die neuen Änderungen
mit ihnen holen.
5.11 Wie bilde ich meine web servertat als Vorderseiten für eine
Datenbank, die in meinem privaten Netz lebt?
Die beste Methode, dies zu tun soll sehr begrenzte Konnektivität
zwischen Ihrem web server und Ihrem Datenbankserver über ein spezifisches
Protokoll erlauben, das nur die Stufe der Funktionalität unterstützt, die,
Sie verwenden werden. Rohen SQL zu erlauben oder noch etwas, wo
kundenspezifische Extraktionen durch einen Angreifer durchgeführt werden
konnten, ist nicht im Allgemeinen eine gute Idee.
Nehmen Sie an, daß ein Angreifer können wird, in Ihr web server zu
brechen, und bilden Sie Abfragen in der gleichen Methode, die das web server
kann. Gibt es eine Einheit für das Extrahieren der empfindlichen
Informationen, die das web server nicht benötigt, wie Kreditkarte
Informationen? Kann ein Angreifer einen auserwählten SQL herausgeben und
Ihre gesamte eigene Datenbank extrahieren?
`` E-Handel '' Anwendungen, wie alles sonst, sind gut mit Sicherheit
im Verstand vom Boden oben, anstatt Sicherheit, zu haben `` hinzugefügtes ''
als nachträgliche Erklärung konzipiert. Wiederholen Sie Ihre Architektur
kritisch, von der Perspektive eines Angreifers. Nehmen Sie an, daß der
Angreifer alles über Ihre Architektur weiß. Fragen Sie sich, welche jetzt
Notwendigkeiten getan zu werden, um Ihre Daten zu stehlen, nicht
autorisierte Änderungen vorzunehmen, oder noch etwas zu tun, die Sie nicht
getan wünschen. Sie konnten finden, daß Sie Sicherheit ohne abnehmende
Funktionalität erheblich erhöhen können, indem Sie einig Design- und
Implementierungentscheidungen treffen.
Einige Ideen, damit wie dieses handhaben:
Extrahieren Sie die Daten, die Sie von der Datenbank regelmäßig
benötigen, also bilden Sie Abfragen nicht gegen die volle Datenbank, die mit
Informationen komplett ist, daß Angreifer das Interessieren finden.
Groß schränken Sie ein und revidieren Sie, was Sie zwischen dem web
server und der Datenbank zugeben.
5.12 Aber meine Datenbank hat ein integriertes web server, und ich
möchte den verwenden. Nicht kann ich gerecht eine Bohrung in der Brandmauer
stoßen und diesen Kanal einen Tunnel anlegen?
Wenn Ihr Site-Feuerwall policy is sufficiently lax that you're willing
to manage the risk that someone will exploit a vulnerability in your web
server that will result in partial or complete exposure of your database,
then there isn't much preventing you from doing this.
However, in many organizations, the people who are responsible for
tying the web front end to the database back end simply do not have the
authority to take that responsibility. Further, if the information in the
database is about people, you might find yourself guilty of breaking a
number of laws if you haven't taken reasonable precautions to prevent the
system from being abused.
In general, this isn't a good idea. See question 5.11 for some ideas
on other ways to accomplish this objective.
5.13 How Do I Make IP Multicast Work With My Firewall?
IP multicast is a means of getting IP traffic from one host to a set
of hosts without using broadcasting; that is, instead of every host getting
the traffic, only those that want it will get it, without each having to
maintain a separate connection to the server. IP unicast is where one host
talks to another, multicast is where one host talks to a set of hosts, and
broadcast is where one host talks to all hosts.
The public Internet has a multicast backbone (``MBone'') where users
can engage in multicast traffic exchange. Common uses for the MBone are
streams of IETF meetings and similar such interaction. Getting one's own
network connected to the MBone will require that the upstream provider route
multicast traffic to and from your network. Additionally, your internal
network will have to support multicast routing.
The role of the firewall in multicast routing, conceptually, is no
different from its role in other traffic routing. That is, a policy that
identifies which multicast groups are and aren't allowed must be defined and
then a system of allowing that traffic according to policy must be devised.
Great detail on how exactly to do this is beyond the scope of this document.
Fortunately, RFC 2588 [4] discusses the subject in more detail. Unless your
firewall product supports some means of selective multicast forwarding or
you have the ability to put it in yourself, you might find forwarding
multicast traffic in a way consistent with your security policy to be a
bigger headache than it's worth.
Back to Top
Brandmauer FAQ in deutschem Teil 4
6 TCP und UDP Kanäle
durch Mikael Olsson
Dieser Anhang fängt auf einer ziemlich `` grundlegenden '' Stufe an,
also, selbst wenn die ersten Punkte childishly zu Ihnen selbstverständlich
scheinen, konnten Sie ruhig etwas von später überspringen voran zu etwas im
Text erlernen.
6.1 Was ist ein Kanal?
Ein `` Port'' ist `` virtuelles Schlitz '' in Ihrem TCP und UDP
Stapel, der benutzt wird, um einen Anschluß zwischen zwei Hauptrechnern
abzubilden, und auch zwischen der TCP/UDP Schicht und den tatsächlichen
Anwendungen, die auf die Hauptrechner laufen.
Sie werden 0-65535 numeriert, mit der Strecke 0-1023 kennzeichnend,
wie `` reserviertes '' oder `` '' privlileged, und den Rest (1024-65535) wie
`` dynamisches '' oder `` unprivileged ' '.
Es gibt im Allgemeinen zwei Gebrauch für Kanäle:
`` hörendes '' auf einem Kanal.
Dieses wird durch die Server Anwendungen verwendet, die Benutzer
anschließen, an irgendein `` weithin bekanntes Service '', an zum Beispiel
HTTP (TCP Kanal 80) warten, telnet (TCP Kanal 23), DNS, zu gelangen (UDP und
manchmal TCP Kanal 53).
Öffnen eines `` dynamischen '' Kanals.
Beide Seiten einer TCP Anschlußnotwendigkeit, durch IP Adressen und
Portzahlen gekennzeichnet zu werden. Folglich wenn Sie `` wünschen,
schließen Sie '' an einen Server Prozeß, Ihr Ende des Übertragungskanals
benötigt auch einen `` Kanal ' ' an. Dieses wird getan, indem man einen
Kanal über 1024 auf Ihrer Maschine wählt, die nicht aktuell im Gebrauch
durch einen anderen Übertragungskanal ist, und ihn als das `` Absender '' im
neuen Anschluß verwendet.
Dynamische Kanäle können als `` hörende '' Kanäle in einigen
Anwendungen, ftp auch vornehmlich benutzt werden.
Kanäle in der Strecke 0-1023 sind fast immer Server Kanäle. Kanäle in
der Strecke 1024-65535 sind normalerweise dynamische Kanäle (, d.h.
dynamisch geöffnet, wenn Sie an einen Server Kanal anschließen). Jedoch kann
irgendein Kanal als Server Kanal benutzt werden, und irgendein Kanal kann
als `` gehend '' Kanal benutzt werden.
So ihn oben zu summieren, ist hier, was in einem grundlegenden
Anschluß geschieht:
An etwas Punkt in der Zeit, entscheidet eine Server Anwendung auf
Hauptrechner 1.2.3.4 `` hören '' an Kanal 80 (HTTP) auf neuen Anschlüssen.
Sie (5.6.7.8) möchten zu 1.2.3.4, zu Kanal 80 und zu Ihrer
Datenbanksuchroutine surfen herausgeben einen anschließenaufruf zu ihm.
Der anschließenaufruf, feststellend, daß er nicht noch lokale Portzahl
hat, geht Jagd für eine. Die lokale Portzahl ist seit dem, wenn die
Antworten einige Zeit zukünftig zurückkommen, Ihr TCP/IP Stapel muß
notwendig zu, welcher Anwendung wissen, zum der Antwort zu führen. Sie tut
dies, indem sie sich erinnern, an welche Anwendung verwendet, die lokale
Portzahl. (dieses wird grob, keine Flammen von den Programmierern, bitte.
vereinfacht)
Ihr TCP Stapel findet einen unbenutzten dynamischen Kanal,
normalerweise irgendwo über 1024. Lassen Sie uns annehmen, daß er 1029
findet.
Ihr erstes Paket wird dann, von Ihrem lokalen IP, 5.6.7.8, Kanal 1029,
bis 1.2.3.4, Kanal 80 geschickt.
Der Server reagiert mit einem Paket von 1.2.3.4, Kanal 80, auf Sie,
5.6.7.8, Kanal 1029.
Diese Prozedur ist wirklich länger, als diese, an gelesen für eine
eingehendere Erklärung von TCP Reihenfolgen anschließen.
6.2 Wie weiß ich, welche Anwendung benutzt, welcher Kanal?
Es gibt einige Listen, die das `` reservierte '' umreißen und ``
schließt weithin bekanntes '' an den Port an, sowie `` geläufig benutztes ''
an den Port anschließt und das beste man ist:
ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Für die von Ihnen
RFC 1700 noch lesend, um herauszufinden, welche Portzahl tut, was, den
ANSCHLAG, der ES TUT. Es ist schrecklich veraltet und es ist nicht kleiner
so morgen.
Jetzt, was das Vertrauen anbetrifft dieser Informationen: Diese Listen
nicht, in keiner Weise, irgendeine Art heilige Bibel festzusetzen, auf der
Kanäle tun, was.
Wartezeit, ließ mich neuformulieren das: ES GIBT KEINE METHODE VON
ZUVERLÄSSIG FESTSTELLEN, WELCHER KANAL TUT, WAS EINFACH DURCH Das SCHAUEN IN
Einer LISTE.
6.3 Was sind HÖRENDE Kanäle?
Nehmen Sie an, daß Sie `` netstat - ` ein '' auf Ihrer Maschine und
Kanälen 1025 und 1030 oben gezeigt, wie hörend. Was tun sie?
Berichtigen Sie, lassen Sie uns einen Blick in der zugewiesenen
Portzahlliste nehmen.
Blackjack iad1 1030/tcp Netz des Blackjack
1025/tcp BBN IAD
Wartezeit, was geschieht? Hat mein Arbeitsplatz meine VISUM-Zahl
gestohlen und entschieden, zu gehen Spiel Blackjack mit irgendeinem
Gaunerserver auf dem Internet? Und was ist diese Software, die BBN
installiert hat?
Dieses ist, NICHT wo Sie anfangen in Panik zu versetzen und Post zur
Brandmauerliste schicken. Tatsächlich ist diese Frage möglicherweise um um
Zeiten Dutzend während der letzten sechs Monate gebeten worden und jedesmal
wenn es beantwortet wird. Nicht das, DAS Leute von die gleiche Frage wieder
stellen hält.
Wenn Sie diese Frage stellen, sind Sie mit einem Fensterkasten am
wahrscheinlichsten. Die Kanäle, die Sie sehen, sind (am wahrscheinlichsten)
zwei hörende Kanäle, die das RPC Teilsystem öffnet, wenn es oben beginnt.
Dieses ist ein Beispiel von, dem dynamicly zugewiesene Kanäle durch
Server Prozesse benutzt werden können. Die Anwendungen, die RPC verwenden,
schließen später an Kanal 135 (die netbios `` portmapper ' ') an Abfrage an,
wo man etwas RPC Service findet und erhalten eine Antwort, die zurück die
sagt, daß mit bestimmten Service auf Kanal 1025 in Verbindung getreten
werden kann.
Jetzt wie wissen wir dieses, da es kein `` Liste '' gibt, das diese
Kanäle beschreibt? Einfach: Es gibt keinen Ersatz für Erfahrung. Und das
Verwenden der Postsendungliste Search Engines hilft auch einer Hölle von
viel.
6.4 Für wie stelle fest ich, welchen Service der Kanal ist?
Da es unmöglich ist, zu erlernen, welcher Kanal tut, was, indem ich in
einer Liste, wie schaue, ich, tun sie?
Die alte Blindeinschub Methode des Tuns sie ist, indem sie fast jedes
service/daemon abschaltet, das auf Ihre Maschine läuft, zur Kenntnis
netstat -a tut und nimmt, was Kanäle geöffnet sind. Es sollte nicht sehr
viele geben das Hören. Dann fangen Sie an, an, eins nach dem anderen zu
drehen alle Dienstleistungen und Nehmenanmerkung von, was neue Kanäle oben
in Ihrer netstat Ausgabe zeigen.
Eine andere Methode, diese benötigt mehr Vermutungarbeit, telnetting
einfach zu den Kanälen und sieht, was herauskommt. Wenn nichts herauskommt,
erreichen der etwas Kauderwelsch schreibende und zuschlagende Versuch einige
Male und sehen, wenn etwas sich oben dreht. Wenn Sie binär erhalten,
verstümmeln Sie, sonst nichts an allen, dieses offensichtlich hilft Ihnen
nicht.
Jedoch erklärt dieses Ihnen, was nur hörende Kanäle verwendet werden.
Es erklärt Ihnen nicht über dynamisch geöffnete Kanäle, die durch diese
Anwendungen später geöffnet werden können.
Es gibt einige Anwendungen, die Ihnen helfen konnten, die benutzten
Kanäle unten aufzuspüren.
Auf Unix Systemen gibt es ein nettes benanntes Hilfsprogramm, lsof das
preinstalled auf vielen Systemen kommt. Es zeigt Ihnen allem die geöffneten
Portanzahlen und die Namen von den Anwendungen, die sie verwenden. Dies
heißt, daß es Ihnen eine Menge lokal geöffnetes Dateien aswell als TCP/IP
Einfaßungen zeigen konnte. Lesen Sie den Hilfetext.
Auf Fenstersystemen kommt nichts preinstalled, um Sie in dieser
Aufgabe zu unterstützen. (was? neu ist) Es gibt ein Hilfsprogramm, das ``
Inzider '' genannt wird, das innerhalb der Fenster sich installiert, die,
Einfaßungen überlagern und sich dynamisch erinnern, an welcher Prozeß sich
öffnet, die an den Port anschließen. Der Nachteil dieser Annäherung ist, daß
er nicht Ihnen erklären kann, daß welche Kanäle geöffnet waren, bevor
inzider begann, aber es ist das beste, daß Sie auf Fenstern erhalten (meines
Wissens). http://ntsecurity.nu/toolbox/inzider/.
6.5 Welche Kanäle sind sicher, durch eine Brandmauer zu überschreiten?
ALLE.
Nr., Wartezeit, KEINE.
Nr., Wartezeit, uuhhh... Ich habe gehört, daß alle Kanäle über 1024
sicher sind, da sie? nur dynamisch sind?
Nr. Wirklich. Sie KÖNNEN nicht einfach erklären welche Kanäle sicher
sind einfach, indem man seine Zahl betrachtet, weil das wirklich alles ist,
das es ist. Eine Zahl. Sie können nicht einen Angriff durch eine 16-bit Zahl
einhängen.
Die Sicherheit eines `` Port'' hängt von ab, welcher Anwendung Sie
durch diesen Kanal erreichen.
Ein geläufiges Mißverständnis ist, daß Kanäle 25 (smtp) und 80 (HTTP)
sind sicher, durch eine Brandmauer zu überschreiten * meep * FALSCH. Gerade
weil jeder tut, bedeutet es nicht, daß es sicher ist.
Wieder hängt die Sicherheit eines Kanals von ab, welcher Anwendung Sie
durch diesen Kanal erreichen.
Wenn Sie ein gut-geschriebenes web server laufen lassen, ist das vom
Boden bis zu ist sicher konzipiert, Sie kann angemessen versichert
vermutlich glauben, daß es ließ äußere Leute auf es durch Kanal 80 zugreifen
sicher ist. Andernfalls KÖNNEN Sie nicht.
Das Problem hier ist nicht in der Vermittlungsschicht. Es ist in wie
die Anwendungsprozesse die Daten, die es empfängt. Diese Daten können durch
Kanal 80, Kanal 666, eine Serienzeile, Floppy-Disc oder durch
Singentelegramm empfangen werden. Wenn die Anwendung nicht sicher ist, macht
sie nicht aus, wie die Daten an es gelangen. Die Anwendung Daten sind, wo
die reale Gefahr liegt.
Wenn Sie an der Sicherheit Ihrer Anwendung interessiert sind, gehen
Sie unterzeichnen zu bugtraq8oder oder versuchen, ihre Archive zu suchen.
Dieses ist mehr einer Anwendung Wertpapieremission anstatt eine
Brandmauerwertpapieremission. Man könnte, daß eine Brandmauer alle möglichen
Angriffe stoppen sollte, aber mit der Zahl neuen Vermittlungsprotokollen
argumentieren, konzipiert NICHT mit Sicherheit im Verstand, und vernetzte
Anwendungen, keine, die mit Sicherheit im Verstand konzipiert sind, wird es
unmöglich für eine Brandmauer, sich gegen alle data-driven Angriffe zu
schützen.
6.6 Das Verhalten von ftp
Oder, ``, warum ich alle Kanäle über 1024 zu meinem ftp server öffnen
muß?' '
Ftp nicht wirklich schaut ein vollständiges Lot wie andere Anwendungen
von einer Vernetzung Perspektive.
Es hält einen hörenden Kanal, Kanal 21, den Benutzer an anschließen.
Alles, das es, ist ließ Leute anmelden und herstellen EINEN ANDEREN
Anschluß, um tatsächliche Datenübertragungen zu tun. Dieser zweite Anschluß
ist normalerweise auf etwas Kanal über 1024.
Es gibt zwei Modi, `` das aktive '' (normal) und `` passiver '' Modus.
Dieses Wort beschreibt das Verhalten des Servers.
Im aktiven Modus schließt der Klient (5.6.7.8) an Kanal 21 auf dem
Server (1.2.3.4) an und meldet an. Wenn Dateiübertragungen passend sind,
ordnet der Klient einen dynamischen Kanal über 1024, informiert den Server
über zu, welchen Kanal er öffnete, und dann öffnet der Server einen neuen
Anschluß zu diesem Kanal. Dieses ist die `` aktive '' Rolle des Servers: es
stellt aktiv neue Anschlüsse zum Klienten her.
Im passiven Modus ist der Anschluß zu Kanal 21 derselbe. Wenn
Dateiübertragungen passend sind, ordnet der SERVER einen dynamischen Kanal
über 1024, informiert den Klienten über zu, welchen Kanal er öffnete, und
dann öffnet der KLIENT einen neuen Anschluß zu diesem Kanal. Dieses ist die
`` passive '' Rolle des Servers: es wartet, daß der Klient den zweiten
(Daten) Anschluß herstellt.
Wenn Ihre Brandmauer nicht kontrolliert, beherrschen die Anwendung
Daten des ftp Anschluß, es wissen nicht, daß es neue Kanäle über 1024
dynamisch öffnen muß.
Auf einer seitlichen Anmerkung: Das traditionelle Verhalten der ftp
Servers im aktiven Modus soll die Datensitzung VON Kanal 20 und zum
dynamischen Kanal auf dem Klienten herstellen. Ftp Servers steuern weg von
diesem Verhalten ein wenig wegen der Notwendigkeit, als `` Wurzel '' auf
Unix Systemen zu laufen, um zu können, Kanäle unter 1024 zuzuordnen. Das
Laufen als `` Wurzel '' ist nicht für Sicherheit, seit dem gut, wenn es
einen Programmfehler in der Software gibt, der Angreifer würde können, sich
die gesamte Maschine zu vergleichen. Dasselbe geht für das Laufen als ``
Verwalter '' oder `` SYSTEM '' (``LocalSystem ' ') auf NT Maschinen,
obgleich das niedrige Portproblem nicht auf NT zutrifft.
Um es oben zu summieren, wenn Ihre Brandmauer ftp versteht, kann es
selbst die Datenverbindungen zu handhaben, und Sie müssen nicht um Kanäle
über 1024 sich sorgen.
Wenn es NICHT, gibt es vier Punkte, die Sie ansprechen müssen:
Firewalling ein ftp server im aktiven Modus
Sie benötigen ließen Ihre Server geöffneten neuen Anschlüsse zur
äußeren Welt auf Kanälen 1024 und oben
Firewalling ein ftp server im passiven Modus
Sie benötigen ließen die äußere Welt an Kanäle 1024 und oben auf Ihrem
Server anschließen. VORSICHT!!!! Es kann die Anwendungen geben, die auf
einige dieser Kanäle laufen, daß Sie NICHT das äußere Leuteverwenden
wünschen. Mißbilligen Sie Zugriff zu diesen Kanälen, bevor Sie Zugriff zur
Portstrecke 1024-65535 erlauben.
Firewalling ftp Klienten im aktiven Modus
Sie benötigen ließen die äußere Welt an Kanäle 1024 und oben auf Ihren
Klienten anschließen. VORSICHT!!!! Es kann die Anwendungen geben, die auf
einige dieser Kanäle laufen, daß Sie NICHT das äußere Leuteverwenden
wünschen. Mißbilligen Sie Zugriff zu diesen Kanälen, bevor Sie Zugriff zur
Portstrecke 1024-65535 erlauben.
Firewalling ftp Klienten im passiven Modus
Sie benötigen ließen Ihre Klienten geöffneten neuen Anschlüsse zur
äußeren Welt auf Kanälen 1024 und oben.
Wieder wenn Ihre Brandmauer ftp versteht, wenden keine der vier Punkte
oben an Sie. Lassen Sie die Brandmauer die Arbeit für Sie erledigen.
6.7 Welche Software verwendet, welcher ftp Modus?
Sie ist bis zum Klienten, zum zu entscheiden, welcher zu verwenden
Modus; die Standardart, wenn ein neuer Anschluß geöffnet ist, ist `` aktiver
Modus ' '.
Die meisten ftp Klienten kommen vorkonfiguriert, um aktiven Modus zu
verwenden, aber stellen eine Option zum Gebrauch `` passiver '' (``PASV ' ')
Modus zur Verfügung. Eine Ausnahme ist die Fensterbefehl Zeile ftp Klient,
die nur im aktiven Modus funktioniert.
Web-Datenbanksuchroutinen verwenden im Allgemeinen passiven Modus,
beim Verbinden über ftp, mit einer sonderbaren Ausnahme: MSIE 5 benutzt
aktives ftp wenn FTP:ing `` im Datei-Forscher '' Modus und passives ftp wenn
FTP:ing `` im Webseite '' Modus. Es gibt keinen Grund whatsoever für dieses
Verhalten; meine Vermutung ist, daß jemand in Redmond ohne Wissen von ftp
entschied, daß `` selbstverständlich wir den aktiven Modus verwenden, wenn
wir im Dateiforschermodus sind, seit dem diesen die Blicke, die ' ' aktiver
als eine Webseite sind. Gehen Abbildung.
6.8 Ist mein Brandmauerversuchen, draußen anzuschließen?
Meine Brandmauerprotokolle sind, mir erklärend, daß mein web server
versucht, von Kanal 80 an Kanäle über 1024 auf der Außenseite anzuschließen.
Was dieses? ist!
Wenn Sie fallengelassene Pakete von Kanal 80 auf Ihrem web server
(oder von Kanal 25 auf Ihrem mail server) zu den hohen Kanälen auf der
Außenseite sehen, bedeuten sie normalerweise NICHT, daß Ihr web server
versucht, irgendwo anzuschließen.
Sie sind das Resultat der Brandmauerzeitbegrenzung aus einem Anschluß
und des Sehens des Servers, alte Antworten (oder zu versuchen, den Anschluß
zu schließen) zum Klienten nochmal zu übertragen.
TCP Anschlüsse beziehen immer die Pakete mit ein, die in BEIDE
Richtungen in den Anschluß reisen.
Wenn Sie können, die TCP Markierungsfahnen in den fallengelassenen
Paketen zu sehen, sehen you'll, daß die ACK Markierungsfahne aber nicht die
SYN Markierungsfahne eingestellt wird und, daß dieses wirklich nicht ein
neuer bildender Anschluß ist, aber eher eine Antwort eines vorher gebildeten
Anschlußes bedeutet.
Lesen Sie Punkt 8 unten für eine eingehende Erklärung von, was
geschieht, wenn TCP Anschlüsse gebildet werden (und geschlossen)
6.9 Die Anatomie eines TCP Anschlußes
TCP wird mit 6 `` Markierungsfahnen ' ausgerüstet, die EINGESCHALTET
oder AUS sein können. Diese Markierungsfahnen sind:
FLOSSE
`` steuerte '' Anschlußabschluß
SYN
Öffnen Sie neuen Anschluß
RST
`` sofortig '' Anschlußabschluß
PSH
Weisen Sie Empfängerhauptrechner an, um die Daten bis zur Anwendung zu
drücken anstatt gerechte Warteschlange es
Ack
`` bestätigen Sie '' ein vorhergehendes Paket
URG
`` dringende '' Daten, die sofort verarbeitet werden muß
In diesem Beispiel ist Ihr Klient 5.6.7.8, und der Kanal, der Ihnen
ist zugewiesen wird dynamisch, 1049. Der Server ist 1.2.3.4, Kanal 80.
Sie fangen den Anschlußversuch an:
5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON
Der Server empfängt dieses Paket und versteht, daß jemand einen neuen
Anschluß bilden möchte. Eine Antwort wird gesendet:
1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON
Der Klient empfängt die Antwort und informiert sich, daß die Antwort
empfangen wird
5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON
Hier ist der Anschluß geöffnet. Dieses wird einen Dreiwegehändedruck
genannt. Sein Zweck ist, zu BEIDEN Hauptrechnern zu überprüfen, daß sie
einen Arbeitsanschluß zwischen ihnen haben.
Das seiende was es, ist, unzuverlässige und überschwemmte Internet,
dort sind Bestimmungen, Paketverlust zu entschädigen.
Wenn der Klient das Ausgangs-SYN aussendet, ohne ein SYN+ACK innerhalb
einiger Sekunden zu empfangen, sendet es das SYN zurück.
Wenn der Server das SYN+ACK aussendet, ohne einen ACK in einigen
Sekunden zu empfangen, sendet er das SYN+ACK Paket zurück.
Das letzte ist wirklich der Grund, daß SYN Überschwemmung so gut
arbeitet. Wenn Sie SYN Pakete von den Lots unterschiedlichen Kanälen
aussenden, bindet dieses oben eine Menge Betriebsmittel auf dem Server. Wenn
Sie auch ablehnen, auf die zurückgebrachten SYN+ACK Pakete zu reagieren,
HÄLT der Server diese Anschlüsse für eine lange Zeit und sendet die SYN+ACK
Pakete zurück. Einige Servers nehmen nicht neue Anschlüsse an, während es
genügende aktuell bildenden Anschlüsse gibt; deshalb SYN
Überschwemmungarbeiten.
Alle Pakete übertragen in jede Richtung, nachdem der
Dreiwegehändedruck das eingestellte ACK Bit hat. Stateless Paketfilter
gebrauchen dieses in den sogenannten `` hergestellten '' Filtern: Sie werden
ließen nur Pakete durch dieses das eingestellte ACK Bit haben. Auf diese
Weise, kein Paket kann in eine bestimmte Richtung durch überschreiten, die
einen neuen Anschluß bilden könnte. Gewöhnlich erlauben Sie nicht äußeren
Hauptrechnern, neue Anschlüsse zu den inneren Hauptrechnern zu öffnen, indem
Sie das ACK Bit benötigen, das auf diese Pakete eingestellt wird.
Wenn die Zeit gekommen ist, den Anschluß zu schließen, gibt es zwei
Möglichkeiten des Tuns er: Die FLOSSE-Markierungsfahne oder das Verwenden
der RST Markierungsfahne verwenden. Mit FLOSSE-Markierungsfahnen werden
beide Implementierungen benoetigt, FLOSSE-Markierungsfahnen auszusenden, um
anzuzeigen, daß sie den Anschluß schließen möchten, und dann Quittungen zu
diesen Flossen aussenden und anzeigen, daß sie verstanden, daß das andere
Ende den Anschluß schließen möchte. Wenn man RSTs aussendet, wird der
Anschluß stark geschlossen, und Sie nicht wirklich erhalten eine Anzeige
über, ob das andere Ende Ihre Rücksetzenordnung verstand, oder das hat es
tatsächlich alle Daten empfangen, die Sie zu ihm schickten.
Die FLOSSE-Methode des Schließens des Anschlußes setzt Sie auch einer
Ablehnung-von-Service Situation aus, da der TCP Stapel sich an den
geschlossenen Anschluß während einer ziemlich langen Zeit erinnern muß,
falls das andere Ende nicht eins der FLOSSE-Pakete empfangen hat.
Wenn genug viele Anschlüsse geöffnet und geschlossen sind, können Sie
herauf Haben `` der geschlossenen '' Anschlüsse in allen Ihren
Anschlußschlitzen fertigwerden. Auf diese Weise, würden Sie nicht können,
mehr Anschlüsse dynamisch zuzuordnen und sehen würden, daß alle sie benutzt
werden. Unterschiedlicher OSes Handgriff diese Situation anders als.
A. Einige Handelsprodukte und Verkäufer
Wir glauben, daß dieses Thema für Adresse in einem FAQ zu empfindlich
ist, jedoch eine unabhängig beibehaltene Liste (keine Garantie oder
Empfehlungen werden angedeutet), Online gefunden werden kann.9
B. Glossar der Brandmauer-In Verbindung stehenden Bezeichnungen
Mißbrauch des Privilegs
Wenn ein Benutzer eine Tätigkeit durchführt, die sie nicht haben
sollten, entsprechend organisatorischer Politik oder Gesetz.
Zugriffssteuerung-Listen
Richtlinien für Paketfilter (gewöhnlich Fräser) die definieren, welche
Pakete zum zu überschreiten und zu blocken welches.
Greifen Sie Auf Fräser Zu
Ein Fräser, der Ihr Netz an das externe Internet anschließt.
Gewöhnlich ist dieses Ihre erste Verteidigungslinie gegen Angreifer vom
äußeren Internet. Indem Sie Zugriffssteuerunglisten auf diesem Fräser
aktivieren, können Sie, eine Stufe des Schutzes für alle Hauptrechner ``
hinter '' zur Verfügung zu stellen, das der Fräser, dieses Netz ein DMZ
anstelle von einem ungeschützten externen LAN effektiv bildend.
Anwendung-Schicht Brandmauer
Ein Brandmauersystem, in dem Service von den Prozessen zur Verfügung
gestellt wird, die kompletten TCP Anschlußzustand und -sequentiell ordnen
beibehalten. Anwendungsschichtbrandmauern Re-adressieren häufig Verkehr,
damit gehend Verkehr scheint, |
