Firewall/Regelwerk
In einem Firewall-Regelwerk wird definiert, welcher Verkehr durch eine Firewall erlaubt und welcher verboten ist.
- Die Methode basiert auf Mandatory Access Control: Je nach Absender, Zustelladresse, Protokoll und Sendevorgang erlaubte Datenpakete dürfen passieren (engl.
- pass), verbotene werden abgelehnt (deny, reject) oder verworfen (drop).
- Dieser Schutzmechanismus ist selbst Ziel etlicher spezifischer Angriffsmöglichkeiten.
Ein Firewall-Regelwerk legt fest, welcher Verkehr durch eine Firewall möglich ist.
Beschreibung
Installation
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
Einzelnachweise
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5
TMP
TMP
Sicherheitsgrundsätze
"Blacklist"-Strategie
Es ist alles erlaubt, was nicht explizit verboten ist.
- Ansatz versucht, alle nicht erwünschten Kommunikationsverbindungen zu definieren und somit auszuschließen - alles andere bleibt erlaubt
- benutzerfreundlich, da neue Dienste automatisch erlaubt sind - dadurch jedoch ebenso gefährlich
"Whitelist"-Strategie
Es ist alles verboten, was nicht explizit erlaubt ist.
- sperrt zunächst sämtliche Kommunikation
- Kommunikationsverbindungen müssen explizit freigeschaltet werden
- Dienste, die neu hinzukommen, sind somit zunächst gesperrt
Verwerfen, Ablehnen und Erlauben
Ein Paketfilter arbeit auf den OSI-Schichten 3 & 4. Daher kann ankommender bzw. ausgehender Datenverkehr auf Eigenschaften geprüft werden, die dem jeweiligen Protokoll-Header entnommen werden:
- IP-Adresssen: Quelladresse und Zieladresse
- Protokoll: TCP, UDP & ICMP
- Flags: bei TCP - für den korrekten Verbindungsaufbau, die Datenübertragung und den Verbindungsabbau
- Ports: Quell-Port & Ziel-Port (z.Bsp. für HTTP, SSH, SMTP)
- ICMP-Code: bei ICMP
- Auf der Grundlage von Regeln, die vom Administrator festgelegt werden, entscheidet die Firewall, wie mit einem Datenpaket umzugehen ist:
- DENY oder DROP (Verwerfen) : Das Paket wird verworfen. Der Absender erhält keinerlei Rückmeldung.
- REJECT (Ablehnen): Das Paket wird verworfen. Der Absender wird darüber in Kenntnis gesetzt (ICMP Unreachable oder TCP-Reset)
- ALLOW oder PASS (Erlauben): Die Netzwerkanfrage ist erlaubt und wird durchgelassen.
- FORWARD oder PERMIT (Erlauben): Die Netzwerkanfrage ist erlaubt und wird weitergeleitet.
Die Reihenfolge entscheidet:
- Regelwerk wird von oben nach unten abgearbeitet - sobald eine passende Regel gefunden wird, wird diese angewandt & die jeweils definierte Aktion ausgeführt
- sämtliche nachfolgenden Regeln werden nicht ausgewertet
Protokolle ("logging")
- Grundsätzlich protokolliert eine Firewall alle Verbindungen
- Nachvollziehbarkeit des Netzwerkverkehrs und der Fehlersuche
Stealth-Regel
Eine "Stealth"-Regel (deutsch etwa: „heimliche Regel“ oder „listige Regel“) dient dem Eigenschutz der Firewall und verbietet alle Verbindungen zu ihr selbst.
ICMP-Regeln
- ICMP (Internet Control Message Protocol) dient im Netzwerk zum Austausch von Fehler- und Informationsmeldungen - bietet aber auch Angriffsmöglichkeiten.
Ein vollständiges Blockieren von ICMP ist jedoch nicht sinnvoll. Empfohlen wird, die folgenden empfohlen Typen freizuschalten:
- ICMP Unreachable
- ICMP Unreachable, Fragmentation Needed (wird verwendet von Path MTU Discovery)
- ICMP Time Exceeded in Transit (TTL expired in transit bei traceroute unter UNIX und tracert unter Windows)
- ICMP Echo Request (ausgehend, wird benutzt von Ping)
Ausgehender Datenverkehr
- Gute Firewalls können auch ausgehenden Netzwerkverkehr filtern
- Zum Beispiel, weil ausgehende Mail nur über den internen Mailserver möglich sein sollen
Links
Interne Links
Externe Links
Ein Firewall-Regelwerk legt fest, welcher Verkehr durch eine Firewall möglich ist.
Sicherheitsgrundsätze
- jeder Netzwerk-Verkehr ist verboten
- die erwünschten Verbindungen erlaubt ("Whitelist"-Strategie)
oder
- jeder Netzwerk-Verkehr ist erlaubt
- die nicht erwünschten Verbindung sind verboten ("Blacklist"-Strategie)
Verwerfen, Ablehnen und Erlauben
- Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll,
- DENY oder DROP (Verwerfen) : Das Paket wird verworfen, also nicht durchgelassen.Ohne Rückmeldung.
- REJECT (Ablehnen): Das Paket wird verworfen und dem Absender wird mitgeteilt.
- ALLOW oder PASS (Erlauben): Die Netzwerkanfrage ist erlaubt und wird durchgelassen.
- FORWARD oder PERMIT (Erlauben): Die Netzwerkanfrage ist erlaubt und wird weitergeleitet(Administrator)
Die relevante Reihenfolge
erlaubt und welcher verboten ist basiert auf Mandatory Access Control - (die erste zutreffende Regel wird angewendet):
- Absender-IP-Adresse(auch Netzwerk-Adressen wie z. B. 192.168.0.0/24)
- Zielmarke|Ziel-IP-Adresse
- Netzwerkprotokoll (Transmission Control Protocol|TCP, User Datagram Protocol|UDP, Internet Control Message Protocol|ICMP, …)
- Port (Protokoll)|Port-Nummer (bei TCP und UDP)
- Aktion (erlauben, verwerfen oder ablehnen)
- Logdatei|Protokollieren (engl. "log") ja/nein
Protokolle ("logging")
- Grundsätzlich protokolliert eine Firewall alle Verbindungen
- Nachvollziehbarkeit des Netzwerkverkehrs und der Fehlersuche
Stealth-Regel
Eine "Stealth"-Regel (deutsch etwa: „heimliche Regel“ oder „listige Regel“) dient dem Eigenschutz der Firewall und verbietet alle Verbindungen zu ihr selbst.
ICMP-Regeln
- ICMP (Internet Control Message Protocol)dient im Netzwerk zum Austausch von Fehler- und Informationsmeldungen.
- entweder ganz zu blockieren oder stets zu erlauben
- die folgenden empfohlen Typen freizuschalten:
- ICMP Unreachable
- ICMP Unreachable, Fragmentation Needed (wird verwendet von Path MTU Discovery)
- ICMP Time Exceeded in Transit (TTL expired in transit bei traceroute unter UNIX und tracert unter Windows)
- ICMP Echo Request (ausgehend, wird benutzt von Ping)
Ausgehender Datenverkehr
- Gute Firewalls können auch ausgehenden Netzwerkverkehr filtern
- Zum Beispiel, weil ausgehende Mail nur über den internen Mailserver möglich sein sollen