Firewall Handbuch für LINUX 2.0 und 2.2: Firewall mit bastion host und DMZ: Innere Firewall mit bastion host und Grenznetz

19.1 Innere Firewall mit bastion host und Grenznetz

Die innere Firewall ist im Grunde das letzte Hindernis, welches einen Angreifer noch vom internen Netzwerk trennt. Die Server im Grenznetz müssen aufgrund ihrer Anfälligkeit für Angriffe im Prinzip als unsicher betrachtet werden. Es empfiehlt sich für diese Server eine Fernwartung mit einem verschlüsselten Client, wie z.B. SSH von einer Arbeitsstation aus. Für einen Angreifer ist es auch nach einem Angriff wesentlich schwieriger, seinen Angriff über einen solchen SSL Client fortzusetzen. Fernwartung von einem Server sollte streng vermieden werden. Als Filter sollte mindestens ein dynamischer Paketfilter zum Einsatz kommen, normale Router reichen heutzutage keinesfalls mehr aus. Die Firewall sollte darüber hinaus mit der äußeren Firewall verbunden werden. Zwischen den Logfiles von innerer und äußerer Firewall sollte stets ein Abgleich der Logeinträge stattfinden. Wir so ein Einbruch in einen Server in der DMZ bemerkt, so sind beide Firewalls komplett zu sperren. Es muß danach eine Untersuchung der Server erfolgen.


Regel Richtung Quell-IP Ziel-IP Protokoll Quellport  Zielport  ACK? Aktion
SPOOF ein      intern   bel.    bel.      bel.       bel.      bel. verbieten

TEL1  aus      intern   bel.    TCP       >1023      23        bel. zulassen
TEL2  ein      bel.     intern  TCP       23         >1023     ja   zulassen

FTP1  aus      intern   bel.    TCP       >1023      21        bel. zulassen
FTP2  ein      bel.     intern  TCP       21         >1023     ja   zulassen
FTP3  aus      intern   bel.    TCP       >1023      >1023     bel. zulassen
FTP4  ein      bel.     intern  TCP       >1023      >1023     ja   zulassen
FTP5  aus      intern   Bastion TCP       >1023      21        bel. zulassen
FTP6  ein      Bastion  intern  TCP       21         >1023     ja   zulassen
FTP7  ein      Bastion  intern  TCP       bel.       6000-6003 bel. verbieten
FTP8  ein      Bastion  intern  TCP       >1023      >1023     bel. zulassen
FTP9  aus      intern   Bastion TCP       >1023      >1023     ja   zulassen

SMTP1 aus      intern   Bastion TCP       >1023      25        bel. zulassen
SMTP2 ein      Bastion  Server  TCP       25         >1023     ja   zulassen
SMTP3 ein      Bastion  Server  TCP       >1023      25        bel. zulassen
SMTP4 aus      Server   Bastion TCP       25         >1023     ja   zulassen

NNTP1 aus      Server   NNTP    TCP       >1023      119       bel. zulassen
NNTP2 ein      NNTP     Server  TCP       119        >1023     ja   zulassen
NNTP3 ein      NNTP     Server  TCP       >1023      119       bel. zulassen
NNTP4 aus      Server   NNTP    TCP       119        >1023     ja   zulassen

HTTP1 aus      intern   Bastion TCP       >1023      80        bel. zulassen
HTTP2 ein      Bastion  intern  TCP       80         >1023     ja   zulassen

DNS1  aus      Server   Bastion UDP       53         53             zulassen
DNS2  ein      Bastion  Server  UDP       53         53             zulassen
DNS3  aus      Server   Bastion TCP       >1023      53        bel. zulassen
DNS4  ein      Bastion  Server  TCP       53         >1023     ja   zulassen
DNS5  ein      Bastion  Server  TCP       >1023      53        bel. zulassen
DNS6  aus      Server   Bastion TCP       53         >1023     ja   zulassen

STD1  aus      bel.     bel.    bel.      bel.       bel.      bel. verbieten
STD2  ein      bel.     bel.    bel.      bel.       bel.      bel. verbieten

Regel-Erläuterungen

SPOOF: Pakete, die angeblich von internen IP-Adressen stammen, d.h. gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden blockiert.
TEL1 und TEL2: Ausgehende TELNET Verbindungen werden durch diese Regeln erlaubt.
FTP1 und FTP2: Ausgehende Verbindungen zu FTP-Servern, die für interne Clients zur Kommunikation mit diesen Servern im direkten Modus vonnöten sind, werden hierdurch erlaubt.
FTP3 und FTP4: Es werden für den Datenkanal von FTP im passiven Modus Verbindungen von internen Clients zu externen FTP Servern zugelassen. Durch diese Regeln werden allerdings auch sämtliche Verbindungen von internen TCP Ports >1023 zu externen TCP Ports >1023 erlaubt.
FTP5 und FTP6: Durch diese Regeln wird normalen internen FTP-Clients gestattet einen FTP-Kommandokanal zum FTP-Proxy-Server auf dem Bastion-Host zu eröffnen. Da FTP1 Und FTP2 als Quell- bzw. Zieladresse beliebig erfassen, also auch Bastion-Host, so scheinen FTP5 und FTP6, wenn FTP1 und FTP2 in der Liste früher erscheinen, eher überflüssig, sie vereinfachen jedoch das Werk. Desweiteren ist es durch ihren Einsatz möglich, die Regeln FTP1 und FTP2 zu ändern, ohne für Clients im normalen Modus den Zugang zum Proxy-Server zu behindern.
FTP7, FTP8 und FTP9: Diese Regeln lassen FTP-Datenverbindungen vom Proxy-Server auf dem Bastion-Host zu internen Clients, die nicht im passiven Modus arbeiten, zu. Angreifer die Zugang zum Bastion-Host erlangt haben werden durch FTP7 daran gehindert interne X11-Server über die durch FTP8 und FTP9 geöffnete Lücke anzugreifen. Sollten Sie auf TCP-Ports >1023 andere interne Server betreiben ist es sinnvoll dafür ähnliche Regeln einzufügen. Entsprechend Regel FTP7 alle Verbindungen aufzuführen, die verboten werden sollen wird im allgemeinen nicht möglich sein, da z.B. nach der Einrichtung des Paketfilters Dienste hinzugefügt werden oder bei der Einrichtung nicht alle bekannt sind, jedoch sollte man es nicht unterlassen zur Unterstützung von FTP-Clients im normalen Modus dies für so viele Verbindungen wie möglich (bekannt) zu tun.
SMTP1 und SMTP2: Ausgehende Post von internen Rechnern zum Bastion-Host wird durch diese Regeln zugelassen.
SMTP3 und SMTP4: Eingehende Post vom Bastion-Host zum internen Mail-Server wird durch diese Regeln zugelassen.
NNTP1 und NNTP2: Ausgehende Usenet-News von Ihrem News-Server zum News-Server Ihres Service-Providers werden durch diese Regeln zugelassen.
HTTP1 und HTTP2: Interne HTTP Client-Verbindungen zum HTTP-Proxy-Server auf dem Bastion-Host werden durch diese Regeln zugelassen.
DNS1: DNS-Anfragen über UDP und Antworten der internen DNS-Server zum DNS-Server auf dem Bastion-Host werden hierdurch erlaubt.
DNS2: DNS-Anfragen über UDP und Antworten des DNS-Servers auf dem Bastion-Host werden hierdurch erlaubt.
DNS3 und DNS4: DNS-Anfragen über TCP vom DNS-Server auf dem Bastion-Host zum internen DNS-Server werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Bastion-Host als sekundärem Server und dem internen DNS-Server als primärem Server erlaubt.
DNS5 und DNS6: DNS-Anfragen über TCP vom internen DNS-Server zu DNS-Servern auf dem Bastion-Host werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Bastion-Host als primärem Server und dem internen DNS-Server als sekundärem Server erlaubt.
STD1 und STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in einer der vorhergehenden Regeln erlaubt wurden.

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING