Firewall Handbuch für LINUX 2.0 und 2.2: Firewall mit bastion host und DMZ: Äußere Firewall mit bastion host und Grenznetz

19.2 Äußere Firewall mit bastion host und Grenznetz

Gemäß Abbildung 3 gelten für die äußere Firewall bzw. den äußeren Paketfilter einige spezielle Regeln. Das Grenznetz stellt den Bereich zwischen den beiden Firewalls dar. Als Basion Host sind Server1+2 entsprechend den Regeln zu konfigurieren. Die Logeinträge der äußeren Firewalls sind stets zu kontrollieren und mit denjenigen der inneren Firewall abzugleichen. Nur so kann ein Angriff auf die Server im Grenznetz bemerkt werden. Im Falle eines Angriffs sind beide Firewalls, die innere und äußere automatisch zu sperren. Differenzen ergeben sich immer dann, wenn Pakete, Quell-IP Nummern aus dem Intranet und deren Zieladresse IP - Nummer aus dem Internet nicht gleichermaßen in den Logfiles der inneren und äußeren Firewall erscheinen. Differenzen, die sich aus einem Upload von WWW-Seiten via HTTP oder FTP Protokoll auf die Server im Grenznetz ergeben, können ignoriert werden. Das betrifft auch NNTP, UUCP, SMTP und DNS.


Regel Richtung Quell-IP  Ziel-IP Prot  Quellport Zielport  ACK? Aktion
SPF1  ein      intern    bel.    bel.  bel.      bel.      bel. verbieten
SPF2  ein      Grenznetz bel.    bel.  bel.      bel.      bel. verbieten

TEL1  aus      intern    bel.    TCP   >1023     23        bel. zulassen
TEL2  ein      bel.      intern  TCP   23        >1023     ja   zulassen

FTP1  aus      intern    bel.    TCP   >1023     21        bel. zulassen
FTP2  ein      bel.      intern  TCP   21        >1023     ja   zulassen
FTP3  aus      intern    bel.    TCP   >1023     >1023     bel. zulassen
FTP4  ein      bel.      intern  TCP   >1023     >1023     ja   zulassen

FTP5  aus      Bastion   bel.    TCP   >1023     21        bel. zulassen
FTP6  ein      bel.      Bastion TCP   21        >1023     ja   zulassen
FTP7  ein      bel.      Bastion TCP   20        6000-6003 bel. verbieten
FTP8  ein      bel.      Bastion TCP   20        >1023     bel. zulassen
FTP9  aus      Bastion   bel.    TCP   >1023     20        ja   zulassen
FTP10 ein      bel.      Bastion TCP   >1023     21        bel. zulassen
FTP11 aus      Bastion   bel.    TCP   21        >1023     ja   zulassen
FTP12 aus      Bastion   bel.    TCP   20        >1023     bel. verbieten
FTP13 ein      bel.      Bastion TCP   >1023     20        ja   zulassen
FTP14 ein      bel.      Bastion TCP   >1023     >1023     bel. zulassen
FTP15 aus      Bastion   bel.    TCP   >1023     >1023     bel. zulassen

SMTP1 aus      Bastion   bel.    TCP   >1023     25        bel. zulassen
SMTP2 ein      bel.      Bastion TCP   25        >1023     ja   zulassen
SMTP3 ein      bel.      Bastion TCP   >1023     25        bel. zulassen
SMTP4 aus      Bastion   bel.    TCP   25        >1023     ja   zulassen

NNTP1 aus      Server    NNTP    TCP   >1023     119       bel. zulassen
NNTP2 ein      NNTP      Server  TCP   119       >1023     ja   zulassen
NNTP3 ein      NNTP      Server  TCP   >1023     119       bel. zulassen
NNTP4 aus      Server    NNTP    TCP   119       >1023     ja   zulassen

HTTP1 aus      Bastion   bel.    TCP   >1023     bel.      bel. zulassen
HTTP2 ein      bel.      Bastion TCP   bel.      >1023     ja   zulassen
HTTP3 ein      bel.      Bastion TCP   >1023     80        bel. zulassen
HTTP4 aus      Bastion   bel.    TCP   80        >1023     ja   zulassen

DNS1  aus      Bastion   bel.    UDP   53        53             zulassen
DNS2  ein      bel.      Bastion UDP   53        53             zulassen
DNS3  ein      bel.      Bastion UDP   bel.      53             zulassen
DNS4  aus      Bastion   bel.    UDP   53        bel.           zulassen
DNS5  aus      Bastion   bel.    TCP   >1023     53        bel. zulassen
DNS6  ein      bel.      Bastion TCP   53        >1023     ja   zulassen
DNS7  ein      bel.      Bastion TCP   >1023     53        bel. zulassen
DNS8  aus      Bastion   bel.    TCP   53        >1023     ja   zulassen

STD1  aus      bel.      bel.    bel.  bel.      bel.      bel. verbieten
STD2  ein      bel.      bel.    bel.  bel.      bel.      bel. verbieten

Regel-Erläuterungen

SPF1 und SPF2: Pakete, die angeblich von internen IP-Adressen stammen, d.h. gefälschte Pakete die mit hoher Wahrscheinlichkeit von einem Angreifer stammen oder deren Ursache in einer Fehlkonfiguration liegt, werden blockiert. (spoofig) SPF1 ist analog der Regel SPOOF für den inneren Router, wohingegen es die Regel SPF2 ausschließlich für den äußeren Router gibt.
TELNET1 und TELNET2: Ausgehende TELNET-Verbindungen werden durch diese Regeln erlaubt. Sie sind den gleichnamigen Regeln für den inneren Router analog. Dies hat für alle Regeln die nur interne und externe Rechner betreffen Gültigkeit, für Rechner im Grenznetz jedoch nicht.
FTP1, FTP2, FTP3 und FTP4: Ausgehende FTP-Verbindungen im passiven Modus werden durch diese Regeln zugelassen. Sie sind den gleichnamigen Regeln für den inneren Router analog.
FTP5 und FTP6: Diese Regeln erlauben das Öffnen eines FTP Kommando-Kanals zu FTP-Servern im Internet durch den FTP-Proxy-Server auf dem Bastion-Host. Im Gegensatz zu den identischen Regeln für den inneren Router sind diese auch dann nicht redundant, wenn die Regeln FTP1 und FTP2 in der Liste weiter oben stehen, da Bastion-Host als Quelle oder Ziel lediglich von den Regeln FTP5 und FTP6 abgedeckt wird, nicht aber von FTP1 und FTP2 für interne Rechner.
FTP7, FTP8 und FTP9: Diese Regeln lassen FTP-Datenverbindungen vom Proxy-Server auf dem Bastion-Host zu internen Clients, die nicht im passiven Modus arbeiten, zu. Angreifer die Zugang zum Bastion-Host erlangt haben, werden durch FTP7 daran gehindert, interne X11-Server über die durch FTP8 und FTP9 geöffnete Lücke anzugreifen. Sollten Sie auf TCP-Ports >1023 andere interne Server betreiben, ist es sinnvoll dafür ähnliche Regeln einzufügen. Entsprechend Regel FTP7 alle Verbindungen aufzuführen, die verboten werden sollen, wird im allgemeinen nicht möglich sein, da z.B. nach der Einrichtung des Paketfilters Dienste hinzugefügt werden oder bei der Einrichtung nicht alle bekannt sind, jedoch sollte man es nicht unterlassen zur Unterstützung von FTP-Clients im normalen Modus für so viele Verbindungen wie möglich zuzulassen.
FTP10, FTP11, FTP12, FTP13, FTP14 und FTP15: Diese Regeln lassen FTP-Verbindungen im passiven Modus von externen Clients zum Anonymous-FTP-Server auf dem Bastion-Host zu. Da im internen Netz keine FTP-Server, die auf externe Clients zugreifen können, vorhanden sind, existieren keine entsprechenden Regeln für den inneren Router. Es sollten aber beim Auslesen des PORT Befehls alle Ports unterhalb 1024 explizit verboten werden, da ansonsten ein eingeschleustes trojanisches Pferd als FTP-Client einem Angreifer Zugriff auf alle Ports unterhalb 1024 eröffnen könnte. Pferd
SMTP1 und SMTP2: Ausgehende Post vom Bastion-Host ins Internet wird durch diese Regeln zugelassen.
SMTP3 und SMTP4: Eingehende Post aus dem Internet zum Bastion-Host wird durch diese Regeln zugelassen.
NNTP1 und NNTP2: Usenet-News zwischen Ihrem News-Server und dem News-Server Ihres Service-Providers werden in beiden Richtungen durch diese Regeln zugelassen. Sie sind den gleichnamigen Regeln für den inneren Router analog.
HTTP1 und HTTP2: Diese Regeln erlauben Verbindungen zu HTTP-Servern auf beliebigen Maschinen im Internet durch den HTTP-Proxy-Server auf dem Bastion-Host. Desweiteren werden allen TCP-Clients auf dem Bastion-Host, die Portnummern >1023 benutzen, Verbindungen zu allen Servern und allen Ports auf beliebigen Rechnern im Internet gestattet. Dadurch wird dem HTTP-Proxy-Server ermöglicht zu HTTP-Servern, die nicht die Standard-Portnummer 80 benutzen, Verbindungen herzustellen. Trotz der Großzügigkeit dieser Regeln filtern sie jedoch, um nur ausgehende Verbindungen zuzulassen, bezüglich der ACK-Bits.
HTTP3 und HTTP4: Hierdurch werden externen Clients Verbindungen zum HTTP-Server auf dem Bastion-Host erlaubt. Da im internen Netz keine HTTP-Server, auf die externe Clients zugreifen können, vorhanden sind, existieren keine entsprechenden Regeln für den inneren Router.
DNS1: DNS-Anfragen über UDP und Antworten vom DNS-Server auf dem Bastion-Host zu DNS-Servern im Internet werden hierdurch erlaubt.
DNS2: DNS-Anfragen über UDP und Antworten von DNS-Servern im Internet zum DNS-Servers auf dem Bastion-Host werden hierdurch erlaubt.
DNS3 und DNS4: Um Anfragen an den DNS-Server auf dem Bastion-Host zu stellen und dessen Antworten zu empfangen gestatten diese Regeln externen DNS-Clients UDP-Verbindungen.
DNS5 und DNS6: DNS-Anfragen über TCP vom Bastion-Host zu DNS-Servern im Internet werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Bastion-Host als sekundärem Server und einem externen DNS-Server als primärem Server erlaubt.
DNS7 und DNS8: DNS-Anfragen über TCP aus dem Internet zum DNS-Servern auf dem Bastion-Host werden durch diese Regeln zugelassen, ebenso alle Antworten auf solche Fragen. Desweiteren werden Zonen-Transfers mit dem DNS-Server auf dem Bastion-Host als primärem Server und einem externen DNS-Server als sekundärem Server erlaubt.
STD1 und STD2: Diese Regeln blockieren alle Pakete, sofern sie nicht in einer der vorhergehenden Regeln erlaubt wurden.

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING