Firewalls und Sicherheit in IP-Netzwerken

1 Analyse des Schutzbedarfes von Computersystemen

1.1 Schutzobjekte
1.2 Angriffsziele beim Angriff auf Daten
1.3 Angriffsziele beim Angriff auf Rechner und Netzwerk
1.4 Angreifer und Gefährdungen
1.5 Ursachen für Gefährdungen
1.6 Schutzmaßnahmen
1.7 Beispiele für Angriffsmethoden und -Werkzeuge
1.8 Hinweise zur Erhöhung der Sicherheit eines einzelnen Systems
1.9 Technische und logische Schutzmechanismen

1.9.1 Maßnahmenliste
1.9.2 Gefahreneinschätzung häufig aktiver Dienste
1.9.3 Starten und Stoppen von Serverdiensten

2 Benutzung von Netzwerkanalysewerkzeugen und Schutzmechanismen

2.1 Analysewerkzeuge

2.1.1 Netzwerkbeobachtung mit tcpdump
2.1.2 Netzwerkbeobachtung mit ethereal
2.1.3 Ermittlung aktiver Dienste mit nmap
2.1.4 Ermittlung aktiver Dienste mit nessus
2.1.5 Penetrationstests mit dsniff

2.1.5.1 Netzwerkbeobachtung mit dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf und webspy
2.1.5.2 Spoofing mit arpspoof, dnsspoof und macof
2.1.5.3 Denial-of-Service-Angriffe mit tcpkill und tcpnice
2.1.5.4 Man-in-the-Middle-Angriffe mit sshmitm und webmitm

2.2 Schutzmechanismen

2.2.1 Logbuchdämon syslogd

2.2.1.1 Konfigurationsdatei /etc/syslog.conf

2.2.2 Erkennung von Portscans durch scanlogd
2.2.3 Intrusion-Detector snort

2.2.3.1 Snort als Packet Sniffer
2.2.3.2 Snort als Packet Logger
2.2.3.3 Snort als Network Intrusion Detector (Alarmanlage)

2.2.4 Dämon-Wrapper tcpd

2.2.4.1 Eintrag des Dämon-Wrappers in der Konfigurationsdatei /etc/inetd.conf
2.2.4.2 Konfigurationsdateien /etc/hosts.allow, /etc/hosts.deny

2.2.5 Sicherheitsfunktionen augewählter Stand-Alone-Server

3 Einsatz von Kryptoverfahren

3.1 Symmetrische und asymmetrische Verfahren
3.2 Konfiguration und Verwendung von SSH

3.2.1 Sinn und Zweck
3.2.2 Funktionsprinzip und Verwendungsmöglichkeiten
3.2.3 Installation und Konfigurationsdateien
3.2.4 RSA-Authentisierung ohne Passwortabfrage durch den Server
3.2.5 Port-Forwarding
3.2.6 Benutzung der Kommandos ssh und scp

4 Beschreibung und Bedrohungsanalyse der Protokolle der Vermittlungs- und Transportschicht

4.1 OSI-Schichtenmodell
4.2 Internet-Protocol (IP)

4.2.1 Einsatzumgebung
4.2.2 Dienste von IP
4.2.3 Protokolldatenstruktur
4.2.4 Sicherheitsbedrohungen

4.2.4.1 IP-Spoofing
4.2.4.2 IP-Source-Routing
4.2.4.3 Tiny Fragment Attack
4.2.4.4 Overlapping Fragment Attack
4.2.4.5 Tunneln

4.2.5 Filterungsmöglichkeiten

4.3 Internet Control Message Protocol (ICMP)

4.3.1 Einsatzumgebung
4.3.2 Dienste von ICMP
4.3.3 Protokolldatenstruktur
4.3.4 Sicherheitsbedrohungen

4.3.4.1 Time-to-Live-Exceeded, Redirect, Destination Unreachable
4.3.4.2 Ping Flooding
4.3.4.3 Smurf
4.3.4.4 Ping o’ Death
4.3.4.5 Redirect

4.3.5 Filterungsmöglichkeiten

4.4 Address Resolution Protocol (ARP)

4.4.1 Einsatzumgebung
4.4.2 Sicherheitsbedrohungen

4.4.2.1 ARP Spoofing

4.4.3 Filterungsmöglichkeiten

4.5 Transmission Control Protocol (TCP)

4.5.1 Einsatzumgebung
4.5.2 Schematischer Ablauf
4.5.3 Dienste von TCP
4.5.4 Protokolldatenstruktur
4.5.5 Sicherheitsbedrohungen

4.5.5.1 Spoofing
4.5.5.2 Sequence Number Guessing
4.5.5.3 TCP-SYN-Flooding
4.5.5.4 Hijacking
4.5.5.5 Asynchrone State
4.5.5.6 Stealth Scan
4.5.5.7 FIN Scan
4.5.5.8 Xmas Scan

4.5.6 Filterungsmöglichkeiten

4.6 User Datagram Protocol (UDP)

4.6.1 Einsatzumgebung
4.6.2 Schematischer Ablauf
4.6.3 Protokolldatenstruktur
4.6.4 Sicherheitsbedrohungen

4.6.4.1 Flooding, UDP Packet Storm
4.6.4.2 UDP-Spoofing
4.6.4.3 Portscan

4.6.5 Filterungsmöglichkeiten

5 Beschreibung und Bedrohungsanalyse der Protokolle der höheren Schichten

5.1 Telnet

5.1.1 Sicherheitsbedrohung

5.1.1.1 IP-Spoofing

5.1.2 Filterungsmöglichkeiten

5.2 File Transfer Protocol (FTP)

5.2.1 Schematischer Ablauf
5.2.2 Steuerkommandos und Datentypen
5.2.3 Sicherheitsbedrohungen

5.2.3.1 PORT
5.2.3.2 Manipulieren und Lesen
5.2.3.3 Ausnutzen des anonymous ftp
5.2.3.4 Ausführbarer Code
5.2.3.5 Firewalls tunneln
5.2.3.6 FTP Hijacking

5.2.4 Filterungsmöglichkeiten

5.3 Domain Name Service (DNS)

5.3.1 Schematischer Ablauf
5.3.2 Sicherheitsbedrohungen

5.3.2.1 DNS-Spoofing
5.3.2.2 Penetration des DNS-Caches
5.3.2.3 Manipulation des DNS-Caches
5.3.2.4 Sniffing
5.3.2.5 IP-Spoofing
5.3.2.6 Recursive Zone Transfer Request

5.3.3 Filterungsmöglichkeiten

5.4 Post Office Protocol (POP)

5.4.1 Filterungsmöglichkeiten

5.5 Simple Mail Transfer Protocol (SMTP)

5.5.1 Nachrichtenformat
5.5.2 Steuerkommandos
5.5.3 Sicherheitsbedrohungen

5.5.3.1 Flooding
5.5.3.2 MAIL FROM
5.5.3.3 VRFY, EXPN
5.5.3.4 sendmail
5.5.3.5 Ausführbarer Code

5.5.4 Filterungsmöglichkeiten

5.6 Hypertext Transfer Protocol (HTTP)

5.6.1 Steuerkommandos und schematischer Ablauf
5.6.2 Protokolldatenstruktur

5.6.2.1 Request Block
5.6.2.2 Response Block

5.6.3 Sicherheitsbedrohungen

5.6.3.1 Spoofing
5.6.3.2 Ausführbarer Code

5.6.4 Filterungsmöglichkeiten

5.7 Network New Protocol (NNTP)

5.7.1 Steuerkommandos und schematischer Ablauf
5.7.2 Protokolldatenstruktur
5.7.3 Sicherheitsbedrohungen

5.7.3.1 Ausführbarer Code

5.7.4 Filterungsmöglichkeiten

6 Aktive Inhalte in Dokumenten anderer Protokolle

6.1 Multipurpose Internet Mail Extensions (MIME)

6.1.1 Protokolldatenstruktur
6.1.2 Sicherheitsbedrohungen

6.1.2.1 Ausführbarer Code

6.1.3 Filterungsmöglichkeiten

6.2 Java

6.2.1 Sicherheitsbedrohungen
6.2.2 Das Java-Sicherheitsmodell
6.2.3 Java und Firewalls

6.2.3.1 Überschreiben des Schildes <applet>
6.2.3.2 Schutz vor ungewollten Lieferungen
6.2.3.3 Abweisen von CAFEBABE
6.2.3.4 Abweisen durch Dateinamen
6.2.3.5 Angriff auf Firewalls mittels Java

7 Firewalls

7.1 Funktion und Architektur

7.1.1 Paketfilter

7.1.1.1 Statische Paketfilter
7.1.1.2 Dynamische (kontextabhängige) Paketfilter

7.1.2 Proxy-Dienste

7.1.2.1 Circuit Relay
7.1.2.2 Application Gateway
7.1.2.3 Transparent Proxy

7.2 Architektur von Firewall-Systemen

7.2.1 System mit Überwachungsrouter
7.2.2 System mit Dual Homed Gateway
7.2.3 System mit Bastion Host(s)
7.2.4 System mit Grenznetz
7.2.5 Kontroll- und Überwachungsfunktionen

7.3 Grenzen von Firewalls

8 Konfiguration von Proxy-Servern unter Linux

8.1 HTTP-, HTTPS- und FTP-Proxy squid

8.1.1 Konfiguration des squid
8.1.2 Squid-Plugin SquidGuard

8.2 FTP-Proxy
8.3 E-Mail-Proxy

9 Funktionsweise der Paketfilterung im Linux-Kernel

9.1 Allgemeine Kerneleinstellungen
9.2 Paketfilterung im Linux-Kernel 2.2 - ipchains

9.2.1 Kommando ipchains

9.2.1.1 Überblick über die Optionen von ipchains
9.2.1.2 Einfaches Beispiel für die Benutzung von ipchains
9.2.1.3 Masquerading mit ipchains
9.2.1.4 Komplexeres Beispiel für die Benutzung von ipchains
9.2.1.5 Vollständiges Beispiel für die Benutzung von ipchains

9.2.2 Grafische Konfiguration mit gfcc

9.3 Paketfilterung im Linux-Kernel 2.4 - iptables

9.3.1 Unterschiede zwischen ipchains und iptables
9.3.2 Network Address Translation (NAT)
9.3.3 Kommando iptables

9.3.3.1 Überblick über die Optionen von iptables
9.3.3.2 Einfaches Beispiel für die Benutzung von iptables
9.3.3.3 Beispiel für NAT mit fester offizieller IP-Adresse
9.3.3.4 Beispiel für NAT mit dynamischer offizielle IP-Adresse
9.3.3.5 Komplexeres Beispiel für die Benutzung von iptables

9.3.4 Vollständiges Beispiel für die Benutzung von iptables
9.3.5 Grafische Konfiguration mit fwbuilder
9.3.6 Systematische Hinweise zur Erstellung von Shell-Scripts zur Paketfilterung

10 Paketfilter-Skripte bei SuSE-Linux

10.1 Einbindung in das System
10.2 Personal Firewall in SuSE-Linux

10.2.1 Bestandteile

10.2.1.1 Programmpaket
10.2.1.2 Programmdateien
10.2.1.3 Konfigurationsdateien
10.2.1.4 Dokumentation
10.2.1.5 Logbuchdateien

10.2.2 Funktionsweise
10.2.3 Konfigurationsschritte

10.3 SuSE Firewall

10.3.1 Bestandteile

10.3.1.1 Programmpaket
10.3.1.2 Programmdateien
10.3.1.3 Konfigurationsdateien
10.3.1.4 Dokumentation
10.3.1.5 Logbuchdatei

10.3.2 Funktionsweise
10.3.3 Konfigurationsschritte

10.3.3.1 Szenario 1
10.3.3.2 Szenario 2
10.3.3.3 Szenario 3
10.3.3.4 Szenario 4
10.3.3.5 Szenario 5

11 Realisierung eines Beispielsystems mit Firewalls

11.1 Anforderungen
11.2 Systemstruktur
11.3 Konfiguration der Bastion-Hosts
11.4 Filterregeln eines Paketfilters
11.5 Sonstige Einstellungen