Reinhard Moosauer IT Beratung

Spezifikation eines Linux-Firewall-Systems

Spezifikation des Firewall-Systems......................................................................................................................................... 1

1.1      Aufbau....................................................................................................................................................................... 1

1.2      Art und technische Daten der Anbindung.......................................................................................................... 1

1.2.1       Pflege der DNS-Einträge................................................................................................................................. 1

1.3      Bereitgestellte Dienste............................................................................................................................................. 1

1.3.1       Firewall.............................................................................................................................................................. 1

1.3.2       Application-Level-Gateways......................................................................................................................... 1

1.3.3       Fernwartung..................................................................................................................................................... 2

1.3.4       VPN.................................................................................................................................................................... 2

1.3.5       Protokollierung................................................................................................................................................ 2

1.4      Paketfilter - Konfiguration....................................................................................................................................... 2

1.4.1       Grundsätzliches............................................................................................................................................... 2

1.4.2       Aus dem internen Netz................................................................................................................................... 2

1.4.3       Aus dem externen Netz................................................................................................................................... 2

1.5      Konfiguration anderer beteiligter Rechner........................................................................................................... 3

1.6      Sicherheitsmaßnahmen............................................................................................................................................ 3

1.7      Fehlersuchmöglichkeiten........................................................................................................................................ 3

1.7.1       Überwachungstool für Mailserver................................................................................................................ 3

1.7.2       Kontrolle aller laufenden Dienste................................................................................................................. 3

2.................................................................................................................................................................................................... 3

 

1.1        Aufbau

Die Anbindung besteht aus:

-          1 Linux-Rechner mit zwei Netzwerkkarten (WALL) = Paketfilter

-          1 Linux-Rechner mit einer Netzwerkkarte (GATE)   = Application-Level-Gateway

-          1 Cisco-Router von der Telekom

-          1 Hub

1.2        Art und technische Daten der Anbindung

Es handelt sich um eine ADSL-Standleitung mit 8 festen IP-Adressen.

1.3        Bereitgestellte Dienste

1.3.1       Firewall

-          Paketfilter (Regeln siehe unten)

-          Masquerading (dynamic NAT): ermöglicht Rechnern aus dem internen Netz vollen Internetzugang

1.3.2       Application-Level-Gateways

-          http-Proxy-Server (momentan nur als Reserve)
Wichtig: Zugriffslisten für Proxy wahlweise per IP-Adresse oder Benutzername und Passwort.

-          FTP-Proxy-Server: Ermöglich FTP-Zugang ins Internet z.B für Windows Commander

-          Mail-Relay-Server (Zwischenspeicher, Protokollierer und AntiSpam-Filter)
Wichtig: Da die Telekom selbst kein Relay mehr zur Verfügung stellt, ist hier ein vollwertiger Mailserver notwendig (Direkte Zustellung über DNS-Auflösung)

-          Mail-Virenscanner mit automatischem Update der Virendatenbank

1.3.3       Fernwartung

-          Zugang nur per SSH mit starker Verschlüsselung (ähnlich Zertifikaten)

-          Zugang aus dem internen Netz auch per VNC (Grafische Oberfläche)

1.3.4       VPN

-          IPSEC/IKE-basiertes VPN.

-          Authentifizierung über X509-Zertifikate. CRL-Auswertung.

-          Filterregeln für VPN-Zugriffe

1.3.5       Protokollierung

-          Protokollierung aller wichtigen Zugriffe auf die Firewall.

-          Remote-Protokoll auf anderen Rechner für bessere Intrusion-Detection möglich (Momentan ungenutzt)

-          Protokoll aller VPN-Zugriffe

1.4        Paketfilter - Konfiguration

 

Der kritische Punkt ist der Rechner. Er verbindet die Netze miteinander, soll aber allen unerwünschten Datenverkehr unterbinden. Das SuSEfirewall2 - Paket, das hier verwendet wird, enthält bereits viele Regeln, die der allgemeinen Sicherheit dienen. Das sind Maßnahmen gegen übliche Angriffstechniken (Spoofing, Syn-flooding, usw.)

1.4.1       Grundsätzliches

-          Routing und Masquerading ist aktiviert: Verbindungen können von innen nach außen aufgebaut werden. Dieses ist nur für den Internet-Zugriff per Proxy-Server notwendig. Mails werden per Application-Level-Gateways (sendmail, plug-gw) durchgelassen.

-          Es sind nur bestimmte Dienste erlaubt. Dabei gilt für das externe Netz ein höherer Sicherheitsanspruch als von intern.

1.4.2       Aus dem internen Netz

Erlaubt ist:

-          TCP Port 25: Mail. Nur Zugriff auf externen Mail-Server (per plug-gw)

-          TCP Port 80: Proxy-Zugriff auf Reserve-Proxy (per plug-gw)

 

Diese Rechner dürfen als einzige auf das ganze Internet zugreifen:

-          server02: Update der Virenscanner-Datenbank. (Nur FTP-Protokoll.)

-          msproxy: Proxy-Server (Alle Protokolle)

 

Folgende Verbindungen sind zusätzlich möglich (für Backup-Agent):

-          server02 greift auf GATE zu (alle Ports)

-          GATE greift auf server02 zu (alle Ports)

 

Alles andere ist von intern gesperrt.

1.4.3       Aus dem externen Netz

Nur vom TRUSTED-Bereich (nur das Firewallnetz) aus:

-          TCP Port 22: SSH

-          TCP Port 25: Mail. Wird direkt auf den Exchange-Server weitergeleitet.

Aus dem ganzen Internet auf den Rechner WALL:

-          IP-Protokoll 50: IPSEC

-          UDP Port 500: IKE  (zusammen sind diese für ein VPN notwendig)

 

Aus dem ganzen Internet auf den Rechner GATE:

-          TCP-Protokoll 25: Mail

-          TCP-Protokoll 22: Secure Shell (SSH)

 

Alles andere nicht.

 

1.5        Sicherheitsmaßnahmen

Folgende Sicherheitsmaßnahmen sollen den Betrieb der Firewall zuverlässig und sicher gestalten:

-          Online-Update für sicherheitsrelevante Patches. (YaST2-Online-Update)

-          Login über Netz nur mit SSH-Schlüssel+Paßwort.

-          Festplattenimages der Rechner für Notfälle

-          Keine unnötigen Dienste auf den Rechnern.

1.6        Fehlersuchmöglichkeiten

1.6.1       Überwachungstool für Mailserver

  1. Anzeige der Mail-Warteschlange auf dem externen Mailserver (Mail Queue); mit Link auf den Inhalt der Mails
  2. Anzeige eines Ein-/Ausgangsprotokolls der letzten Stunden (Mail Log); mit Fehlerstatus und Link auf die ausführlichen Protokolleinträge für jede Mail.
  3. Test der Internet-Verbindung: (Ping Test); Bei Problemen mit der Internetverbindung liefert die Ausgabe dieses Befehls Hinweise auf die Ursache des Problems.
    Man sieht, „wo“ die Leitung unterbrochen ist.

 

Eingriff auf die Funktion des Servers ist damit nicht möglich.

1.6.2       Kontrolle aller laufenden Dienste

 

Mit ps ax bzw. netstat –anp | grep LISTEN  können die laufenden Dienste kontrolliert werden.

Bei Verdacht können Änderungen an der Konfiguration so erkannt werden.

2          

Folgende Änderungen und Erweiterungen sind an diesem Dokument vorgenommen worden:

08.08.2002

Reinhard Moosauer

Dokument erstellt

 


Letzter Update: Tue Jul 01 14:24:26 CEST 2003

Copyright (c) 2002 Reinhard Moosauer IT Beratung, D-84028 Landshut.
Für die Richtigkeit der Inhalte auf diesen Seiten, sowie externe Inhalte, auf die von diesen Seiten verwiesen wird, wird keine Haftung übernommen.


News
NetMeeting over
Linux Firewall
Special NAT software
for Linux
www.m1b.de

x509, Zertifikate, CA
Kostenlose
Zertifikatsverwaltung
www.m1b.de

VPN for Linux
Die neueste Version
mit allen Patches
www.m1b.de

Home
Kontakt
Leistungen
Schlagworte
Testlabor
Know-How
Open Source
Links
Vorlesungen