Internet Firewall FAQ in German

Discussion in 'Computer Security' started by William L. Sun, Feb 6, 2005.

  1. Brandmauer FAQ in deutschem Teil 1
    Internet-Brandmauern:
    Häufig Gestellte Fragen
    Paul D. Robertson
    Mattes Curtin
    Marcus J. Ranum
    (übersetzt durch William Sun
    )


    Datum: 2004/07/26 15:34:42
    Änderung: 10.4

    Dieses Dokument vorhanden in Postskriptumand pdf.




    Inhalt
    1 Administrativia
    1.1 Über das FAQ
    1.2 Für wem wird das FAQ geschrieben?
    1.3 Bevor Post Gesendet Wird
    1.4 Wo kann ich die aktuelle Version des FAQ finden?
    1.5 Wo kann ich Nicht-Englische Versionen des FAQ finden?
    1.6 Mitwirkende
    1.7 Copyright und Verbrauch


    2 Hintergrund-und Brandmauer-Grundlagen
    2.1 Was ist ein Netzfirewall?
    2.2 Warum würde ich eine Brandmauer wünschen?
    2.3 Kann eine Brandmauer gegen was sich schützen?
    2.4 Nicht kann eine Brandmauer gegen was sich schützen?
    2.5 Was über Viren und anderes malware?
    2.6 Bildet IPSEC Brandmauern überholt?
    2.7 Was sind gute Quellen der Druckinformationen über Brandmauern?
    2.8 Wo kann ich mehr Informationen über Brandmauern auf dem Internet
    erhalten?


    3 Design-und Implementierung-Ausgaben
    3.1 Was sind einige der grundlegenden Designentscheidungen in einer
    Brandmauer?
    3.2 Was sind die grundlegenden Typen der Brandmauern?
    3.3 Was sind Vollmachtservers und wie sie arbeiten?
    3.4 Was sind einige preiswerte Paketsiebunghilfsmittel?
    3.5 Was sind einige angemessene filternrichtlinien für einen
    Kern-gegründeten Paketbildschirm?
    3.6 Was sind einige angemessene filternrichtlinien für ein Cisco?
    3.7 Was sind die kritischen Betriebsmittel in einer Brandmauer?
    3.8 Was ist ein DMZ und warum ich wünschen ein?
    3.9 Wie konnte ich die Sicherheit und das scalability meines DMZ
    erhöhen?
    3.10 Was ist ein ` einzelner Punkt des Ausfalls ' und wie ich
    vermeiden, ein zu haben?
    3.11 Wie kann ich die ganze falsche Material blocken?
    3.12 Wie kann ich Web-Zugriff einschränken, also können Benutzer nicht
    die Sites ansehen, die, um zu arbeiten ohne Bezug sind?


    4 Verschiedene Angriffe
    4.1 Was ist Quelle verlegter Verkehr und warum ist es eine Drohung?
    4.2 Was sind ICMP umadressiert und umadressiert Bomben?
    4.3 Was über Leistungsverweigerung?
    4.4 Was sind einige geläufige Angriffe und wie können ich mein System
    gegen sie schützen?


    5 Wie I...
    5.1 Möchte ich wirklich alles gewähren, das meine Benutzer um bitten?
    5.2 Wie bilde ich Web/HTTP Arbeit durch meine Brandmauer?
    5.3 Wie lasse ich SSL durch die Brandmauer arbeiten?
    5.4 Wie bilde ich DNS Arbeit mit einer Brandmauer?
    5.5 Wie lasse ich ftp durch meine Brandmauer arbeiten?
    5.6 Wie lasse ich telnet durch meine Brandmauer arbeiten?
    5.7 Wie lasse ich Finger und WHOIS durch meine Brandmauer arbeiten?
    5.8 Wie bilde ich Gopher, archie, und andere Dienstleistungen arbeiten
    durch meine Brandmauer?
    5.9 Was sind die Ausgaben über X11 durch eine Brandmauer?
    5.10 Wie lasse ich RealAudio durch meine Brandmauer arbeiten?
    5.11 Wie bilde ich meine web servertat als Vorderseiten für eine
    Datenbank, die in meinem privaten Netz lebt?
    5.12 Aber meine Datenbank hat ein integriertes web server, und ich
    möchte den verwenden. Nicht kann ich gerecht eine Bohrung in der Brandmauer
    stoßen und diesen Kanal einen Tunnel anlegen?
    5.13 Wie Lasse Ich IP Multicast Mit Meiner Brandmauer Arbeiten?


    6 TCP und UDP Kanäle
    6.1 Was ist ein Kanal?
    6.2 Wie weiß ich, welche Anwendung benutzt, welcher Kanal?
    6.3 Was sind HÖRENDE Kanäle?
    6.4 Für wie stelle fest ich, welchen Service der Kanal ist?
    6.5 Welche Kanäle sind sicher, durch eine Brandmauer zu überschreiten?
    6.6 Das Verhalten von ftp
    6.7 Welche Software verwendet, welcher ftp Modus?
    6.8 Ist mein Brandmauerversuchen, draußen anzuschließen?
    6.9 Die Anatomie eines TCP Anschlußes


    A. Einige Handelsprodukte und Verkäufer
    B. Glossar der Brandmauer-In Verbindung stehenden Bezeichnungen
    Bibliographie


    1 Administrativia


    1.1 Über das FAQ
    Diese Ansammlung von Frequenty stellte Fragen (FAQ) und Antworten ist
    über eine Zeitdauer von den Jahren kompiliert worden und gesehen, welche
    Fragen Leute über Brandmauern in solchen Foren wie USENET, Postsendunglisten
    und Web-Sites stellen. Wenn Sie eine Frage haben, vor der Eintragung, hier
    ist schauen, um, ob es Ihre beantwortet wird Frage zu sehen gutes Formular.
    Schicken Sie den FAQ Versorgern Ihre Fragen über Brandmauern nicht.

    Die Versorger begrüßen Input und Kommentar zum Inhalt dieses FAQ.
    Kommentar stand auf dem FAQ sollte an gewendet
    werden in Verbindung. Bevor Sie uns Post schicken, seien Sie bitte sicher zu
    sehen, daß Kapitel 1.2 und 1.3 , zum sicherzustellen dieses das rechte
    Dokument ist, damit Sie lesen.



    1.2 Für wem wird das FAQ geschrieben?
    Brandmauern sind weit von den Tagen gekommen, als dieses FAQ begann.
    Sie sind vom Sein die in hohem Grade kundenspezifischen Systeme gegangen,
    die durch ihre implementors zu einem Hauptströmungsgebrauchsgut ausgeübt
    werden. Brandmauern sind nicht mehr nur in den Händen von denen, die
    Sicherheit Systeme konzipieren und einführen; sogar haben Sicherheit-bewußte
    Endbenutzer sie zu Hause.

    Wir schrieben dieses FAQ für Computersystementwickler und -verwalter.
    Wir haben versucht, ziemlich einschließlich zu sein und Raum für die
    Neulinge gebildet, aber wir nehmen noch etwas grundlegenden technischen
    Hintergrund an. Wenn Sie finden, daß Sie nicht dieses Dokument verstehen,
    aber, daß Sie mehr über Brandmauern wissen müssen denken, konnte es
    hervorquellen ist, daß Sie wirklich mehr Hintergrund in der
    Computervernetzung zuerst erhalten müssen. Wir stellen Referenzen zur
    Verfügung, die uns geholfen haben; möglicherweise helfen sie Ihnen auch.

    Wir konzentrieren überwiegend auf "Netz" Brandmauern, aber `` bewirten
    Sie '', oder ``"personal '' Brandmauern werden adressiert, wo passend.



    1.3 Bevor Post Gesendet Wird
    Beachten Sie, daß diese Ansammlung häufig-gefragte Fragen ein Resultat
    des Einwirkens auf viele Leute der unterschiedlichen Hintergründe in einer
    breiten Vielzahl der allgemeinen Foren ist. Die Adresse Brandmauer-FAQ ist
    nicht ein Hilfe Schreibtisch. Wenn Sie versuchen, eine Anwendung zu
    verwenden, die sagt, daß es nicht wegen einer Brandmauer funktioniert und
    Sie denken, daß Sie Ihre Brandmauer löschen müssen, bitte schicken Sie uns
    die Post nicht, die wie fragt.

    Wenn Sie können möchten `` loswerden Ihr Brandmauer '', weil Sie nicht
    irgendeine Anwendung verwenden können, schicken Sie uns die Post nicht, die
    um Hilfe bittet. Wir können nicht Ihnen helfen. Wirklich.

    Wer kann Ihnen helfen? Gute Frage. Das hängt auf ab, was genau das
    Problem ist, aber ist hier einige Zeiger. Wenn keines von diesen arbeitet,
    bitte bitten uns nicht um irgendwie mehr. Wir wissen nicht.

    Der Versorger der Software, die Sie benutzen.
    Der Versorger der Hardware `` Gerät'', das Sie benutzen.
    Der Versorger des Vermittlungsdienstes, den Sie verwenden. Das heißt,
    wenn Sie auf AOL sind, bitten Sie um um sie. Wenn Sie versuchen, etwas in
    einem privaten kommunikationsnetz zu verwenden, sprechen Sie mit Ihrem
    Systemverwalter.


    1.4 Wo kann ich die aktuelle Version des FAQ finden?
    Das FAQ kann auf dem Web an gefunden werden

    http://www.compuwar.net/pubs/fwfaq/.
    http://www.interhack.net/pubs/fwfaq/.
    Es ist auch informierte Monatszeitschrift zu

    comp.security.firewalls,
    comp.security.unix,
    comp.security.misc,
    comp.answersund
    news.answers.
    Informierte Versionen werden in allen üblichen Plätzen archiviert.
    Leider gab die Version zur USENET bekannt und diesen Version Mangel von den
    hübschen Abbildungen und von den nützlichen Hypertext-Links archiviert fand
    in der Web-Version.



    1.5 Wo kann ich Nicht-Englische Versionen des FAQ finden?
    Einige Übersetzungen sind vorhanden. (wenn Sie eine Übersetzung getan
    haben und sie nicht hier ausgedruckt wird, schreiben Sie uns bitte, also
    können wir den Originalbeleg aktualisieren.)


    Norwegisch
    Übersetzung durch Jon Haugsand
    http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html


    1.6 Mitwirkende
    Viele Leute haben nützliche Vorschläge und durchdachten Kommentar
    geschrieben. Wir sind alle Mitwirkenden dankbar. Wir möchten afew namentlich
    danken: Keinanen ;Vesa, Allen Leibowitz, Brent-ambulanter Händler, Brian
    Boyle, D. Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz
    Zuazaga und Theodore Hoffnung.



    1.7 Copyright und Verbrauch
    Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
    Mattes Curtin. Copyright 2004, Paul D. Robertson. Alle Rechte vorbehalten.
    Dieses Dokument kann benutzt werden, neugedruckt werden und neuverteilt
    werden, wie diesen Urheberrechtsvermerk und alle Zuerkennungen bleiben
    intakt zur Verfügung stellt. Übersetzungen des kompletten Textes von
    ursprünglichen Englisch zu anderen Sprachen werden auch ausdrücklich
    erlaubt. Übersetzer können ihre Namen dem `` Kapitel der Mitwirkenden '
    hinzufügen.



    2 Hintergrund-und Brandmauer-Grundlagen
    Bevor man kann, eine komplette Diskussion über Brandmauern zu
    verstehen, es ist wichtig, die Grundprinzipien zu verstehen, die Brandmauern
    arbeiten lassen.



    2.1 Was ist ein Netzfirewall?
    Eine Brandmauer ist ein System oder eine Gruppe Systeme, die eine
    Zugriffssteuerungpolitik zwischen zwei oder mehr Netzen erzwingt. Die
    tatsächlichen Mittel, durch die dieses vollendet wird, schwankt weit, aber
    prinzipiell, die Brandmauer können für ein Paar Einheiten gehalten werden:
    ein, das existiert, um Verkehr zu blocken und das andere, das existiert, um
    Verkehr zu ermöglichen. Einige Brandmauern legen einen grösseren Nachdruck
    auf dem Blocken des Verkehrs, während andere ermöglichenden Verkehr
    hervorheben. Vermutlich ist die wichtigste über eine Brandmauer zu erkennen
    Sache, daß sie eine Zugriffssteuerungpolitik einführt. Wenn Sie nicht eine
    gute Idee haben von, welcher Art des Zugriffs Sie gewähren oder verweigern
    möchten, hilft eine Brandmauer wirklich Ihnen nicht. Es ist auch wichtig, zu
    erkennen, daß die Konfiguration der Brandmauer, weil es eine Einheit für das
    Erzwingen von von Politik ist, seine Politik alles hinter ihr auferlegt. Die
    Verwalter für Brandmauern die Konnektivität für viele Hauptrechner
    handhabend haben folglich eine schwere Verantwortlichkeit.



    2.2 Warum würde ich eine Brandmauer wünschen?
    Das Internet, wie jede mögliche andere Gesellschaft, wird mit der Art
    der Rucke gequält, die das elektronische Äquivalent auf Wände der Leute mit
    spraypaint weg von schreiben, ihre Mailboxes von heftig zerreißen, oder in
    der Straße gerade von sitzen genießen, die ihre Autohorne durchbrennt.
    Einige Leute versuchen, reale Arbeit zu erhalten erledigt über dem Internet,
    und andere haben die empfindlichen oder eigenen Daten, die sie sich schützen
    müssen. Normalerweise ist der Zweck einer Brandmauer, die Rucke aus Ihrem
    Netz heraus, beim Sie zu halten Ihre Arbeit erhalten noch lassen erledigt.

    Viele traditional-style Korporationen und Rechenzentren haben
    rechnende Sicherheit Politik und Praxis, die gefolgt werden müssen. In einem
    Fall, in dem die politischen Richtlinien einer Firma vorschreiben, wie Daten
    geschützt werden müssen, ist eine Brandmauer sehr wichtig, da es die
    Verkörperung der korporativen Politik ist. Häufig schließt das härteste Teil
    des Anspannens zum Internet, wenn Sie eine große Firma sind, nicht die
    Unkosten oder die Bemühung aus, aber überzeugt Management, daß so zu tun ist
    sicher. Eine Brandmauer liefert nicht nur dingliche Sicherheit -- sie spielt
    häufig eine wichtige Rolle als Sicherheit Decke für Management.

    Zuletzt kann eine Brandmauer als Ihr korporatives `` Botschafter ''
    zum Internet dienen. Viele Korporationen benutzen ihre Brandmauersysteme als
    Platz, um allgemeine Informationen über korporative Produkte zu speichern
    und Dienstleistungen, zu downloaden die Dateien, Programmfehler-regelt, und
    so weiter. Mehrere dieser Systeme haben gewordene wichtige Teile der
    Internet-Service-Struktur (z.B., UUnet.uu.net, whitehouse.gov,
    gatekeeper.dec.com) und haben sich gut auf ihren organisatorischen Förderern
    reflektiert. Beachten Sie, daß, während diese historisch zutreffend ist, die
    meisten Organisationen jetzt allgemeine Informationen auf ein web server
    plazieren, häufig geschützt durch eine Brandmauer, aber nicht normalerweise
    über die Brandmauer selbst.



    2.3 Kann eine Brandmauer gegen was sich schützen?
    Einige Brandmauern ermöglichen nur email Verkehr durch sie, dadurch
    sieschützen sieschützen das Netz gegen alle mögliche Angriffe anders als
    Angriffe gegen den email Service. Andere Brandmauern liefern weniger strenge
    Schutze und blocken Dienstleistungen, die bekannt, um Probleme zu sein.

    Im Allgemeinen werden Brandmauern konfiguriert, um sich gegen zu
    schützen unauthenticated interaktive LOGON von der `` Außenseite '' Welt.
    Dieses, mehr als alles, Hilfen hindern Vandalen am Protokollieren in
    Maschinen in Ihrem Netz. Durchdachtere Brandmauern blocken Verkehr von der
    Außenseite zum Innere, aber ermöglichen Benutzer auf dem Innere, mit der
    Außenseite frei zu verständigen. Die Brandmauer kann Sie gegen irgendeinen
    Typen Netz-getragener Angriff schützen, wenn Sie ihn trennen.

    Brandmauern sind auch wichtig, da sie ein einzelnes `` Drosselklappe
    Punkt '' zur Verfügung stellen können, in dem Sicherheit und Revision
    auferlegt werden können. Anders als innen eine Situation, in der ein
    Computersystem von jemand in Angriff genommen wird, das innen mit einem
    Modem wählt, kann die Brandmauer als ein wirkungsvolles `` Telefonhahn ''
    und ein verfolgenhilfsmittel dienen. Brandmauern liefern eine wichtige
    protokollierende und revidierenfunktion; häufig stellen sie
    Zusammenfassungen zum Verwalter über welche Arten und Menge Verkehr durch
    sie überschritt, wieviele Versuche dort in sie brechen sollten, usw. zur
    Verfügung.

    Wegen dieses sind Brandmauerprotokolle kritisch wichtige Daten. Sie
    können als Beweis in einem Gericht in den meisten Ländern benutzt werden.
    Sie sollten sichern, zu analysieren und yoru Brandmauer zu schützen
    protokolliert dementsprechend.

    Dieses ist ein wichtiger Punkt: das Zur Verfügung stellen dieses ``
    Drosselklappe Punkt '' kann den gleichen Zweck in Ihrem Netz dienen, das
    eine vorsichtige Gatterdose für körperliche Voraussetzungen Ihrer Sites. Das
    Mittel, immer wenn Sie eine Änderung `` in den Zonen ' oder in den Stufen
    von Empfindlichkeit haben, solch ein Prüfpunkt ist angebracht. Eine Firma
    hat selten nur ein äußeres Gatter und keine Empfangsdame oder Sicherheit
    Personal, zum der Abzeichen auf der Methode innen zu überprüfen. Wenn es
    Schichten Sicherheit auf Ihrer Site gibt, ist es angemessen, Schichten
    Sicherheit in Ihrem Netz zu erwarten.



    2.4 Nicht kann eine Brandmauer gegen was sich schützen?
    Brandmauern können nicht gegen Angriffe sich schützen, die nicht die
    Brandmauer durchlaufen. Viele Korporationen, die an das Internet
    anschließen, sind über die eigenen Daten sehr beteiligt, die aus der Firma
    heraus durch diesen Weg auslaufen. Leider für betroffene die, Laufwerke
    machen ein Magnetband, eine Digitalschallplatte, DVD oder USB eines Blitzes
    ein, gerade wie effektiv verwendet Sie seien, Daten zu exportieren. Viele
    Organisationen, die (auf einer Führungsebene) von den Internet-Anschlüssen
    terrified, haben keine zusammenhängende Politik über, wie Vorwahlknopf- im
    Zugriff über Modem geschützt werden sollte. Es ist dumm, eine Sechsfuß
    starke Stahltür aufzubauen, wenn Sie in einem hölzernen Haus leben, aber es
    gibt eine Menge Organisationen aus kostspielige Brandmauern dort kaufen und
    das zahlreiche vernachlässigen andere Zurücktüren in ihr Netz. Damit eine
    Brandmauer arbeitet, muß es ein Teil einer gleichbleibenden gesamten
    organisatorischen Sicherheit Architektur sein. Brandmauerpolitik muß
    realistisch sein und die Stufe der Sicherheit im gesamten Netz reflektieren.
    Z.B. benötigt eine Site mit oberen geheimen oder eingestuften Daten eine
    Brandmauer nicht an allen: sie sollten nicht bis zum Internet an erster
    Stelle anspannen, oder die Systeme mit den wirklich geheimen Daten sollten
    vom Rest des privaten kommunikationsnetzes lokalisiert werden.

    Eine andere Sache, die eine Brandmauer nicht Sie gegen wirklich
    schützen kann, ist Traitors oder Idioten innerhalb Ihres Netzes. Während ein
    industrieller Spion Informationen durch Ihre Brandmauer exportieren konnte,
    ist er als wahrscheinlich gerecht, sie durch ein Telefon, EINE
    TELEFAX-Maschine oder eine Digitalschallplatte zu exportieren. CDs sind weit
    wahrscheinlichere Mittel zu Information, von Ihrer Organisation als eine
    Brandmauer auszulaufen. Brandmauern können nicht Sie gegen auch Stupidity
    schützen. Benutzer, die empfindliche Informationen über dem Telefon
    aufdecken, sind gute Ziele für Sozialtechnik; ein Angreifer kann können, in
    Ihr Netz zu brechen, indem er vollständig Ihre Brandmauer umgeht, wenn er
    ein `` nützliches '' Angestelltinnere finden kann, das in das Geben des
    Zugriffs zu einem Modempool getäuscht werden kann. Bevor es entscheidet, ist
    dieses nicht ein Problem in Ihrer Organisation, sich fragen, wieviel Mühe
    eine Fremdfirma das Erhalten protokolliert in das Netz hat, oder wieviel
    Schwierigkeit ein Benutzer, der vergaß, sein Kennwort das Müssen es
    zurücksetzen. Wenn die Leute auf dem Hilfe Schreibtisch glauben, daß jeder
    Aufruf intern ist, haben Sie ein Problem, das nicht geregelt werden kann,
    indem man Kontrollen auf den Brandmauern festzieht.

    Brandmauern können nicht gegen Einen Tunnel anlegen Überschuß sich
    schützen die meisten Anwendungsprotokolle zu oder schlecht schriftliche
    Klienten trojaned. Es gibt keine magischen Gewehrkugeln und eine Brandmauer
    ist nicht eine Entschuldigung, zum von von Software-Kontrollen in den
    internen Netzen nicht einzuführen oder von von Hauptrechnersicherheit auf
    Servers zu ignorieren. Einen Tunnel anlegen `` falsche '' Sachen über HTTP,
    smtp und anderen Protokollen ist durchaus einfach und belanglos
    demonstriert. Sicherheit ist nicht `` Feuer und vergißt ' '.

    Zuletzt können Brandmauern nicht gegen die falschen Sachen sich
    schützen, die durch sie gelassen werden. Zum Beispiel verwenden viele Trojan
    Pferde das Protokoll des Internet Relay Chat (IRC), um einem Angreifer zu
    erlauben, einen verglichenen internen Hauptrechner von einem Öffentlichkeit
    IRC Server zu steuern. Wenn Sie irgendein internes System an irgendein
    externes System anschließen lassen, dann liefert Ihre Brandmauer keinen
    Schutz vor diesem Vektor des Angriffs.



    2.5 Was über Viren und anderes malware?
    Brandmauern können nicht gegen Sachen wie Viren oder böswillige
    Software (malware) sehr gut sich schützen. Es gibt zu viele Methoden der
    Verschlüsselung der Binärdateien für Übertragung über Netze und zu viele
    unterschiedliche Architektur und Viren, um zu versuchen, nach ihnen alle zu
    suchen. Das heißt, kann eine Brandmauer nicht Sicherheit-Bewußtsein von
    seiten Ihrer Benutzer ersetzen. Im allgemeinen kann eine Brandmauer nicht
    gegen einen data-driven Angriff sich schützen -- Angriffe, in denen etwas zu
    einem internen Hauptrechner gesendet oder kopiert wird, in dem es dann
    durchgeführt wird. Dieses Formular des Angriffs ist in der Vergangenheit
    gegen verschiedene Versionen von sendmail ,das ghostscript aufgetretenund
    Postbenutzermittel wie Aussicht- und Web-Datenbanksuchroutinen wie Internet
    Explorer scripting.

    Organisationen, die tief über Viren betroffen werden, sollten
    Organisation-breite Viruskontrollmaßnahmen einführen. Anstatt nur
    versuchend, Viren an der Brandmauer heraus zu rastern, überprüfen Sie, ob
    jeder verletzbare Schreibtisch Virusabtastungsoftware hat, die laufen
    gelassen wird, wenn die Maschine neu geladen wird. Das Bedecken Ihres Netzes
    mit Virusabtastungsoftware schützt sich gegen Viren, die über Disketten,
    CDs, Modem und das Internet hereinkommen. Das Versuchen, Viren an der
    Brandmauer zu blocken schützt nur sich gegen Viren vor dem Internet.
    Virusabtastung an der Brandmauer oder an der E-mail Gateway stoppt viel
    Infektion.

    Dennoch bieten eine zunehmende Anzahl von Brandmauerverkäufern `` das
    Virus an, das '' Brandmauern entdeckt. They're vermutlich nur nützlich für
    die naiven Benutzer, die Windows-auf-Intel vollziehbare Programme und
    böswillig-Makro-fähige Anwendung Dokumente austauschen. Es gibt viele
    Brandmauer-gegründete Annäherungen für das Beschäftigen Probleme wie die ``
    ILOVEYOU '' Endlosschraube und die in Verbindung gestandenen Angriffe, aber
    diese sind wirklich allzu vereinfachte Annäherungen, die versuchen, die
    Beschädigung von etwas zu begrenzen, das ist, also dumm sollte sie an erster
    Stelle nie aufgetreten sein. Zählen Sie nicht auf irgendeinem Schutz vor
    Angreifern mit diesem Merkmal. (da `` ILOVEYOU '' umherging, haben wir
    mindestens ein halbes Dutzend ähnliche Angriffe, einschließlich Melisse,
    Happy99 gesehen, Rot und Badtrans.B codieren, die glücklich durch viele
    Virus-entdeckende Brandmauern und E-mail Gateways. geführt wurden)

    Eine starke Brandmauer ist nie ein Ersatz für vernünftige Software,
    die die Natur erkennt von, was sie -- untrusted Daten von unauthenticated
    Partei -- and sich benimmt passend handhat. Denken Sie nicht daß, weil ``
    jeder '' diese Werbung benutzt, oder weil der Verkäufer eine gewaltige
    multinationale Firma ist, Sie sind sicher. Tatsächlich ist es nicht
    zutreffend, daß `` jeder '' jede mögliche Werbung benutzt, und Firmen, die
    auf die drehentechnologie sich spezialisieren, die anderwohin in etwas
    erfunden wird, das `` einfach ist, '' ohne irgendeine Sachkenntnis zu
    benutzen, sind wahrscheinlicher, Software zu produzieren, die getäuscht
    werden kann. Weitere Erwägung dieses Themas würde [ 3 ]lohnendsein, aber ist
    über dem Bereich dieses Dokumentes hinaus.



    2.6 Bildet IPSEC Brandmauern überholt?
    Einige haben argumentiert, daß dieses der Fall ist. Bevor man solch
    eine ausgedehnte Vorhersage jedoch ausspricht ist es lohnend, zu betrachten,
    was IPSEC ist und was es. Sobald wir dieses wissen, können wir betrachten,
    ob IPSEC die Probleme löst, die wir versuchen, mit Brandmauern zu lösen.

    IPSEC (IP Sicherheit) spricht ein Set Standards an, die durch das
    Internet Engineering Task Force (IETF) entwickelt werden. Es gibt viele
    Dokumente, die zusammen definieren, was als `` IPSEC '' [ 6]bekannt. IPSEC
    löst zwei Probleme, die die IP Protokollsuite für Jahre gequält haben:
    Hauptrechner-zu-Hauptrechner Authentisierung (die Hauptrechner informiert,
    daß sie mit den Hauptrechnern sprechen, die sie denken, sie) und
    Verschlüsselung sind (die verhindert, daß Angreifer können, den Verkehr zu
    überwachen, zwischen Maschinen zu gehen).

    Beachten Sie, daß kein dieser Probleme ist, was Brandmauern
    hergestellt wurden, um zu lösen. Obgleich Brandmauern can help to mitigate
    some of the risks present on an Internet without authentication or
    encryption, there are really two classes of problems here: integrity and
    privacy of the information flowing between hosts and the limits placed on
    what kinds of connectivity is allowed between different networks. IPSEC
    addresses the former class and firewalls the latter.

    What this means is that one will not eliminate the need for the other,
    but it does create some interesting possibilities when we look at combining
    firewalls with IPSEC-enabled hosts. Namely, such things as
    vendor-independent virtual private networks (VPNs), better packet filtering
    (by filtering on whether packets have the IPSEC authentication header), and
    application-layer firewalls will be able to have better means of host
    verification by actually using the IPSEC authentication header instead of
    ``just trusting'' the IP address presented.



    2.7 What are good sources of print information on firewalls?
    There are several books that touch on firewalls. The best known are:

    Building Internet Firewalls, 2d ed.
    Authors
    Elizabeth D. Zwicky, Simon Cooper, and D. Brent Chapman
    Publisher
    O'Reilly
    Edition
    2000
    ISBN
    1-56592-871-7

    Firewalls and Internet Security: Repelling the Wily Hacker
    Authors
    Bill Cheswick, Steve Bellovin, Avi Rubin
    Publisher
    Addison Wesley
    Edition
    2003
    ISBN
    020163466X

    Practical Internet & Unix Security
    Authors
    Simson Garfinkel and Gene Spafford
    Publisher
    O'Reilly
    Edition
    1996
    ISBN
    1-56592-148-8
    Note
    Discusses primarily host security.
    Related references are:

    Internetworking with TCP/IP Vols I, II, and III
    Authors
    Douglas Comer and David Stevens
    Publisher
    Prentice-Hall
    Edition
    1991
    ISBN
    0-13-468505-9 (I), 0-13-472242-6 (II), 0-13-474222-2 (III)
    Comment
    A detailed discussion on the architecture and implementation of the
    Internet and its protocols. Volume I (on principles, protocols and
    architecture) is readable by everyone. Volume 2 (on design, implementation
    and internals) is more technical. Volume 3 covers client-server computing.

    Unix System Security--A Guide for Users and System Administrators
    Author
    David Curry
    Publisher
    Addison Wesley
    Edition
    1992
    ISBN
    0-201-56327-4


    2.8 Where can I get more information on firewalls on the Internet?

    Site Security Handbook
    http://www.rfc-editor.org/rfc/rfc2196.txt The Site Security Handbook
    is an information IETF document that describes the basic issues that must be
    addressed for building good site security. Firewalls are one part of a
    larger security strategy, as the Site Security Handbook shows.
    Firewalls Mailing List
    http://www.isc.org/index.pl?/ops/lists/firewalls/ The internet
    firewalls mailing list is a forum for firewall administrators and
    implementors.
    Firewall-Wizards Mailing List
    http://honor.icsalabs.com/mailman/listinfo/firewall-wizards The
    Firewall Wizards Mailing List is a moderated firewall and security related
    list that is more like a journal than a public soapbox.
    Firewall HOWTO
    http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html Describes exactly
    what is needed to build a firewall, particularly using Linux.
    Firewall Toolkit (FWTK) and Firewall Papers
    ftp://ftp.tis.com/pub/firewalls/
    Marcus Ranum's firewall related publications
    http://www.ranum.com/pubs/
    Texas A&M University security tools
    http://www.net.tamu.edu/ftp/security/TAMU/
    COAST Project Internet Firewalls page
    http://www.cerias.purdue.edu/coast/firewalls/
    Back to Top
    Brandmauer FAQ in deutschem Teil 2
    3 Design-und Implementierung-Ausgaben


    3.1 Was sind einige der grundlegenden Designentscheidungen in einer
    Brandmauer?
    Es gibt eine Anzahl von grundlegenden Designpunkten, die von der
    glücklichen Person angesprochen werden sollten, die tasked mit der
    Verantwortlichkeit des Konzipierens, des Spezifizierens und des Einführens
    oder des Beaufsichtigens der Installation einer Brandmauer gewesen ist.

    Die erste und meiste wichtige Entscheidung reflektiert die Politik
    von, wie Ihre Firma oder Organisation das System laufen lassen möchte: ist
    die Brandmauer im Platz, ausdrücklich, zum aller Services ausgenommen die zu
    verweigern, die zur Mission des Anschließens an das Netz kritisch sind oder
    ist die Brandmauer im Platz, zum einer gemessenen und revidierten Methode ``
    des einreihenden '' Zugriffs bereitzustellen in einer nicht-bedrohenden
    Weise? Es gibt Grad Paranoia zwischen diesen Positionen; die abschließende
    Position Ihrer Brandmauer konnte mehr das Resultat eines politischen als
    eine Technikentscheidung sein.

    Die Sekunde ist: welche Stufe der Überwachung, Redundanz und Steuerung
    wünschen Sie? , die annehmbare Gefahr Stufe (d.h., wie Paranoid Sie sind),
    indem Sie die erste Ausgabe beheben, können Sie herstellend bilden eine
    Checkliste von, was überwacht werden, die Erlaubnis gehabt werden und
    verweigert werden sollte. Das heißt, beginnen Sie, indem Sie aus Ihren
    gesamten Lernzielen darstellen, und kombinieren dann benötigen Analyse mit
    einer Risikobeurteilung und sortieren die fast immer kontroversen
    Anforderungen heraus in eine Wäschereiliste, die spezifiziert, was Sie
    planen, einzuführen.

    Die dritte Ausgabe ist finanziell. Wir können nicht dieses hier in
    alles andere als in den vage Bezeichnungen adressieren, aber es ist wichtig
    zu versuchen, mengenmäßig zu bestimmen alle mögliche vorgeschlagenen
    Lösungen in, wieviel ausgedrückt es irgendein, um zu kaufen kostet oder
    einzuführen. Z.B. kann ein komplettes Brandmauerprodukt zwischen $100.000 am
    hohen Ende kosten und gibt am niedrigen Ende frei. Die freie Option, des
    Tuns irgendeiner Phantasie, die auf einem Cisco oder einem ähnlichen Fräser
    konfiguriert, kostet nichts aber Personalzeit und einige Cup Kaffee. Das
    Einführen einer hohen Ende Brandmauer vom Kratzer konnte einige Mann-Monate
    kosten, die zu Wert $30.000 des Personalgehaltes und -nutzens gleichstellen
    können. Die Systemmanagementunkosten sind auch eine Erwägung. Haus-brauen
    aufzubauen ist fein, aber es ist wichtig, es aufzubauen, damit es nicht
    konstante (und kostspielige) Aufmerksamkeit benötigt. Es ist wichtig, das
    heißt, Brandmauern kostet auszuwerten nicht nur in was ausgedrückt sie jetzt
    kosten, aber fortfahrend wie Support.

    Auf der technischen Seite gibt es Paare zu bilden der Entscheidungen,
    basiert auf der Tatsache, die zu mit allen praktischen Zwecken was wir uns
    befassen ein statischer Verkehrslenkung Service ist, der zwischen den Fräser
    des Vermittlungsdienst-Versorgers und Ihr internes Netz plaziert wird. Der
    Verkehrslenkung Service kann auf einer IP Stufe über etwas wie
    Siebungrichtlinien in einem Fräser oder auf einer Anwendung Stufe über
    Vollmachtgateways und -dienstleistungen eingeführt werden.

    Die zu bilden Entscheidung ist, ob man eine herausgestellte
    entfernte-unten Maschine auf das äußere Netz plaziert, um Vollmachtservices
    für telnet, ftp, Nachrichten, etc. laufen zu lassen oder ob man ein
    screening router als Filter aufstellt und Kommunikation mit einer oder mehr
    internen Maschinen ermöglicht. Es gibt Nutzen und Nachteile zu beiden
    Annäherungen, wenn die Vollmachtmaschine eine grössere Stufe der Revision
    und, möglicherweise, Sicherheit in der Rückkehr für erhöhte Kosten
    bereitstellt, in der Konfiguration und eine Abnahme an der Stufe des
    Services, die zur Verfügung gestellt werden kann (da eine Vollmacht für
    jeden gewünschten Service entwickelt werden muß). Der alte Kompromiß
    zwischen Benutzerfreundlichkeit und Sicherheit kommt zurück, um uns mit
    einem vengeance zu frequentieren.



    3.2 Was sind die grundlegenden Typen der Brandmauern?
    Begrifflich gibt es drei Typen Brandmauern:

    Vermittlungsschicht
    Anwendungsschicht
    Mischlinge
    Sie sind nicht so unterschiedlich, wie Sie denken konnten, und neueste
    Technologien verwischen die Unterscheidung zum Punkt, in dem sie nicht mehr
    klar ist, wenn irgendein man ist `` besseres '' oder `` falscheres.'' Als
    immer, müssen Sie achtgeben, daß den Typen auswählen, der Ihre Bedürfnisse
    erfüllt.

    Welches ist, welches abhängt von, welchen Einheiten die Brandmauer
    verwendet, Verkehr von einer Sicherheit Zone zu anderen zu führen. Das
    internationale Standard-Organisation (ISO) geöffnete Systeme Verknüpfung
    (OSI) Modell für Vernetzung definiert sieben Schichten, in denen jede
    Schicht Dienstleistungen liefert, denen `` hochgradige '' Schichten von
    abhängen. In der Ordnung von der Unterseite, sind diese Schichten,
    Datenübermittlungsabschnitt, Netz, Transport, Sitzung, Darstellung,
    Anwendung körperlich.

    Die wichtige zu erkennen Sache ist, daß das auf der unteren Ebene die
    Versendeneinheit, weniger Prüfung, welche, kann die Brandmauer durchführen.
    Allgemeines sprechend, sind auf der unteren Ebenebrandmauern schneller, aber
    sind einfacher, in das Tun der falschen Sache zu täuschen.

    Diese Tage, fallen die meisten Brandmauern in die `` hybride ''
    Kategorie, die das Netz tun, das sowie irgendeine Menge Anwendung Kontrolle
    filtert. Die Menge ändert abhängig von dem Verkäufer, dem Produkt, dem
    Protokoll und der Version, also ist irgendeine Stufe des Grabens und/oder
    der Prüfung häufig notwendig.


    3.2.1 Vermittlungsschichtbrandmauern
    Diese treffen im Allgemeinen ihre Entscheidungen, die auf der Quelle,
    den Zieladressen und den Kanälen basieren (sehen Sie Anhang 6 für eine
    ausführlichere Diskussion über Kanäle), in den einzelnen IP Paketen. Spricht
    mit, ein einfacher Fräser ist die `` traditionelle ''
    Vermittlungsschichtbrandmauer, da es kann nicht, besonders hoch entwickelte
    Entscheidungen über, von einem welchem Paket zu treffen wirklich oder von wo
    es wirklich kam. Moderne Vermittlungsschichtbrandmauern sind in zunehmendem
    Maße hoch entwickelt geworden und jetzt interne Informationen über den
    Zustand der Anschlüsse beibehalten, die durch sie überschreiten, den Inhalt
    von einigem von den Datenströmen und so weiter. Eine Sache, die eine
    wichtige Unterscheidung über viele Vermittlungsschichtbrandmauern ist ist,
    daß sie Verkehr direkt zwar sie verlegen, also zu Gebrauch einer müssen Sie
    entweder einen gültig zugewiesenen IP addressblock haben oder einen ``
    privaten Internet '' Adresse Block [ 5]benutzen.
    Vermittlungsschichtbrandmauern neigen, zu sein sehr schnell und zu neigen,
    zu den Benutzern sehr transparent zu sein.


    Abbildung 1: Mite Filter versehen Hauptrechner-Brandmauer

    In Abbildung 1, benannte eine Vermittlungsschichtbrandmauer einen ``
    miten Filter versehen Hauptrechner, Brandmauer, die '' dargestellt wird. In
    einer miten Filter versehen Hauptrechnerbrandmauer ist Zugriff nach und von
    einem einzelnen Hauptrechner mittels eines Fräsers kontrolliert, der an
    einer Vermittlungsschicht funktioniert. Der einzelne Hauptrechner ist ein
    bastion host; ein hoch-verteidigter und gesicherter Starkpunkt, dem
    (hoffnungsvoll) Angriff widerstehen kann.


    Abbildung 2: Mite Filter versehen Teilnetz-Brandmauer

    Beispiel-Vermittlungsschichtbrandmauer: In Abbildung 2, benannte eine
    Vermittlungsschichtbrandmauer ein `` mites Filter versehen
    Teilnetzbrandmauer '' wird dargestellt. In einer miten Filter versehen
    Teilnetzbrandmauer ist Zugriff nach und von einem vollständigen Netz mittels
    eines Fräsers kontrolliert, der an einer Vermittlungsschicht funktioniert.
    Er ist einem miten Filter versehen Hauptrechner ähnlich, außer daß es ist
    effektiv ein Netz der miten Filter versehen Hauptrechner.


    3.2.2 Anwendungsschichtbrandmauern
    Diese sind im Allgemeinen die Hauptrechner, die Vollmachtservers
    laufen lassen, die keinen Verkehr direkt zwischen Netzen ermöglichen und die
    das durchdachte Protokollieren und die Revidierung des Verkehrs
    überschreiten durch sie durchführen. Da die Vollmachtanwendungen die
    Softwarebausteine sind, die auf die Brandmauer laufen, ist es ein guter
    Platz, zum der Lots des Protokollierens und der Zugriffssteuerung zu tun.
    Anwendungsschichtbrandmauern können als Endsystemadresseübersetzer benutzt
    werden, da Verkehr in einen `` seitliches '' und aus dem anderen geht,
    nachdem erüberschritten nachher durch eine Anwendung erüberschritten hatte,
    die effektiv den Ursprung des initialisierenden Anschlußes verdeckt. Haben
    einer Anwendung in der Methode kann Leistung in einigen Fällen auswirken und
    kann die Brandmauer weniger transparent bilden. Frühe
    Anwendungsschichtbrandmauern wie die aufgebaut mit dem TIS Brandmauer
    Toolkit, sind nicht zu den Endbenutzern besonders transparent und können
    etwas Training benötigen. Moderne Anwendungsschichtbrandmauern sind häufig
    völlig transparent. Anwendungsschichtbrandmauern neigen, ausführlichere
    Prüfungsberichte zur Verfügung zu stellen und zu neigen, konservativere
    Sicherheit Modelle als Vermittlungsschichtbrandmauern zu erzwingen.


    Abbildung 3: Verdoppeln Selbstpeilende Gateway

    Beispiel-Anwendungsschichtbrandmauer: In Abbildung 3, wird eine
    Anwendungsschichtbrandmauer, die ein `` selbstpeilendes Gateway Doppel''
    genannt wird, dargestellt. Eine selbstpeilende Doppelgateway ist ein in
    hohem Grade gesicherter Hauptrechner, der Vollmachtsoftware laufen läßt. Sie
    hat zwei Netzschnittstellen, eine in jedem Netz und blockt allen Verkehr,
    der durch sie überschreitet.

    Die meisten Brandmauern liegen jetzt irgendwo zwischen
    Vermittlungsschichtbrandmauern und Anwendungsschichtbrandmauern. Wie
    erwartet, haben Vermittlungsschichtbrandmauern gewordenes in zunehmendem
    Maße `` bewußtes '' der Informationen, die sie durchlaufen, und
    Anwendungsschichtbrandmauern haben gewordenes in zunehmendem Maße ``
    niedrige Stufe '' und transparente. Das Ende Resultat ist, daß jetzt es
    schnelle Paket-Siebung Systeme gibt, die Protokoll und Revision Daten, wie
    sie durch das System überschreiten. In zunehmendem Maße enthalten
    Brandmauern (Netz und Anwendungsschicht) Verschlüsselung, damit sie den
    Verkehr schützen können, der zwischen sie über das Internet überschreitet.
    Brandmauern mit aufeinanderfolgender Verschlüsselung können durch
    Organisationen mit mehrfachen Punkten der Internet-Konnektivität benutzt
    werden, um das Internet als `` privates Rückgrat '' zu benutzen, ohne um
    ihre Daten oder Kennwörter sich zu sorgen, die geschnüffelt werden. (IPSEC,
    beschrieben in Kapitel 2.6, spielt eine in zunehmendem Maße bedeutende Rolle
    im Aufbau solcher virtueller privater Netze.)



    3.3 Was sind Vollmachtservers und wie sie arbeiten?
    Ein proxy server (manchmal gekennzeichnet als eine Anwendung Gateway
    oder ein Absender) ist eine Anwendung, die Verkehr zwischen einem
    geschützten Netz und dem Internet vermittelt. Vollmächte werden häufig
    anstelle von Fräser-gegründeten Verkehrssteuerungen verwendet, um Verkehr am
    Überschreiten direkt zwischen Netze zu verhindern. Viele Vollmächte
    enthalten die protokollierenden Extrakosten oder unterstützen für
    Benutzerauthentisierung. Da Vollmächte `` '' verstehen müssen das
    Anwendungsprotokoll, das verwendet wird, können sie spezifische Sicherheit
    des Protokolls auch einführen (z.B., konnte eine ftp Vollmacht
    konfigurierbar sein, ankommendes ftp zu ermöglichen und gehend ftp zu
    blocken).

    Vollmachtservers sind Anwendung Besondere. Um ein neues Protokoll über
    eine Vollmacht zu unterstützen, muß eine Vollmacht für sie entwickelt
    werden. Ein populäres Set Vollmachtservers ist der TIS
    Internet-Brandmauertoolkit (``FWTK ' ') der Vollmächte für telnet, rlogin,
    ftp, die X Fenster System, HTTP/Web und NNTP/Usenet Nachrichten einschließt.
    SOCKEN ist ein generisches Vollmachtsystem, das in eine Klient-Seite
    Anwendung kompiliert werden kann, um es Arbeit durch eine Brandmauer zu
    bilden. Sein Vorteil ist, daß zu verwenden ist einfach, aber er unterstützt
    nicht die Hinzufügung der Authentisierung Haken oder führt spezifisches
    Protokollieren Protokoll. Zu mehr Information über SOCKEN, sehen Sie
    http://www.socks.nec.com/.



    3.4 Was sind einige preiswerte Paketsiebunghilfsmittel?
    Die Texas A&M Universitätssicherheit Hilfsmittel schließen Software
    für einführende Siebungfräser ein. Karlbridge ist ein PC-GEGRÜNDETER
    screening routerinstallationssatz, der von
    ftp://ftp.net.ohio-state.edu/pub/kbridge/ vorhanden ist.

    Es gibt zahlreiche Kern-Stufe Paketbildschirme, einschließlich ipf,
    ipfw, ipchains, PFund ipfwadm. Gewöhnlich sind diese in den verschiedenen
    freien Unix Implementierungen, wie FreeBSD ,OpenBSD ,NetBSD und Linux
    eingeschlossen. Sie konnten diese Hilfsmittel vorhanden auch finden in Ihrer
    kommerziellen Unix Implementierung.

    Wenn Sie bereit sind, Ihren Händen ein wenig schmutziges zu erhalten,
    ist es vollständig möglich, eine sichere und völlig Funktionsbrandmauer für
    den Preis der Hardware aufzubauen und etwas von Ihrer Zeit.



    3.5 Was sind einige angemessene filternrichtlinien für einen
    Kern-gegründeten Paketbildschirm?
    Dieses Beispiel wird spezifisch für ipfwadm auf Linux geschrieben,
    aber die Grundregeln (und sogar viel der Syntax) beanträgt andere
    Kernschnittstellen für Paketsiebung auf `` geöffneten Quell'' Unix Systemen.

    Es gibt vier grundlegende Kategorien, die durch die ipfwadm
    Richtlinien abgedeckt werden:


    - A
    Paket-Buchhaltung
    - I
    Inputbrandmauer
    - O
    Ausgabebrandmauer
    - F
    Versendenbrandmauer
    ipfwadm hat auch das Masquerading (-M) Fähigkeiten. Zu mehr
    Information über Schalter und Optionen, sehen Sie die ipfwadm Mann- Seite.


    3.5.1 Implementierung
    Hier benutzt unsere Organisation ein privates (RFC 1918) Kategorie C
    Netz 192.168.1.0. Unser ISP hat uns die Adresse 201.123.102.32 für externe
    Schnittstelle unserer Gateway und 201.123.102.33 für unser externes mail
    server zugewiesen. Organisatorische Politik sagt:


    Erlauben Sie alle gehend TCP Anschlüsse
    Erlauben Sie ankommendes smtp und DNS zum externen mail server
    Blocken Sie weiteren ganzen Verkehr
    Der folgende Block von Befehlen kann in eine System Aufladung Datei
    (möglicherweise rc.local auf Unix Systemen) gelegt werden.


    ipfwadm - F - f ipfwadm - F - p verweigern
    ipfwadm - F - i m - b - P TCP - S 0.0.0.0/0 1024:65535 - D
    201.123.102.33 25 ipfwadm - F - i m - b - P TCP - S 0.0.0.0/0
    1024:65535 - D 201.123.102.33 53 ipfwadm - F - i m - b - P UDP - S
    0.0.0.0/0 1024:65535 - D 201.123.102.33 53 ipfwadm - F - ein m - S
    192.168.1.0/24 - D 0.0.0.0/0 - W eth0 /sbin/route fügen hinzu -
    bewirten 201.123.102.33 gw 192.168.1.2


    3.5.2 Erklärung
    Zeile man leert (- f) alle Richtlinien des Versendens(-F).
    Zeile zwei Sets die Rückstellung Politik (-P) verweigern.
    Zeilen drei bis fünf sind eingegebene Richtlinien (-i) im folgenden
    Format:
    ipfwadm - F (Vorwärts) - i (Input) m (masq.) - b (Umkehr) - P
    protocol)[protocol ]- S (source)[subnet/mask ] [ Kanäle entstehend ]- D
    (destination)[subnet/mask][port ]


    Zeile sechs fügt hinzu (-A) wendet eine Richtlinie, die alles interne
    IP ermöglicht, heraus an alle externen Adressen auf allen Protokollen, alle
    Kanäle.

    Zeile acht fügt einen Weg hinzu, damit der Verkehr, der bis
    201.123.102.33 geht, auf die interne Adresse 192.168.1.2 verwiesen wird.


    3.6 Was sind einige angemessene filternrichtlinien für ein Cisco?
    Das Beispiel in Abbildung 4 zeigt eine mögliche Konfiguration für das
    Verwenden des Cisco als filternfräser. Es ist eine Probe, die die
    Implementierung von als spezifische Politik zeigt. Ihre Politik verändert
    ohne Zweifel sich.


    Abbildung 4: Paket-Filternfräser

    In diesem Beispiel hat eine Firma Kategorie C Endsystemadresse
    195.55.55.0. Firmanetz wird an Internet über IP Diensterbringer
    angeschlossen. Firmapolitik ist, jeder Zugriff zu den
    Internet-Dienstleistungen zuzugestehen, also werden alle gehend Anschlüsse
    angenommen. Alle ankommenden Anschlüsse laufen `` mailhost ' ' durch. Post
    und DNS sind nur ankommende Dienstleistungen.


    3.6.1 Implementierung

    Erlauben Sie alles gehend TCP-connections
    Erlauben Sie ankommendes smtp und DNS zum mailhost
    Erlauben Sie ankommende ftp Datenverbindungen zum hohen TCP Kanal
    (1024)
    Versuchen Sie, Dienstleistungen zu schützen, die auf hohen Portzahlen
    leben
    Nur ankommenden Paketen vom Internet werden innen diese Konfiguration
    überprüft. Richtlinien werden in der Ordnung geprüft und stoppen, wenn die
    erste Übereinstimmung gefunden wird. Es gibt verweigern Richtlinie am Ende
    einer Zugriff Liste ein implizites, die alles verweigert. Diese IP Zugriff
    Liste nimmt an, daß Sie Cisco IOS V laufen lassen. 10.3 oder späteres.


    kein IP Quelle-verlegen! Schnittstelle Ethernet 0
    IP address, 195.55.55.1, die kein IP verweisen-übertrug!
    Schnittstelle Serie 0 kein IP verweisen-übertrug IP
    Zugriff-Gruppe 101 Zoll! Zugriff-Liste 101 verweigern IP,
    127.0.0.0, die 0.255.255.255 jede mögliche Zugriff-Liste 101 IP
    verweigern, 10.0.0.0 0.255.255.255 irgendeine Zugriff-Liste 101 IP
    verweigern, 172.16.0.0 0.15.255.255 jede mögliche Zugriff-Liste
    101 IP verweigern, 192.168.0.0 0.0.255.255 irgendeine Zugriff-Liste
    101 IP irgendwelche 0.0.0.255 255.255.255.0 verweigern,
    Zugriff-Liste 101 IP irgendwelche 0.0.0.0 255.255.255.0 verweigern!
    Zugriff-Liste 101 verweigern IP 195.55.55.0 0.0.0.255
    Zugriff-Liste 101 Erlaubnis-TCP irgendwelche irgendwie hergestellt!
    Zugriff-Liste 101 Erlaubnis-TCP irgendein Hauptrechner
    195.55.55.10 eq smtp Zugriff-Liste 101 Erlaubnis-TCP irgendein
    Hauptrechner 195.55.55.10 eq DNS Zugriff-Liste 101 Erlaubnis-UDP
    irgendein Hauptrechner 192.55.55.10 eq DNS! Zugriff-Liste
    101 verweigern TCP jede mögliche irgendeine Strecke 6000 6003, die
    Zugriff-Liste 101 TCP jede mögliche irgendeine Strecke verweigern,
    2000 2003 Zugriff-Liste 101 TCP verweigern, jede mögliche
    irgendeine eq Zugriff-Liste 2049 101 UDP jedem möglichem
    irgendeinem eq 2049 verweigern Sie! Zugriff-Liste 101
    Erlaubnis-TCP irgendwelche 20 irgendein gt 1024!
    Zugriff-Liste 101 Erlaubnis-ICMP irgendein irgendein!
    SNMP-Server Gemeinschafts-FOOBAR RO 2 Zeile vty 0 4
    Zugriff-Kategorie 2 in Zugriff-Liste 2 Erlaubnis 195.55.55.0
    0.0.0.255


    3.6.2 Erklärungen
    Lassen Sie alle Quelle-verlegten Pakete fallen. Quellwegewahl kann für
    die spoofing Adresse verwendet werden.
    Tropfen verwies Sendungen, die in den smurf Angriffen verwendet
    werden.
    Wenn ein ankommendes Paket behauptet, von einem lokalen Netz, von
    einem Schleifenbetriebnetz oder von einem privaten Netz zu sein, lassen Sie
    es fallen.
    Alle Pakete, die ein Teil bereits hergestelltes TCP-connections sind,
    können durch überschreiten, ohne weiter zu überprüfen.
    Alle Anschlüsse zu den niedrigen Portzahlen werden ausgenommen smtp
    und DNS geblockt.
    Blocken Sie alle Dienstleistungen, die auf TCP Anschlüsse auf hohen
    Portzahlen hören. X11 (Kanal 6000+), OpenWindows (Kanal 2000+) sind einige
    Anwärter. NFS (Kanal 2049) läßt normalerweise Über-UDP, aber es kann über
    TCP laufen gelassen werden, also Sie sollte ihn blocken laufen.
    Ankommende Anschlüsse von Kanal 20 in hohe Portzahlen sollen ftp
    Datenverbindungen sein.
    Zugriff-Liste 2 begrenzt Zugriff zum Fräser selbst (telnet u. SNMP)
    Aller UDP Verkehr wird geblockt, um RPC Dienstleistungen zu schützen

    3.6.3 Fehler

    Sie können nicht starke Zugriff Politik mit Fräserzugriff Listen
    erzwingen. Benutzer können backdoors zu ihren Systemen leicht installieren,
    um Überschuß `` kein ankommendes telnet '' oder `` keine '' X11 Richtlinien
    zu erhalten. Auch Cracker installieren telnet backdoors auf Systeme, wohin
    sie innen brechen.

    Sie können sicher nie sein, welchen Dienstleistungen Sie das Hören auf
    Anschlüssen auf hohen Portzahlen haben. (Sie können nicht von, welchen
    Dienstleistungen sicher sein Sie das Hören auf Anschlüssen auf niedrigen
    Portzahlen haben, irgendein, besonders in in hohem Grade dezentralisierten
    Umgebungen, in denen Leute ihre eigenen Maschinen auf das Netz setzen
    können, oder wo sie administrativen Zugriff zu ihren eigenen Maschinen
    erhalten können.)

    Den Quellkanal auf ankommenden ftp Datenverbindungen zu überprüfen ist
    eine schwache Sicherheit Methode. Es bricht auch Zugriff zu einigen ftp
    Sites. Es gebraucht den Service, der für Benutzer schwieriger ist, ohne
    falsche Kerle am Absuchen Ihrer Systeme zu hindern.
    Gebrauch-mindestens Cisco Version 9.21 so können Sie ankommende Pakete
    filtern und auf spoofing Adresse überprüfen. Es ist noch besser, 10.3 zu
    verwenden, wo Sie einige Extramerkmale (wie die Entstörung auf Quellkanal)
    und etwas Verbesserungen auf Filtersyntax erhalten.

    Sie haben noch einige Methoden, Ihre Installation stärker zu bilden.
    Blocken Sie alles ankommende TCP-connections und erklären Sie Benutzern,
    Klienten PassivFtp zu verwenden. Sie können gehend ICMP auch blocken
    Echo-antworten und Zieleinheit-nicht-erreichbare Meldungen, um Ihr Netz zu
    verstecken und Gebrauch der Netzscanner zu verhindern. Cisco.com Gebrauch,
    ein Archiv der Beispiele für das Aufbauen der Brandmauern mit Cisco Fräsern
    zu haben, aber es scheinen nicht, online sein mehr. Es gibt einige
    Anmerkungen über Cisco Zugriffssteuerunglisten mindestens an
    ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.



    3.7 Was sind die kritischen Betriebsmittel in einer Brandmauer?
    Es ist wichtig, die kritischen Betriebsmittel Ihrer
    Brandmauerarchitektur zu verstehen, also, wenn Sie Kapazität Planung,
    Leistung Optimierungen, etc. tun, wissen Sie genau, was Sie tun müssen und
    wieviel Sie benötigen, um es zu tun, um das gewünschte Resultat zu erhalten.

    Was genau die kritischen Betriebsmittel der Brandmauer sind, neigt,
    von Site zu Site, abhängig von der Sortierung des Verkehrs zu schwanken, der
    das System lädt. Einige Leute denken, daß sie automatisch können, den
    Datendurchsatz ihrer Brandmauer, indem sie in einen Kasten mit einer
    schnelleren CPU oder eine andere, CPU sich setzen zu erhöhen, wenn dieses
    nicht notwendigerweise der Fall ist. Möglicherweise könnte diese eine große
    Geldverschwendung sein, das nicht nichts tut, das zur Hand Problem zu lösen
    oder das erwartete scalability zur Verfügung zu stellen.

    Auf besetzten Systemen ist Speicher extrem wichtig. Sie müssen
    genügend RAM haben, zum jedes Falls jedes Programms zu unterstützen, das
    notwendig ist, die Eingabe instandzuhalten, die auf diese Maschine plaziert
    wird. Andernfalls beginnt das abwechselnde Ein- und Auslagern und die
    Produktivität stoppt. Das helle abwechselnde Ein- und Auslagern ist nicht
    normalerweise viel eines Problems, aber, wenn Austauschplatz eines Systems
    anfängt, besetzt zu erhalten, dann es ist normalerweise Zeit für mehr RAM.
    Ein System, das schwer austauscht, ist häufig verhältnismäßig einfach, über
    den Rand in einem Ablehnung-von-Service Angriff zu drücken oder fällt
    einfach, nach, in, die Eingabe zu verarbeiten, die auf es plaziert wird.
    Dieses ist, wo langes email Anfang verzögert.

    Über der Anforderung des Systems für Speicher hinaus, ist es nützlich,
    zu verstehen, daß unterschiedliche Dienstleistungen unterschiedliche System
    Betriebsmittel benutzen. So sollte die Konfiguration, die Sie für Ihr System
    haben, von der Art der Eingabe hinweisend sein, die Sie planen
    instandzuhalten. Ein 1400 MHZ Prozessor wird nicht Sie tun viel gutes, wenn
    alle, die Sie tun, Netnews und Post ist und versucht, sie auf einer IDE
    Platte mit einem ISA Controller zu tun.





    Tabelle 1: Kritische Betriebsmittel für Brandmauer-Dienstleistungen
    Service Kritisches Hilfsmittel
    Email Platte I/O
    Netnews Platte I/O
    Web Hauptrechner OS Einfaßung Leistung
    IP Wegewahl Hauptrechner OS Einfaßung Leistung
    Web-Cache Hauptrechner OS Einfaßung Leistung, Platte I/O







    3.8 Was ist ein DMZ und warum ich wünschen ein?
    `` DMZ '' ist eine Abkürzung für `` demilitarized Zone ' '. Im Kontext
    der Brandmauern, spricht dieses ein Teil des Netzes, das weder Teil des
    internen Netzes ist an noch zerteilt direkt vom Internet. Gewöhnlich ist
    dieses der Bereich zwischen Ihrem Internet-Zugriff Fräser und Ihrem bastion
    host, obwohl es zwischen allen möglichen zwei Politik-erzwingenden
    Bestandteilen Ihrer Architektur sein kann.

    Ein DMZ kann erstellt werden, indem man Zugriffssteuerunglisten auf
    Ihren Zugriff Fräser setzt. Dieses setzt die Berührung der Hauptrechner auf
    Ihrem externen LAN durch die anerkannten und gehandhabten Services Gewährens
    nur an jenen Hauptrechnern, um durch Hauptrechner auf dem Internet
    zugänglich zu sein herab. Viele kommerzielle Brandmauern bilden einfach eine
    dritte Schnittstelle weg vom bastion host und beschriften sie das DMZ, ist
    der Punkt, daß das Netz weder `` Innere'' noch `` -außenseite ' ' ist.

    Z.B. konnte ein web server, das auf NT läuft, zu einer Anzahl von
    Ablehnung-von-Service Angriffen gegen solche Dienstleistungen wie RPC,
    NetBIOS und SMB verletzbar sein. Diese Dienstleistungen werden nicht für die
    Operation eines web server benoetigt und so blocken TCP Anschlüsse zu
    Kanälen 135, 137, 138, und 139 auf diesem Hauptrechner verringern die
    Aussetzung zu einem Ablehnung-von-Service Angriff. Tatsächlich wenn Sie
    alles aber HTTP Verkehr zu diesem Hauptrechner blocken, hat ein Angreifer
    nur einen anzugreifen Service.

    Dieses veranschaulicht eine wichtige Grundregel: nie möchten die
    Angebotangreifer mehr, zum mit zu arbeiten als absolut notwendig, um die
    Dienstleistungen zu unterstützen sind Sie, die Öffentlichkeit

    Back to Top
    Brandmauer FAQ in deutschem Teil 3
    3.9 Wie konnte ich die Sicherheit und das scalability meines DMZ
    erhöhen?
    Eine geläufige Annäherung für einen Angreifer soll in einen
    Hauptrechner, der zum Angriff verletzbar ist, und in Großtatvertrauen
    Verhältnisse brechen zwischen dem verletzbaren Hauptrechner und den
    interessanteren Zielen.

    Wenn Sie eine Anzahl von Dienstleistungen laufen lassen, die
    unterschiedliche Stufen der Sicherheit haben, konnten Sie Ihr DMZ, in einige
    `` Sicherheit Zonen ' zu brechen erwägen wünschen. Dieses kann indem man
    eine Anzahl von unterschiedlichen Netzen innerhalb des DMZ getan werden hat.
    Z.B. konnte der Zugriff Fräser zwei Ethernets, beide einziehen, die von ACLs
    und folglich im DMZ geschützt wurden.

    Auf einem des Ethernets, konnten Sie Hauptrechner haben deren Zweck
    ist, Notwendigkeit Ihrer Organisation an der Internet-Konnektivität
    instandzuhalten. Diese geben wahrscheinlich Post, Nachrichten und
    Hauptrechner DNS weiter. Auf dem anderen Ethernet sein konnten Ihr Web
    server(s) und andere Hauptrechner, die Dienstleistungen zugunsten der
    Internet-Benutzer zur Verfügung stellen.

    In vielen Organisationen neigen Services für Internet-Benutzer,
    weniger sorgfältig geschützt zu werden und sind wahrscheinlicher, unsichere
    Sachen zu tun. (zum Beispiel, im Fall von einem web server, unauthenticated
    und untrusted Benutzer konnte cgi, PHP oder andere vollziehbare Programme
    laufen lassen. Dieses konnte für Ihr web server angemessen sein, aber holt
    mit ihm ein bestimmtes Set Gefahren, die gehandhabt werden müssen. Es ist
    diese Dienstleistungen ist zu riskant für eine Organisation, sie auf einem
    bastion host laufen zu lassen wahrscheinlich, in dem kann den kompletten
    Ausfall der Sicherheit Einheiten ergeben. gleitenSie)

    Indem Sie die Hauptrechner mit ähnlichen Stufen der Gefahr auf Netze
    in das DMZ zusammenfügen, können Sie helfen, den Effekt eines Trainierens an
    Ihrer Site herabzusetzen. Wenn jemand in Ihr web server einbricht, indem er
    irgendeinen Programmfehler in Ihrem web server ausnutzt, können sie nicht,
    es als ausstoßender Punkt zu verwenden, um in Ihr privates Netz zu brechen,
    wenn die Web-Servers auf einem unterschiedlichen LAN von den
    Bastionhauptrechnern sind, und Sie haben keine Vertrauen Verhältnisse
    zwischen dem web server und dem bastion host.

    Jetzt halten Sie im Verstand, daß dieses Ethernet ist. Wenn jemand in
    Ihr web server einbricht und Ihr bastion host auf dem gleichen Ethernet ist,
    kann ein Angreifer einen Sauganleger auf Ihr web server installieren und
    überwacht den Verkehr nach und von Ihrem bastion host. Dieses konnte Sachen
    aufdecken, die verwendet werden können, um in das bastion host zu brechen
    und zum internen Netz Zutritt zu erhalten. (geschaltetes Ethernet kann Ihre
    Aussetzung zu dieser Art des Problems verringern, aber wird sie nicht.
    beseitigen)

    Aufspaltendienstleistungen oben nicht nur durch Hauptrechner, aber,
    indem Sie Netze, und die Stufe des Vertrauens zwischen Hauptrechnern in
    jenen Netzen, Sie kann die Wahrscheinlichkeit eines Trainierens auf einem
    Hauptrechner groß verringern begrenzen, der verwendet wird, in den anderen
    zu brechen. Succinctly angegeben: das Brechen in das web server in diesem
    Fall bildet es nicht irgendwie einfacher, in das bastion host zu brechen.

    Sie können das scalability Ihrer Architektur auch erhöhen, indem Sie
    Hauptrechner auf unterschiedliche Netze plazieren. Wenige Maschinen gibt es,
    die vorhandene Bandweite zu teilen, mehr Bandweite erhält jedes.



    3.10 Was ist ein ` einzelner Punkt des Ausfalls ' und wie ich
    vermeiden, ein zu haben?
    Eine Architektur deren Sicherheit nach einer Einheit schwenkbar
    lagert, hat einen einzelnen Punkt des Ausfalls. Software, die
    Bastionhauptrechner laufen läßt, hat Programmfehler. Anwendungen haben
    Programmfehler. Software, die Fräser steuert, hat Programmfehler. Sie ist
    sinnvoll, alle diese Bestandteile zu benutzen, um ein sicher konzipiertes
    Netz aufzubauen, und sie in den überflüssigen Methoden zu benutzen.

    Wenn Ihre Brandmauerarchitektur ein mites Filter versehen Teilnetz
    ist, haben Sie zwei filternfräser des Pakets und ein bastion host. (sehen
    Sie Frage 3.2 von diesem Kapitel.) Ihr Internet-Zugriff Fräser ermöglicht
    nicht Verkehr vom Internet, in Ihr privates Netz vollständig zu erhalten.
    Jedoch wenn Sie nicht daß Richtlinie mit irgendwelchen anderen Einheiten auf
    dem bastion- host und/oder Drosselklappenfräser erzwingen, nur ein
    Bestandteil Ihrer Architektur ausfallen oder verglichen werden muß, um nach
    innen zu erhalten. Andererseits wenn Sie eine überflüssige Richtlinie auf
    dem bastion host haben, und wieder auf dem Drosselklappe Fräser, muß ein
    Angreifer drei Einheiten besiegen.

    Weiter wenn das bastion host oder der Drosselklappe Fräser seine
    Richtlinie hervorrufen muß, um äußeren Zugriff zum internen Netz zu blocken,
    konnten Sie wünschen es eine Warnung irgendeiner Sortierung starten lassen,
    da Sie wissen, daß jemand durch Ihren Zugriff Fräser erhalten hat.



    3.11 Wie kann ich die ganze falsche Material blocken?
    Für Brandmauern, in denen das Hauptgewicht auf Sicherheit anstelle von
    der Konnektivität ist, sollten Sie alles, durch Rückstellung zu blocken, und
    nur spezifisch zu erlauben erwägen, welche Dienstleistungen Sie auf einer
    Schachtel-durch-Schachtel Grundlage benötigen.

    Wenn Sie alles, ausgenommen ein spezifisches Set Dienstleistungen,
    dann blocken, haben Sie bereits Ihren Job viel einfacher gebildet. Anstelle
    von um jedes Sicherheit Problem mit alles Produkt und Service sich sorgen zu
    müssen herum, Sie müssen nur sich um jedes Sicherheit Problem mit einem
    spezifischen Set Dienstleistungen und Produkten sorgen.

    Vor dem Drehen auf einen Service, sollten Sie ein Paar von Fragen
    betrachten:


    Ist das Protokoll für dieses Produkt ein weithin bekanntes,
    erschienenes Protokoll?
    Ist der Anwendung Service dieses Protokoll, das für allgemeine
    Kontrolle seiner Implementierung vorhanden ist?
    Wie gut bekannt der Service und das Produkt?
    Wie, diesen Service erlaubend ändert die Brandmauerarchitektur? Sieht
    ein Angreifer Sachen anders als? Könnte sie ausgenutzt werden, um an meinem
    internen Netz zu erhalten, oder Sachen auf Hauptrechnern in meinem DMZ zu
    ändern?
    Wenn in Betracht der oben genannten Fragen, halten Sie das folgende im
    Verstand:


    `` Sicherheit durch Obscurity '' ist keine Sicherheit an allen.
    Unveröffentlichte Protokolle sind von den falschen Kerlen überprüft worden
    und besiegt worden.
    Trotz was die Marketing-Vertreter sagen, ist nicht jedes Protokoll
    oder Service mit Sicherheit im Verstand konzipiert. Tatsächlich ist die
    Zahl, das sind, sehr wenig.
    Sogar in den Fällen wo Sicherheit eine Erwägung ist, haben nicht alle
    Organisationen kompetenten Sicherheit Personal. Unter denen, die nicht, sind
    nicht alle bereit, einen kompetenten Berater in das Projekt zu holen. Das
    Ende Resultat ist andernfalls-kompetentes das, gut-beabsichtigte Entwickler
    kann unsichere Systeme konzipieren.
    Kleiner ein Verkäufer bereit, Ihnen zu erklären ist, daß über, wie ihr
    System arbeitet wirklich, ist es das wahrscheinlicher, daß Sicherheit (oder
    andere), Probleme existiert. Nur Verkäufer mit etwas sich zu verstecken
    haben einen Grund, ihre Designs und Implementierungen [ 2]zu verstecken.


    3.12 Wie kann ich Web-Zugriff einschränken, also können Benutzer nicht
    die Sites ansehen, die, um zu arbeiten ohne Bezug sind?
    Einigen Jahren, erhielt jemand die Idee, daß es eine gute Idee, ist ``
    falsche '' Web-Sites zu blocken, d.h. die, die vor das dieses Material
    enthalten, die Firma `` nicht angebrachtes ' ' ansieht. Die Idee hat sich
    der Popularität erhöht, aber es gibt einige beim Denken zu betrachten
    Sachen, an das Einführen solcher Kontrollen in Ihrer Brandmauer.


    Es ist nicht möglich, alles praktisch zu blocken, das ein Arbeitgeber
    ' `` nicht angebracht ' meint. Das Internet ist von jeder Sortierung des
    Materials voll. Das Blocken von von einer Quelle adressiert nur Verkehr zu
    einer anderen Quelle solchen Materials um, oder veranlassen Sie jemand, eine
    Methode um den Block darzustellen.
    Die meisten Organisationen haben nicht einen Standard für das
    Beurteilen der Verwendbarkeit des Materials, die ihre Angestellten holen, um
    z.B. Bücher und Zeitschriften zu bearbeiten. Prüfen Sie jeder Aktenkoffer
    auf `` nicht angebrachtes materielles '' jeden Tag über? Wenn Sie nicht,
    dann warum würden Sie jedes Paket auf `` nicht angebrachtes Material ' '
    überprüfen? Alle mögliche Entscheidungen entlang jenen Zeilen in solch einer
    Organisation sind willkürlich. Das Versuchen, Disziplinärmaßnahme gegen
    einen Angestellten zu nehmen, in dem der einzige Standard gewöhnlich
    willkürlich ist, ist nicht, aus Gründen gut über dem Bereich dieses
    Dokumentes hinaus klug.
    Die Produkte, die das Site-Blocken durchführen, kommerzielles und
    anders, sind gewöhnlich einfach zu verhindern. Hostnames kann als IP
    Adressen neu geschrieben werden. IP Adressen können als 32-bit Ganzzahl Wert
    oder als vier 8-bit Ganzzahlen (das geläufigste Formular) geschrieben
    werden. Andere Möglichkeiten existieren, außerdem. Anschlüsse können sein
    proxied. Webseiten können über email geholt werden. Sie können nicht sie
    alle blocken. Die Bemühung, der Sie das Versuchen aufwenden, solche
    Kontrollen einzuführen und zu handhaben, fast übersteigt zweifellos weit
    jede mögliche Stufe der Beschädigung Steuerung, die Sie hoffen, zu haben.
    Der Richtlinie-von-Daumen, zum sich hier zu erinnern ist, daß Sie
    nicht Sozialprobleme mit Technologie lösen können. Wenn es ein Problem mit
    jemand gibt, das zu einer `` nicht angebrachten '' Web site geht, ist das,
    weil jemand anderes es sah und beleidigt wurde durch, was er sah, oder weil
    Produktivität dieser Person unterhalb der Erwartungen ist. In jedem Fall
    sind die Stoffe für die Personalabteilung, nicht der Brandmauerverwalter.



    4 Verschiedene Angriffe


    4.1 Was ist Quelle verlegter Verkehr und warum ist es eine Drohung?
    Normalerweise wird der Weg, den ein Paket von seiner Quelle zu seiner
    Zieleinheit nimmt, durch die Fräser zwischen der Quelle und der Zieleinheit
    festgestellt. Das Paket selbst sagt nur, wo es gehen möchte (die
    Zieladresse), und nichts über, wie es erwartet, dort zu erhalten.

    Es gibt eine wahlweise freigestellte Methode für den Absender eines
    Pakets (die Quelle) Informationen im Paket einzuschließen, das den Weg
    erklärt, den, das Paket nehmen sollte, um an seine Zieleinheit zu gelangen;
    so die Namens`` Quellwegewahl ' '. Für eine Brandmauer ist- Quellwegewahl
    bemerkenswert, da ein Angreifer den Verkehr festlegen kann, der behauptet,
    von einem System `` Innere '' zu sein die Brandmauer. Im allgemeinen würde
    solcher Verkehr nicht auf der Brandmauer richtig verlegen, aber mit der
    Quellwegewahloption, bringen alle Fräser zwischen der Maschine des
    Angreifers und dem Ziel Verkehr entlang dem Rückpfad des Quellweges zurück.
    Solch einen Angriff einzuführen ist ziemlich einfach; so sollten
    Brandmauererbauer nicht es diskontieren, wie unwahrscheinlich zu geschehen.

    In der Praxis wird Quellwegewahl sehr wenig verwendet. Tatsächlich im
    Allgemeinen ist der gesetzmaßige hauptsächlichgebrauch in den
    Ausprüfennetzproblemen oder Verlegung der spezifischen Links des Verkehr
    Überschusses zur Ansammlungsteuerung für fachkundige Situationen. Wenn man
    eine Brandmauer aufbaut, sollte Quellwegewahl an etwas Punkt geblockt
    werden. Die meisten kommerziellen Fräser enthalten die Fähigkeit,
    Quellwegewahl spezifisch zu blocken, und viele Versionen von Unix, die
    verwendet werden konnten, um Brandmauerbastionhauptrechner aufzubauen, haben
    die Fähigkeit, Quelle verlegten Verkehr zu sperren oder zu ignorieren.



    4.2 Was sind ICMP umadressiert und umadressiert Bomben?
    Ein ICMP adressieren erklärt das aufnahmefähige System, über etwas in
    seiner Leitwegtabelle ausser Kraft zu setzen um. Es wird gesetzmaßig durch
    Fräser verwendet, um Hauptrechnern zu erklären, daß der Hauptrechner ein
    nicht-optimales verwendet, oder verstorbener Weg zu einer bestimmten
    Zieleinheit d.h. der Hauptrechner sie zum falschen Fräser schickt. Der
    falsche Fräser schickt Hauptrechner zurück, das ein ICMP Paket
    umadressieren, das dem Hauptrechner erklärt, was der korrekte Weg sein
    sollte. Wenn Sie ICMP schmieden können, adressieren Sie Pakete um, und wenn
    Ihr Zielhauptrechner sie beachtet, können Sie die Leitwegtabellen auf dem
    Hauptrechner ändern und die Sicherheit des Hauptrechners durch das
    Veranlassen des Verkehrs vielleicht umstürzen, über einen Pfad zu fließen,
    den das Netzmanager didn't beabsichtigen. ICMP adressiert kann für
    Leistungsverweigerung Angriffe auch beschäftigt werden, in denen ein
    Hauptrechner einem Weg geschickt wird, der ihn Konnektivität verliert, oder
    wird geschickt einem nicht-erreichbaren Paket des ICMP Netzes um, das es
    erklärt, daß es auf ein bestimmtes Netz nicht mehr zugreifen kann.

    Viele Brandmauererbauer rastern ICMP Verkehr von ihrem Netz, seit ihm
    begrenzt die Fähigkeit der Außenseiter ping Hauptrechner oder ändert ihre
    Leitwegtabellen.

    Bevor Sie entscheiden, alle ICMP Pakete zu blocken, sollten Sie
    berücksichtigen, wie das TCP Protokoll `` Pfad MTU Entdeckung '', zu
    vergewissern, daß Sie Konnektivität nicht zu anderen Sites brechen. Wenn Sie
    nicht sie sicher überall blocken können, können Sie ausgewählte, Typen von
    ICMP zu ausgewählten verlegeneinheiten zu erlauben erwägen. Wenn Sie es
    nicht blocken, sollten Sie mindestens sichergehen, daß Ihre Fräser und
    Hauptrechner nicht auf Sendung Pingpakete reagieren.



    4.3 Was über Leistungsverweigerung?
    Leistungsverweigerung ist, wenn jemand entscheidet, Ihr Netz oder
    Brandmauer unbrauchbar zu bilden, indem er sie stört und zerschmettert sie
    und staut sie oder Überschwemmung es. Das Problem mit Leistungsverweigerung
    am Internet ist, daß zu verhindern ist unmöglich. Der Grund bezieht der
    verteilten Natur des Netzes mit ein: jeder Netzknoten wird über andere
    Netze, die der Reihe nach an andere Netze anschließen, usw. angeschlossen.
    Ein Brandmauerverwalter oder ein ISP hat nur Steuerung von einigen der
    lokalen Elemente innerhalb der Reichweite. Ein Angreifer kann ein Anschluß
    immer stören `` aufwärts gerichtetes '' von, wo das Opfer es steuert. Das
    heißt, wenn jemand ein Netz die Luft entfernen wollte, könnte er sie tun
    entweder, indem er das Netz die Luft entfernte oder, indem es den Netzen
    nimmt, schließt es an weg von die Luft, endlos an. Es gibt viele, viele,
    Methoden, die jemand den Service verweigern kann und reicht vom Komplex bis
    zu der trivialen Rohling-Kraft. Wenn Sie mit Internet für einen Service
    betrachten, der absolut, die die Zeit oder ist Mission kritisch sind,
    sollten Sie Ihre Rückfall Position betrachten, im Falle daß das Netz unten
    oder beschädigt ist.

    TCP/IP's UDP Echoservice wird belanglos mißbraucht, um zwei Servers zu
    erhalten, um ein Netzsegment mit Echopaketen zu überschwemmen. Sie sollten
    aus, unbenutzten Einträgen in /etc/inetd.conf der Unix Hauptrechner und
    Cisco Fräsern no ip small-servers hinzufügen oder dem Äquivalent für Ihre
    Bestandteile zu kommentieren erwägen.



    4.4 Was sind einige geläufige Angriffe und wie können ich mein System
    gegen sie schützen?
    Jede Site ist zu jedem anderem ein wenig unterschiedliches in, welchen
    Angriffen ausgedrückt wahrscheinlich sind, gegen es verwendet zu werden.
    Einige wiederkehrende Themen entstehen, zwar.


    4.4.1 Überfallender Smtp Server (Nicht autorisiertes Weitergeben)
    Dieses ist, wohin ein Spammer viele Tausenden Exemplare einer Meldung
    nimmt und es zu einer sehr großen Liste der email Adressen schickt. Weil
    diese Listen häufig und zwecks die Verarbeitungsgeschwindigkeit für den
    Spammer zu erhöhen so falsch sind, haben viele auf die ganze ihre Post zu
    einem smtp Server einfach schicken zurückgegriffen, der um die Post wirklich
    liefern kümmert.

    Selbstverständlich kommen die ganze von Schläge, von Spam
    Beanstandungen, Hass von und von falschen Fotorezeptor für die Site, die als
    Relais benutzt wurde. Es gibt sehr reale Kosten, die mit diesem verbunden
    sind, meistens, wenn man Leute zahlt, um herauf die Verwirrung danach zu
    säubern.

    Die Post-Mißbrauch Verhinderung-System1Transport-Sicherheit
    Initiative2behält eine komplette Beschreibung des Problems bei und wie man
    über jede Werbung auf dem Planeten konfiguriert, um sich gegen diesen
    Angriff zu schützen.


    4.4.2 Ausnutzung der Programmfehler in den Anwendungen
    Verschiedene Versionen der Web-Servers, der Postservers und anderer
    Internet-Service-Software enthalten Programmfehler, die Remote (Internet-)
    Benutzern erlauben, die Sachen zu tun, die von der Gewinnsteuerung der
    Maschine bis zu diesen Anwendung Systemabsturz in-between bilden und gerade
    über alles reichen.

    Die Aussetzung zu dieser Gefahr kann durch das Laufen lassen nur der
    notwendigen Dienstleistungen, das Halten aktuell auf Änderungen am
    Objektprogramm und das Verwenden der Produkte verringert werden, die um wann
    gewesen sind.


    4.4.3 Programmfehler in Betriebssystemen
    Wieder werden diese gewöhnlich von den Benutzern entfernt
    initialisiert. Betriebssysteme, die zur IP Vernetzung verhältnismäßig neu
    sind, neigen, als fälligere Betriebssysteme problematischer zu sein haben
    gehabt Zeit, ihre Programmfehler zu finden und zu beseitigen. Ein Angreifer
    kann das Zielausrüstung Neuladen häufig ununterbrochen bilden, die Fähigkeit
    zerschmettern, verlieren, mit dem Netz zu sprechen, oder Dateien auf der
    Maschine zu ersetzen.

    Hier laufend als wenige Betriebssystemdienstleistungen als mögliche
    Dose Hilfe. Auch Haben eines Paketfilters vor dem Betriebssystem kann die
    Aussetzung zu vielen diesen Typen Angriffe verringern.

    Und ein beständiges Betriebssystem selbstverständlich chosing hilft
    hier außerdem. Wenn Sie ein OS auswählen, seien nicht getäuscht Sie in das
    Glauben das ``, pricier, das bessere ' '. Freie Betriebssysteme sind häufig
    viel robuster als ihre kommerziellen Gegenstücke



    5 Wie I...


    5.1 Möchte ich wirklich alles gewähren, das meine Benutzer um bitten?
    Es ist völlig möglich, daß die Antwort `` keine ' ' ist. Jede Site hat
    seine eigenen politischen Richtlinien über, was nicht erforderlich ist und
    ist, aber es ist wichtig, daran zu erinnern, daß ein großes Teil des Jobs
    des Seins der Pförtner einer Organisation Ausbildung ist. Benutzer wünschen
    strömenden Bildschirm, Echtzeitschwätzchen, und zu können, Dienstleistungen
    außergebietlichen Abnehmern anzubieten, die Interaktion mit
    Phasendatenbanken im internen Netz benötigen.

    Das bedeutet nicht, daß irgendwelche dieser Sachen erfolgt werden
    können, ohne mehr Gefahr der Organisation, als darzustellen das angenommene
    `` Wert '' der Überschrift hinunter diese Straße wertIST. Die meisten
    Benutzer möchten nicht ihre Organisation an der Gefahr setzen. Sie lesen
    gerade die Geschäftslappen, sehen Reklameanzeigen, und sie möchten jene
    Sachen tun, auch. Zu schauen ist wichtig, in, was es, daß sie wirklich tun
    möchten, und ihnen zu helfen zu verstehen, ist, wie sie können konnten, ihr
    reales Lernziel in einer sichereren Weise zu vollenden.

    Sie nicht immer sind populär, und Sie konnten sogar sich finden
    Richtung gebend, um zu tun dummes etwas unglaublich, wie `` erschließen
    gerade Kanäle foo durch Stab ' '. Wenn das geschieht, sorgen Sie nicht sich
    um es. Es würde klug sein, alle Ihre Austäusche auf solch einem Fall zu
    halten, damit, wenn ein Index 12-year-old Kiddie innen bricht, Sie
    mindestens können, sich von der Ganzverwirrung zu trennen.



    5.2 Wie bilde ich Web/HTTP Arbeit durch meine Brandmauer?
    Es gibt drei Möglichkeiten, sie zu tun.


    Erlauben Sie `` hergestellte '' Anschlüsse heraus über einen Fräser,
    wenn Sie Siebungfräser benutzen.
    Verwenden Sie ein web client, das SOCKEN unterstützt, und lassen Sie
    SOCKEN auf Ihrem bastion host laufen.
    Lassen Sie irgendeine Art Vollmacht-fähiges web server auf dem bastion
    host laufen. Etwas Optionen schließen Kalmar3, Apache4, Netscape
    Vollmacht5und HTTP-HTTP-GW vom TIS Brandmauer Toolkit ein. Die meisten
    diesen Dose auch Vollmacht andere Protokolle (wie Gopher und ftp) und können
    Nachrichten, die auch eine gewöhnlich Leistung Erhöhung für die Benutzer
    ergeben, und leistungsfähigeren Gebrauch von Ihrem Anschluß zum Internet
    cachieren die geholten. Im Wesentlichen alle Web-Klienten (Mozilla, Internet
    Explorer, Lynx, usw..) haben Sie proxy serversupport aufgebaut direkt in
    sie.


    5.3 Wie lasse ich SSL durch die Brandmauer arbeiten?
    SSL ist ein Protokoll, das sichere Anschlüsse über dem Internet
    erlaubt. Gewöhnlich wird SSL benutzt, um HTTP Verkehr zu schützen. Jedoch
    können andere Protokolle (wie telnet) auf SSL laufen.

    Dem Aktivieren von von SSL durch Ihre Brandmauer kann getan werden die
    gleiche Methode, daß Sie HTTP Verkehr erlauben würden, wenn es HTTP ist, daß
    Sie SSL benutzen, um zu sichern, das normalerweise zutreffend ist. Der
    einzige Unterschied ist der, anstatt, etwas, das HTTP einfach, weitergibt
    Sie zu verwenden, benötigt etwas, das SSL einen Tunnel anlegen kann. Dieses
    ist ein Merkmal, das auf den meisten Web-Nachricht Caches vorhanden ist.

    Sie können mehr über SSL von Netscape 6herausfinden.



    5.4 Wie bilde ich DNS Arbeit mit einer Brandmauer?
    Einige Organisationen möchten DNS Namen von der Außenseite verstecken.
    Viele Experten denken nicht, die daß DNS versteckt Namen lohnend ist, aber
    wenn site/corporate Politik versteckenden Gebiet Namen unterstellt, dieses
    eine Annäherung ist, die bekannt, um zu arbeiten. Ein anderer Grund, den Sie
    Gebiet Namen verstecken müssen können, ist, wenn Sie einen wendenden
    Nicht-Standard-Entwurf in Ihrem internen Netz haben. In diesem Fall haben
    Sie keine Wahl aber, jene Adressen zu verstecken. Täuschen Sie sich nicht in
    das Denken das, wenn Ihre DNS Namen versteckt werden, denen es einen
    Angreifer hinunter viel verlangsamt, wenn sie in Ihre Brandmauer brechen.
    Informationen über was in Ihrem Netz ist, werden zu leicht von der
    Vernetzung Schicht selbst aufgelesen. Wenn Sie eine interessante
    Demonstration von diesem wünschen, ping die Teilnetzsendung Adresse auf
    Ihrem LAN und tun dann einen `` arp - ` a.'' Beachten Sie auch das
    versteckende Namen in der DNS adressiert nicht das Problem Hauptrechnernamen
    `` undichtes '' heraus in den Postvorsätzen, in den Nachrichten Artikeln, in
    usw..

    Diese Annäherung ist eine von vielen, und ist für Organisationen
    nützlich, die ihre Hauptrechnernamen vom Internet verstecken möchten. Der
    Erfolg dieser Annäherung liegt auf der Tatsache, daß DNS Klienten auf einer
    Maschine nicht mit einem DNS Server auf dieser gleichen Maschine sprechen
    müssen. Das heißt, gerade weil ist es einen DNS Server auf einer Maschine
    gibt, dort nichts falsch mit (und es gibt häufig Vorteile), dem
    Umadressieren von von Aktivität Klient DNS dieser Maschine zu einem DNS
    Server auf einer anderen Maschine.

    Zuerst stellen Sie einen DNS Server auf dem bastion host auf, dem die
    äußere Welt sprechen kann mit. Sie stellen diesen Server auf, damit er
    behauptet, für Ihre Gebiete maßgebend zu sein. Tatsächlich dieser weiß
    ganzer Server ist, was Sie die äußere Welt wissen wünschen; die Namen und
    die Adressen Ihrer Gateways, Ihre Wildcard MX Sätze, und so weiter. Dieses
    ist der `` allgemeine '' Server.

    Dann stellten Sie einen DNS Server auf einer internen Maschine auf.
    Dieser Server behauptet auch, für Ihre Gebiete maßgebend zu sein; anders als
    den allgemeinen Server dieser sagt die Wahrheit. Dieses ist Ihr `` normales
    '' nameserver, in das Sie Ihr ganzes `` normale '' DNS Material setzen. Sie
    stellen auch diesen Server bis zu den Vorwärtsabfragen ein, die er nicht zum
    allgemeinen Server beheben kann (eine `` Zeile der Absender ' in
    /etc/named.boot auf einer Unix Maschine verwendend, z.B.).

    Schließlich stellten Sie alle Ihre DNS Klienten (die /etc/resolv.conf
    Datei auf einem Unix Kasten, zum Beispiel), einschließlich die auf der
    Maschine mit dem allgemeinen Server auf, um den internen Server zu benutzen.
    Dieses ist die Taste.

    Ein interner Klient, der nach einem internen Hauptrechner fragt,
    bittet um um den internen Server und erhält eine Antwort; ein interner
    Klient, der nach einem externen Hauptrechner fragt, bittet um um den
    internen Server, der um um den allgemeinen Server bittet, der um um das
    Internet bittet, und die Antwort wird zurück weitergegeben. Ein Klient auf
    dem allgemeinen Server bearbeitet gerade die gleiche Methode. Ein externer
    Klient jedoch fragend nach einem internen Hauptrechner bekommt die ``
    eingeschränkte '' Antwort vom allgemeinen Server zurück.

    Diese Annäherung nimmt an, daß es eine filternbrandmauer des Pakets
    zwischen diesen zwei Servers gibt, die sie DNS miteinander sprechen lassen,
    aber anders DNS zwischen anderen Hauptrechnern einschränkt.

    Ein anderer Trick, der in diesem Entwurf nützlich ist, soll Wildcard
    PTR Sätze in Ihren IN-ADDR.ARPA Gebieten einsetzen. Diese verursachen ein
    Adressieren-zuname Nachschlagen für irgendwelche Ihrer nicht öffentlichen
    Hauptrechner zur Rückkehr etwas wie `` unknown.YOUR.DOMAIN '' anstatt einen
    Fehler. Dieses erfüllt Anonymous FTPSITES, wie ftp.uu.net, die auf Haben
    eines Namens für die Maschinen sie bestehen, mit sprechen. Dieses kann bei
    der Unterhaltung ausfallen mit Sites, die eine DNS überprüfung tun, in der
    der Hauptrechnername gegen seine Adresse und umgekehrt zusammengebracht
    wird.



    5.5 Wie lasse ich ftp durch meine Brandmauer arbeiten?
    Im Allgemeinen wird das Lassen von von ftp durch die Brandmauer
    arbeiten entweder mit einem proxy server wie dem ftp-ftp-gw des Brandmauer
    Toolkits oder indem man ankommende Anschlüsse zum Netz an einer
    eingeschränkten Portstrecke ermöglicht, und ankommende Anschlüsse mit etwas
    wie `` hergestellten '' Siebungrichtlinien anders, einschränkend getan. Der
    ftp Klient wird dann geändert, um den Datenkanal an einen Kanal innerhalb
    dieses Bereiches zu binden. Dieses hat zur Folge, zu können, die ftp Klient
    Anwendung auf internen Hauptrechnern zu ändern.

    In einigen Fällen wenn ftp Downloads alle sind, möchten Sie
    unterstützen, konnten Sie ftp zu erklären, erwägen wünschen ein `` totes
    Protokoll '' und Sie lassend, downloaden Benutzer Dateien über das Web
    anstatt. Die Benutzerschnittstelle ist zweifellos netter, und sie erhält um
    das häßliche Rückrufkanalproblem. Wenn Sie die Ftp-über-Web Annäherung
    wählen, sind Ihre Benutzer zu den ftp Dateien heraus nicht imstande, die,
    abhängig von was Sie versuchen, zu vollenden, ein Problem sein können.

    Eine andere Annäherung soll das ftp benutzen `` PASV '' Option, um
    anzuzeigen, daß das Remoteftp server den Klienten ermöglichen sollte,
    Anschlüsse zu initialisieren. Die PASV Annäherung nimmt daß das ftp server
    auf den Support des ferninstallierten Systems an, die Operation. (Sehen Sie
    `` Brandmauer-Freundliches Ftp '' [1].)

    Andere Sites ziehen es vor, Klient Versionen des ftp Programms
    aufzubauen, die gegen eine SOCKEN Bibliothek gebunden werden.



    5.6 Wie lasse ich telnet durch meine Brandmauer arbeiten?
    Telnet wird im Allgemeinen entweder unterstützt, indem man eine
    Anwendung Vollmacht wie der tn-tn-gw des Brandmauer Toolkits verwendet oder
    indem man einfach einen Fräser konfiguriert, um gehend Anschlüsse mit etwas
    wie den `` hergestellten '' Siebungrichtlinien zu ermöglichen. Anwendung
    Vollmächte konnten sein in Form einer unabhängigen Vollmacht, die auf das
    bastion host läuft, oder in Form eines SOCKEN Servers und eines geänderten
    Klienten.



    5.7 Wie lasse ich Finger und WHOIS durch meine Brandmauer arbeiten?
    Viele Brandmauer admins ermöglichen Anschlüsse zum Fingerkanal von nur
    verläßlichen Maschinen, denen herausgeben kann Fingeranträge in Form von:
    Finger in@firewall. Diese Annäherung arbeitet nur mit der
    Standardunix Version des Fingers. Steuernzugriff zu den Dienstleistungen und
    zum Einschränken sie zu den spezifischen Maschinen wird entweder mit
    tcp_wrappers oder netacl vom Brandmauer Toolkit gehandhabt. Diese Annäherung
    arbeitet nicht auf allen Systemen, da einige Fingerservers nicht
    user@host@host Betasten ermöglichen.

    Viele inbound Fingeranträge des Site-Blockes für eine Vielzahl von
    Gründen, vorderstes Sein hinter Sicherheit Programmfehlern im Fingerserver
    (die Morris Internet-Endlosschraube bildete diese Programmfehler berühmt)
    und die Gefahr der eigenen oder empfindlichen Informationen, die in den
    Fingerinformationen des Benutzers aufgedeckt werden. Im allgemeinen jedoch
    wenn Ihre Benutzer das Einsetzen der eigenen oder empfindlichen
    Informationen in ihre plan Dateien gewöhnt werden, haben Sie ein ernsteres
    Sicherheit Problem, als gerade eine Brandmauer lösen kann.



    5.8 Wie bilde ich Gopher, archie, und andere Dienstleistungen arbeiten
    durch meine Brandmauer?
    Die Mehrheit einen Brandmauerverwaltern beschließen, Gopher und archie
    durch Web-Vollmächte, anstelle von direkt zu unterstützen. Vollmächte wie
    die des Brandmauer Abfragen des Bekehrten gopher/gopher+ HTTP-HTTP-GW
    Toolkits in HTML und umgekehrt. Für das Unterstützen von von archie und von
    von anderen Abfragen, beruhen viele Sites auf Internet-gegründeten Servers
    Web-zu-archie, wie ArchiePlex. Die Tendenz des Webs, alles auf
    Internet-aussehen wie einem Web-Service zu bilden ist ein Segen und ein
    Fluch.

    Es gibt viele neue Dienstleistungen, die ständig oben ernten. Häufig
    sind sie misdesigned oder sind konzipiert nicht mit Sicherheit im Verstand,
    und ihre Entwerfer erklären Ihnen, wenn freundlich Sie sie verwenden, die
    möchten Sie, Notwendigkeit Kanal xxx durch Ihren Fräser ließ. Leider kann
    nicht jeder das tun und also sind eine Zahl des Interessierens der neuen
    Spielwaren schwierig, für Leute hinter Brandmauern zu verwenden. Sachen
    mögen RealAudio, die direkten UDP Zugriff benötigen, sind besonders
    unerhörte Beispiele. Die Sache, zum zu bedenken, wenn Sie gegenübergestellt
    mit einem dieser Probleme sich finden, ist, herauszufinden soviel wie, Sie
    über die Sicherheit Gefahren können, die der Service darstellen kann, bevor
    Sie ihn gerade durch erlauben. Es ist der Service hat keine Sicherheit
    Implikationen ziemlich möglich. Es ist gleichmäßig möglich, daß es
    unentdeckte Bohrungen hat, die Sie einen LKW durch antreiben konnten.



    5.9 Was sind die Ausgaben über X11 durch eine Brandmauer?
    Das X Windows System ist ein sehr nützliches System, aber hat leider
    einige Hauptsicherheitsschwachstellen. Ferninstallierte Systeme, die
    gewinnen können, oder spoof Zugriff zur Bildschirmanzeige X11 eines
    Arbeitsplatzes Tastenanschläge überwachen kann, die ein Benutzer einträgt,
    Downloadexemplare des Inhalts ihrer Fenster, usw..

    Während Versuche, sie zu überwinden gebildet worden sind (z.B., MIT ``
    magisches Plätzchen ' ') ist es noch völlig zu einfach für einen Angreifer,
    Bildschirmanzeige X11 eines Benutzers zu behinderen. Die meisten Brandmauern
    blocken allen Verkehr X11. Einige ermöglichen Verkehr X11 durch Anwendung
    Vollmächte wie die Dez CRL X11 Vollmacht (ftp crl.dec.com). Der Brandmauer
    Toolkit schließt eine Vollmacht für X11 ein, benannt x-x-gw, den ein
    Benutzer über die telnet Vollmacht hervorrufen kann, um einen virtuellen
    Server X11 auf der Brandmauer herzustellen. Wenn Anträge für einen Anschluß
    X11 auf dem virtuellen Server X11 gebildet werden, wird der Benutzer mit
    einem pop-up Fragen sie dargestellt, ob es OKAY ist, den Anschluß zu
    erlauben. Während dieses ein wenig unaesthetic ist, ist es völlig in
    Uebereinstimmung mit dem Rest von X11.



    5.10 Wie lasse ich RealAudio durch meine Brandmauer arbeiten?
    RealNetworks behält etwas Informationen über bei, wie man RealAudio
    erhält, das durch Ihre Brandmauer 7arbeitet. Es würde unklug sein, alle
    mögliche Änderungen an Ihrer Brandmauer vorzunehmen, ohne zu verstehen, was
    die Änderungen, genau tun, und wissend, welche Gefahren die neuen Änderungen
    mit ihnen holen.



    5.11 Wie bilde ich meine web servertat als Vorderseiten für eine
    Datenbank, die in meinem privaten Netz lebt?
    Die beste Methode, dies zu tun soll sehr begrenzte Konnektivität
    zwischen Ihrem web server und Ihrem Datenbankserver über ein spezifisches
    Protokoll erlauben, das nur die Stufe der Funktionalität unterstützt, die,
    Sie verwenden werden. Rohen SQL zu erlauben oder noch etwas, wo
    kundenspezifische Extraktionen durch einen Angreifer durchgeführt werden
    konnten, ist nicht im Allgemeinen eine gute Idee.

    Nehmen Sie an, daß ein Angreifer können wird, in Ihr web server zu
    brechen, und bilden Sie Abfragen in der gleichen Methode, die das web server
    kann. Gibt es eine Einheit für das Extrahieren der empfindlichen
    Informationen, die das web server nicht benötigt, wie Kreditkarte
    Informationen? Kann ein Angreifer einen auserwählten SQL herausgeben und
    Ihre gesamte eigene Datenbank extrahieren?

    `` E-Handel '' Anwendungen, wie alles sonst, sind gut mit Sicherheit
    im Verstand vom Boden oben, anstatt Sicherheit, zu haben `` hinzugefügtes ''
    als nachträgliche Erklärung konzipiert. Wiederholen Sie Ihre Architektur
    kritisch, von der Perspektive eines Angreifers. Nehmen Sie an, daß der
    Angreifer alles über Ihre Architektur weiß. Fragen Sie sich, welche jetzt
    Notwendigkeiten getan zu werden, um Ihre Daten zu stehlen, nicht
    autorisierte Änderungen vorzunehmen, oder noch etwas zu tun, die Sie nicht
    getan wünschen. Sie konnten finden, daß Sie Sicherheit ohne abnehmende
    Funktionalität erheblich erhöhen können, indem Sie einig Design- und
    Implementierungentscheidungen treffen.

    Einige Ideen, damit wie dieses handhaben:


    Extrahieren Sie die Daten, die Sie von der Datenbank regelmäßig
    benötigen, also bilden Sie Abfragen nicht gegen die volle Datenbank, die mit
    Informationen komplett ist, daß Angreifer das Interessieren finden.
    Groß schränken Sie ein und revidieren Sie, was Sie zwischen dem web
    server und der Datenbank zugeben.


    5.12 Aber meine Datenbank hat ein integriertes web server, und ich
    möchte den verwenden. Nicht kann ich gerecht eine Bohrung in der Brandmauer
    stoßen und diesen Kanal einen Tunnel anlegen?
    Wenn Ihr Site-Feuerwall policy is sufficiently lax that you're willing
    to manage the risk that someone will exploit a vulnerability in your web
    server that will result in partial or complete exposure of your database,
    then there isn't much preventing you from doing this.

    However, in many organizations, the people who are responsible for
    tying the web front end to the database back end simply do not have the
    authority to take that responsibility. Further, if the information in the
    database is about people, you might find yourself guilty of breaking a
    number of laws if you haven't taken reasonable precautions to prevent the
    system from being abused.

    In general, this isn't a good idea. See question 5.11 for some ideas
    on other ways to accomplish this objective.



    5.13 How Do I Make IP Multicast Work With My Firewall?
    IP multicast is a means of getting IP traffic from one host to a set
    of hosts without using broadcasting; that is, instead of every host getting
    the traffic, only those that want it will get it, without each having to
    maintain a separate connection to the server. IP unicast is where one host
    talks to another, multicast is where one host talks to a set of hosts, and
    broadcast is where one host talks to all hosts.

    The public Internet has a multicast backbone (``MBone'') where users
    can engage in multicast traffic exchange. Common uses for the MBone are
    streams of IETF meetings and similar such interaction. Getting one's own
    network connected to the MBone will require that the upstream provider route
    multicast traffic to and from your network. Additionally, your internal
    network will have to support multicast routing.

    The role of the firewall in multicast routing, conceptually, is no
    different from its role in other traffic routing. That is, a policy that
    identifies which multicast groups are and aren't allowed must be defined and
    then a system of allowing that traffic according to policy must be devised.
    Great detail on how exactly to do this is beyond the scope of this document.
    Fortunately, RFC 2588 [4] discusses the subject in more detail. Unless your
    firewall product supports some means of selective multicast forwarding or
    you have the ability to put it in yourself, you might find forwarding
    multicast traffic in a way consistent with your security policy to be a
    bigger headache than it's worth.

    Back to Top
    Brandmauer FAQ in deutschem Teil 4
    6 TCP und UDP Kanäle
    durch Mikael Olsson
    Dieser Anhang fängt auf einer ziemlich `` grundlegenden '' Stufe an,
    also, selbst wenn die ersten Punkte childishly zu Ihnen selbstverständlich
    scheinen, konnten Sie ruhig etwas von später überspringen voran zu etwas im
    Text erlernen.



    6.1 Was ist ein Kanal?
    Ein `` Port'' ist `` virtuelles Schlitz '' in Ihrem TCP und UDP
    Stapel, der benutzt wird, um einen Anschluß zwischen zwei Hauptrechnern
    abzubilden, und auch zwischen der TCP/UDP Schicht und den tatsächlichen
    Anwendungen, die auf die Hauptrechner laufen.

    Sie werden 0-65535 numeriert, mit der Strecke 0-1023 kennzeichnend,
    wie `` reserviertes '' oder `` '' privlileged, und den Rest (1024-65535) wie
    `` dynamisches '' oder `` unprivileged ' '.

    Es gibt im Allgemeinen zwei Gebrauch für Kanäle:


    `` hörendes '' auf einem Kanal.
    Dieses wird durch die Server Anwendungen verwendet, die Benutzer
    anschließen, an irgendein `` weithin bekanntes Service '', an zum Beispiel
    HTTP (TCP Kanal 80) warten, telnet (TCP Kanal 23), DNS, zu gelangen (UDP und
    manchmal TCP Kanal 53).
    Öffnen eines `` dynamischen '' Kanals.
    Beide Seiten einer TCP Anschlußnotwendigkeit, durch IP Adressen und
    Portzahlen gekennzeichnet zu werden. Folglich wenn Sie `` wünschen,
    schließen Sie '' an einen Server Prozeß, Ihr Ende des Übertragungskanals
    benötigt auch einen `` Kanal ' ' an. Dieses wird getan, indem man einen
    Kanal über 1024 auf Ihrer Maschine wählt, die nicht aktuell im Gebrauch
    durch einen anderen Übertragungskanal ist, und ihn als das `` Absender '' im
    neuen Anschluß verwendet.
    Dynamische Kanäle können als `` hörende '' Kanäle in einigen
    Anwendungen, ftp auch vornehmlich benutzt werden.

    Kanäle in der Strecke 0-1023 sind fast immer Server Kanäle. Kanäle in
    der Strecke 1024-65535 sind normalerweise dynamische Kanäle (, d.h.
    dynamisch geöffnet, wenn Sie an einen Server Kanal anschließen). Jedoch kann
    irgendein Kanal als Server Kanal benutzt werden, und irgendein Kanal kann
    als `` gehend '' Kanal benutzt werden.

    So ihn oben zu summieren, ist hier, was in einem grundlegenden
    Anschluß geschieht:

    An etwas Punkt in der Zeit, entscheidet eine Server Anwendung auf
    Hauptrechner 1.2.3.4 `` hören '' an Kanal 80 (HTTP) auf neuen Anschlüssen.
    Sie (5.6.7.8) möchten zu 1.2.3.4, zu Kanal 80 und zu Ihrer
    Datenbanksuchroutine surfen herausgeben einen anschließenaufruf zu ihm.
    Der anschließenaufruf, feststellend, daß er nicht noch lokale Portzahl
    hat, geht Jagd für eine. Die lokale Portzahl ist seit dem, wenn die
    Antworten einige Zeit zukünftig zurückkommen, Ihr TCP/IP Stapel muß
    notwendig zu, welcher Anwendung wissen, zum der Antwort zu führen. Sie tut
    dies, indem sie sich erinnern, an welche Anwendung verwendet, die lokale
    Portzahl. (dieses wird grob, keine Flammen von den Programmierern, bitte.
    vereinfacht)
    Ihr TCP Stapel findet einen unbenutzten dynamischen Kanal,
    normalerweise irgendwo über 1024. Lassen Sie uns annehmen, daß er 1029
    findet.
    Ihr erstes Paket wird dann, von Ihrem lokalen IP, 5.6.7.8, Kanal 1029,
    bis 1.2.3.4, Kanal 80 geschickt.
    Der Server reagiert mit einem Paket von 1.2.3.4, Kanal 80, auf Sie,
    5.6.7.8, Kanal 1029.
    Diese Prozedur ist wirklich länger, als diese, an gelesen für eine
    eingehendere Erklärung von TCP Reihenfolgen anschließen.


    6.2 Wie weiß ich, welche Anwendung benutzt, welcher Kanal?
    Es gibt einige Listen, die das `` reservierte '' umreißen und ``
    schließt weithin bekanntes '' an den Port an, sowie `` geläufig benutztes ''
    an den Port anschließt und das beste man ist:
    ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Für die von Ihnen
    RFC 1700 noch lesend, um herauszufinden, welche Portzahl tut, was, den
    ANSCHLAG, der ES TUT. Es ist schrecklich veraltet und es ist nicht kleiner
    so morgen.

    Jetzt, was das Vertrauen anbetrifft dieser Informationen: Diese Listen
    nicht, in keiner Weise, irgendeine Art heilige Bibel festzusetzen, auf der
    Kanäle tun, was.

    Wartezeit, ließ mich neuformulieren das: ES GIBT KEINE METHODE VON
    ZUVERLÄSSIG FESTSTELLEN, WELCHER KANAL TUT, WAS EINFACH DURCH Das SCHAUEN IN
    Einer LISTE.



    6.3 Was sind HÖRENDE Kanäle?
    Nehmen Sie an, daß Sie `` netstat - ` ein '' auf Ihrer Maschine und
    Kanälen 1025 und 1030 oben gezeigt, wie hörend. Was tun sie?

    Berichtigen Sie, lassen Sie uns einen Blick in der zugewiesenen
    Portzahlliste nehmen.


    Blackjack iad1 1030/tcp Netz des Blackjack
    1025/tcp BBN IAD

    Wartezeit, was geschieht? Hat mein Arbeitsplatz meine VISUM-Zahl
    gestohlen und entschieden, zu gehen Spiel Blackjack mit irgendeinem
    Gaunerserver auf dem Internet? Und was ist diese Software, die BBN
    installiert hat?

    Dieses ist, NICHT wo Sie anfangen in Panik zu versetzen und Post zur
    Brandmauerliste schicken. Tatsächlich ist diese Frage möglicherweise um um
    Zeiten Dutzend während der letzten sechs Monate gebeten worden und jedesmal
    wenn es beantwortet wird. Nicht das, DAS Leute von die gleiche Frage wieder
    stellen hält.

    Wenn Sie diese Frage stellen, sind Sie mit einem Fensterkasten am
    wahrscheinlichsten. Die Kanäle, die Sie sehen, sind (am wahrscheinlichsten)
    zwei hörende Kanäle, die das RPC Teilsystem öffnet, wenn es oben beginnt.

    Dieses ist ein Beispiel von, dem dynamicly zugewiesene Kanäle durch
    Server Prozesse benutzt werden können. Die Anwendungen, die RPC verwenden,
    schließen später an Kanal 135 (die netbios `` portmapper ' ') an Abfrage an,
    wo man etwas RPC Service findet und erhalten eine Antwort, die zurück die
    sagt, daß mit bestimmten Service auf Kanal 1025 in Verbindung getreten
    werden kann.

    Jetzt wie wissen wir dieses, da es kein `` Liste '' gibt, das diese
    Kanäle beschreibt? Einfach: Es gibt keinen Ersatz für Erfahrung. Und das
    Verwenden der Postsendungliste Search Engines hilft auch einer Hölle von
    viel.



    6.4 Für wie stelle fest ich, welchen Service der Kanal ist?
    Da es unmöglich ist, zu erlernen, welcher Kanal tut, was, indem ich in
    einer Liste, wie schaue, ich, tun sie?

    Die alte Blindeinschub Methode des Tuns sie ist, indem sie fast jedes
    service/daemon abschaltet, das auf Ihre Maschine läuft, zur Kenntnis
    netstat -a tut und nimmt, was Kanäle geöffnet sind. Es sollte nicht sehr
    viele geben das Hören. Dann fangen Sie an, an, eins nach dem anderen zu
    drehen alle Dienstleistungen und Nehmenanmerkung von, was neue Kanäle oben
    in Ihrer netstat Ausgabe zeigen.

    Eine andere Methode, diese benötigt mehr Vermutungarbeit, telnetting
    einfach zu den Kanälen und sieht, was herauskommt. Wenn nichts herauskommt,
    erreichen der etwas Kauderwelsch schreibende und zuschlagende Versuch einige
    Male und sehen, wenn etwas sich oben dreht. Wenn Sie binär erhalten,
    verstümmeln Sie, sonst nichts an allen, dieses offensichtlich hilft Ihnen
    nicht.

    Jedoch erklärt dieses Ihnen, was nur hörende Kanäle verwendet werden.
    Es erklärt Ihnen nicht über dynamisch geöffnete Kanäle, die durch diese
    Anwendungen später geöffnet werden können.

    Es gibt einige Anwendungen, die Ihnen helfen konnten, die benutzten
    Kanäle unten aufzuspüren.

    Auf Unix Systemen gibt es ein nettes benanntes Hilfsprogramm, lsof das
    preinstalled auf vielen Systemen kommt. Es zeigt Ihnen allem die geöffneten
    Portanzahlen und die Namen von den Anwendungen, die sie verwenden. Dies
    heißt, daß es Ihnen eine Menge lokal geöffnetes Dateien aswell als TCP/IP
    Einfaßungen zeigen konnte. Lesen Sie den Hilfetext.

    Auf Fenstersystemen kommt nichts preinstalled, um Sie in dieser
    Aufgabe zu unterstützen. (was? neu ist) Es gibt ein Hilfsprogramm, das ``
    Inzider '' genannt wird, das innerhalb der Fenster sich installiert, die,
    Einfaßungen überlagern und sich dynamisch erinnern, an welcher Prozeß sich
    öffnet, die an den Port anschließen. Der Nachteil dieser Annäherung ist, daß
    er nicht Ihnen erklären kann, daß welche Kanäle geöffnet waren, bevor
    inzider begann, aber es ist das beste, daß Sie auf Fenstern erhalten (meines
    Wissens). http://ntsecurity.nu/toolbox/inzider/.



    6.5 Welche Kanäle sind sicher, durch eine Brandmauer zu überschreiten?
    ALLE.

    Nr., Wartezeit, KEINE.

    Nr., Wartezeit, uuhhh... Ich habe gehört, daß alle Kanäle über 1024
    sicher sind, da sie? nur dynamisch sind?

    Nr. Wirklich. Sie KÖNNEN nicht einfach erklären welche Kanäle sicher
    sind einfach, indem man seine Zahl betrachtet, weil das wirklich alles ist,
    das es ist. Eine Zahl. Sie können nicht einen Angriff durch eine 16-bit Zahl
    einhängen.

    Die Sicherheit eines `` Port'' hängt von ab, welcher Anwendung Sie
    durch diesen Kanal erreichen.

    Ein geläufiges Mißverständnis ist, daß Kanäle 25 (smtp) und 80 (HTTP)
    sind sicher, durch eine Brandmauer zu überschreiten * meep * FALSCH. Gerade
    weil jeder tut, bedeutet es nicht, daß es sicher ist.

    Wieder hängt die Sicherheit eines Kanals von ab, welcher Anwendung Sie
    durch diesen Kanal erreichen.

    Wenn Sie ein gut-geschriebenes web server laufen lassen, ist das vom
    Boden bis zu ist sicher konzipiert, Sie kann angemessen versichert
    vermutlich glauben, daß es ließ äußere Leute auf es durch Kanal 80 zugreifen
    sicher ist. Andernfalls KÖNNEN Sie nicht.

    Das Problem hier ist nicht in der Vermittlungsschicht. Es ist in wie
    die Anwendungsprozesse die Daten, die es empfängt. Diese Daten können durch
    Kanal 80, Kanal 666, eine Serienzeile, Floppy-Disc oder durch
    Singentelegramm empfangen werden. Wenn die Anwendung nicht sicher ist, macht
    sie nicht aus, wie die Daten an es gelangen. Die Anwendung Daten sind, wo
    die reale Gefahr liegt.

    Wenn Sie an der Sicherheit Ihrer Anwendung interessiert sind, gehen
    Sie unterzeichnen zu bugtraq8oder oder versuchen, ihre Archive zu suchen.

    Dieses ist mehr einer Anwendung Wertpapieremission anstatt eine
    Brandmauerwertpapieremission. Man könnte, daß eine Brandmauer alle möglichen
    Angriffe stoppen sollte, aber mit der Zahl neuen Vermittlungsprotokollen
    argumentieren, konzipiert NICHT mit Sicherheit im Verstand, und vernetzte
    Anwendungen, keine, die mit Sicherheit im Verstand konzipiert sind, wird es
    unmöglich für eine Brandmauer, sich gegen alle data-driven Angriffe zu
    schützen.



    6.6 Das Verhalten von ftp
    Oder, ``, warum ich alle Kanäle über 1024 zu meinem ftp server öffnen
    muß?' '

    Ftp nicht wirklich schaut ein vollständiges Lot wie andere Anwendungen
    von einer Vernetzung Perspektive.

    Es hält einen hörenden Kanal, Kanal 21, den Benutzer an anschließen.
    Alles, das es, ist ließ Leute anmelden und herstellen EINEN ANDEREN
    Anschluß, um tatsächliche Datenübertragungen zu tun. Dieser zweite Anschluß
    ist normalerweise auf etwas Kanal über 1024.

    Es gibt zwei Modi, `` das aktive '' (normal) und `` passiver '' Modus.
    Dieses Wort beschreibt das Verhalten des Servers.

    Im aktiven Modus schließt der Klient (5.6.7.8) an Kanal 21 auf dem
    Server (1.2.3.4) an und meldet an. Wenn Dateiübertragungen passend sind,
    ordnet der Klient einen dynamischen Kanal über 1024, informiert den Server
    über zu, welchen Kanal er öffnete, und dann öffnet der Server einen neuen
    Anschluß zu diesem Kanal. Dieses ist die `` aktive '' Rolle des Servers: es
    stellt aktiv neue Anschlüsse zum Klienten her.

    Im passiven Modus ist der Anschluß zu Kanal 21 derselbe. Wenn
    Dateiübertragungen passend sind, ordnet der SERVER einen dynamischen Kanal
    über 1024, informiert den Klienten über zu, welchen Kanal er öffnete, und
    dann öffnet der KLIENT einen neuen Anschluß zu diesem Kanal. Dieses ist die
    `` passive '' Rolle des Servers: es wartet, daß der Klient den zweiten
    (Daten) Anschluß herstellt.

    Wenn Ihre Brandmauer nicht kontrolliert, beherrschen die Anwendung
    Daten des ftp Anschluß, es wissen nicht, daß es neue Kanäle über 1024
    dynamisch öffnen muß.

    Auf einer seitlichen Anmerkung: Das traditionelle Verhalten der ftp
    Servers im aktiven Modus soll die Datensitzung VON Kanal 20 und zum
    dynamischen Kanal auf dem Klienten herstellen. Ftp Servers steuern weg von
    diesem Verhalten ein wenig wegen der Notwendigkeit, als `` Wurzel '' auf
    Unix Systemen zu laufen, um zu können, Kanäle unter 1024 zuzuordnen. Das
    Laufen als `` Wurzel '' ist nicht für Sicherheit, seit dem gut, wenn es
    einen Programmfehler in der Software gibt, der Angreifer würde können, sich
    die gesamte Maschine zu vergleichen. Dasselbe geht für das Laufen als ``
    Verwalter '' oder `` SYSTEM '' (``LocalSystem ' ') auf NT Maschinen,
    obgleich das niedrige Portproblem nicht auf NT zutrifft.

    Um es oben zu summieren, wenn Ihre Brandmauer ftp versteht, kann es
    selbst die Datenverbindungen zu handhaben, und Sie müssen nicht um Kanäle
    über 1024 sich sorgen.

    Wenn es NICHT, gibt es vier Punkte, die Sie ansprechen müssen:

    Firewalling ein ftp server im aktiven Modus
    Sie benötigen ließen Ihre Server geöffneten neuen Anschlüsse zur
    äußeren Welt auf Kanälen 1024 und oben
    Firewalling ein ftp server im passiven Modus
    Sie benötigen ließen die äußere Welt an Kanäle 1024 und oben auf Ihrem
    Server anschließen. VORSICHT!!!! Es kann die Anwendungen geben, die auf
    einige dieser Kanäle laufen, daß Sie NICHT das äußere Leuteverwenden
    wünschen. Mißbilligen Sie Zugriff zu diesen Kanälen, bevor Sie Zugriff zur
    Portstrecke 1024-65535 erlauben.
    Firewalling ftp Klienten im aktiven Modus
    Sie benötigen ließen die äußere Welt an Kanäle 1024 und oben auf Ihren
    Klienten anschließen. VORSICHT!!!! Es kann die Anwendungen geben, die auf
    einige dieser Kanäle laufen, daß Sie NICHT das äußere Leuteverwenden
    wünschen. Mißbilligen Sie Zugriff zu diesen Kanälen, bevor Sie Zugriff zur
    Portstrecke 1024-65535 erlauben.
    Firewalling ftp Klienten im passiven Modus
    Sie benötigen ließen Ihre Klienten geöffneten neuen Anschlüsse zur
    äußeren Welt auf Kanälen 1024 und oben.
    Wieder wenn Ihre Brandmauer ftp versteht, wenden keine der vier Punkte
    oben an Sie. Lassen Sie die Brandmauer die Arbeit für Sie erledigen.



    6.7 Welche Software verwendet, welcher ftp Modus?
    Sie ist bis zum Klienten, zum zu entscheiden, welcher zu verwenden
    Modus; die Standardart, wenn ein neuer Anschluß geöffnet ist, ist `` aktiver
    Modus ' '.

    Die meisten ftp Klienten kommen vorkonfiguriert, um aktiven Modus zu
    verwenden, aber stellen eine Option zum Gebrauch `` passiver '' (``PASV ' ')
    Modus zur Verfügung. Eine Ausnahme ist die Fensterbefehl Zeile ftp Klient,
    die nur im aktiven Modus funktioniert.

    Web-Datenbanksuchroutinen verwenden im Allgemeinen passiven Modus,
    beim Verbinden über ftp, mit einer sonderbaren Ausnahme: MSIE 5 benutzt
    aktives ftp wenn FTP:ing `` im Datei-Forscher '' Modus und passives ftp wenn
    FTP:ing `` im Webseite '' Modus. Es gibt keinen Grund whatsoever für dieses
    Verhalten; meine Vermutung ist, daß jemand in Redmond ohne Wissen von ftp
    entschied, daß `` selbstverständlich wir den aktiven Modus verwenden, wenn
    wir im Dateiforschermodus sind, seit dem diesen die Blicke, die ' ' aktiver
    als eine Webseite sind. Gehen Abbildung.



    6.8 Ist mein Brandmauerversuchen, draußen anzuschließen?
    Meine Brandmauerprotokolle sind, mir erklärend, daß mein web server
    versucht, von Kanal 80 an Kanäle über 1024 auf der Außenseite anzuschließen.
    Was dieses? ist!

    Wenn Sie fallengelassene Pakete von Kanal 80 auf Ihrem web server
    (oder von Kanal 25 auf Ihrem mail server) zu den hohen Kanälen auf der
    Außenseite sehen, bedeuten sie normalerweise NICHT, daß Ihr web server
    versucht, irgendwo anzuschließen.

    Sie sind das Resultat der Brandmauerzeitbegrenzung aus einem Anschluß
    und des Sehens des Servers, alte Antworten (oder zu versuchen, den Anschluß
    zu schließen) zum Klienten nochmal zu übertragen.

    TCP Anschlüsse beziehen immer die Pakete mit ein, die in BEIDE
    Richtungen in den Anschluß reisen.

    Wenn Sie können, die TCP Markierungsfahnen in den fallengelassenen
    Paketen zu sehen, sehen you'll, daß die ACK Markierungsfahne aber nicht die
    SYN Markierungsfahne eingestellt wird und, daß dieses wirklich nicht ein
    neuer bildender Anschluß ist, aber eher eine Antwort eines vorher gebildeten
    Anschlußes bedeutet.

    Lesen Sie Punkt 8 unten für eine eingehende Erklärung von, was
    geschieht, wenn TCP Anschlüsse gebildet werden (und geschlossen)



    6.9 Die Anatomie eines TCP Anschlußes
    TCP wird mit 6 `` Markierungsfahnen ' ausgerüstet, die EINGESCHALTET
    oder AUS sein können. Diese Markierungsfahnen sind:

    FLOSSE
    `` steuerte '' Anschlußabschluß
    SYN
    Öffnen Sie neuen Anschluß
    RST
    `` sofortig '' Anschlußabschluß
    PSH
    Weisen Sie Empfängerhauptrechner an, um die Daten bis zur Anwendung zu
    drücken anstatt gerechte Warteschlange es
    Ack
    `` bestätigen Sie '' ein vorhergehendes Paket
    URG
    `` dringende '' Daten, die sofort verarbeitet werden muß
    In diesem Beispiel ist Ihr Klient 5.6.7.8, und der Kanal, der Ihnen
    ist zugewiesen wird dynamisch, 1049. Der Server ist 1.2.3.4, Kanal 80.

    Sie fangen den Anschlußversuch an:

    5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

    Der Server empfängt dieses Paket und versteht, daß jemand einen neuen
    Anschluß bilden möchte. Eine Antwort wird gesendet:

    1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

    Der Klient empfängt die Antwort und informiert sich, daß die Antwort
    empfangen wird

    5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

    Hier ist der Anschluß geöffnet. Dieses wird einen Dreiwegehändedruck
    genannt. Sein Zweck ist, zu BEIDEN Hauptrechnern zu überprüfen, daß sie
    einen Arbeitsanschluß zwischen ihnen haben.

    Das seiende was es, ist, unzuverlässige und überschwemmte Internet,
    dort sind Bestimmungen, Paketverlust zu entschädigen.

    Wenn der Klient das Ausgangs-SYN aussendet, ohne ein SYN+ACK innerhalb
    einiger Sekunden zu empfangen, sendet es das SYN zurück.

    Wenn der Server das SYN+ACK aussendet, ohne einen ACK in einigen
    Sekunden zu empfangen, sendet er das SYN+ACK Paket zurück.

    Das letzte ist wirklich der Grund, daß SYN Überschwemmung so gut
    arbeitet. Wenn Sie SYN Pakete von den Lots unterschiedlichen Kanälen
    aussenden, bindet dieses oben eine Menge Betriebsmittel auf dem Server. Wenn
    Sie auch ablehnen, auf die zurückgebrachten SYN+ACK Pakete zu reagieren,
    HÄLT der Server diese Anschlüsse für eine lange Zeit und sendet die SYN+ACK
    Pakete zurück. Einige Servers nehmen nicht neue Anschlüsse an, während es
    genügende aktuell bildenden Anschlüsse gibt; deshalb SYN
    Überschwemmungarbeiten.

    Alle Pakete übertragen in jede Richtung, nachdem der
    Dreiwegehändedruck das eingestellte ACK Bit hat. Stateless Paketfilter
    gebrauchen dieses in den sogenannten `` hergestellten '' Filtern: Sie werden
    ließen nur Pakete durch dieses das eingestellte ACK Bit haben. Auf diese
    Weise, kein Paket kann in eine bestimmte Richtung durch überschreiten, die
    einen neuen Anschluß bilden könnte. Gewöhnlich erlauben Sie nicht äußeren
    Hauptrechnern, neue Anschlüsse zu den inneren Hauptrechnern zu öffnen, indem
    Sie das ACK Bit benötigen, das auf diese Pakete eingestellt wird.

    Wenn die Zeit gekommen ist, den Anschluß zu schließen, gibt es zwei
    Möglichkeiten des Tuns er: Die FLOSSE-Markierungsfahne oder das Verwenden
    der RST Markierungsfahne verwenden. Mit FLOSSE-Markierungsfahnen werden
    beide Implementierungen benoetigt, FLOSSE-Markierungsfahnen auszusenden, um
    anzuzeigen, daß sie den Anschluß schließen möchten, und dann Quittungen zu
    diesen Flossen aussenden und anzeigen, daß sie verstanden, daß das andere
    Ende den Anschluß schließen möchte. Wenn man RSTs aussendet, wird der
    Anschluß stark geschlossen, und Sie nicht wirklich erhalten eine Anzeige
    über, ob das andere Ende Ihre Rücksetzenordnung verstand, oder das hat es
    tatsächlich alle Daten empfangen, die Sie zu ihm schickten.

    Die FLOSSE-Methode des Schließens des Anschlußes setzt Sie auch einer
    Ablehnung-von-Service Situation aus, da der TCP Stapel sich an den
    geschlossenen Anschluß während einer ziemlich langen Zeit erinnern muß,
    falls das andere Ende nicht eins der FLOSSE-Pakete empfangen hat.

    Wenn genug viele Anschlüsse geöffnet und geschlossen sind, können Sie
    herauf Haben `` der geschlossenen '' Anschlüsse in allen Ihren
    Anschlußschlitzen fertigwerden. Auf diese Weise, würden Sie nicht können,
    mehr Anschlüsse dynamisch zuzuordnen und sehen würden, daß alle sie benutzt
    werden. Unterschiedlicher OSes Handgriff diese Situation anders als.




    A. Einige Handelsprodukte und Verkäufer
    Wir glauben, daß dieses Thema für Adresse in einem FAQ zu empfindlich
    ist, jedoch eine unabhängig beibehaltene Liste (keine Garantie oder
    Empfehlungen werden angedeutet), Online gefunden werden kann.9



    B. Glossar der Brandmauer-In Verbindung stehenden Bezeichnungen

    Mißbrauch des Privilegs
    Wenn ein Benutzer eine Tätigkeit durchführt, die sie nicht haben
    sollten, entsprechend organisatorischer Politik oder Gesetz.

    Zugriffssteuerung-Listen
    Richtlinien für Paketfilter (gewöhnlich Fräser) die definieren, welche
    Pakete zum zu überschreiten und zu blocken welches.

    Greifen Sie Auf Fräser Zu
    Ein Fräser, der Ihr Netz an das externe Internet anschließt.
    Gewöhnlich ist dieses Ihre erste Verteidigungslinie gegen Angreifer vom
    äußeren Internet. Indem Sie Zugriffssteuerunglisten auf diesem Fräser
    aktivieren, können Sie, eine Stufe des Schutzes für alle Hauptrechner ``
    hinter '' zur Verfügung zu stellen, das der Fräser, dieses Netz ein DMZ
    anstelle von einem ungeschützten externen LAN effektiv bildend.

    Anwendung-Schicht Brandmauer
    Ein Brandmauersystem, in dem Service von den Prozessen zur Verfügung
    gestellt wird, die kompletten TCP Anschlußzustand und -sequentiell ordnen
    beibehalten. Anwendungsschichtbrandmauern Re-adressieren häufig Verkehr,
    damit gehend Verkehr scheint, von der Brandmauer entstanden zu sein, anstatt
    den internen Hauptrechner.

    Authentisierung
    Der Prozeß der Bestimmung der Identität eines Benutzers, der versucht,
    auf ein System zuzugreifen.

    Authentisierung Zeichen
    Eine bewegliche Einheit benutzt für das Beglaubigen eines Benutzers.
    Authentisierung Zeichen funktionieren durch challenge/response,
    Zeit-gegründete Codereihenfolgen oder andere Techniken. Dieses kann
    Papierlisten der einmaligen Kennwörter einschließen.

    Ermächtigung
    Der Prozeß der Bestimmung, welche Typen von Aktivitäten die Erlaubnis
    gehabt werden. Normalerweise ist Ermächtigung im Kontext der
    Authentisierung: sobald Sie einen Benutzer beglaubigt haben, können sie
    autorisierte unterschiedliche Typen des Zugriffs oder der Aktivität sein.

    Bastion host
    Ein System, das verhärtet worden ist, um Angriff zu widerstehen und
    das auf ein Netz installiert wird, so daß es erwartet wird, um unter Angriff
    möglicherweise zu kommen. Bastionhauptrechner sind häufig Bestandteile der
    Brandmauern oder können `` Außenseite '' Web-Servers oder allgemeine Zugriff
    Systeme sein. Im Allgemeinen läßt ein bastion host irgendein Formular des
    universellen Betriebssystems laufen (z.B., Unix, VMS, NT, usw..) anstatt ein
    ROM-GEGRÜNDETES oder der Mikroprogrammaufstellung Betriebssystem.

    Challenge/Response
    Eine Authentisierung Technik, hingegen ein Server dem Benutzer eine
    unvorhersehbare Herausforderung schickt, der eine Antwort mit irgendeinem
    Formular des Authentisierung Zeichens berechnet.

    Chroot
    Eine Technik unter Unix, hingegen ein Prozeß permanent auf eine
    lokalisierte Teilmenge des filesystem eingeschränkt wird.

    Kryptographische Prüfsumme
    Eine Einwegfunktion traf auf eine Datei zu, um ein eindeutiges ``
    Fingerabdruck '' der Datei als neuere Referenz zu produzieren. Prüfsumme
    Systeme sind Primärmittel des Entdeckens von von filesystem, auf Unix sich
    abzugeben.

    Daten Angetriebener Angriff
    Ein Formular des Angriffs, in dem der Angriff in harmlos-scheinenden
    Daten verschlüsselt wird, die durch einen Benutzer oder andere Software
    durchgeführt wird, um einen Angriff einzuführen. Im Kasten der Brandmauern,
    ist ein Daten angetriebener Angriff ein Interesse, da er durch die
    Brandmauer im Datenformular erhalten und einen Angriff gegen ein System
    hinter die Brandmauer ausstoßen kann.

    Verteidigung eingehend
    Die Sicherheit Annäherung, hingegen jedes System im Netz an den
    größten möglichen Grad befestigt wird. Mag in Verbindung mit Brandmauern
    verwendet werden.

    Spoofing DNS
    Den DNS Namen eines anderen Systems entweder durch das Verderben des
    Namensservice-Caches eines Opfersystems oder durch das Vergleichen eines
    domain name server für ein gültiges Gebiet annehmen.

    Verdoppeln Selbstpeilende Gateway
    Eine selbstpeilende Doppelgateway ist ein System, das zwei oder mehr
    Netzschnittstellen hat, von denen jede an ein anderes Netz angeschlossen
    wird. In den Brandmauerkonfigurationen fungiert eine selbstpeilende
    Doppelgateway normalerweise, um einigen oder die ganze Verkehr zu blocken
    oder zu filtern, der versucht, zwischen die Netze zu überschreiten.

    Verschlüsselnder Fräser
    sehen Sie Einen Tunnel anlegen Fräser und virtuellen Netz-Umkreis.

    Brandmauer
    Ein System oder eine Kombination der Systeme, die eine Grenze zwischen
    zwei oder mehr Netzen erzwingt.

    Host-based Sicherheit
    Die Technik des Sicherns eines einzelnen Systems vom Angriff. Bewirten
    Sie gegründete Sicherheit ist Betriebssystem- und Versionsabhängiger.

    Eingeweiht-Angriff
    Ein Angriff, der aus einem geschützten Netz heraus entsteht.

    Eindringen-Abfragung
    Abfragung von Einbrüchen oder von Einbruch versucht entweder manuell
    oder über Expertensysteme der Software, die an Protokolle oder andere
    Informationen, die im Netz vorhanden sind laufen lassen.

    IP Spoofing
    Ein Angriff, hingegen ein System versucht, ein anderes System
    unerlaubt zu verkörpern, indem es seine IP Endsystemadresse verwendet.

    IP Verbinden/Überfallend
    Ein Angriff hingegen ein aktives, hergestellt, Sitzung wird vom
    Angreifer abgefangen und kooptiert. IP verbindene Angriffe können auftreten,
    nachdem eine Authentisierung gebildet worden ist und den Angreifer
    ermöglichen, die Rolle eines bereits autorisierten Benutzers anzunehmen.
    Primärschutze gegen IP das Verbinden beruhen auf Verschlüsselung an der
    Sitzung oder an der Vermittlungsschicht.

    Wenig Privileg
    Konzipieren der funktionsfähigen Aspekte eines Systems, um mit einem
    Mindestbetrag des System Privilegs zu funktionieren. Dieses verringert die
    Ermächtigung Stufe, auf der verschiedene Tätigkeiten durchgeführt werden und
    verringert die Wahrscheinlichkeit, daß ein Prozeß oder ein Benutzer mit
    hohen Privilegien veranlassen werden können, um nicht autorisierte Aktivität
    resultierend in einem Sicherheit Bruch durchzuführen.

    Protokollieren
    Der Prozeß der Speicherung von von Informationen über Fälle, die auf
    der Brandmauer oder dem Netz auftraten.

    Protokoll-Speicherung
    Wie lange Revision Protokolle beibehalten und beibehalten werden.

    Protokoll-Verarbeitung
    Wie Revision Protokolle verarbeitet werden, nach Schlüsselfällen
    gesucht oder zusammengefaßt.

    Netz-Schicht Brandmauer
    Eine Brandmauer, in der Verkehr an der
    Vermittlungsprotokoll-Paketschicht überprüft wird.

    Umkreis-gegründete Sicherheit
    Die Technik des Sicherns eines Netzes durch die Steuerung des Zugriffs
    zu allen Eintrag- und Ausgangspunkten des Netzes.

    Politik
    Organisation-Stufe ordnet regelnden annehmbaren Gebrauch von
    rechnenden Betriebsmitteln, Sicherheit Praxis und Arbeitsabläufen an.

    Vollmacht
    Ein Software-Vertreter, das im Namen eines Benutzers fungiert.
    Typische Vollmächte nehmen einen Anschluß von einem Benutzer an, treffen
    eine Entscheidung, ob oder nicht das Benutzer oder Klient IP address die
    Erlaubnis gehabt wird, um die Vollmacht zu verwenden, tut möglicherweise
    zusätzliche Authentisierung und durchführt dann einen Anschluß im Namen des
    Benutzers zu einer Remotezieleinheit.

    Miter Filter versehen Hauptrechner
    Ein Hauptrechner in einem Netz hinter einem screening router. Der
    Grad, zu dem ein miter Filter versehen Hauptrechner erreicht werden kann,
    hängt von den Siebungrichtlinien im Fräser ab.

    Mites Filter versehen Teilnetz
    Ein Teilnetz hinter einem screening router. Der Grad, zu dem das
    Teilnetz erreicht werden kann, hängt von den Siebungrichtlinien im Fräser
    ab.

    Screening router
    Ein Fräser konfiguriert, um den Verkehr zu ermöglichen oder zu
    verweigern basiert auf einem Set Erlaubnisrichtlinien installiert vom
    Verwalter.

    Sitzung Diebstahl
    Sehen Sie IP Das Verbinden.

    Trojan Horse
    Eine Software-Instanz, die scheint, normales etwas zu tun, aber die
    enthält tatsächlich ein trapdoor oder Angriff Programm.

    Einen Tunnel anlegen Fräser
    Ein Fräser oder ein System, die zum Wegewahlverkehr fähig ist, indem
    sie ihn verschlüsselten und ihn für Übertragung über einkapselten, untrusted
    Netz, für etwaige De-Einschalung und Dekodierung.

    Sozialtechnik
    Ein Angriff basiert auf betrügenden Benutzern oder Verwaltern an der
    Zielsite. Sozialtechnikangriffe werden gewöhnlich durch telephonierenden
    Benutzer oder Bediener und das Vortäuschen, ein autorisierter Benutzer zu
    sein durchgeführt, um zu versuchen, unerlaubten Zugriff zu den Systemen zu
    gewinnen.

    Virtueller Netz-Umkreis
    Ein Netz, das scheint, ein einzelnes geschütztes Netz hinter
    Brandmauern zu sein, das wirklich verschlüsselten virtuellen Linküberschuß
    umgibt, untrusted Netze.

    Virus
    Ein wiederholendes Codesegment, das zu einer Programm- oder Datei sich
    anbringt. Viren konnten oder konnten nicht nicht Angriff Programme oder
    trapdoors enthalten. Leider haben viele zum Benennen irgendeinem böswillig
    des Codes `` Viren ' genommen. Wenn Sie `` Trojan Horse '' oder ``
    Endlosschraube '' bedeuten, sagen Sie `` Trojan Horse'' oder
    `` -endlosschraube ' '.

    Endlosschraube
    Ein unabhängiges Programm, das, wenn es laufen gelassen wird, selbst
    von einem Hauptrechner zu anderen kopiert und läuft selbst dann auf jedem
    eben angesteckten Hauptrechner. Der weit berichteten `` Internet-Viren ' von
    1988 waren ein nicht Virus an allen, aber wirklich eine Endlosschraube.





    ----------------------------------------------------------------------
    ----------

    Fußnoten
    ... System1
    http://mail-abuse.org/
    ... Initiative2
    http://mail-abuse.org/tsi/
    ... Kalmar3
    http://squid.nlanr.net/
    ... Apache4
    http://www.apache.org/docs/mod/mod_proxy.html
    ... Vollmacht5
    http://home.netscape.com/proxy/v3.5/index.html
    ... Netscape6
    http://developer.netscape.com/docs/manuals/security/sslin/contents.htm
    ... Brandmauer7
    http://www.real.com/firewall/
    ... bugtraq8
    http://www.securityfocus.com
    ... online.9
    http://www.thegild.com/firewall/.
    William L. Sun, Feb 6, 2005
    #1
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. William L. Sun

    Internet Firewall FAQ in Italian

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    6
    Views:
    1,515
  2. William L. Sun

    Internet Firewall FAQ in French

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    2,201
    William L. Sun
    Feb 6, 2005
  3. William L. Sun

    Internet Firewall FAQ in Dutch

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    21
    Views:
    5,635
  4. William L. Sun

    Internet Firewall FAQ in Portuguese

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    1,501
    William L. Sun
    Feb 6, 2005
  5. Nigel
    Replies:
    4
    Views:
    604
    Herman
    Jan 22, 2008
Loading...

Share This Page