Nun hat es doch ein wenig länger, als angekündigt, gedauert.
Aber endlich können wir uns im 3.Teil darum kümmern, weswegen eine FW überhaupt
ihre Daseinsberechtigung hat.
Ohne euch hier zu langweilen, möchte ich hier noch auf ein paar kleine Details hinsichtlich
IP Table und der Internetprotokolle eingehen
In den beiden vorangegangenen Teilen lernten wir die verschiedenen Regeln kennen, die uns zur Verfügung stehen, wenn wir mit dem Internet allgemein oder/und wenn Programme mit dem Internet kommunizieren wollen.
Die Regeln können sehr individuell und sogar auf einzelne Pakete gesetzt werden. Das erfordert zwar eine gewisse Konfigurationszeit, aber dafür kann der User seine für ihn sicherste „Variante“ der Internetverbindung erstellen.
Wie wir bereits erfahren haben, erkennt eine Firewall die einzelnen Kommunikationspakete anhand deren spezifischen Eigenschaften.
Wenn ein Paket dieses Protokoll hat, von dieser Quelle kommt, über diesen Port mit diesem Server an dessen Port kommuniziert, muß für dieses Paket die jeweilige Regel gelten.
Die Firewall durchläuft solange die Regelkette, bis ein Treffer erfolgt, auf den die vorgeschriebenen Eigenschaften zutreffen, erst dann wird jene Regel ausgeführt (
allow, reject, deny, handle as…) die diesen Eigenschaften zugewiesen wurde.
Der Firewall ist es also egal, besser – sie weiß gar nicht - ob es ein Browser, ein AntiViren -Programm, das System (z.B. ein Ping) ist, das/der gerade kommunizieren möchte. Sie sieht nur die Eigenschaften des Pakets. Wenn diese bekannt sind, wird nach Regel gehandelt, sind sie unbekannt, wird nachgefragt.
So funktioniert das natürlich auch bei evtl. Angriffen, Pingversuchen, FTP/EMail – Zugriffen und System - Prozessen.
Die Haupteigenschaften, durch die sich hier die meisten anderen Paketen unterscheiden, dürfte zum einen das Protokoll sein, zum anderen die bekannten Ports, und nur über diese, über die diese Pakete kommunizieren, sein.
Wir haben beim z.B. Ping kein TC -, sondern das ICM – Protokoll, bei FTP sind die Merkmale, neben dem File Transfer Protokoll, meist die Ports 21/22 und bei der EMail jeweils das POP3- und SMTP – Protokoll. Programme benutzen wiederum TCP
Ihr seht schon, das ist wieder ein Haufen Zeugs, von dem wir alle besser keine Ahnung haben wollen. Aber, zum Verständnis, wie Angriffe ablaufen, möchte ich kurz noch einen Abstecher zum Thema Protokolle machen.
Die Kommunikation unter den Computern findet über die sog. Protokolle statt. Protokolle sind eine Art Sprache oder die Art und Weise, wie Bits und Bytes übertragen werden. Jedes Kommunikations - Paket benutzt ein spezifisches Protokoll. Und von diesen Protokollen gibt es relativ viel: TCP/IP, POP3, ICMP, SMTP, UDP, HTTP, NetBEUI, PPPOE und, und, und…
Unsere kleine FW weiß natürlich erst einmal nicht, welches Programm über welches Protokoll welchen Zugang zum Internet sucht. Das erfährt die Firewall erst, wenn das Programm seine Verbindung aufnehmen möchte und es 3 Filter durchlaufen hat.
Was aber die FW weiß ist, daß bestimmte Pakete nur über ganz bestimmte Protokolle an ganz bestimmten Ports ausgeliefert werden. Anhand dieser Pakete erkennt die FW welches Protokoll den Zugriff auf das Netzwerk benötigt.
Mit Jetico können wir also nicht nur Zugriffe blockieren, sondern auch Protokolle, über die evtl. unerwünschte Zugriffe stattfinden können.
In der
Network protocol rule - Abteilung werden alle Protokolle erfaßt und geregelt.
Hier habe ich als Bsp. das ARP (Address Resolution Protocol, wird benötigt für die Identifizierung einer IP Adresse):
Der Status steht hier auf:
- Description - Beschreibung der Regel
Allow ARP requests - ARP Anfragen sind erlaubt, deswegen
Verdict: accept - zulassen
Log level is disabled - Das Loggen der Anfragen ist deaktiviert
Packet parameters - Paketeigenschaften
Event: any - betrifft jedes Ereignis
Protocol: ARP - ARP Protokoll
Je nach Bedarf kann hier über einen R-Klick auf
Network protocol rule eine neue Regel für ein bestimmtes Protokol gesetzt werden. Eine Auswahlliste befindet sich bei den Eigenschaften der Regel unter
Packet parameters -> Protocol.
Falls ein Protokoll nicht in der Liste aufgeführt wird, sollte eine Regel in
Other erstellt werden. Hier kann noch die Hexadezimalzahl beigefügt werden. jedoch bedarf es einiges KnowHow, welche Zahl für welches Protokoll gesetzt wist. Auf der
IANA Home Page liegt eine recht umfangreiche Liste darüber zur Verfügung.
Der 2. Teil des Netzwerkpaket Filters wird, wie bereits erwähnt, in der
System IP Table erfaßt und konfiguriert.
IP steht für
Internet Protocol und umfasst alle „Arten“ der Bit - Übermittlung im Netz. Auch hier werden die Filter für die Pakete über ihre Eigenschaften gesetzt. Jedes Protokoll hat seine eigene - hmm, wie nennen wir Laien das? - Ausführungsschicht klingt ganz gut.
Jegliche Kommunikation, die von PC zu PC, von Netz zu Netz, im Internet ausgeführt wird, kann man in ein Schichten Modell übertragen (es nennt sich
ISO/OSI). Hier wird theoretisch beschrieben, auf welcher Schicht sich die jeweilig benötigten Protokolle befinden/ausgeführt wird. Es gibt insgesamt 7 Schichten, und in jeder Schichte befinden sich unterschiedliche Protokolle.
Um euch nicht unnötig zur Langeweile zu nötigen, möchte ich hier nur grob die wichtigsten Schichten der Internetkommunikation aufzählen (Layer = Schicht):
- Layer 3: ICMP IGMP IP IPX
Layer 4 TCP UDP SPX
Layer 4-7: HTTP FTP HTTPS NCP
Mithilfe der Eigenschaft der (allgemein) zugeordneten Lage der versch. Protokolle in diesen Schichten, mit den Adressen über die diese Protokolle kommunizieren, und den spezifischen Eigenschaften der Protokolle, kann Jetico nun eindeutig eine Zuordnung der einzelnen Protokolle vornehmen.
- General IP packet parameters - Allgemeine Eigenschaften von IP Paketen
Event - Auswahl der Senderichtung für die die Regel zutreffen soll: - ankommende Pakete - abgehende Pakete - beide Richtungen
Protocol = Protokollart . Enthaltene Protokolle: TCP, UDP, ICMP, IGMP, OFPF, L2TP, PPTP, IP, IPIP. Partial packet (fragment) = Anzeige von gesplitteten IP Paketen TTL - IP packet's = Lebensdauer eines Paketes Checksum = Prüfsumme eines Pakets
Address parameters - Adress Eigenschaften
Das IP Filter Modul arbeitet mit Quell- und Ziel - Adressen eines Pakets gleichzeitig, dadurch können je nach Wunsch einzelne IPs, Server oder ganze Netze blockiert oder zugelassen werden:
Address type = Adresse, Art der IP Adresse
any = jede Adresse, alle Adressen werden ignoriert
host = gilt nur für einzelne IP Adressen (Einzel - PCs)
network = IP Adresse (des Netzwerkes) + Netzwerkmaske
predefined value = definierte Auswahl von lokalen Adressen und/oder lokalen Netzwerken, NameServern,
Trusted oder Blocke Zone
Einschränken der Adressbereiche
Um festzulegen, welche IPs individuell gesperrt oder zugelassen werden sollen, werden hier die Eigenschaften dafür festgelegt.
Für die Quelle
Source):
- Overrride port = benutzter Port, unabhängig des AdressenPorts
Port = PortNummer
match inverted = Umkehr des Trefferverhaltens, z.B., die Regel trifft zu, wenn ein Port NICHT im Bereich der Portnummern 1 - 1024 liegt (da dieser Bereich reserviert ist => Well Known Ports)
Für das Ziel (
Destination):
- match inverted = Umkehr des Trefferverhaltens, wenn z.B. eine Regel trifft zu, wenn die IP Adresse KEIN NameServer ist.
IP Address = IP Addresse (Anzeige z.B:: 217.168.84.12) Anwendbar, wenn der Adresstyp auf host oder network gesetzt wurde.
Network mask = Netzmaske, Anzeige Bsp.: 255.255.255.0 nur verfügbar, wenn die IP Adresse einem Netzwerk gehört.
any = Jeder Port
exact value = genaue Portangabe
port range = Portbereich (z.B.: 323 - 512)
Port number = Portanzeige, verfügbar, wenn der Port oben gesetzt wurde.
(Port) From and To = ober- oder unterhalb des oben angegebene Portbereichs.
Spezifische Eigenschaften der Protokolle
Protocol specific parameters
Folgende Parameter sind nur verfügbar, wenn das Protokoll in der Regel auf TCP, UDP oder ICMP gesetzt wurde.
Zustandsgesteuerte Filterung*, gilt nur für TCP und UDP, und wird ausgeführt, wenn ein Paket zu einer berechtigten/erlaubten Netzwerk Kommunikation gehört. Jetico untersucht die TCP- und UDP Kommunikationsstatus und unterscheidet dadurch erwartete und unerwartete Pakete. (Wenn sich z.B. ein Paket eines anderes Protokolls darin befindet =z.B. bei Spoofing).
- - TCP flags (TCP only) - TCP protocol flags sind aktuelle Status - Anzeigen der Verbindung. Anzeigen für: FIN, SYN, RST, PSH, ACK, URG, ECE, CWR**
- ICMP type (ICMP only) - ICMP ProtokollTyp (z.B. Ping)
- ICMP code (ICMP only) - Information über das Ergebnis des Ping (z.B.: „Host nicht erreichbar“, „echo replay“)
*
Zitat:
Stateful Inspection
Stateful Inspection (Zustandsgesteuerte Filterung) ist eine Methode zur Erweiterung der Funktion einer Firewall. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. Die Firma Check Point Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668).
|
Quelle:
Wikipedia
**
FIN - einseitiger Abbau einer Vebindung
SYN - Synchronisation
RST - Neustart des Verbindungaufbaus
PSH - Keine Zwischengespeicherung von Paketen
ACK - Bestätigung
URG - Urgent-Zeiger ist gültig
CWR - Congestion Window Reduced²
ECE - Explicit Congestion Notification-Echo³
² + ³ = Spezielle TCP Flags. nähere Erklärung bitte auf Anfrage. Danke