bridgefirewall – eine transparente lösung
DESCRIPTION
Bridgefirewall – eine transparente Lösung. Thomas Röhl 08. April 2005. Inhalt. Warum eine Bridgefirewall? Installation der Bridge IPtables – der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln Spanning Tree Protocol. Warum Bridgefirewalls?. - PowerPoint PPT PresentationTRANSCRIPT
Bridgefirewall – eine transparente Lösung
Thomas Röhl
08. April 2005
08.04.05 [email protected] 2 Bridgefirewall
Inhalt
Warum eine Bridgefirewall?
Installation der Bridge
IPtables – der Paketfilter unter Linux
Funktionsweise von IPtables
Firewallregeln
Spanning Tree Protocol
08.04.05 [email protected] 3 Bridgefirewall
Warum Bridgefirewalls?
Linux ist ein etabliertes Firewall-Betriebssystem
Ab Kernel 2.2 Bridging-Code fester Bestandteil
Arbeitet auf OSI-Layer 2
Protokollunabhängig
Keine eigene IP-Adresse, daher schwer angreifbar
Einfache Installation
Einfache Integration in ein bestehendes Netzwerk
08.04.05 [email protected] 4 Bridgefirewall
Installation der Bridge (I)
2 Netzwerkkarten notwendig
Bridging-Code muss im Kernel aktiviert sein (bei Suse Standard)
Bridge-Utils (Einfache Konfiguration der Bridge)
IPtables
ARPtables Pakete zum Filtern
EBtables
TCPdump - Paketanalyse
08.04.05 [email protected] 5 Bridgefirewall
Installation der Bridge (II)
root@bridge:# echo 1 > /proc/sys/net/ipv4/ip_forwardroot@bridge:# brctl addbr br0root@bridge:# brctl addif br0 eth0root@bridge:# brctl addif br0 eth1root@bridge:# brtcl stp br0 offroot@bridge:# ifconfig eth0 0.0.0.0 up root@bridge:# ifconfig eth1 0.0.0.0 uproot@bridge:# ifconfig br0 up
Überprüfung der Verbindungen mit tcpdump
Mit „brctl showmacs br0“ kann man sich die gesammelten MAC-Adressen auflisten lassen
08.04.05 [email protected] 6 Bridgefirewall
IPtables – der Paketfilter unter Linux (I)
IPtables dient zum Filtern von Netzwerk-Paketen im Kernel
Kernelunterstützung seit Kernel 2.4
3 eingebaute Tables (INPUT, OUTPUT, FORWARD)
Überprüfung der Verbindungsstatus (NEW, ESTABLISHED, RELATED, INVALID)
Allgemeine Policies für Tables
08.04.05 [email protected] 7 Bridgefirewall
IPtables – der Paketfilter unter Linux (II)
Connection Tracking (Filtern nach TCP, UDP, ICMP, andere Protokolle verfügbar)
Logging einzelner Verbindungen
Verhindern von Denial-of-Service-Attacken
Erkennen der ICMP-Typen
Rejects mit einstellbarem Verhalten
Möglichkeit des SNAT, DNAT und Masquerading
08.04.05 [email protected] 8 Bridgefirewall
DNAT, SNAT und Masquerading
08.04.05 [email protected] 9 Bridgefirewall
Funktionsweise von IPtables (I)
08.04.05 [email protected] 10 Bridgefirewall
Firewallregeln
Filterregeln in ein Bash-Skript schreiben Überlegen, welche Dienste gesperrt bzw. erlaubt
sein sollen Alle Table-Policies auf DROP setzen und dann
einzelne Ports öffnen Regeln an Netzwerk-Interfaces binden, da
Bridges symmetrisch aufgebaut
Beispiel (WWW-Zugang mit HTTP):
root@bridge:# iptables -A FORWARD -p tcp -s eth0 -d eth1 --dport 80 -m
state --state NEW, ESTABLISHED, RELATED -j ACCEPT
08.04.05 [email protected] 11 Bridgefirewall
Stateful Regeln
Hierbei wird der Status der Verbindung geprüft
Besonderen Augenmerk auf den NEW-Status legen
Alle ESTABLISHED- und RELATED-Pakete können durchgelassen werden