Inhaltsverzeichnis
Werbung
Referenzhandbuch
8 Firewall
TCP-Verbindungen
TCP-Verbindungen können nicht einfach nur durch die Prüfung der Ports nachgehalten werden. Bei einigen Protokollen
wie z. B. FTP, PPTP oder H.323 sind Prüfungen der Nutzdaten nötig, um alle später ausgehandelten Verbindungen zu
öffnen, und nur die wirklich zu den Verbindungen gehörenden Pakete zu akzeptieren. Dies entspricht einer vereinfachten
Version dessen, was auch beim IP-Masquerading gemacht wird, nur ohne Adress- und Port-Mapping. Es reicht aus, die
Verhandlung nachzuverfolgen, die entsprechenden Ports zu öffnen und mit der Hauptverbindung zu verknüpfen. Damit
werden diese Ports einerseits mit dem Schließen der Hauptverbindung ebenfalls geschlossen, und andererseits hält der
Datenverkehr auf den Nebenverbindungen auch die Hauptverbindung weiter offen.
ICMP-Verbindungen
Für ICMP werden zwei Fälle unterschieden: Das sind zum einen die ICMP-Request/Reply-Verbindungen, wie sie z. B.
beim "ping" verwendet werden, zum anderen die ICMP-Fehlermeldungen, die als Antwort auf ein beliebiges IP-Paket
empfangen werden können.
ICMP Request/Reply-Verbindungen können eindeutig durch den vom Initiator verwendeten Identifier zugeordnet werden,
d.h. in der Zustandsdatenbank wird beim Senden eines ICMP-Requests ein Eintrag erstellt, der nur ICMP-Replies mit
dem korrekten Identifier durchlässt. Alle anderen ICMP-Replies werden stillschweigend verworfen.
Bei ICMP-Fehlermeldungen steht der IP-Header und die ersten 8 Bytes des IP-Pakets (i.A. UDP- oder TCP-Header) innerhalb
des ICMP-Pakets. Anhand dieser Information wird beim Empfang einer ICMP-Fehlermeldung der zugehörige Eintrag in
der Zustandsdatenbank gesucht. Das Paket wird nur weitergeleitet, wenn ein solcher Eintrag existiert, ansonsten wird
es stillschweigend verworfen. Zusätzlich dazu werden potentiell gefährliche ICMP-Fehlermeldungen (Redirect-Route)
herausgefiltert.
Verbindungen sonstiger Protokolle
Bei allen anderen Protokollen können keine verwandten Verbindungen nachgehalten werden, d.h. bei ihnen kann nur
eine Verbindung zwischen den beteiligten Hosts in der Zustandsdatenbank aufgenommen werden. Diese können auch
nur von einer Seite aus initiiert werden, es sei denn, in der Firewall ist ein dedizierter Eintrag für die "Gegenrichtung"
vorhanden.
8.3.3 Allgemeine Einstellungen der Firewall
Neben den einzelnen Firewall-Regeln, die für die Einträge in den Filter- Verbindungs- und Sperrlisten sorgen, gelten
einige Einstellungen für die Firewall allgemein:
1
Firewall/QoS-Aktivierung
1
Administrator-E-Mail
1
Fragmente
1
Sitzungswiederherstellung
1
Ping-Block
1
Stealth-Modus
1
Authentifizierungs-Port tarnen
Firewall/QoS-Aktivierung
Mit dieser Option wird die gesamte Firewall inklusive der Quality-of-Service-Funktionen ein- bzw. ausgeschaltet.
5
Bitte beachten Sie, dass die Funktionen des N:N-Mapping nur wirksam sind, wenn die Firewall eingeschaltet ist!
Administrator-E-Mail
Zu den Aktionen, die die Firewall auslösen können, gehört auch die Alarmierung des Administrators per E-Mail. Die
"Administrator-E-Mail" ist die Mail-Adresse, an die die entsprechenden Alarmierungs-Mails verschickt werden.
482
Administrator-E-Mail
Fragmente
auf Seite 483
Sitzungswiederherstellung
Ping-Blocking
auf Seite 484
TCP-Stealth-Modus
auf Seite 484
Authentifizierungs-Port tarnen
auf Seite 482
auf Seite 483
auf Seite 484
Werbung
Inhaltsverzeichnis
