Inhaltsverzeichnis
Werbung
Referenzhandbuch
8 Firewall
Ping-Blocking
Eine - nicht unumstrittene - Methode die Sicherheit zu erhöhen, ist das Verstecken des Routers; frei nach der Methode:
"Wer mich nicht sieht, wird auch nicht versuchen mich anzugreifen...". Viele Angriffe beginnen mit der Suche nach
Rechnern und/oder offenen Ports über eigentlich recht harmlose Anfragen, z. B. mit Hilfe des "ping"-Befehls oder mit
einem Portscan. Jede Antwort auf diese Anfragen, auch die "Ich bin nicht hier"-Antwort, zeigt dem Angreifer, dass er
ein potenzielles Ziel gefunden hat. Denn wer antwortet, der ist auch da. Um diese Rückschlüsse zu verhindern, kann das
Gerät die Antworten auf diese Anfragen unterdrücken.
Um dies zu erreichen, kann das Gerät angewiesen werden, ICMP-Echo-Requests nicht mehr zu beantworten. Gleichzeitig
werden auch die bei einem "traceroute" benutzten TTL-Exceeded Meldungen unterdrückt, so dass das Gerät weder durch
ein "ping" noch ein "traceroute" gefunden werden kann.
Mögliche Einstellungen sind:
1
Aus: ICMP-Antworten werden nicht blockiert
1
Immer: ICMP-Antworten werden immer blockiert
1
WAN: ICMP-Antworten werden auf allen WAN-Verbindungen blockiert
1
Default Route: ICMP-Antworten werden auf der Default-Route (i.d.R. Internet) blockiert
5
Für die Auswahl der "Default-Routen" gelten hier die gleichen Hinweise wie bei
Seite 483.
TCP-Stealth-Modus
Neben ICMP-Meldungen verrät auch das Verhalten bei TCP- und UDP-Verbindungen, ob sich an der angesprochenen
Adresse ein Rechner befindet. Je nach umgebendem Netzwerk kann es sinnvoll sein, wenn TCP- und UDP-Pakete einfach
verworfen werden, anstatt mit einem TCP-Reset bzw. einer ICMP-Meldung (port unreachable) zu antworten, wenn kein
Listener für den jeweiligen Port existiert. Das jeweils gewünschte Verhalten kann im Gerät eingestellt werden.
5
Werden Ports ohne Listener versteckt, so ergibt sich auf maskierten Verbindungen das Problem, dass der
"authenticate"- bzw. "ident"-Dienst nicht mehr funktioniert (bzw. nicht mehr korrekt abgelehnt wird). Der
entsprechende Port kann daher gesondert behandelt werden (
Mögliche Einstellungen sind:
1
aus: Alle Ports sind geschlossen und TCP-Pakete werden mit einem TCP-Reset beantwortet
1
immer: Alle Ports sind versteckt und TCP-Pakete werden stillschweigend verworfen.
1
WAN: Auf der WAN-Seite sind alle Ports versteckt und auf der LAN-Seite geschlossen
1
Default-Route: Die Ports sind auf der Default-Route (i.d.R. Internet) versteckt und auf allen anderen Routen
geschlossen
5
Für die Auswahl der "Default-Routen" gelten hier die gleichen Hinweise wie bei
Seite 483.
Authentifizierungs-Port tarnen
Wenn TCP- oder UDP-Ports versteckt werden, können z. B. die Anfragen von Mailservern zur Authentifizierung der
Benutzer nicht mehr richtig beantwortet werden. Die Anfragen der Server laufen dann in einen Timeout, die Zustellung
der Mails verzögern sich erheblich.
Auch bei aktiviertem TCP-Stealth-Modus erkennt die Firewall die Absicht einer Station im LAN, eine Verbindung zu einem
Mailserver aufzubauen. Daraufhin wird der benötigte Port für die Authentifizierungsanfrage kurzzeitig (für 20 Sekunden)
geöffnet.
Dieses Verhalten der Firewall im TCP-Stealth-Modus kann mit dem Parameter "Authentifizierungs-Port tarnen" gezielt
unterdrückt werden.
484
Sitzungswiederherstellung
Authentifizierungs-Port tarnen
Sitzungswiederherstellung
auf
auf Seite 484).
auf
Werbung
Inhaltsverzeichnis
