FAQ/Sicherheit

Aus IpcopWiki

< FAQ
Wechseln zu: Navigation, Suche

Der Inhalt dieser Seite ist veraltet! Bitte helfen Sie mit, den Inhalt zu erneuern und entfernen Sie dann diesen Baustein. Der Grund für den Baustein finden Sie auf der Diskussionsseite.

Inhaltsverzeichnis

Ist IPCop Stateful?

Zunächst einmal eine kurze Begriffserklärung zum abstrakten (und nicht direkt übersetzbaren) Begriff "stateful":


Stateful Inspection (zustandsgesteuerte Filterung) ist eine Methode zur Erweiterung der Funktion eines Paketfilters. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Stateful inspection merkt sich dagegen den Status einer Verbindung und kann ein neues Datenpaket einer bestehenden Verbindung zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. (Quelle: Internet)


Die Ausgaben 0.1.1 bis einschließlich 1.2 von IPCop sind nicht stateful, da diese auf IPChains-Technologie basieren. Version 1.3 benutzt IPTables und ist daher eine komplett stateful Firewall.
zum Seitenanfang
zum Inhaltsverzeichnis


Was sind IPCHAINS/IPTABLES?

IPChains und IPTables sind die grundlegenden "Interna", anhand deren IPCop entscheidet, welcher Verkehr erlaubt ist.

Die Versionen 1.2.0 und niedriger von IPCop benutzen IPChains. Versionen 1.3.x und höher benutzen IPTables.

Sie werden niemals beide gleichzeitig benutzen.

IPChains und IPTables erlauben es IPCop in jedem Fall, Regeln zu generieren, welche Arten von TCP/IP Verkehr von der Firewall durchgelassen werden. Einiges an Verkehr muss erlaubt sein, damit man auch etwas vernünftiges tun kann (z.B. Email oder Webseiten anzeigen).

IPCop startet mit den strengst möglichen Regeln, die den meisten Benutzern die üblichen, "normalen" Tätigkeiten erlauben.

Sie müssen die Regeln für den Datenverkehr möglicherweise etwas "freizügiger" definieren, um einige Aufgaben wie das Spielen von Online-Spielen, die Benutzung von Messenging-Software oder Videokonferenzen zu ermöglichen.
zum Seitenanfang
zum Inhaltsverzeichnis


Welches ist der empfohlene Weg, den IPCop zu überwachen?

Sie sollten sich täglich die Log-Dateien ansehen, insbesondere das Firewall- und das IDS-Log. Sehen Sie sich die Rubrik "Logging" dieser FAQ an, um zu verstehen, was die Log-Einträge bedeuten.
zum Seitenanfang
zum Inhaltsverzeichnis


Für und Wider von "Scanning-Seiten"

Einige Web-Seiten "da draußen" erlauben es, die IP-Adresse einzugeben, damit anschließend die Firewall "gescannt" wird, um zu sehen, ob diese funktioniert. Obwohl dies eine recht gute Idee zu sein scheint, bedenken Sie folgendes: Sie wissen nicht, wer diese Seite tatsächlich betreibt. Sie wissen nicht, ob diese Seite evtl. gehackt wurde, und Sie Ihre IP-Adresse einem Bösewicht überreichen. In der Theorie stoppt IPCop jedes Problem von diesen Seiten. Aber es ist in Wirklichkeit nicht ganz so nützlich, diese Dienste zu benutzen und Sie können Software auf einem externen Server benutzen, den SIE kontrollieren oder jemandem dem Sie trauen bitten, Ihre Firewall zu scannen. Außerdem machen viele dieser Web-Seiten nicht den guten Job, den sie angeblich tun.
zum Seitenanfang
zum Inhaltsverzeichnis


LeakTest behauptet, IPCop funktioniert nicht?

LeakTest von http://grc.com führt einem etwas in die Irre. Es sit nicht dafür gedacht, eine dedizierte Firewall wie IPCop zu testen. Warum?

Die ursprüngliche Version von LeakTest arbeitete mit der Vorgabe: "eine FTP-Client Anwendung zu sein, die versucht sich auf Port 21 (FTP) auf einen unserer Server innerhalb der grc.com Domäne zu verbinden".

Darüberhinaus:

"LeakTest v1.0 wird benutzt, indem man es UMBENENNT - von Leaktest.exe in einen anderen Programmnamen - um das Verhalten von Schadprogrammen zu simulieren, die sich einfach selbst umbenennen können um so zu tun, als seien sie eine gültige und erlaubte Anwendung."

Obwohl dies einen berechtigten Test der Funktionalität einer Personal Firewall auf einem Client-PC darstellt, hat es keinerlei Relevanz für eine dedizierte Firewall. IPCop blockt Dienste und keine Einzelanwendungen, die sich mit dem Internet verbinden. Das aufspüren schädlicher Trojaner usw. ist der Job eines guten Virenscanners.

Anders ausgedrückt: LeakTest überprüft, was passiert wenn ein Benutzer (nicht Sie natürlich) dumm genug ist, alle Warnungen ignorierend, eine ausführbare Datei aus einem Email-Anhang zu starten. IPCop wurde nicht entwickelt, um Sicherheitsgefährdungen dieser Art aufzuhalten. Die Schulung/Sensibilisierung der Benutzer und ein aktueller Virenscanner ist Ihre einzige Chance so etwas zu verhindern.
zum Seitenanfang
zum Inhaltsverzeichnis


Warum scheinen alle Ports oberhalb von 1024 offen zu sein?

Dies ist für Version 1.2.0 und darunter normal. Die meisten Dienste laufen auf Port 1023 und darunter. Das Blocken der Ports oberhalb 1024 ist normalerweise nicht notwendig, da es sonst evtl. zu Störungen von originalem Datenverkehr kommen könnte. Wie auch immer, seit Version 1.3.x erlaubt stateful firewalling das standardmäßige Schließen dieser Ports, ohne den originalen Datenverkehr zu beeinflussen.
zum Seitenanfang
zum Inhaltsverzeichnis


Was ist dieses IDS (Intrusion Detection System)?

IPCop beinhaltet ein Intrusion Detection System (IDS) namens Snort. Ein IDS ist ein wichtiger Teil einer Netzwerk-Sicherheits-Struktur. Sie stellt eine zweite Verteidigungslinie nach der Firewall dar. Ein IDS untersucht Netzwerkverkehr auf Paketebene nach verdächtigen Mustern, welche eventuell einen Angriff oder Einbruchsversuch in Ihr Netzwerk anzeigen. Diese Muster werden durch einen Regelsatz bestimmt. Immer wenn das IDS ein Muster entdeckt, das mit einer Regel übereinstimmt, wird ein Eintrag in das IDS-Log vorgenommen. Beachten Sie, daß ein solcher Eintrag nicht unbedingt eine Kompromittierung des Systems bedeuten muß (siehe auch den Bereich "Ich habe Einträge in meinen Logdateien..." in diesen FAQ). Ein IDS blockt keinen Datenverkehr, sondern es alarmiert lediglich den Administrator, wenn vermeintlich "feindlicher" Datenverkehr entdeckt wird.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie sollte ich den Regelsatz des IDS aktualisieren?

Die Web-Oberfläche erlaubt es, den IDS Regelsatz basierend auf der verwendeten Snort-Version zu aktualisieren.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie bekomme ich das IDS dazu, Dinge, die ich nicht geloggt haben will, nicht zu loggen?

Die Regeln für das IDS-Reporting liegen in "/etc/snort". Sie können diese Regelnn in einem Editor öffnen und jede Regel, die Sie nicht geloggt haben wollen oder die angepasst werden soll, auskommentieren bzw. anpassen.

Beispielsweise logt Snort...

MISC Large ICMP Packet

... jedesmal, wenn ich Mail abrufe.

In diesem Fall befindet sich die Regel in "/etc/snort/misc.rules" und ist die erste Regel. Statt sie auszukommentieren, habe ich den Grenzwert um 700 Byte von 800 auf 1500 erhöht und die Regeldatei wieder gespeichert. Nach dem Anpassen der IDS-Regeln habe ich das IDS angehalten und wieder gestartet, damit die neuen Regeln greifen.

Ein anderes Problem das ich habe ist, daß Snort mich bei IRC-Paketen warnt.

INFO Possible IRC access

Ich habe kein Problem mit IRC-Paketen auf meinem Netzwerk, da ich sehr oft den IRC nutze, deshalb habe ich die IRC-Warnungen allesamt in "/etc/snort/policy.rules" ausgeschaltet, indem ich diese mit einem "#" am Anfang der Zeile auskommentiert habe.

Vergessen Sie nicht, Snort anzuhalten und neu zu starten, nachdem Sie die Regeln geändert haben.
zum Seitenanfang
zum Inhaltsverzeichnis


Kann ich einige Firewall-Logs abschalten?

Ja, aber momentan erfordert dies eine manuelle Anpassung der Firewall Regeltabelle.

Wenn Sie sich mit Linux Firewall-Regeln auskennen, finden Sie die Regeln des IPCop in "/etc/rc.d/rc.firewall.up".

Natürlich kann manuelles Anpassen der Firewall-Regeln diese zerstören, bzw. unbrauchbar machen. Sollte das passieren, müssen Sie beide Teile haben.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie sicher ist Funkübertragung (WLAN)?

Drahtlose Netzwerkverbindungen sind nur so sicher wie Sie sie machen. Dies beinhaltet viele Aspekte (lesen Sie diese FAQ um einen besseren Überblick über das Problem und einige Lösungsvorschläge zu bekommen), wie zum Beispiel den Typ der Authentifizierung und die Nutzung einer Firewall. Version 0.2 von IPCop beinhaltet Amber Zone (Drahtlose DMZ), die unter anderem CIPE, IPSec oder VPNd verschlüsselte Verbindungen unterstützt.
zum Seitenanfang
zum Inhaltsverzeichnis


Kann mir IPCOP bei der Absicherung von WEP helfen?

The current version of WEP has been proven to be key in a number of key scheduling areas. Dies hat dazu geführt, daß Tools wie AirSnort entwickelt wurden, die die Fähigkeit haben, den drahtlosen Datenverkehr passiv auszuspähen und Ihren WEP-Schlüssel zu ermitteln. Viele Anbieter drahtloser Lösungen erweitern entweder WEP um mehr Robustheit zu erreichen oder entwickeln alternative Lösungen. Lesen Sie 'Wie sicher ist Funkübertragung (WLAN)' für weitere Informationen.
zum Seitenanfang
zum Inhaltsverzeichnis


Gibt es einen Grund, warum UDP nicht für Antworten von Orange nach Grün offen ist wie TCP??

Dies gilt nur für IPCop-Versionen vor 1.3.

Ja, es gibt einen Grund. Da die Firewall nicht stateful ist, haben UDP-Pakete nicht die selben "Antworten" wie TCP-Pakete. IPCop 1.3 und höher benutzen einen 2.4er Kernel, um dieses Fähigkeit zu nutzen.

Wenn eine Version von IPCop 1.2 oder früher benutzt wird und die Firewall für "Antworten" von UDP-Paketanfragen offen ist, ist sie offen für alle. Als die Grundstruktur für DMZ Pinholes usw. erstellt wurde, wurde entdeckt, daß Portscans durch die Firewall kamen, die nmap -sU benutzten und dann feststellen, auf welchen Maschinen welche UDP-Dienste liefen. Dies führte dazu, daß UDP-Antworten von Orange nach Grün abgeblockt werden.
zum Seitenanfang
zum Inhaltsverzeichnis


Persönliche Werkzeuge