 |
Alternativen zu FirewallsRouting-Kontrolle über statische RoutingtabellenBeim IP-Routing müssen alle an einer Verbindung beteiligten Rechner die Route zu ihren Partnern kennen, d.h. im einfachen Fall einerVerbindung von zwei Rechnern, daß Host A den Weg zu Host Bund umgekehrt auch Host B den Weg zu Host A bekannt sein muß, um eine Kommunikation zu ermöglichen. Aus diesem Grund kann ein empfindlicher Rechner schon dadurch besserabgesichert werden, daß er nur die Routen zu genau definiertenPartnern kennt und solche Pakete mit ihm unbekannten Wegen nichtan einen Gateway oder Router zum Weiterversand weiterleitet.D.h. ein mit derart gesicherter Rechner kennt keinen default Gatewayund ist mit einer statischen Routingtabelle konfiguriert.ZugriffskontrolleRechner und Router prüfen die Zugriffe auf das Netz bzw. auf das System anhand von Zugriffskontroll-Listen (Access Control Lists, ACL)- wer darf zugreifen?
- welche Dienste sind zugänglich?
Das kann bei Routern mit dem sogenannten Screening geschehen, wobei dem für unerlaubte Dienste der jeweilige Port gesperrt, für zugelassene Dienste der jeweilige Port offen ist.Weiterhin kann das Screening auch noch über Tabellen auf derBasis von IP-Adressen konfiguriert werden, um nur bestimmten Rechnernden Zugang zu gestatten bzw. zu unterbinden.Ein wesentlicher Nachteil diesen Verfahrens ist,
daß es nicht immer ganz einfach ist, alle zu sperrenden oder zu
gestattenden Dienste/Ports zu ermitteln.
Weiterhin kann der Router mit der Zugangskontrolle so start belastet sein,
daß es zu Performanceeinbrüchen kommen kann.
Neben der Zugriffskontrolle bei Routern kann der Zugriff auch hostbasiert
für viele Serverdiensten mittels sog. Wrapper-Implementierungen
kontrolliert werden. Hierbei wird bei einer Dienstanforderung nicht
der eigentliche Daemon gestartet, sondern zunächst ein Wrapper,
der anhand von Listen den Zugang prüft und die Anforderung abweist
bzw. den eigentlichen Daemon startet.
Bsp.: statt den FINGER-Dienst direkt über den inetd zu starten
finger -----> inetd -----> fingerd
79/tcp
|
wird zunächst ein Wrapper wie tcpd gestartet, der anhand
von ACLs die Zugangsberechtigung prüft und ggfs. dann den
fingerd aufruft
finger -----> inetd -----> tcpd -----> fingerd
79/tcp ACLs
|
Die ACLs sind meist einfache Tabellen (/etc/hosts.allow,
/etc/hosts.deny), in denen festgelegt wird, für welche
Hosts bzw. Subnetze welche Dienste zugelassen oder gesperrt sind.
Das Problem bei Wrappern ist, daß alle Dienste derart gewrappt werden
müssen, um den Rechner zu sichern, d.h. auch Dienste mit dynamischer
Portzuweisung wie NFS.
|
|
|
DIENSTE
