hallo,
verständnisfrage:
wo greift die firewall in linux (sprich netfilter mit der software iptables) im osi modell ein (scannt die pakete)
im 3ten layer (vermittlungsschicht..ip??)
unfd werden bei einer softwarefirewall (windows firewall z. b. ) die pakete erst im letzten layer (7) oben geprüft?
wäre das ein vorteil?
2te frage:
kann man mit einer firewall irgendwelche schadsoftware filtern?
meiner meinung nach nicht ...
gruss günter
Linux 15.036 Themen, 107.102 Beiträge
Das schon durcxhgearbeitet?
http://de.wikipedia.org/wiki/Firewall
Grundsätzlich mußt Du zuerst mal zwischen Externen und Desktop-Firewalls unterscheiden. Dir geht es wohl um letztere.
Beachte bitte auch die weiterführenden Links.
Hier ein kurzer Auszug zum Contentfilter:
Eine Firewall kann mit Hilfe eines Inhalts- oder Contentfilters die Nutzdaten einer Verbindung auswerten. Einsatzgebiete können zum Beispiel sein:
-
- Herausfiltern von ActiveX und/oder JavaScript aus angeforderten Webseiten
-
- Blockieren von Viren oder Trojanern in Webseiten
-
- Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten)
-
- Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern
-
- Unerwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren
-
Das hilft Dir evtl. bei Deiner letzten Frage.
Gruß Alois
In Linux und nichtmal in Windows ist ein Portblocker und Ausgangswarner,
-- was die Desktop Firewalls in wirklichkeit sind, unbedingt nötig.
Der Name Firewall ist in diesem Kontext eine irreführende Bezeichnung.
Diser Ubuntulink ist recht Lehrreich:
http://wiki.ubuntuusers.de/Personal_Firewalls
Soll heißen Firewalls und Desktop Walls sind ganz unterschiedliche Konzepte.
Um Ports zu schließen muß die Firewall auf einer niedrigen Ebene arbeiten. Die Application Level Gateway Firewall arbeiten auf Ebene 7 und können nicht die Art des Datenpaketes erkennen.
>Dieser Ubuntulink ist recht lehrreich
....und wenn man ihn richtig gelesen und verstanden hat erübrigen sich viele Fragen betreffs der Firewall.
Gruß Acader
Meines Wissens nach gibt es verschiedene Firewalltechnologien.
Das Netfilterprogramm im Linuxkernel arbeitet meines Wissens nach auf Ebene 2 im OSI Referenzmodell (weiß ich aber nicht so genau) und kann die Art der Datenpakete erkennen, in dem es den Header des einzelnen Datenpaketes scannt.
Dadurch können Ports geschlossen werden und bestimmte Arten von Datenpakete blockiert werden.
Um das Netfilterprogramm im Linuxkernel zu aktivieren mußt du wahrscheinlich einen eigenen Linuxkernel übersetzen und die entsprechenden Optionen aktivieren .
Mit dem Steuerungsprogramm iptables kann man dann Filterscripte nutzen.
Und dann gibt es noch Application Level Gateway Firewalls. Ein Beispiel dafür ist die Windowsfirewall, welche so ähnlich wie ein Proxy arbeitet. Unter Linux gibt es das Programm ZORP .
Solche Firewalls arbeiten auf Ebene 7 im OSI Referenzmodell. Diese Art von Firewalls können nur erkennen ob ein Programm eine Internetverbindung aufbauen will und können es blockieren, können aber keine Ports schließen und bestimmte Datenpakete wie sync Pakete blockieren.
Wahrscheinlich ist es das Beste die verschiedenen Firewalltechnologie miteinander zu kombinieren.
Da ich kein Experte für Firewalls bin kann ich dir nur mal ein Online Buch nennen:
http://www.opensource-training.de/buecher_new.php
Es ist ganz wichtig zu verstehen wie das TCP/IP Protokoll funktioniert, welches im Buch "Das Firewall Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux "
gut erklärt wird:
http://www.amazon.de/Firewall-Grundlagen-Betrieb-sicherer-Netzwerke/dp/3934678408/ref=sr_1_1?ie=UTF8&s=books&qid=1240943258&sr=8-1
Es gibt ein Linux das als Firewall dient:
http://www.chip.de/downloads/IPCop_13013435.html
Ist aber kein Filter in der Art einer Personal Firewall die ausgehenden Content detektiert.
Vielmehr wird sie vor dem zu schützenden System aktiv.
Dies ist bei Linux im normalen Einsatz nicht notwendig.
Firmenrechner Server usw. sind eine andere Geschichte.
So wie ich es verstanden habe ist IP Cop eine richtige Firewall mit dem Netfilterprogramm im Linuxkernel.
Man muß aber keine Filterscripte schreiben, sondern kann die Konfiguration mit grafischen Programmen machen.
Das Probleme was ich sehe ist, das man dazu einen XServer und einen Desktop installieren muß und das wiederum bedeudet ein Sicherheitsrisiko wenn im XServer und/oder im Desktop Programmierfehler sind (die wiederum von Hackern ausgenutzt werden können).
Ist eben was für Anfänger.
Vorstellen kann ich mir das schon.
Selbst da sind ja Textbasierte Defaultscripte möglich, um nicht alle schreiben zu müssen.
Gibt es Motherboards die ohne Grafikkarte booten?
Bei Linux Router, die vor ein einfaches Modem gechaltet werden gibt es auch
ganz kleine Kernel die nur spezielles können.
Funktionen die nicht drin sind können auch nicht angegriffen werden.
Mit X wären die auch zu groß um auf eine Diskette zu passen.
Layer 2, 3 und 4:
Layer 2: Es ist möglich, Filterregeln auf Basis von MAC-Adressen zu erstellen.
Layer 3: Wie der Name IP-Tables schon aussagt, lässt sich natürlich auf IP-Ebene filtern.
Layer 4: Regeln basierend auf TCP- und UPD-Ports lassen sich natürlich ebenfalls erstellen.
Schadsoftware filtern: Nein, die Firewall untersucht nur die Paketheader. Für eine Kontrolle der Inhalte musst du auf Layer 7 filtern. Dazu kannst du aber mittels IP-Tables-Regeln den Traffic auf transparente Proxies umleiten, welche wiederum mit Virenscannern interagieren können. Ausserdem kannst du mal einen Blick auf l7filters, eine Erweiterung von IP-Tables werfen. Diese Indepth-Inspektionen haben allerdings den Nachteil eines hohen Ressourcenverbrauchs, was der Netzwerkperformance nicht unbedingt gut tut.
Für eine Kontrolle der Inhalte musst du auf Layer 7 filtern...
kann sowas eine in windows integrierte desktopfirewall?
Meines Wissens nach ja.
Aber , so eine Firewall wie sie bei Windows genutzt wird kann keine Ports schließen und kann nicht bestimmte Datenpakete blockieren.
Ich wüßte jedenfalls nichts davon.
Ich würde bei Windows auf jeden Fall noch einen Router mit Firewall vor dem Rechner installieren.
hmmmmm
windows firewall kann inhalte verifizieren.....no ahnung jetzt
kann keine datenpakete selektieren (kriterium nach absenderadresse...) okay
router is immer gut(eben weil der einen paketfilter (meist) drin hat.
So eine Application Level Gateway Firewall (wie die Windowsfirewall) kann nur erkennen ob ein Programm eine Internetverbindung aufbauen will.
Unter Linux gibt es dafür das Programmpaket ZORP. Ein Linuxinternetserver muß einen Port für einen Serverdienst öffnen und mit ZORP kann überpüft werden ob nur diese eine Serveranwendung diesen Port nutzt.
Normalerweise sollte man ja alle Ports schließen, wenn man keinen Server betreibt.
Wenn aber ein Scriptkiddie einen DOS (Denial of Service) Angriff macht, dann hilft dir diese Windowsfirewall nicht , weil sie diese speziellen Datenpakete (mit denen ein DOS Angriff gemacht wird) gar nicht blockieren kann.
Eine DoS-Attacke funktioniert nach dem Prinzip, dass der Server durch eine Flut von Anfragen blockiert wird. Unter Linux lässt sich das relativ leicht durch das limit-Modul von iptables regulieren.
Allerdings sind DoS-Attacken heute relativ selten, grad weil sie verhältnismässig einfach geblockt werden können. Viel schlimmer sind dDoS-Attacken (d für distributed), bei welcher eine beliebige und wechselnde Zahl Angreifer das System in die Knie zwingt. Diese sind folglich wesentlich schwieriger zu blocken.
http://www.pro-linux.de/t_netzwerk/iptables.html
http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux-Firewall_mit_IP-Tables
Hallo REPI, die Dokumentation von Felix Mack gefällt mir dabei besonders gut.
Ich kannte diesen Artikel noch gar nicht. Vielen Dank !
MFG Acader