Linux-Firewalls

Diese zweite, mit Blick auf Kernel 2.4
umfassend überarbeitete, Auflage des
Bestsellers vermittelt alles, was Sie für den
Aufbau einer Firewall wissen müssen - von
der Konzeption bis zur praktischen
Umsetzung. Der Autor zeigt auf sehr
praxisorientierte Weise, wie Sie mit Hilfe von
iptable eine Paketfilter-Firewall aufbauen,
betreiben und wie Sie Einbrüche in Ihr
System erkennen. Eine ausführliche
Dokumentation der Sicherheitslücken aller
Dienste, Lösungen zu ihrer Behebung,
praktische Beispiele für die
Implementierungen von Firewalls sowie
eine umfassende Sammlung von
Linux-Sicherheitstools auf der Buch-CD
machen diesen Titel zu einem
Standard-Werk.

Inhaltsverzeichnis



Dank 11



Einführung 13



Übersicht 14



Was dieses Buch beschreibt 14



Was dieses Buch nicht beschreibt 16



Einbruchsversuche: Dimension eines Problems 16



Was hat der Eindringling davon? 16



Was steht für Sie auf dem Spiel? 17



Firewalls in einer idealen Welt 18



Teil I Paketfilter und grundlegende Sicherheitsmaßnahmen 19





Kapitel 1 Grundlegende Konzepte für Paketfilter-Firewalls 21



1.1 Das OSI-Referenzmodell 24



1.2 IP-Adressen 27



1.3 Routing: Tourenplanung für Pakete 32



1.4 Ports: Tore zu den Programmen auf Ihrem Computer 32



1.5 Pakete: Botschaften im IP-Netz 34



1.6 Zusammenfassung 46



Kapitel 2 Konzepte für Paketfilter 47



2.1 Eine Paketfilter-Firewall 50



2.2 Auswahl der Voreinstellung für den Umgang mit Paketen 53



2.3 REJECT und DROP: Pakete ablehnen oder verwerfen? 55



2.4 Filtern ankommender Pakete 55



2.5 Filtern abgehender Pakete 74



2.6 Private und öffentliche Dienste im Netz 77



2.7 Zusammenfassung 101



Kapitel 3 iptables: Das Administrationsprogramm für die Linux-Firewall 103



3.1 Unterschiede in den Firewall-Mechanismen 

von IPFW und Netfilter 104



3.2 Features von iptables 107



3.3 Syntax von iptables 114



3.4 Zusammenfassung 134



Kapitel 4 Gestaltung und Installation einer Firewall 137



4.1 iptables: Firewall-Verwaltung unter Linux 139



4.2 Initialisierung der Firewall 141



4.3 Dienste auf festen, unprivilegierten Ports schützen 154



4.4 Zwingend benötigte Dienste erlauben 160



4.5 Häufige TCP-Dienste 168



4.6 Häufige UDP-Dienste 197



4.7 ICMP-Nachrichten filtern 203



4.8 Abgewiesene ankommende Pakete protokollieren 207



4.9 Abgewiesene abgehende Pakete protokollieren 210



4.10 Zugriff für problematische Sites pauschal sperren 210



4.11 Die Firewall installieren 211



4.12 Zusammenfassung 213



Teil II Firewalls für Fortgeschrittene 215





Kapitel 5 Firewall-Optimierung 217



5.1 Gruppierung der Regeln 218



5.2 Benutzerdefinierte Ketten 222



5.3 Ein optimiertes Beispiel 225



5.4 Was hat die Optimierung gebracht? 246



5.5 Zusammenfassung 249



Kapitel 6 Pakete weiterleiten 251



6.1 Die Grenzen einer isolierten Firewall 252



6.2 Grundlegende Gateway-Architekturen 254



6.3 Sicherheit im LAN 256



6.4 Konfigurationsmöglichkeiten für ein privates LAN mit vertrauenswürdigen Benutzern 257



6.5 Konfigurationsmöglichkeiten für ein größeres 

oder weniger vertrauenswürdiges LAN 261



6.6 Eine formale Firewall mit abgeschirmtem Subnetz 270



6.7 Anpassung des Gateways für Forwarding 305



6.8 Zusammenfassung 306



Kapitel 7 NAT: Netzadressübersetzung 307



7.1 Der konzeptuelle Hintergrund von NAT 308



7.2 Die Semantik von NAT in iptables 313



7.3 Beispiele für SNAT und private LANs 319



7.4 Beispiele für DNAT, LANs und Proxies 322



7.5 Zusammenfassung 329



Kapitel 8 Fehlersuche 331



8.1 Ein paar allgemeine Tipps für die Firewall-Entwicklung 332



8.2 Anzeigen der Firewall-Regeln 335



8.3 Die Regeln für die INPUT-, OUTPUT- und FORWARD-Chains 346



8.4 Suche nach offenen Ports 352



8.5 Fehlersuche für ssh – ein Beispiel aus der Praxis 356



8.6 Zusammenfassung 359



Teil III Systemsicherheit und Systemüberwachung 361





Kapitel 9 Läuft das System wie erwartet? 363



9.1 Überprüfen der Netzwerkschnittstellen mit ifconfig 364



9.2 Überprüfen der Netzwerkverbindung mit ping 365



9.3 Überprüfen der Netzwerkprozesse mit netstat 366



9.4 Zuordnung zwischen Port und Prozess mit fuser 368



9.5 Überprüfen aller laufenden Prozesse mit ps ax 369



9.6 Die Protokolldateien Ihres Systems 372



9.7 Zusammenfassung 383



Kapitel 10 Ergänzende Maßnahmen durch die Unix-Systemadministration 385



10.1 Authentifizierung: Prüfung der Identität 386



10.2 Autorisation: Festlegung von Zugriffsrechten 389



10.3 Serverspezifische Konfiguration 397



10.4 SOCKS: eine Proxy-Firewall auf Anwendungsebene 437



10.5 Diverse Systemaccounts in /etc/passwd, 

/etc/shadow und /etc/group 439



10.6 Die PATH-Variable 440



10.7 /etc/issue.net 441



10.8 Protokollierung auf andere Rechner 442



10.9 Halten Sie Ihre Software auf dem Laufenden! 443



10.10 Zusammenfassung 444



Kapitel 11 Secure Shell (SSH) 445



11.1 Installation 448



11.2 Erzeugen von SSH-Schlüsseln 451



11.3 SSH einsetzen 453



11.4 Anpassung der SSH-Konfiguration 458



11.5 Secure Copy (scp) 464



11.6 Zusammenfassung 465



Kapitel 12 Tripwire 467



12.1 Ein Überblick 468



12.2 Installation 469



12.3 Wie funktioniert Tripwire? 471



12.4 Konfiguration 476



12.5 Anwendung 482



12.6 Tipps und Tricks 491



12.7 Zusammenfassung 493



Kapitel 13 Entdecken von Eindringlingen und Melden der Vorfälle 495



13.1 Software zur Suche nach Eindringlingen 497



13.2 Welche Symptome deuten auf einen Eindringling hin? 500



13.3 Reaktion auf einen Einbruch 504



13.4 Meldung eines Vorfalls 506



13.5 Wo finden Sie nähere Informationen? 511



13.6 Zusammenfassung 512



Teil IV Anhänge 513





Anhang A Ressourcen rund um das Thema Sicherheit 515



A.1 Informationsquellen rund ums Thema Sicherheit 516



A.2 Softwaresammlungen 517



A.3 Sicherheitstools 517



A.4 Firewall-Tools 518



A.5 Nachschlagewerke und FAQ-Listen 518



A.6 Websites zu allgemeinen Themen 522



A.7 Bücher 522



Anhang B Firewall-Beispiele und hilfreiche Skripten 525



B.1 iptables-Firewall für ein Einzelplatzsystem aus Kapitel 4 526



B.2 Optimierte iptables-Firewall aus Kapitel 5 544



B.3 iptables-Skript für eine Choke-Firewall aus Kapitel 6 561



B.4 Spezialskripten 572



B.5 DHCP und pump: Eine Firewall mit dynamischer 

IP–Adresse und veränderlichen Nameservern 576



B.6 PPPoE: Eine Alternative für dynamische IP-Adressen 578



Anhang C VPN 581



C.1 Übersicht 582



C.2 Arten der VPNs 583



C.3 Protokolle 584



C.4 VPN-Produkte für Linux 589



C.5 Konfiguration 592



C.6 VPNs und Firewalls 594



Anhang D Glossar 597



Der Autor 619



Der Koautor 619



Stichwortverzeichnis 621