NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Firewalls
Die Sicherheit von Informationen wird �blicherweise als Prozess und nicht als Produkt angesehen. Allerdings werden bei der Realisierung von standardm��igen Sicherheitsvorg�ngen normalerweise gewisse Formen angepasster Mechanismen verwendet. So k�nnen Privilegien zug�nglich gemacht und Netzwerke auf Benutzer beschr�nkt werden, die autorisiert, identifizierbar und r�ckverfolgbar sind. Red Hat Enterprise Linux enth�lt mehrere kompetente Tools, die Systemadministratoren und Sicherheitstechnikern bei Fragen der Netzwerklevel-Zugangskontrolle unterst�tzen k�nnen.
Zusammen mit VPN-L�sungen wie IPsec (siehe Kapitel 6) sind Firewalls einer der Kernbestandteile bei der Realisierung von Netzwersicherheit. Einige Vertreiber bieten Firewall-L�sungen an, die f�r alle Bereiche des Marktes geeignet sind: vom Heimben�tzer, wo ein PC gesch�tzt wird, bis hin zu L�sungen f�r Datenzentren, wo wichtige Unternehmensinformationen gesch�tzt werden. Firewalls k�nnen alleinstehende Hardware-L�sungen sein, wie die Firewall-Einrichtungen von Cisco, Nokia und Sonicwall. Es gibt aber auch gesch�tzte Software-Firewall-L�sungen f�r den Heim-und Firmenbereich, von Vertreibern wie z.B. Checkpoint, McAfee und Symantec.
Neben den Unterschieden zwischen Hardware- und Software-Firewalls gibt es auch Unterschiede in der Funktionsweise von Firewalls, die die verschiedenen L�sungen voneinander abheben. Tabelle 7-1 erkl�rt drei g�ngige Firewall-Typen und wie sie funktionieren:
Methode
Beschreibung
Vorteile
Nachteile
NAT
Network Address Translation (NAT) reiht Subnetzwerke von internen IP-Netzwerken hinter eine externe IP-Adresse oder eine kleine Gruppe von externen IP-Adressen. Alle Anfragen werden nur f�r eine Quelle maskiert, nicht f�r alle.
� Kann f�r Machinen an einem LAN
� �bersichtlich konfiguriert werden
� Sch�tzt viele Maschinen und Service hinter einer oder mehreren IP-Adresse(n). Vereinfacht die Aufgaben der Systemadministratoren
� Durch das �ffnen und Schlie�en von Ports an der NAT Firewall/Gateway kann eine Benutzerbeschr�nkung zu und von dem LAN konfiguriert werden
� Kann keine b�sartigen Aktivit�ten verhindern, sobald der Benutzer mit einem Service au�erhalb der Firewall verbunden ist
Paketfilter
Paketfilter-Firewalls lesen alle Datenpakete, die sich innerhalb und au�erhalb eines LAN bewegen. Pakete k�nnen mit Hilfe der Kopfzeileninformation gelesen und bearbeitet werden. Die Pakete werden auf der Grundlage von programmierbaren Regeln gefiltert werden, die vom Systemadministrator der Firewall aufgestellt wurden. Der Linux Kernel hat eine eingebaute Paketfilterfunktion �ber das Netfilter Kernel Subsystem.
� Anpassbar durch das iptables front-end utility
� Erfordert keine Anpassung auf Seiten des Client, da alle Netzwerkaktivit�ten auf Router-Level und nicht auf Ebene der Anwendung gefiltert werden
� Da Pakete nicht durch ein Proxy �bertragenwerden, ist das Netzwerk aufgrund direkter Verbindung vom Client zum Remote Host schneller
� Kann Pakete nicht nach Inhalt filtern wie Proxy Firewalls
� Verarbeitet Pakete auf dem Protokoll Layer, aber kann sie nicht auf dem Layer der Anwendungen filtern
� Eine komplizierte Netzwerkarchitektur kann das Erstellen von Regeln zur Paketfilterung schwierig machen, im Speziellen, wenn sie mit IP masquerading oder mit lokalen Subnetzen und DMZ-Netzwerken gekoppelt sind
Proxy
Proxy-Firewalls filtern alle Anfragen eines bestimmten Protokolls oder Typs von den LAN-Clients zu einer Proxy-Maschine, von wo aus die Anfragen im Namen des lokalen Clients an das Internet gestellt werden. Eine Proxy Maschine fungiert als ein Buffer zwischen b�sartigen Benutzern von au�en und den internen Client- Maschinen des Netzwerkes.
� Gibt dem Administrator Kontrolle dar�ber, welche Anwendungen und Protokolle au�erhalb des LAN funktionieren
� Manche Proxy-Server k�nnen Daten, auf welche h�ufig zugegriffen wird, in einer Cache-Datei speichern, damit Clients Zugang zu oftmals gebrauchten Daten von der lokalen Cache-Datei haben, anstelle die Internetverbindung ben�tzen zu m�ssen. Dies ist hilfreich beim Einsparen von unn�tigem Bandbreitenkonsum.
� Proxy-Dienste k�nnen genau dokumentiert und beobachtet werden, was bessere Kontrolle bez�glich der Nutzung von Netzwerkressourcen erm�glicht
� Proxies sind oft anwendungsspezifisch (HTTP, telnet, etc.) oder protokollbeschr�nkt (die meisten Proxies arbeiten nur mit TCP-verbundenen Servicen)
� Die Dienste von Anwendungen k�nnen nicht hinter einem Proxy laufen, daher m�ssen Ihre Anwendungsserver eine andere Form von Netzwerksicherheit verwenden
Proxies k�nnen zu einer Engstelle in einem Netzwerk werden, da alle Anfragen und �betragungen durch eine Quelle gehen im Gegensatz zu direkten Verbindungen vom Client zum Remote Service
Tabelle 7-1. Firewall-Typen
7.1. Netzfiler und iptables
Der Linux Kernel enth�lt ein kompetentes Netzwerk-Subsystem mit dem Namen Netfilter. Das Netfilter-Subsystem bietet eine Paketfilterung mit oder ohne Status sowie NAT- und IP-Maskierungsdienste. Netfilter hat auch die M�glichkeit, IP-Kopfzeileninformation f�r fortgeschrittenes Routing und zur �berpr�fung des Verbindungszustandes zu �berarbeiten (mangle). Netfilter wird durch das iptables-Utility kontrolliert.
7.1.1. iptables-�berblick
Die Kompetenz und Flexibilit�t von Netfilter wird durch die iptables-Schnittstelle erreicht. Dieses Tool f�r die Befehlszeile ist syntaxgleich zu seinem Vorl�ufer ipchains. iptables verwendet jedoch das Netfilter-Subsystem, um die Netzwerkverbindung, die Inspektion und die Verarbeitung zu verbessern, w�hrend ipchains komplizierte Regeln zur Filterung von Quell- und Zielpfaden sowie zugeh�rige Verbindungsports verwendete. iptables bietet in einer Befehlszeilen-Schnittstelle fortschrittliche Dokumentation, Vor- und Nachrouting-Aktionen, �bersetzung von Netzwerkadressen und Port-Weiterleitung
Dieser Abschnitt enth�lt eine �bersicht �ber iptables. F�r genauere Informationen �ber iptables siehe das Red Hat Enterprise Linux Referenzhandbuch.