 |
|
|
|
| Autor |
Nachricht |
trlcf
Anmeldungsdatum: 27.12.2005
Beiträge: 20
|
 Verfasst am:
Di 27 Jun, 2006 19:00 |
  |
|
Hallo zusammen,
nur mal so interessehalber:
Bei unserer DENY_ALL-Regel ist die Benachrichtigung per Syslog deaktiviert.
Trotzdem erscheinen einige Einträge "connection refused".
Wenn man nun die Benachrichtigung aktiviert erscheinen zusätzlich Einträge "port filter"
Das bedeutet meinem Verständnis nach, dass die Firewall die Pakete schon vor den selbst definierten Regeln abfängt, ist ja auch laut Handbuch so...
Nun 3 Fragen dazu:
1) wäre eine DENY_ALL_IN-Regel damit sinnlos weil implizit ?
2) kann ich das Syslog-Modul dahingehend beeinflussen die zutreffende Regel zu loggen, wie im Lan-Monitor ?
3) kann man für die nicht durch eigene Regeln abgelehnten Pakete auch eine Sperrung der Sender-Adresse für einen Zeitraum einrichten ?
Danke und Grüße
Tom |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 28 Jun, 2006 17:54 |
|
|
Hi trlcf
| Zitat:
|
Bei unserer DENY_ALL-Regel ist die Benachrichtigung per Syslog deaktiviert.
Trotzdem erscheinen einige Einträge "connection refused".
|
das ist korrekt, weil diese Meldung nicht von der Firewall erzeugt wird, sondern vom Masquerading-Modul. Das dumpt jeden Versuch, eine Verbindung zu etablieren, für die kein Portforwarding eingerichtet wurde.
| Zitat:
|
|
Wenn man nun die Benachrichtigung aktiviert erscheinen zusätzlich Einträge "port filter"
|
Das sind die Meldungen der Firewall, in denen sie angibt, aufgrund welcher Regel ein Paket verworfen wurde.
| Zitat:
|
|
Das bedeutet meinem Verständnis nach, dass die Firewall die Pakete schon vor den selbst definierten Regeln abfängt
|
jain. Als erstes wird auf DoS-Angriffe und Einbruchsversuche (IDS) geprüft und die dort angegebenen Aktionen ausgeführt. Danach werden die selbst erstellten Regeln bearbeitet. Das hat aber alles nichts damit zu tun, daß die Maskierung Verbindungen, die sie nicht zuordnen kann, verwirft
| Zitat:
|
|
1) wäre eine DENY_ALL_IN-Regel damit sinnlos weil implizit ?
|
nein, sie ist weder implizit noch sinnlos. Hinter einer Maskierung verhindert die Maskierung zwar bereits, daß Verbindungen von Aussen her aufgebaut werden können. Anders sieht es bei unmaskierten Verbindungen aus - hier ist eine DENY_ALL_IN-Regel durchaus nötig.
Aber auch auf maskierten Verbindungen ist diese Regel nicht ganz überflüssig, da sich die Maskierung nur die "lokale" Seite merkt. Das bedeutet, daß ein Angreifer durchaus durch eine Maskierung in das LAN kommen kann, wenn er weiß, welcher Rechner gerade welchen Port geöffnet hat. Da die Firewall aber Verbindungsabhängig arbeitet, würde ein solcher Angriff zwar noch durch die Maskierung kommen, dann aber spätestens an der DENY_ALL_IN-Regel abgeblockt.
| Zitat:
|
|
2) kann ich das Syslog-Modul dahingehend beeinflussen die zutreffende Regel zu loggen, wie im Lan-Monitor ?
|
das gibt es doch aus, wenn das Häkchen an der Regel gesetzt ist (kommt im mehreren Zeilen)
| Zitat:
|
|
3) kann man für die nicht durch eigene Regeln abgelehnten Pakete auch eine Sperrung der Sender-Adresse für einen Zeitraum einrichten ?
|
da es solche Regeln nicht gibt: nein
Außerdem führt eine solche Sperrung oftmals genau dazu, was der Angreifer wollte: ein perfekter DoS-Angriff...
Stell dir dazu einfach mal vor ein Angreifer fakt die Adresse des DNS-Servers deines Internet-Providers und du sperrst diesen...
Daher: Finger weg von derartigen Sperrungen - sie machen mehr Ärger als sie nutzen
Gruß
Backslash |
|
|
|
|
trlcf
Anmeldungsdatum: 27.12.2005
Beiträge: 20
|
| Verfasst am:
Mi 28 Jun, 2006 18:37 |
|
|
Hallo Backslash,
danke für die ausführliche Information!
Grüße Tom |
|
|
|
|
|
|
|
|
| |
|
|
