Hallo zusammen,
nur mal so interessehalber:
Bei unserer DENY_ALL-Regel ist die Benachrichtigung per Syslog deaktiviert.
Trotzdem erscheinen einige Einträge "connection refused".
Wenn man nun die Benachrichtigung aktiviert erscheinen zusätzlich Einträge "port filter"
Das bedeutet meinem Verständnis nach, dass die Firewall die Pakete schon vor den selbst definierten Regeln abfängt, ist ja auch laut Handbuch so...
Nun 3 Fragen dazu:
1) wäre eine DENY_ALL_IN-Regel damit sinnlos weil implizit ?
2) kann ich das Syslog-Modul dahingehend beeinflussen die zutreffende Regel zu loggen, wie im Lan-Monitor ?
3) kann man für die nicht durch eigene Regeln abgelehnten Pakete auch eine Sperrung der Sender-Adresse für einen Zeitraum einrichten ?
Danke und Grüße
Tom
Firewall-Regeln und Syslog
Moderator: Lancom-Systems Moderatoren
Hi trlcf
Aber auch auf maskierten Verbindungen ist diese Regel nicht ganz überflüssig, da sich die Maskierung nur die "lokale" Seite merkt. Das bedeutet, daß ein Angreifer durchaus durch eine Maskierung in das LAN kommen kann, wenn er weiß, welcher Rechner gerade welchen Port geöffnet hat. Da die Firewall aber Verbindungsabhängig arbeitet, würde ein solcher Angriff zwar noch durch die Maskierung kommen, dann aber spätestens an der DENY_ALL_IN-Regel abgeblockt.
Außerdem führt eine solche Sperrung oftmals genau dazu, was der Angreifer wollte: ein perfekter DoS-Angriff...
Stell dir dazu einfach mal vor ein Angreifer fakt die Adresse des DNS-Servers deines Internet-Providers und du sperrst diesen...
Daher: Finger weg von derartigen Sperrungen - sie machen mehr Ärger als sie nutzen
Gruß
Backslash
das ist korrekt, weil diese Meldung nicht von der Firewall erzeugt wird, sondern vom Masquerading-Modul. Das dumpt jeden Versuch, eine Verbindung zu etablieren, für die kein Portforwarding eingerichtet wurde.Bei unserer DENY_ALL-Regel ist die Benachrichtigung per Syslog deaktiviert.
Trotzdem erscheinen einige Einträge "connection refused".
Das sind die Meldungen der Firewall, in denen sie angibt, aufgrund welcher Regel ein Paket verworfen wurde.Wenn man nun die Benachrichtigung aktiviert erscheinen zusätzlich Einträge "port filter"
jain. Als erstes wird auf DoS-Angriffe und Einbruchsversuche (IDS) geprüft und die dort angegebenen Aktionen ausgeführt. Danach werden die selbst erstellten Regeln bearbeitet. Das hat aber alles nichts damit zu tun, daß die Maskierung Verbindungen, die sie nicht zuordnen kann, verwirftDas bedeutet meinem Verständnis nach, dass die Firewall die Pakete schon vor den selbst definierten Regeln abfängt
nein, sie ist weder implizit noch sinnlos. Hinter einer Maskierung verhindert die Maskierung zwar bereits, daß Verbindungen von Aussen her aufgebaut werden können. Anders sieht es bei unmaskierten Verbindungen aus - hier ist eine DENY_ALL_IN-Regel durchaus nötig.1) wäre eine DENY_ALL_IN-Regel damit sinnlos weil implizit ?
Aber auch auf maskierten Verbindungen ist diese Regel nicht ganz überflüssig, da sich die Maskierung nur die "lokale" Seite merkt. Das bedeutet, daß ein Angreifer durchaus durch eine Maskierung in das LAN kommen kann, wenn er weiß, welcher Rechner gerade welchen Port geöffnet hat. Da die Firewall aber Verbindungsabhängig arbeitet, würde ein solcher Angriff zwar noch durch die Maskierung kommen, dann aber spätestens an der DENY_ALL_IN-Regel abgeblockt.
das gibt es doch aus, wenn das Häkchen an der Regel gesetzt ist (kommt im mehreren Zeilen)2) kann ich das Syslog-Modul dahingehend beeinflussen die zutreffende Regel zu loggen, wie im Lan-Monitor ?
da es solche Regeln nicht gibt: nein3) kann man für die nicht durch eigene Regeln abgelehnten Pakete auch eine Sperrung der Sender-Adresse für einen Zeitraum einrichten ?
Außerdem führt eine solche Sperrung oftmals genau dazu, was der Angreifer wollte: ein perfekter DoS-Angriff...
Stell dir dazu einfach mal vor ein Angreifer fakt die Adresse des DNS-Servers deines Internet-Providers und du sperrst diesen...
Daher: Finger weg von derartigen Sperrungen - sie machen mehr Ärger als sie nutzen
Gruß
Backslash