From owner-p4-projects@FreeBSD.ORG Sun Aug 30 21:15:45 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id A6E8E1065679; Sun, 30 Aug 2009 21:15:45 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 525C41065670 for ; Sun, 30 Aug 2009 21:15:45 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 404678FC0A for ; Sun, 30 Aug 2009 21:15:45 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n7ULFj7N061879 for ; Sun, 30 Aug 2009 21:15:45 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n7ULFjF4061877 for perforce@freebsd.org; Sun, 30 Aug 2009 21:15:45 GMT (envelope-from rene@FreeBSD.org) Date: Sun, 30 Aug 2009 21:15:45 GMT Message-Id: <200908302115.n7ULFjF4061877@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 167993 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 30 Aug 2009 21:15:45 -0000 http://perforce.freebsd.org/chv.cgi?CH=167993 Change 167993 by rene@rene_self on 2009/08/30 21:15:18 MFen handbook/firewalls up to the new line 2087 Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#10 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#10 (text+ko) ==== @@ -1402,13 +1402,11 @@ gedaan worden met een aantal verschillende operatoren. Er kunnen ook reeksen van poorten ingesteld worden. - port = of een van de volgende - operators: !=, <, >, <, >=, eq, ne, - lt, gt, le, ge. + poort "=" | "!=" | "<" | ">" | "<=" | ">=" | + "eq" | "ne" | "lt" | "gt" | "le" | "ge" Reeksen van poorten worden met de volgende optie - aangegeven: port <> of - ><. + aangegeven: poort <> | >< De volgende twee parameters die betrekking hebben op @@ -1418,13 +1416,12 @@ - <acronym>TCP</acronym>_VLAG Vlaggen zijn alleen beschikbaar voor het filteren van TCP. De letters staan voor de mogelijke vlaggen die bekeken kunnen worden in de - kop van een TCP pakket. + kop van een TCP-pakket. In de moderne regels wordt de optie flags S gebruikt om het verzoek tot het starten van @@ -1463,9 +1460,10 @@ pakketten die niet passen in de sessie, worden automatisch geblokkeerd. - keep state staat ook ICMP pakketten toe - die gerelateerd zijn aan een TCP of UDP - sessie. Dus als er een ICMP type 3 code 4 komt in antwoord op + keep state staat ook + ICMP-pakketten toe die gerelateerd zijn aan een + TCP- of UDP-sessie. Dus als er + een ICMP-type 3 code 4 komt in antwoord op websurfen, dat wordt toegestaan van binnen naar buiten door een keep state regel, dan wordt dat toegelaten. Pakketten waarvan IPF zeker is dat ze onderdeel zijn van de @@ -1477,19 +1475,20 @@ vergeleken met de dynamische staattabel. Als een pakket voldoet aan de verwachting van het volgende pakket in de sessie, dan mag het de firewall verlaten en wordt de - staattabel bijgewerkt. De overige pakketten worden - vergeleken met de set van regels voor uitgaand - verkeer. + toestand van de sessie in de dynamische toestandstabel bijgewerkt. + Pakketten die niet bij een reeds actieve sessie horen, worden tegen de + uitgaande regelverzameling gecontroleerd. Pakketten die binnenkomen op de interface die met Internet is verbonden worden eerst vergeleken met de dynamische staattabel. Als een pakket voldoet aan de verwachting van het volgende pakket in de sessie, dan mag het - de firewall verlaten en wordt de staattabel bijgewerkt. De - overige pakketten worden vergeleken met de set van regels - voor uitgaand verkeer. + de firewall verlaten en wordt de toestand van de sessie in de dynamische + toestandstabel bijgewerkt. Pakketten die niet bij een reeds actieve + sessie horen, worden vergeleken met de regelverzameling voor + binnenkomend verkeer. - Als de sessie wordt beëindigd wordt hij uit de + Als de sessie wordt beëindigd wordt het uit de dynamische staattabel verwijderd. Met stateful filteren is het mogelijk om de focus te @@ -1510,10 +1509,16 @@ De onderstaande regels zijn een voorbeeld van hoe een erg veilige inclusieve firewall opgezet kan worden. Een inclusieve firewall staat alleen diensten toe die passen bij - de pass regels en blokkeert al het - overige verkeer. Alle firewalls hebben tenminste twee - interfaces waarop regels van toepassing zijn om de firewall - te laten werken. + de pass-regels en blokkeert al het + overige verkeer. Firewalls die bedoeld zijn om andere machines te + beschermen, ook wel netwerk-firewalls genoemd, dienen + tenminste twee inferfaces te hebben, die over het algemeen zijn + ingesteld om de ene kant te vertrouwen (het LAN) maar + niet de andere (het publieke Internet). Ook kan een firewall worden + ingesteld om alleen het systeem te beschermen waarop het + draait—dit wordt een host-gebaseerde firewall + genoemd, en is in het bijzonder geschikt voor servers op een onvertrouwd + netwerk. Alle &unix; systemen en dus ook &os; zijn zo ontworpen dat ze voor interne communicatie de interface @@ -1523,21 +1528,20 @@ vinden. Voor de interface die is verbonden met het publieke - Internet worden regels gemaakt waarmee sessies naar het - Internet mogelijk gemaakt worden en toegang wordt gegeven - voor pakketten die uit die sessies terug komen. Dit kan - de PPP interface tun0 zijn of de - netwerkkaart die is verbonden met een xDSL of - kabelmodem. + Internet worden regels gemaakt waarmee de toegang voor uitgaande en + binnenkomende verbindingen worden geauthoriseerd en beheersd. + Dit kan de PPP-interface tun0 zijn of de + netwerkkaart die is verbonden met een xDSL- of kabelmodem. In gevallen dat er één of meer netwerkkaarten - zijn aangesloten op het LAN achter de firewall, dan moeten er - op de firewall regels zijn om het verkeer tussen die interfaces - vrije doorgang te geven. + zijn aangesloten op private netwerksegmenten kunnen er regels + op de firewall nodig zijn om pakketten die van die LAN-interfaces + afkomen vrije doorgang te geven naar elkaar en/of naar buiten + (het Internet). - De regels worden opgedeeld in drie onderdelen: alle - interfaces met vrije doorgang, uitgaand op publieke - interfaces en inkomend op publieke interfaces. + De regels worden opgedeeld in drie onderdelen: eerst de vertrouwde + interfaces, dan het publieke uitgaande interface en als laatste het + onvertrouwde publieke binnenkomende interfaces. In iedere sectie moeten zo staan dat de regels die het meest gebruikt worden vóór de regels die minder @@ -1546,70 +1550,74 @@ richting geblokkeerd en gelogd moet worden. In het onderdeel Uitgaand staan alleen regels met - pass die parameters bevatten om - individuele diensten beschikbaar te maken zodat er Internet - toegang is. Al die regels moeten gebruik maken van - quick, on, - proto, port en - keep state. De regels met - proto tcp maken ook gebruik van - flag om te bekijken of het een pakket + pass die parameters bevatten om + uniek individuele diensten identificeren die het publieke Internet mogen + benaderen. Bij al die regels staan de opties + quick, on, + proto, port en + keep state aan. De regels met + proto tcp maken ook gebruik van de optie + flag om te bekijken of het een pakket betreft voor het opzetten van een sessie om de stateful functionaliteit aan te sturen. - In het onderdeel Inkomend staan alle regels voor het - blokkeren van ongewenste pakketten eerst om twee redenen. - Als eerste kan het zo zijn dat wat er wordt geblokkeerd - later toegestaan zou worden door regels die diensten - toestaan. De tweede reden is dat nu ongewenste pakketten - die vaak voor komen en die bij voorkeur niet in de - logboeken voor komen niet meer van toepassing zijn op de - laatste regel van het onderdeel waarin ze zouden worden - gelogd. Met de laatste regel van dit onderdeel worden - alle overige pakketten geblokkeerd en gelogd en ze kunnen - bewijsmateriaal zijn in een zaak tegen iemand die heeft - geprobeerd een systeem aan te vallen. + In het onderdeel Inkomend staan eerst alle regels voor het + blokkeren van ongewenste pakketten, om twee redenen. + Als eerste kan het zo zijn dat kwaadardige pakketten gedeeltelijk + overeenkomen met legitiem verkeer. Deze pakketten moeten worden + weggegooid in plaats van binnengelaten te worden, gebaseerd op hun + gedeeltelijke match met de allow-regels. De tweede + reden is dat bekende en oninteressante verwerpingen stil geblokkeerd + kunnen worden in plaats van gevangen en gelogd te worden door de + laatste regels in de sectie. De laatste regel in elke sectie blokkeert + en logt alle pakketten en kan worden gebruikt voor het wettelijke bewijs + nodig om degenen die uw systeem aanvallen aan te klagen. - Voor al het verkeer dat wordt geweigerd wordt geen - antwoord gestuurd. De pakketten verdwijnen gewoon. Zo weet - een aanvaller niet of een pakket het doelsysteem wel heeft - bereikt. Zo kan een aanvaller geen informatie verzamelen + Waar ook gezorgd voor moet worden is dat al het verkeer dat wordt + geweigerd geen antwoord verstuurd. Ongeldige pakketten dienen gewoon te + verdwijnen. Zo weet een aanvaller niet of een pakket het doelsysteem + wel heeft bereikt. Zo kan een aanvaller geen informatie verzamelen over een systeem: hoe minder informatie er over een systeem beschikbaar is, hoe meer tijd iemand erin moet steken voordat - er iets slechts gedaan kan worden. Zo wordt bijvoorbeeld - een inkomend verzoek van een nmap OS fingerprint - gelogd omdat een aanvaller zoiets zou proberen. + er iets slechts gedaan kan worden. Regels die een optie log + first bevatten, zullen alleen de eerste keer dat de + gebeurtenis voorkomt de gebeurtenis loggen. Deze optie is opgenomen in + de voorbeeldregel nmap OS fingerpint. Het + gereedschap security/nmap wordt vaak + door aanvallers gebruikt om het besturingssysteem van uw server + proberen te achterhalen. - We raden aan om als er logmeldingen komen van een regel + We raden aan om telkens als er logmeldingen komen van een regel met log first het commando ipfstat -hio uit te voeren om te - bekijken hoe vaak de regel van toepassing is geweest om te - kijken of de firewall overspoeld wordt, m.a.w. aangevallen - wordt. + bekijken hoe vaak de regel van toepassing is geweest. Een groot aantal + overeenkomsten geeft gewoonlijk aan dat de firewall overspoeld wordt, + m.a.w. aangevallen wordt. - Als er pakketten gelogd worden waarvan de beheerder het - poortnummer niet herkent, dan is de functie van dat poortnummer - na te zoeken in /etc/services of op . + Het bestand /etc/services kan gebruikt worden + om onbekende poortnummers op te zoeken. Ook kan + worden bezocht en het poortnummer worden opgezocht om het doel van een + bepaalde poort uit te vinden. Op de volgende link worden poortnummers van Trojans beschreven: . De onderstaande set regels is een complete en erg veilige - inclusieve set met regels voor een firewall die de auteur - zelf heeft gebruikt op zijn systeem. Deze set met regels is - een aanrader en eenvoudig aan te passen door commentaar te - maken van een regel voor een dienst die niet gewenst + inclusieve set met regels voor een firewall die is + getest op productiesystemen. Deze set met regels is eenvoudig aan te + passen voor uw eigen systeem. Maak gewoon commentaar van elke + pass-regel voor een dienst die niet gewenst is. - Logberichten die niet gewenst zijn, zijn uit te sluiten - door ze met een regel te blokkeren in het begin van het + Logberichten die niet gewenst zijn, zijn uit te sluiten door een + block-regel toe te voegen in het begin van het onderdeel Inkomend. Voor de onderstaande regels dient de dc0 interfacenaam in iedere regel - vervangen te worden door de interfacenaam van de netwerkkaart + vervangen te worden door de echte interfacenaam van de netwerkkaart in het systeem die met het publieke Internet is verbonden. Voor gebruikers van PPP zou dat tun0 zijn. @@ -1634,8 +1642,8 @@ ################################################################# # Interface aan het publieke Internet (onderdeel Uitgaand). # Inspecteer verzoeken om een sessie te starten van achter de -# firewall op het private netwerk of vanaf de server zelf naar -# het publieke Internet. +# firewall op het private netwerk of vanaf deze gateway-server +# naar het publieke Internet. ################################################################# # Geef toegang tot de DNS server van de ISP. @@ -1667,41 +1675,41 @@ # Sta Time toe. pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state -# Sta NNTP nieuws toe. +# Sta uitgaand NNTP nieuws toe. pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state -# Sta lokale en LAN gebruiker toe niet beveiligde FTP te gebruiken +# Sta uitgaande lokale niet beveiligde FTP (ook van LAN-gebruikers) toe # (zowel passieve als actieve modes). Deze functie maakt gebruik van -# de in IPNAT ingebouwde FTP proxy die in het bestand met nat regels +# de in IP-NAT ingebouwde FTP-proxy die in het bestand met NAT-regels # staat om dit in één regel te laten werken. Als er met # pkg_add pakketten toegevoegd moeten kunnen worden op een systeem, dan # is deze regel nodig. pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state -# Sta beveiligde FTP, Telnet en SCP toe. +# Sta uitgaande SSH/SFTP/SCP toe (vervangingen van telnet/rlogin/FTP) # Deze functie maakt gebruik van SSH (secure shell) pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state # Sta uitgaande niet beveiligde telnet toe. pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state -# Sta de &os; CVSUP functie toe. +# Sta de &os; CVSUP-functie toe. pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state # Sta ping toe naar het publieke Internet. pass out quick on dc0 proto icmp from any to any icmp–type 8 keep state -# Sta whois toe vanaf overal naar het publieke Internet. +# Sta whois toe vanaf het LAN naar het publieke Internet. pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state # Blokkeer en log het eerste voorkomen van al het andere dat probeert -# buiten te komen. Deze regel dwingt de 'block all' logica af. +# buiten te komen. Deze regel implementeert de standaard-blokkade. block out log first quick on dc0 all ################################################################# # Interface aan het publieke Internet (onderdeel Inkomend). # Inspecteert pakketten die van het publieke Internet komen -# met als bestemming de host zelf of het private netwerk. +# met als bestemming deze gateway-server of het private netwerk. ################################################################# # Blokkeer al het verkeer voor niet–routeerbare of gereserveerde @@ -1730,7 +1738,7 @@ block in quick on dc0 all with opt ssrr # Blokkeer pogingen voor nmap OS fingerprint. -# Log first occurrence of these so I can get their IP address +# Blokkeer het eerste voorkomen ervan voor de IP-adressen block in log first quick on dc0 proto tcp from any to any flags FUP # Blokkeer alles met speciale opties. @@ -1768,14 +1776,14 @@ #pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state # Sta beveiligde FTP, telnet en SCP toe vanaf Internet. -# Deze functie gebruik SSH (secure shell). +# Deze functie gebruikt SSH (secure shell). pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state # Blokkeer en log het eerste voorkomen van al het andere dat probeert # binnen te komen. Het loggen van alleen het eerste voorkomen stopt # een ontzegging van dienst aanval die gericht is op het laten -# vollopen van de partitie waarop de logboeken staan. Deze regel dwingt -# de 'block all' logica af. +# vollopen van de partitie waarop de logboeken staan. Deze regel implmenteert +# de standaard blokkade. block in log first quick on dc0 all ################### Einde van de regels ################################### @@ -1803,8 +1811,8 @@ NAT - NAT staat voor Network Address - Translation (netwerkadres vertaling). In &linux; heet dit IP + NAT staat voor Network Address + Translation (netwerkadres vertaling). In &linux; heet dit IP Masquerading. Een van de vele mogelijkheden die IPF NAT kan bieden is het delen van één IP adres op het publieke @@ -1814,11 +1822,10 @@ ISP's wijzen normaliter namelijk dynamisch een IP adres toe aan hun niet-commerciële gebruikers. Dynamisch betekent hier dat het - IP adres iedere dat er wordt ingebeld of - dat de kabel- of xDSL-modem uit- en aangeschakeld wordt - anders kan zijn. Dit IP adres is het - adres waarmee een netwerkapparaat bekend is op het publieke - Internet. + IP-adres iedere dat er wordt ingebeld of + dat het kabel- of xDSL-modem uit- en aangeschakeld wordt + anders kan zijn. Dit dynamische IP-adres wordt + gebruikt om uw systeem op het publieke Internet te identificeren. Stel dat er vijf PC's in een huis staan en iedere computer in dat huis heeft toegang tot Internet nodig. Dan @@ -1826,28 +1833,18 @@ en vijf telefoonlijnen om dat te realiseren. Met NAT is er maar één - account bij een ISP nodig en moeten er vier PC's met kabels - op een switch aangesloten waarop ook een &os; systeem is - aangesloten dat als gateway gaat opereren. + account bij een ISP nodig. De andere vier PC's moeten met kabels + op een switch worden aangesloten waarop ook een &os; systeem is + aangesloten dat binnen uw LAN als gateway gaat opereren. NAT zal automatisch de private LAN IP adressen van alle PC's vertalen naar - een enkel publiek IP adres als de + een enkel publiek IP-adres als de pakketten de firewall naar het Internet verlaten. - NAT wordt vaak gebruikt zonder - toestemming of wetenschap van een ISP en in de meeste - gevallen is het, als het wordt ontdekt, grond voor een ISP - om de account op te zeggen. Commerciële gebruikers - betalen veel meer voor hun Internet verbindingen en krijgen - vaak een reeks statische IP adressen die - nooit verandert. Een ISP verwacht en staat toe dat - commerciële gebruikers NAT inzetten - voor connectiviteit voor hun interne netwerk. - - Er is een speciale reeks van IP - adressen gereserveerd voor NAT op LANs. + Er is een speciale reeks van IP-adressen + gereserveerd voor NAT op private LANs. Volgens RFC 1918 kunnen de volgende reeksen - IP adressen gebruikt worden op private + IP-adressen gebruikt worden op private netwerken die nooit direct op het publieke Internet gerouteerd worden. @@ -1913,12 +1910,12 @@ . Meer details staan in &man.ipnat.1;. Bij het maken van wijzigingen aan de - NAT regels nadat NAT + NAT-regels nadat NAT gestart is, wordt aangeraden de wijziging aan het bestand met - regels te maken en daarna met ipnat - alle actieve NAT regels - te wissen. Daarna kunnen de regels uit het bestand weer als - volgt geladen worden: + regels te maken en daarna het commando ipnat + te gebruiken om alle actieve + NAT-regels te wissen. Daarna kunnen de regels uit + het bestand weer als volgt geladen worden: &prompt.root; ipnat -CF -f /etc/ipnat.rules @@ -2067,7 +2064,7 @@ te veel adressen zijn om te bedienen met één IP adres. Als er een blok van publiekelijke IP adressen beschikbaar is, dan kunnen deze adressen - gebruikt worden in een poel, welke door + gebruikt worden in een poel, welke door IPNAT gebruikt kan worden om één van de adressen te gebruiken als uitgaand adres. @@ -2099,11 +2096,11 @@ verkeer bij de juiste computer terecht komt. IPNAT gebruikt daarvoor de opties in NAT waarmee verkeer omgeleid kan worden. - Als bijvoorbeeld een webserver op 10.0.10.25 draait en het publieke + Als bijvoorbeeld een webserver op het LAN-adres 10.0.10.25 draait en het enkele publieke IP adres zou 20.20.20.5 zijn, dan zou dit mogelijk - zijn met één van de volgende twee regels: + role="ipaddr">20.20.20.5 zijn, dan zou de regel er als volgt + uit zien: rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80 @@ -2131,17 +2128,16 @@ FTP is er in twee smaken: actief en passief. Het verschil zit 'm in hoe het datakanaal wordt opgezet. De passieve variant is veiliger voor een gebruiker omdat bij deze variant - beide communicatiekanalen door de client zelf worden opgezet. - Op de volgende link zijn details over FTP na te lezen: - . - IP<acronym>NAT</acronym> regels + IP<acronym>NAT</acronym>-regels - IPNAT heeft een een speciale FTP proxy + IPNAT heeft een een speciale FTP-proxy ingebouwd die kan worden ingeschakeld met een - NAT map regel. Die kan + NAT-map-regel. Die kan al het uitgaande verkeer monitoren wat betreft opstartverzoeken voor sessies voor actieve en passieve FTP en dynamisch tijdelijke filterregels maken die alleen het @@ -2184,9 +2180,9 @@ IP<acronym>NAT</acronym> FTP filterregels - Als de NAT FTP proxy wordt gebruikt + Als de NAT-FTP-proxy wordt gebruikt is er maar één filterregel voor FTP - nodig. Zonder de FTP proxy zouden er drie regels nodig + nodig. Zonder de FTP-proxy zouden er drie regels nodig zijn: # Sta LAN client toe te FTP-en naar Internet