Date: Fri, 27 May 2016 16:46:54 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48858 - head/de_DE.ISO8859-1/books/handbook/firewalls Message-ID: <201605271646.u4RGksfk055751@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Fri May 27 16:46:54 2016 New Revision: 48858 URL: https://svnweb.freebsd.org/changeset/doc/48858 Log: Revise the firewall chapter. Start with "Einführung/Konzepte". More commits to come. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6583 Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Fri May 27 11:39:54 2016 (r48857) +++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Fri May 27 16:46:54 2016 (r48858) @@ -37,7 +37,7 @@ <title>Einführung</title> <para>Firewalls ermöglichen es, den ein- und ausgehenden - Netzwerkverkehr Ihres Systems zu filtern. Dazu verwendet eine + Netzwerkverkehr eines Systems zu filtern. Dazu verwendet eine Firewall eine oder mehrere Gruppen von <quote>Regeln</quote>, um ankommende Netzwerkpakete zu untersuchen und entweder durchzulassen oder zu blockieren. Die Regeln einer @@ -51,54 +51,76 @@ <itemizedlist> <listitem> - <para>Den Schutz der Anwendungen, Dienste und Rechner Ihres + <para>Den Schutz der Anwendungen, Dienste und Rechner eines internen Netzwerks vor unerwünschtem Datenverkehr aus dem Internet.</para> </listitem> <listitem> <para>Die Beschränkung des Zugriffs von Rechnern des - internen Netzwerk auf Rechner oder Dienste des externen + internen Netzwerks auf Rechner oder Dienste des öffentlichen Internets.</para> </listitem> <listitem> <para>Den Einsatz von Network Address Translation - (<acronym>NAT</acronym>), die es Ihnen durch die Verwendung + (<acronym>NAT</acronym>), welches es durch die Verwendung von privaten <acronym>IP</acronym>-Adressen ermöglicht, eine einzige gemeinsame Internetverbindung für mehrere - Rechner zu nutzen (entweder über eine einzige Adresse - oder über eine Gruppe von jeweils automatisch - zugewiesenen öffentlichen - <acronym>IP</acronym>-Adressen).</para> + Rechner zu nutzen. Dies geschieht entweder über eine + einzige <acronym>IP</acronym>-Adresse oder über eine Gruppe + von jeweils automatisch zugewiesenen öffentlichen + Adressen.</para> </listitem> </itemizedlist> - <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie:</para> + <para>Das Basissystem von &os; enthält drei Firewalls: + <application>PF</application>, <application>IPFW</application> + und <application>IPFILTER</application> (auch als + <application>IPF</application> bekannt). &os; enthält ebenfalls + zwei <foreignphrase>Traffic-Shaper</foreignphrase> zur Kontrolle + der Bandbreite: &man.altq.4; und &man.dummynet.4;. + <application>ALTQ</application> ist traditionell eng an + <application>PF</application> gebunden, während + <application>dummynet</application> zusammen mit + <application>IPFW</application> verwendet wird. + Gemeinsam ist allen Firewalls, dass sie Regeln einsetzen, um den + Transfer von ein- und ausgehenden Datenpaketen des Systems + zu steuern. Unterschiedlich ist aber die Art und Weise, wie + dies realisiert wird. Auch die für diese Regeln verwendete + Syntax ist unterschiedlich.</para> + + <para>&os; besitzt mehrere Firewalls, um den unterschiedlichen + Anforderungen und Vorlieben von Benutzern gerecht zu werden. + Jeder Benutzer sollte selbst beurteilen, welche Firewall seinen + Bedürfnissen am besten entspricht.</para> + + <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie + wissen:</para> <itemizedlist> <listitem> - <para>Wissen, wie man korrekte Paketfilterregeln erstellt.</para> + <para>Wie man Paketfilterregeln erstellt.</para> </listitem> <listitem> - <para>Die Unterschiede zwischen den in &os; eingebauten Firewalls - kennen.</para> + <para>Was die Unterschiede zwischen den in &os; eingebauten + Firewalls sind.</para> </listitem> <listitem> - <para>Wissen, wie man die <application>PF</application>-Firewall - von OpenBSD konfiguriert und einsetzt.</para> + <para>Wie die <application>PF</application>-Firewall + konfiguriert und einsetzt wird.</para> </listitem> <listitem> - <para><application>IPFILTER</application> konfigurieren und - einsetzen können.</para> + <para>Wie die <application>IPFW</application>-Firewall + konfiguriert und einsetzt wird.</para> </listitem> <listitem> - <para>Wissen, wie man <application>IPFW</application> konfiguriert - und einsetzt.</para> + <para>Wie die <application>IPFILTER</application>-Firewall + konfiguriert und einsetzt wird.</para> </listitem> </itemizedlist> @@ -110,6 +132,16 @@ verstehen.</para> </listitem> </itemizedlist> + + <note> + <para>Da alle Firewalls auf der Inspektion ausgewählter + Kontrollfelder in Datenpaketen basieren, muss für die + Erstellung von Firewallregeln ein grundlegendes Verständnis + von <acronym>TCP/IP</acronym> vorhanden sein. Eine gute + Einführung finden Sie in <link + xlink:href="http://www.ipprimer.com/overview.cfm">; + Daryl's TCP/IP Primer</link>.</para> + </note> </sect1> <sect1 xml:id="firewalls-concepts"> @@ -117,96 +149,147 @@ <indexterm> <primary>firewall</primary> - - <secondary>rulesets</secondary> + <secondary>Regelsatz</secondary> </indexterm> - <para>Es gibt zwei grundlegende Arten, Regelgruppen für - Firewalls zu erstellen: <quote>einschließend</quote> - (<foreignphrase>inclusive firewall</foreignphrase>) sowie - <quote>auschließend</quote> (<foreignphrase>exclusive - Firewall</foreignphrase>). Eine auschließende Firewall - lässt jeden Datenverkehr durch, der nicht durch eine Regel - ausgeschlossen wurde. Eine einschließende Firewall macht - das genaue Gegenteil. Sie lässt Datenverkehr nur dann - durch, wenn er einer der definierten Regeln entspricht.</para> - - <para>Eine inclusive Firewall bietet eine wesentlich bessere Kontrolle - des ausgehenden Verkehrs, macht sie zur besseren Wahl für Systeme, - die Services für das Internet anbieten. Sie kontrolliert - auch den Verkehr vom Internet zu ihrem privaten Netzwerk. Jeder Verkehr, - der keiner Regel entspricht wird geblockt und geloggt. Inclusive - Firewalls sind generell sicherer als exclusive Firewalls, da sie das - Risiko, dass unerwünschter Verkehr hindurch geht, drastisch - reduzieren.</para> + <para>Ein Regelsatz besteht aus einer Gruppe von Regeln, die + Pakete basierend auf ihren Inhalt entweder blockieren oder + durchlassen. Der bidirektionale Austausch von Paketen zwischen + zwei Rechnern wird als Sitzung + (<foreignphrase>Session</foreignphrase>) bezeichnet. Der + Regelsatz verarbeitet sowohl ankommende Pakete aus dem + Internet, als auch die vom System erzeugten Antwortpakete. + Jeder <acronym>TCP/IP</acronym>-Dienst hat ein festgelegtes + Protokoll und einen vorgegebenen Port. Pakete für einen + bestimmten Dienst stammen von einer Quelladresse und einem + unprivilegierten Port und gehen an einen spezifischen Port + auf der Zieladresse. Alle oben genannten Parameter können als + Selektionskriterien verwendet werden, um einen Regelsatz zu + erstellen, der den Zugriff auf bestimmte Dienste gewährt oder + blockiert.</para> + + <para>Unbekannte Portnummern können Sie in + <filename>/etc/services</filename> nachschlagen. + Alternativ finden Sie die Portnummern und deren Verwendungszweck + auf <link + xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">; + http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</link>.</para>; + + <para>Die Seite <link + xlink:href="http://www.sans.org/security-resources/idfaq/oddports.php">; + http://www.sans.org/security-resources/idfaq/oddports.php</link>; + enthält eine Liste der Portnummern, die auch von Trojanern + benutzt werden.</para> + + <para><acronym>FTP</acronym> hat zwei Modi: Aktiv und Passiv. + Unterschied liegt in der Bestimmung des Datenkanals. Der + Passiv-Modus ist sicherer, da der Datenkanal vom Client + bestimmt wird. Eine ausführliche Erklärung von + <acronym>FTP</acronym> und den verschiedenen Modi finden Sie + unter <link xlink:href="http://www.slacksite.com/other/ftp.html">; + http://www.slacksite.com/other.ftp.html</link>.</para>; + + <para>Ein Firewall-Regelsatz kann entweder + <quote>einschließend</quote> (<foreignphrase>inclusive + firewall</foreignphrase>) oder <quote>ausschließend</quote> + (<foreignphrase>exclusive Firewall</foreignphrase>) sein. Eine + ausschließende Firewall lässt jeden Datenverkehr durch, der + nicht durch eine Regel ausgeschlossen wurde. Eine + einschließende Firewall macht das genaue Gegenteil. Sie lässt + Datenverkehr nur dann passieren, wenn dieser einer der + definierten Regeln entspricht.</para> + + <para>Eine einschließende Firewall bietet eine wesentlich bessere + Kontrolle des ausgehenden Verkehrs, was sie zur besseren Wahl + für Systeme macht, welche Dienste für das Internet anbieten. + Sie kontrolliert auch den Verkehr aus dem öffentlichen Internet + zum privaten Netzwerk. Jeder Verkehr, der keiner Regel + entspricht wird geblockt und protokolliert. Einschließende + Firewalls sind generell sicherer als ausschließende Firewalls, + da sie das Risiko, dass unerwünschter Verkehr hindurch geht, + drastisch reduzieren.</para> <note> <para>Wenn nicht anders vermerkt, verwenden alle Konfigurationen - und Beispielregelsets dieses Kapitels inclusive Firewalls.</para> + und Regelsätze in diesem Kapitel einschließende + Firewalls.</para> </note> - <para>Die Sicherheit einer Firewall kann durch den Einsatz einer - <quote>zustandsabhängigen Firewall</quote> + <para>Die Sicherheit kann durch den Einsatz einer + <quote>zustandsorientierten Firewall</quote> (<foreignphrase>stateful firewall</foreignphrase>) weiter - erhöht werden. Dieser Typ einer Firewall - überwacht alle durch die Firewall gehenden offenen - Verbindungen und erlaubt nur schon bestehenden Verkehr oder - Datenverkehr, der eine neue Verbindung öffnet. Der Nachteil - einer zustandsabhängigen Firewall ist allerdings, dass sie - anfällig für Denial of Service (<acronym>DoS</acronym>) - -Attacken ist, wenn sehr schnell sehr viele neue Verbindungen - erstellt werden. Bei den meisten Firewalls können Sie eine - Kombination aus zustandsabhängigem und nicht - zustandsabhängigem Verhalten verwenden, um eine für Ihre - Bedürfnisse optimale Firewall einzurichten.</para> - </sect1> + erhöht werden. Dieser Typ Firewall überwacht alle offenen + Verbindungen und erlaubt nur Datenverkehr von bereits + bestehenden Verbindungen oder wenn eine neue Verbindung + aufgebaut wird.</para> + + <para>Eine zustandsorientierte Firewall behandelt den Verkehr + als einen bidirektionalen Austausch von Paketen während einer + Session. Wenn ein Zustand für eine passende Regel angegeben + wird, erstellt die Firewall dynamisch interne Regeln für jedes + Paket, das während dieser Session ausgetauscht wird. Die + Firewall hat ausreichend Möglichkeiten, um zu bestimmen, ob ein + Paket zu einer Session gehört. Alle Pakete, die nicht zu dieser + Session passen, werden automatisch abgelehnt.</para> + + <para>Sobald die Session beendet ist, wird sie aus der + dynamischen Zustandstabelle entfernt.</para> + + <para>Eine zustandsorientierte Filterung erlaubt es, sich auf die + Sperrung bzw. Freigabe von neuen Sessions zu konzentrieren. + Wenn eine neue Session genehmigt wird, werden alle nachfolgenden + Pakete dieser Session automatisch erlaubt und betrügerische + Pakete werden automatisch abgelehnt. Wenn eine neue Session + nicht genehmigt wird, werden alle nachfolgenden Pakete dieser + Session abgelehnt. Die zustandsorientierte Filterung bietet + fortgeschrittene Fähigkeiten zur Abwehr von verschiedensten + Angriffsmethoden, die von Angreifern eingesetzt werden.</para> + + <para><acronym>NAT</acronym> steht für <emphasis>Network Address + Translation</emphasis>. Die <acronym>NAT</acronym>-Funktion + ermöglicht es einem privaten <acronym>LAN</acronym> hinter einer + Firewall, sich eine einzelne vom <acronym>ISP</acronym> + zugewiesene <acronym>IP</acronym>-Adresse zu teilen, auch wenn + die Adresse dynamisch zugewiesen wird. <acronym>NAT</acronym> + ermöglicht den Internetzugriff für jeden Rechner im + <acronym>LAN</acronym>, ohne dass der <acronym>ISP</acronym> für + mehrere Internet-Konten bezahlt wird.</para> + + <para><acronym>NAT</acronym> übersetzt automatisch die private + <acronym>IP</acronym>-Adresse auf die öffentliche + <acronym>IP</acronym>-Adresse, sobald ein Paket für das + öffentliche Internet die Firewall passiert. Zusätzlich führt es + auch die Übersetzung der Anwortpakete durch.</para> + + <para>Gemäß RFC 1918 sind die folgenden + <acronym>IP</acronym>-Adressbereiche für private Netzwerke + reserviert und werden nie ins öffentliche Internet + weitergeleitet. Daher sind diese Bereiche für den Einsatz + mit <acronym>NAT</acronym> geeignet:</para> - <sect1 xml:id="firewalls-apps"> - <title>Firewallpakete</title> + <itemizedlist> + <listitem> + <para><literal>10.0.0.0/8</literal></para> + </listitem> - <para>Das Basissystem von &os; enthält bereits drei - Firewallpakete: <emphasis>IPFILTER</emphasis> (auch als - <acronym>IPF</acronym> bekannt), <emphasis>IPFIREWALL</emphasis> - (auch als <acronym>IPFW</acronym> bezeichnet) sowie das von OpenBSD - übernommene <emphasis>PacketFilter</emphasis> (das auch als - <acronym>PF</acronym> bezeichnet wird). Zusätzlich - verfügt &os; über zwei eingebaute Pakete für das - sogenannte <foreignphrase>traffic shaping</foreignphrase> (dabei - handelt es sich die Steuerung des Bandbreitenverbrauchs): - &man.altq.4; sowie &man.dummynet.4;. Dummynet steht traditionell - in enger Verbindung mit <acronym>IPFW</acronym>, während - <acronym>ALTQ</acronym> gemeinsam mit <acronym>PF</acronym> - eingesetzt wird. Traffic Shaping für IPFILTER ist derzeit - mit IPFILTER für NAT sowie Filterung und - mit <acronym>IPFW</acronym> und &man.dummynet.4; - <emphasis>oder</emphasis> durch die Kombination von - <acronym>PF</acronym> mit <acronym>ALTQ</acronym> möglich. - Gemeinsam ist allen Firewallpaketen (IPF, IPFW sowie PF), dass sie - Regeln einsetzen, um den Transfer von Datenpaketen auf und von - Ihrem System zu regeln. Unterschiedlich sind aber die Art und - Weise, wie dies realisiert wird. Auch die für diese Regeln - verwendete Syntax ist unterschiedlich.</para> - - <para>&os; überlässt es dem Anwender, das Firewallsystem - zu wählen, dass seinen Anforderungen und Vorlieben am Besten - entspricht. Keines der im Basissystem enthaltenen Firewallpakete - wird dabei als <quote>das beste</quote> angesehen.</para> - - <para>IPFILTER hat etwa den Vorteil, dass dessen - zustandsabhängige Regeln relativ einfach in einer - <acronym>NAT</acronym>-Umgebung implementiert werden können. - Außerdem verfügt es über einen eigenen FTP-Proxy, - der die Erstellung von sicheren Regeln für ausgehende - FTP-Verbindungen vereinfacht.</para> - - <para>Da alle Firewalls auf der Untersuchung der Werte - ausgewählter Kontrollfelder von Datenpaketen basieren, ist es - für die Erstellung von Firewallregeln notwendig, die - Funktionsweise von <acronym>TCP/IP</acronym> zu verstehen. - Außerdem muss man dazu wissen, was die Werte der einzelnen - Kontrollfelder bedeuten und wie diese während einer - Verbindung eingesetzt werden. Eine gute Erklärung dieser - Thematik finden Sie unter <uri xlink:href="http://www.ipprimer.com/overview.cfm">http://www.ipprimer.com/overview.cfm</uri>.</para>; + <listitem> + <para><literal>172.16.0.0/12</literal></para> + </listitem> + + <listitem> + <para><literal>192.168.0.0/16</literal></para> + </listitem> + </itemizedlist> + + <warning> + <para>Seien Sie <emphasis>äußerst vorsichtig</emphasis> wenn Sie + mit Firewallregeln arbeiten. Durch eine falsche Konfiguration + kann der Administrator den Zugriff auf den Server verlieren. + Um auf der sicheren Seite zu sein, sollten Sie die anfängliche + Konfiguration der Firewall von der lokalen Konsole + durchführen, anstatt dass Sie dies aus der Ferne über + <application>ssh</application> tun.</para> + </warning> </sect1> <sect1 xml:id="firewalls-pf"> @@ -534,7 +617,7 @@ options ALTQ_NOPCC # Wird v betreut und gesteuert werden kann. Die Regeln der Firewall werden mit dem Programm &man.ipf.8; gesetzt oder gelöscht. Für die Manipulation der <acronym>NAT</acronym> Regeln verwendet man - &man.ipnat.1;. Mit &man.ipfstat.8; werden Laufzeitstatistiken der + &man.ipnat.8;. Mit &man.ipfstat.8; werden Laufzeitstatistiken der kernelseitigen Anteile von IPFILTER aufgelistet. Und mit dem Programm &man.ipmon.8; kann man die Aktionen von IPFILTER in die Protokolldateien des Systems speichern.</para> @@ -557,8 +640,11 @@ options ALTQ_NOPCC # Wird v einschließenden Regelsatz erstellen können.</para> <para>Für eine ausführliche Erläuterung der alten Methode - zur Regelverarbeitung schauen Sie bitte auf <uri xlink:href="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1">http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1</uri>; - oder <uri xlink:href="http://coombs.anu.edu.au/~avalon/ip-filter.html">http://coombs.anu.edu.au/~avalon/ip-filter.html</uri>.</para>; + zur Regelverarbeitung schauen Sie bitte auf <uri + xlink:href="http://www.munk.me.uk/ipf/ipf-howto.html">; + http://www.munk.me.uk/ipf/ipf-howto.html</uri>; oder <uri + xlink:href="http://coombs.anu.edu.au/~avalon/ip-filter.html">; + http://coombs.anu.edu.au/~avalon/ip-filter.html</uri>.</para>; <para>Antworten auf häufige Fragen finden Sie unter <uri xlink:href="http://www.phildev.net/ipf/index.html">http://www.phildev.net/ipf/index.html</uri>.</para>; @@ -1714,7 +1800,7 @@ block in log first quick on dc0 proto tc block in log first quick on dc0 proto tcp/udp from any to any port = 81 # Allow traffic in from ISP's DHCP server. This rule must contain -# the IP address of your ISP's DHCP server as it's the only +# the IP address of your ISP's DHCP server as it is the only # authorized source to send this packet type. Only necessary for # cable or DSL configurations. This rule is not needed for # 'user ppp' type connection to the public Internet. @@ -1846,7 +1932,7 @@ block in log first quick on dc0 all <para><acronym>NAT</acronym> rules are loaded by using the <command>ipnat</command> command. Typically the <acronym>NAT</acronym> rules are stored in - <filename>/etc/ipnat.rules</filename>. See &man.ipnat.1; for + <filename>/etc/ipnat.rules</filename>. See &man.ipnat.8; for details.</para> <para>When changing the <acronym>NAT</acronym> rules after
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605271646.u4RGksfk055751>