Netzwerk Netzwerkinterface Verbindungen
Internet Standleitung Verbindungen nur ins »Perimeter Network«
Internes Netzwerk Ethernet 1 Alle benötigten Dienste müssen funktionieren
Perimeter Network Ethernet 2 Vermittler zwischen Internet und internen Netzwerken
Andere Rechner ISDN Dialup Definierte Verbindungen ins interne Netzwerk

Tabelle 1: Grundkonzept einer »Screened Subnet Architecture«


Bereichen zur Verfügung steht. Diese Einstellungen werden von FCT direkt zur Generierung der »Rules-Files« für das interne und das »Perimeter Network« verwendet. Zur Erinnerung: Die Dienste der Firewall selbst wurden schon vorher definiert, die Dienste der »anderen Rechner« werden z.B. unter »Trusted« beschrieben.
    FCT verwendet hier wieder die Bezeichnungen »Incoming«, »Outgoing« und »All Directions« zur Beschreibung der Richtung, in welcher der Dienst genutzt werden kann. »Outgoing« bedeutet hier vom inneren Rechner zum äußeren. Alle Rechner im internen Netzwerk befinden sich innen, alle Rechner im Internet sind außen. Die Rechner im »Perimeter Network« sind aus Sicht des Internet innen und aus Sicht des internen Netzwerkes aussen. Dies muß bei der Definition in FCT berücksichtigt werden.
   Dazu ein Beispiel: Der E-Mail-Server »mail« befindet sich im »Perimeter Network«. Die Rechner im internen Netzwerk senden und empfangen E-Mail über diesen Rechner. Der Rechner mail muß also E-Mail mit dem Internet und dem internen Netzwerk austauschen (Listing 2).
   Hier sind für einen trivialen Dienst wie E-Mail (TCP: Port > 1023 -> smtp) für nur eine Richtung (ins Internet) schon zwölf(!) Kommandos auf der Firewall nötig, die mit FCT automatisch erstellt werden können. Die Option »! -y« gibt an, daß in Empfangsrichtung das TCP Flag ACK gesetzt sein muß. Soll der Verbindungsaufbau dieses Dienstes

Shell-Scripts generieren zu lassen, welche ihrerseits alle benötigten Filterregeln generieren. Innerhalb der Maske »Firewall« wird das Kommando bestimmt, welches die Skripte verwenden sollen. Im Moment stehen folgende Kommandos zur Auswahl:
ipfwadm - der Klassiker unter Linux, dort Standard,
ipchains - der Nachfolger von ipfwadm und
IP-Filter - kann unter vielen UNIX Derivaten eingesetzt werden.

Zur Generierung der »Rules Files«, welche die Filterregeln erzeugen, wählt man in der Maske »Rules« von FCT den entsprechenden Dienst aus der Liste aller vorhanden Definitionen aus. Wenn schon ein »Rules File« für einen Dienst existiert, ist der Name in der Auswahlliste mit einem »*« markiert. Es existieren drei extra Einträge in der Liste:

Firewall - generiert alle »Rules Files« für den Firewall,
Trusted - generiert alle »Rules Files« für »Trusted Hosts« und
re-create all rules - generiert alle »Rules Files« neu, einschließlich "Firewall" und "Trusted".

Dienste auf der Firewall

Bild 4: Dienste auf einer Firewall

protokolliert werden, sind zwei weitere Einträge mit der Option »-l« zum Loging nötig. Um E-Mail aus dem Internet zu empfangen, werden die gleichen Kommandos in der Gegenrichtung ebenfalls benötigt. Man erkennt, daß die Liste der Filterregeln schnell ins Bodenlose wächst und sehr fehlerträchtig ist.
    Mit der vorhandenen Definition ist es jetzt möglich, durch FCT ausführbare
    Die neu erzeugten Regeln können anschließend in der Rubrik »Test« gestartet werden. Die Auswahlliste ist identisch aufgebaut. Ein »Rules File« für smtp (etc/smtp.rules) wird entsprechend Listing 3 aufgebaut.
    Die Funktion 'ipgw' bestimmt die zu $source und $dest zugeordneten Netzwerk-Interfaces und generiert das jeweilige Kommando mit der
entsprechenden Syntax. Für die Dienste auf der Firewall selbst wird hier die Funktion 'ipfw' verwendet, welche aufgrund von nicht vorhandenem Routing weniger Kommandos generieren muß.
    Die »Rules Files« werten einen »Configuration«-Eintrag des betreffenden Dienstes aus. Das heißt, die Verfügbarkeit von Diensten kann geändert werden, ohne das die »Rules Files« neu generiert werden

FCT - Firewall Configuration Tool  


- 4 -

Homepage

1   2   3   4   5   6

Impressum