Bridgefirewall – eine transparente Lösung

rrze.uni.erlangen.de

Bridgefirewall – eine transparente Lösung

Bridgefirewall eine transparente Lösung

Thomas Röhl

08. April 2005


Inhalt

• Warum eine Bridgefirewall?

• Installation der Bridge

• IPtables der Paketfilter unter Linux

• Funktionsweise von IPtables

• Firewallregeln

• Spanning Tree Protocol

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

2


Warum Bridgefirewalls?

• Linux ist ein etabliertes Firewall-Betriebssystem

• Ab Kernel 2.2 Bridging-Code fester Bestandteil

• Arbeitet auf OSI-Layer 2

• Protokollunabhängig

• Keine eigene IP-Adresse, daher schwer angreifbar

• Einfache Installation

Einfache Integration in ein bestehendes

Netzwerk

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

3


Installation der Bridge (I)

• 2 Netzwerkkarten notwendig

• Bridging-Code muss im Kernel aktiviert sein

(bei Suse Standard)

• Bridge-Utils (Einfache Konfiguration der Bridge)

• IPtables

• ARPtables

• EBtables

• TCPdump - Paketanalyse

Pakete zum Filtern

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

4


Installation der Bridge (II)

root@bridge:# echo 1 > /proc/sys/net/ipv4/ip_forward

root@bridge:# brctl addbr br0

root@bridge:# brctl addif br0 eth0

root@bridge:# brctl addif br0 eth1

root@bridge:# brtcl stp br0 off

root@bridge:# ifconfig eth0 0.0.0.0 up

root@bridge:# ifconfig eth1 0.0.0.0 up

root@bridge:# ifconfig br0 up

• Überprüfung der Verbindungen mit tcpdump

• Mit „brctl showmacs br0“ kann man sich die

gesammelten MAC-Adressen auflisten lassen

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

5


IPtables der Paketfilter unter Linux (I)

• IPtables dient zum Filtern von Netzwerk-Paketen im

Kernel

• Kernelunterstützung seit Kernel 2.4

• 3 eingebaute Tables

(INPUT, OUTPUT, FORWARD)

• Überprüfung der Verbindungsstatus

(NEW, ESTABLISHED, RELATED, INVALID)

• Allgemeine Policies für Tables

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

6


IPtables der Paketfilter unter Linux (II)

• Connection Tracking

(Filtern nach TCP, UDP, ICMP, andere Protokolle

verfügbar)

• Logging einzelner Verbindungen

• Verhindern von Denial-of-Service-Attacken

• Erkennen der ICMP-Typen

• Rejects mit einstellbarem Verhalten

• Möglichkeit des SNAT, DNAT und Masquerading

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

7


DNAT, SNAT und Masquerading

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

8


Funktionsweise von IPtables (I)

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

9


Firewallregeln

• Filterregeln in ein Bash-Skript schreiben

• Überlegen, welche Dienste gesperrt bzw. erlaubt

sein sollen

• Alle Table-Policies auf DROP setzen und dann

einzelne Ports öffnen

• Regeln an Netzwerk-Interfaces binden, da

Bridges symmetrisch aufgebaut

Beispiel (WWW-Zugang mit HTTP):

root@bridge:# iptables -A FORWARD -p tcp -s

eth0 -d eth1 --dport 80 -m state

--state NEW, ESTABLISHED, RELATED

-j ACCEPT

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

10


Stateful Regeln

• Hierbei wird der Status der Verbindung geprüft

• Besonderen Augenmerk auf den NEW-Status legen

• Alle ESTABLISHED- und RELATED-Pakete können

durchgelassen werden

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

11


Danke!

Vielen Dank für Ihre

Aufmerksamkeit!

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

12


EBtables und ARPtables

EBtables:

• NAT über die MAC-Adressen

• Brouting Router und Bridge in einem

• VLAN-Filterung und Routing

• Blocken von bestimmten Protokoll-Headern

• Ändern der MAC-Adressen im Ethernet-Frame

• Logging möglich

• Filterung fast nur auf Layer-2

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

13


Spanning Tree Protocol (I)

• Möglichkeit der Hochverfügbarkeit von Bridges

• Ein Root-Switch übernimmt die Kontrolle über

alle beteiligten Switches

• Gegenseitige Überwachung der

Funktionstüchtigkeit

• Bei Ausfall wird der defekte Switch umgangen

• Festlegung der Root-Bridge durch Priorität

• Auf Bridgefirewall sollte STP deaktiviert sein, da

die Firewall sonst eher angreifbar

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

14


Spanning Tree Protocol (II)

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

15


Funktionsweise von IPtables (II)

Weg beim Einsatz einer Bridgefirewall

Eingehende

Pakete

Ausgehende

Pakete

08.04.05 Thomas.Roehl@rrze.uni-erlangen.de Bridgefirewall

16

Weitere Magazine dieses Users
Ähnliche Magazine