Aufgabe 1: Warum soll man es vermeiden, mehrere Router und damit mehrere Netze
an eine DMZ zu hängen?
Lösung
Die DMZ (=Demilitarisierte Zone) ist eine Firewall- Technik zum Schutz eines interenen
Netzwerks gegenüber anderen betriebsinternen Netzwerken und den öffentlich zugänglichen
Netzen. So ist der Datenverkehr zwischen den einzelnen Netzen nur für bestimmte Zwecke zugelassen.
Es sollte grundsätzlich vermieden werden, mehrere Router direkt an den DMZ (Bastionsrechner)
anzuschließen. Ist es einem Angreifer gelungen, auf das Bastionsrechner zuzugreifen, so hat er
mit einem Sniffer (=Softwareapplikationen, mit denen vertrauliche Daten im Internet abgefangen werden
können) die Möglichkeit, alle Daten mitzulesen, die zwischen den internen Netzen
übertragen werden.
Um das zu vermeiden, ist es empfehlenswert, mehrere Firewalls einzusetzen, um bestimmte Betriebs-
Bereiche zusätzlich abzusichern. Auch ist der Einsatz von Backbone mit den angeschlossenen
internen Netzen ist möglich.
Lösung schließen
Aufgabe 2: Hinter welcher Port- Nummern findet man die "klassischen" Server?
Lösung
Die Portnummer ist eine mehrstellige Ziffer, mit der Dienste eines Rechners gekennzeichnet werden.
Erreicht ein Datenpaket einen Zielrechner, dann vermittelt dieser es an das entsprechende Programm.
Aus diesem Grund ist in den Protokoll- Headern ein Datenfeld für die Portnummer vorgesehen.
Die Portnummern 0 bis 511 sind für bekannte Dienste reserviert, die als Well Known Services
("klassische" Server) bezeichnet werden. Zu den bekanntesten Portnummern gehören die Dienste von
- Ping (7),
- FTP Data (21),
- Simple Mail Transfer Protocol (25)
- Domain Name System (53)
- WWW/HTTP (80)
- Post Office Protocol POP 3 (110)
Lösung schließen
Aufgabe 3: Wie sieht von den Port-Nummern aus betrachtet eine Verbindung zwischen einem
"klassischen" Server und einem Client aus? Sind die Port- Nummern fest?
Lösung
Über die Portnummern erfolgt der gesamte Datenaustausch zwischen dem UDP- oder TCP-
Protokoll und den Anwendungsprozessen. Zur Vereinheitlichung der Dienste sind die Portnummern für
die bekanntesten Dienste durch die ICANN (Internet Corporation for Assigned Names and Numbers)
spezifiziert. Die Portnummern sind in Gruppen unterteilt und für bestimmte Dienste reserviert:
0 - 511 |
bekannte Dienste (s.o. Aufgabe 2) |
512 - 767 |
Unix-Services, bzw. Berkeley-Dienste |
768 - 1.023 |
dynamisch vergebenen, priviligierten Portnummern für andere Dienste |
1.023 - 49.151 |
Registered Ports, die von der IANA auf Anfrage vergeben und registriert werden. Damit soll vermieden werden, dass die gleiche Portnummer von
verschiedenen Anwendungen (Clients) verwendet wird und es dadurch zu Konflikten kommt. |
49.152 - 65.535 |
Dynamic/Private Ports sind frei benutzbar und können bei der IANA registriert werden |
Lösung schließen
Aufgabe 4: Welche Besonderheit bei der Nutzung von Ports gibt es beim DNS- Protokoll?
Lösung
Ein Domain Name System (DNS) ist ein online verteiltes Datenbanksystem, in dem die IP- Adressen
von Rechnern in Domainnamen umsetzt werden. Umgekehrt kann das DNS-System aus den Domainnamen die
IP- Adressen ableiten und darüber eine Netzwerkverbindung zu dem Rechner herstellen.
Beim DNS- Servern sind zwei Anfragearten möglich: die Anfrage von Client an den jeweiligen
DNS- Server und die Zonenanfrage zwischen zwei DNS-Servern untereinander. Im zweiten Fall kommunizieren
die beiden Server über das UDP- Protokoll miteinander und nutzen beide den Port 53. Zu Konflikten
kann es dabei nicht kommen, da pro Rechner nur ein einziger DNS- Server laufen kann.
Lösung schließen
Aufgabe 5: Was bewirkt der Befehl iptables -L -n -v
?
Lösung
Mit dem Befehl iptables
kann ein Router so konfiguriert werden, dass er die Funktionen
eines Paketfilters übernimmt. Die Konfiguration kann nur vom Administrator (root) vorgenommen
werden. Mit iptables -L -n -v
wird die aktuelle Konfiguration der Filterregeln angezeigt.
Dieser Befehl setzt sich folgendermaßen zusammen:
-L
=> listet alle Regeln der ausgewählten Kette auf. Wird keine Kette ausgewählt, werden alle Ketten aufgelistet.
-n
=> IP- Adressen und Portnummern werden im numerischen Format angezeigt. Standardmäßig wird das
Programm versuchen, sie als Host-Namen, Netzwerknamen, oder Dienste anzuzeigen.
-v
=> zeigt eine detaillierte Liste mit vielen Zusatzinformationen auf
Lösung schließen
Aufgabe 6: Mit welchem Befehl löscht man eine Filterregel?
Lösung
Mit dem Befehl iptables - D
kann eine zuvor erstellte Filterregel gezielt gelöscht
werden. Als Argumente zum Löschen werden entweder die Nummer innerhalb der Kette oder die Filterregel
selbst benutzt.
Lösung schließen
Aufgabe 7: Mit welchem Befehl löscht man eine Kette?
Lösung
Um eine zuvor definierte Kette zu löschen, müssen zunächst alle Filterregel aus dieser
Kette gelöscht werden. Der Befehl dafür lautet iptables- D
mit dem entsprechenden
Argument (s.o). Anschließend kann mit dem Befehl iptables - X KETTE
die gesamte Kette
gelöscht werden.
Lösung schließen
Aufgabe 8: Wie löscht man die Kette "input"?
Lösung
Mit dem Befehl iptables -F INPUT
werden alle in der Kette "Input"
vorhandenen Filterregeln gelöscht.
Lösung schließen
Aufgabe 9: Geben Sie eine Regel an, mit der man den Zugriff auf die IP-Adresse 192.168.11
für das HTTP Protokoll unterbindet. Die Regel soll in der "input"- Kette eingefügt werden.
Lösung
Mit dem Befehl iptables - A INPUT -s 192.168.1.1 -j DROP
werden sämtliche
Datenpakete, die von dieser IP- Adresse ausgehen, verworfen. Dadurch erhält diese IP-
Adresse dann fortan nur noch Verbindungs- Timeouts. Der Befehl eignet sich, um eine einzelne IP-
Adresse zu sperren.
Lösung schließen
Aufgabe 10: Mit welchem Argument des "iptables"- Befehls werden die Bewertungsziele gesetzt?
Lösung
Mit dem Parameter -j
innerhalb des iptables- Befehls wird festgelegt, was mit dem
Datenpaket geschehen soll, wenn eine bestimmte Regel zutrifft. Als Argumente für den Parameter
-j
werden dann die Bewertungsziele (s.u. Aufgabe 11) verwendet.
Lösung schließen
Aufgabe 11: Nennen Sie die Bewertungsziele mit einer kurzen Erklärung der Funktion.
Lösung
Zur Bearbeitung von Datenpaketen gibt es mehrere Bewertungsziele. Häufig genutzte sind:
ACCEPT
- das Datenpaket wird zugelassen
REJECT
- das Datenpaket wird nicht zugelassen, der Absender erhält eine entsprechende Fehlermeldung
DROP
- das Datenpaket wird ignoriert, der Absender bekommt keine Fehlermeldung
REDIRECT
- die Ziel-Adresse des Paketes wird so verändert, dass es zum lokalen Rechner zur Weiterverarbeitung gesendet wird
MASQ
- die Quell-Adresse des Paketes wird durch die IP- Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
Lösung schließen
Aufgabe 12: Warum darf ein Datenpaket, welches eine IP- Adresse der Schwarzen Liste enhtält, eigentlich nicht existieren, wenn es aus dem Internet kommt?
Lösung
Auf der s.g. Schwarzen Liste sind IP- Adressen aufgeführt, die nicht vergeben oder nicht geroutet wurden, d.h.
eigentlich nicht existieren dürften. Daraus ließe sich ableiten, dass die Datenpakete von
diesen IP- Adressen illegal sind und speziell für System- Angriffe genutzt werden.
Die Firewall kann so konfiguriert werden, dass die Datenpakete aus diesen IP- Adressen mit
-j DROP
abgelehnt werden.
Lösung schließen
Aufgabe 13: Stellt das FWTK von TIS einen Paketfilter oder ein Proxy- System zur Verfügung?
Lösung
Das FWTK (Firewall Tool Kit) ist eine Proxy- Software der Firma TIS, die für die meisten
Internet-Dienste gute Proxy Server beinhaltet und somit die Installation einfacher gestaltet. Dieses
Paket kann für nicht- kommerzielle Zwecke genutzt werden und beinhaltet Proxies für folgende
Dienste:
- Telnet
- FTP
- Rlogin
- Sendmail
- HTTP
- X Window System
Für jeden dieser Proxies müssen die Regeln spezifiziert und in den entsprechenden Dateien
konfiguriert werden.
Generell sind proxybasierte Firewalls sicherer als die vielen verfügbaren Paketfilter.
Lösung schließen