IP Adressen Block in einem LAN

[Lerian]

Moin,

wie kann ich denn IP Adressen blockieren. Muss ich das auch dem Squid machen oder auf der Firewall. Wohlgemerkt von innen nach außen und nicht von außen nach innen....

Lerian

[smokie]

Hallo!

Das kommt darauf an was du machen moechtest. Ueber Squid kannst du ACLs erstellen die den Zugriff regulieren. Siehe dazu [1]. Dies geschied aber nur fuer die http bzw. getunnelten Pakete.

Mit einem Paketfilter z.B. iptabels [2ff] kannst du IP Adressen und Ports sperren.

Gruss

smokie

[1] http://www.squid-cache.org/Doc/FAQ/FAQ-10.html

[2] http://www.sns.ias.edu/~jns/security/iptables/iptables_manpage.txt

[3] http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html

[4] http://www.sns.ias.edu/~jns/security/iptables/

[Lerian]

jo danke...habe es über squid gemacht, also acls....

allerdings kann der rechner noch via icq rein....lol

lerian

[smokie]

Hallo Lerian,

warum benutzt du nicht das icq masquerading modul oder einen SOCKS4/5 proxy? Ich denke dort kannst du genauere Einschraenkungen machen.

Gruss

smokie

[Lerian]

hm....

weil wenn ich ehrlich bin davon keine ahnung habe.....*gg*..

wie gesagt ich bin in das eiskalte wasser geschmissen worden, und lerne nun rasend schnell linux...wobei eher lesen anstatt lernen besser wäre...*gg*...

erkläre mal wie das genau funktioniert.

lerian

[smokie]

Hallo Lerian,

nun ich persoenlich benutze kein icq, aber die Grundlagen kann ich dir mal so auf die Schnelle erklaeren. Den rest kannst du dir ja sicher ergooglen bzw. genauer fragen wo es noch klemmt.

Also zunaechst einmal den Begriff Firewall klaeren

Die Firewall ist eine Kombination aus Hard- und Software, die als Barriere zwischen dem lokalen zu schuetzenden Netz und dem oeffendlichen "feindlichen" Netzt steht. Dazu muss der komplette Verkehr zwischen lokalen und oeffentlichen Netz ueber dieses Firewallsystem erfolgen. Alle Aktionen, Ab- und Zugaenge und Dienste werden in beiden Richtungen in erlaubt und nicht erlaubt eingeteilt. Normalerweise ist alles verboten was nicht explizit erlaubt worden ist.

Firewallkonzepte

Firewall ist ein Konzept ueber das die Sicherheit eines Netzes erhoeht werden soll. Dieses Konzept wird ueber Paketfilter (package filter), Circuit Relays und Application Gateways.

Paket Filter

Paket Filter stellen eine einfache Form eines Firewallsystems dar. Sie arbeiten auf der Schicht 3 des OSI Modelles und filter nach

- Source-/Destination Adressen also Ursprungs- und Zieladressen

- Portnummern (ebenfalls Src./Dst.)

- und Protokollen.

Circuit Relays

Im Gegensatz zu Paketfiltern arbeiteten Circuit Relays auf der Transport- und Anwendungsschicht. Die Client-Software muss darauf ruecksicht nehmen und eventuell erweitert werden bzw. dementsprechende Erweiterungen haben. Es wird eine direkte Verbindung zwischen internen und externen Host verhindert in dem der Circuit-Relay-Server nach empfang der ersten Pakete diese nach erfolgreicher Pruefung an den entfernten Host weiter kopiert. Und die Antwort wieder in Richtung des internen Hosts kopiert.

Application Gateways

Application Gateways setzten im Gegensatz zu Curcuit Relays oberhalb der Anwendungsschicht an und sind deshalb die sicherste Firewallvariante. Es wird auch hier wie bei den Circuit Relays jedes Paket zwischen internen und externen Host ueberprueft es ist aber keine besondere Anpassung an den Applikationen noetig, da Application Gateways sich wie normale Applikation Server verhalten. Es herrscht also auch hier keine dierekte Verbindung zwischen den Hosts. Durch die Ueberwachung der Pakete auf Anwendungebene bieten sich sehr viele verschiedene Ueberwachungsmoeglichkeiten die auch speziell auf eine Applikation zugeschnitten sein kann.

Vorgehen

Wie kann ich angegriffen werden?

- Durch angebotene Dienste

- IP-Spoofing (Adress faelschung)

- Bufferoverflows (Speicherueberlaeufe)

- Verbiegen von Routingtabellen

- Sniffer-Attacken (Lauschangriff)

- Trojanische Pferde (Griechen Odysseus und so (Krieg von Troja))

- Viren (Grippe )

- Denail of Service Attacken ("zumuellen")

Was will ich erreichen:

- Ueberlege dir welche Dienste angeboten werden muessen

- Welche Dienste sollen genuzt werden koennen

- Gibt es eine Spezielle Benutzergruppe die spezielle Dienste benoetigt die andere Benutzer nicht brauchen (Einschraenkung der Angreifer)

- Welche Dienste sollen ueber einen Proxie (z.B. http, ftp, ...), einen eigenen Server (z.B. smtp, pop3, imap, nntp, ...) auf welche Dienst soll direkt Zugeriffen werden.

Umsetzung

Siehe Dokumentationen deiner Paketfilter, Proxies, ...

Beispiele Proxies

- Squid http://www.squid-cache.org/

- SOCKS4/5 http://www.socks.permeo.com/

- ... (google)

Beispiele Paketfilter

- ipchains (alt) http://www.netfilter.org/ipchains/

- netfilter/iptables (neu) http://www.netfilter.org/

Anmerkungen

Zu ipchains und iptabels gibt es besondere Kernel-Module um Masquerading (das Maskieren der lokalen Host IP in die externe "offizielle" IP Adresse) zuverweinfachen. Diese Module gibt es fuer ftp, irc, iqc (ich glaube noch ein paar weitere).

Was du genau erreichen willst hast du nicht geschrieben von daher hab ich mal ein bischen was aufgelistet. Den Rest solltest du eigentlich ueber eine deiner Suchmaschinen ausfindig machen koennen.

Noch was zu lesen

http://www.little-idiot.de/firewall/zusammen.html

Zwar schon etwas aelter aber fuer die Grundlagen reichts alle mal.

Gruss

smokie