Buffl
Buffl
Informationssicherheit

Firewall

CK
by Clemens K.

Was wird allgemein unter einer Firewall verstanden?

Sicherungssystem, das ein Netzwerk oder einen einzelnen Computer vor unerwünschtem Zugriff über Datenleitungen von außen, besonders über das Internet, schützt

Option 2: Gerät, Betriebssystemkomponente oder Programm, das oder die eine Zugriffskontrolle mit Hilfe eines Filters realisiert.

Worin besteht der wesentliche Unterschied zwischen einer Proxy-Firewall und einem Packet-Filter?

Packet: Firewall, die Pakete der Ebenen 3 und/oder 4 ohne Betrachtung der Dateninhalte prüft

Proxy: Firewall, die Pakete der Ebenen 3, 4 bis 7 einschließlich der Daten prüft

Skizzieren Sie mindestens zwei Angriffe, die mit fragmentierten Paketen arbeiten.

Tear-Drop: Kopf vom ersten Fragment in Ordnung, erlaubte Ports werden angesprochen und durchgelassen. Zweites Fragment kann z.B. Portnummern des ersten Fragments überschreiben, wird aber auch durchgelassen, da erstes Fragment in Ordnung war.

Skizzieren Sie Situationen, in denen das Verbieten von Fragmentierung bzw. das Unterdrücken der korrespondierenden ICMP-Fehlermeldungen zu Problemen führt.

- Wenn es keine Standards für die maximale Paketgröße von IP-Paketen gibt

- Wenn verschiedene Hardware unterschiedliche Paketgrößen nutzt

Da der beste Durchsatz durch die Nutzung der maximalen Paketgröße erreicht wird, handelt die Software die Paketgröße mit den einzelnen Endgeräten aus.

=> Verbot von IP-Fragmentierung nicht sinnvoll

Wie sähe ein abstraktes Modell, eine allgemeine Architektur von Firewalls aus?

Das WAN wird über eine Firewall getrennt mit einem DMZ oder Intranet verbunden. Ein minimaler Ausbau dabei wäre eine Komponente auf einem Host, deren Netzschnittstellen mit Filtern versehen sind und auf dem die zu schützenden Applikationen laufen. Bei einem maximalen Ausbau würde eine Aufteilung in äußeren und inneren Bereich geschehen.

Was ist eine Personal Firewall? Arbeitet diese mit Proxies? Wo liegen dann diese?

Firewalls auf den Endsystemen(Client oder Server)

Proxies arbeiten auf Ebenen 3, 4 bis 7 (einschließlich Prüfung der Daten)

Option 2: Das sind die Firewalls auf den Endsystemen und sind bei Ende-zu-Ende-Verschlüsselung notwendig. Sie müssen vom Benutzer administriert werden, mit deren Meldungen er u.U. nicht immer klarkommt. Sie kann mit Proxies arbeiten, wobei die Firewall dann auf einem Proxy-Server eingerichtet werden muss und die Clients entsprechend vor Angriffen und/oder unsicheren Paketen schützt.

Was wird unter einem Dual Homed Host verstanden?

Diese Hosts haben zwei Netzschnittstellen mit jeweils zwei Filtern

Worin besteht der Unterschied zwischen einem zustandslosen und einem zustandsbehafteten Packet-Filter?

Zustandslose Firewall (statisch): Firewall, bei der jedes Paket isoliert von allen anderen untersucht wird

Kontextsensitive Firewall (zustandsbehaftet): Firewall, bei der mehrere im Zusammenhang stehende Pakete zur Grundlage der Entscheidung über das Filtern gemacht werden

Welche Vor- und welche Nachteile hat ein statisches Packet-Filter? Und welche ein dynamisches?

Statisch:

+ Einfache Regeln

- Leicht zu überwinden

Dynamisch:

+ Fängt sehr viel ab

- Anfällig für DoS Angriffe

Welche Arten von Adressen können bei einer Personal Firewall mit einem Übergang zum Internet von Außen in jedem Fall herausgefiltert werden? Nennen Sie drei Gruppen.

- Eigene IP-Adresse

- Multicast-Adressen der Klasse D

- Reservierte Adressen der Klasse E

- Loopback/Localhost

- Broadcast-Adressen

Welche Arten von Adressen können bei einer Dual-Homed-Firewall mit einem Übergang zum Internet von Außen in jedem Fall herausgefiltert werden? Nennen Sie drei Gruppen.

1. Alle Lokalen-Adressen.

2. Multicast-Adressen.

3. IP-Adresse von der Firewall selbst.

Welche Arten von ICMP-Paketen sollten als kritisch eingestuft werden und deren Art der Filterung in Betracht gezogen werden?

- Ping (ist von Fall zu Fall zu entscheiden)

- Alle fragmentierten ICMP-Pakete

- Alle Pakete mit "merkwürdigen" TCP-Flags

Was ist bei iptables eine Chain (Kette)?

Eine Regelkette wird solange durchlaufen, bis das Ende erreicht wird oder die erste Bedingung zutrifft. Bei Zutreffen der Bedingung wird eine Aktion ausgeführt. Ist das Ende einer Tabelle erreicht, wird die Policy angewandt

Das Filtermodul von iptables arbeitet mit 3 Regelketten. Welche sind dies und welche Bedeutung haben diese?

- Input-Chain: Filter für eingehende Pakete an Prozesse

- Forward-Chain: Filter für Pakete, die durchgeleitet werden

- Output-Chain: Filter für ausgehende Pakete von Prozessen

Was macht allgemein das Kommando iptables?

Es setzt, ändert oder löscht Regeln und Policies für die einzelnen Chains (Input, Forward, Output)

Worin besteht der Unterschied zwischen den iptables-Aktionen REJECT und DROP?

DROP: Kommentarlosen Verwerfen des untersuchten Pakets

REJECT: Verwerfen und zusätzliches Absenden einer ICMP-Fehlermeldung

Neben den iptables-Aktionen REJECT und DROP gibt noch weitere, welche?

- allow

- forward

Wodurch wird entschieden, ob ein empfangenes Paket durch die INPUT- oder durch die FORWARD-Chain "läuft"?

Alle Pakete, die als Destination der eigenen IP-Adresse entsprechen, gehen in die Input-Chain und alle Pakete mit einer anderen Destination gehen in die Forward-Chain.

Welche Schwierigkeiten entstehen, wenn die Firewall ihre IP-Adresse per DHCP erhält und diese in den iptables-Skripten benutzt wird? Wie können diese Schwierigkeiten überwunden werden?

Schwierigkeiten entstehen, wenn der DHCP-Server nicht läuft und dessen Funktion durch andere Server ersetzt wird. Dann geht nichts mehr („ausgesperrt“). Diese Schwierigkeit könnte man überwinden, indem man den Zugriff nicht nur auf „vertrauenswürdige Server“ beschränkt.

Unterstützt iptables NAT bzw. Masquerading? Falls ja, wie erfolgt dies?

Es wird die NAT-Tabelle benutzt, die vollkommen getrennt von der Filter-Tabelle ist.

Welche Regelketten von iptables kommen bei der NAT hinzu?

Die Übersetzung der IP-Adressen erfolgt über:

- PREROUTING-Chain (vor dem Routing)

- POSTROUTING-Chain (nach dem Routing)

NAT für die Absenderadresse:

- POSTROUTING-Chain für geroutete Pakete

- OUTPUT-Chain für lokal erzeugte Pakete

NAT für die Zieladresse:

PREROUTING-Chain vor dem Routing

Beschreiben Sie die Regelketten, die bei einer Dual Homed Firewall beim Durchlauf eines Paketes von Außen nach Innen in das LAN passiert werden, wenn NAT (Masquerading) benutzt wird.

von aussen :

pre routing (rein)

alles geht durch die Foreward chain

post routing (raus)

Bei personal firewall:

"accept all"

Was sind Kernelvariablen und auf welche zwei Arten können diese gesetzt bzw. abgefragt werden?

Sind Parameter des Kernels.

Mit der Shell reinschreiben oder lesen. Oder beim hochfahren.

Es soll NAT (Masquerading) eingesetzt werden. Werden die extern sichtbaren IP-Adressen in der FORWARD-Chain benutzt oder die LAN-internen?

Es werden die internen Adressen benutzt.

NAT = Network Address Translation

Nur eine Schnittstelle nach aussen und eine nach innen.

Paket von 25 an 75 muss von Router weitergeleitet werden.

Zurück : Router muss umschreiben.

Masquerading == die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse.

FORWARD-Chain wird nicht benutzt.

Ist eine Firewall auch ein Router?

Was wird unter NAT bzw. Masquerading verstanden? Erläutern Sie

dazu das Grundprinzip.

Es soll NAT (Masquerading) eingesetzt werden. Werden die ZielAdressen der aus dem Internet empfangenen Pakete in der FORWARD-Chain benutzt oder die LAN-internen?

Es soll NAT (Masquerading) eingesetzt werden. Werden die Absender-Adressen der ins Internet gesendeten Pakete in der FORWARDChain benutzt oder die LAN-internen?

Join Course
Preview

Author

Clemens K.

Information

Last changed

Report course
© 2023 Buffl GmbH