Einsendeaufgabe zu Studienheft INT 13

- Internet Security -

Frage 1

Warum soll man es vermeiden, mehrere Router und damit mehrere Netze an eine DMZ zu hängen?

Das lokale Netzt ist nicht mehr geschützt, wenn ein Angreifer auf den Bastion-Host eingedrungen ist.
Sind an die DMZ mehrere Router angeschlossen, und der Datenverkehr für bestimmte Dienste zwischen den Netzen freigegebenen, könnte durch einen Sniffer auf einem Bastion-Rechner dieser mitgelesen werden, und an einen Angreifer weitergeleitet werden.
Auch aus Performancegründen ist es sinnvoll eine Trennung der Netze vorzu-nehmen.

Frage 2

Hinter welchen Port-Nummern findet man die „klassischen“ Server?

Die Empfänger-Ports für „klassische“ Internetdienste wie z.B. WWW, POP3 oder SMTP liegen immer unter Port 1024. Absende-Ports liegen generell über Port 1024.

Frage 3

Wie sieht von den Port-Nummern aus betrachtet eine Verbindung zwischen einem „klassischen“ Server und einem Client aus? Sind die Port-Nummern fest?

Damit Client und Server mit einander kommunizieren können muss ein Verbindungsaufbau zum zugewiesenen Port möglich sein.
Der Client sendet z. B. über Port 80 ein Datenpaket mit einem SYN-Flag an den Server um die Verbindung vorzubereiten. Dieses Datenpaket beinhaltet keine Informationen der Protokolle der höheren Schichten.
Der Server antwortet mit einem SYS-ACK-Paket mit der Bestätigung der Anfrage des Clients.
Damit der Verbindungsaufbau abgeschlossen werden kann, antwortet der Client mit einem ACK-Paket.
Auch bei einem Webserver sind die Port-Nummern frei konfigurierbar und müssen nicht zwangsläufig die Port-Nummer 80 haben.

Frage 4

Welche Besonderheit bei der Nutzung der Ports gibt es beim DNS-Protokoll?

Das DNS-Protokoll ist für die Auflösung von IP-Namensadressen zuständig. Es wandelt Web-Adressen in dazugehörige IP-Adressen um.
(z. B. www.frank-aus-letmathe.de → 188.40.50.203).

Es gibt zwei Arten von Datentransfers beim DNS-Protokoll:

  1. Lookups
      Anfragen eines Clients an einen Name-Server nach einer Namensauflö-
      sung. Die Lookups werden zunächst über das UDP-Protokoll versucht.
      Scheitert dies, dann wird der Lookup  über das TCP-Protokoll durchgeführt.
  2. Zonenanfragen unter DNS-Servern
      Das DNS-Protokoll kommuniziert zwischen zwei Servern über das UDP-
      Protokoll, wobei beide Server Port 53 benutzen.
Frage 5

Was bewirkt der Befehl iptables –L –n –v ?

Dieser Befehl zeigt die aktuelle Konfiguration der Filterregeln des Rechners an.

    -L =  Liste
              Anzeigen der aktuellen Konfiguration
    -n =  numeric (IP-Adressen-Namensauflösung wird unterdrückt).
              Wird dieser Parameter angegeben, so erfolgt die Anzeige auch bei
              einer nicht vorhandenen oder fehlerhaften Konfiguration des Name-
              Servers sehr schnell. Lange dauern kann allerdings das Warten auf
              Timeouts vom Name-Server.
    -v =  verbose
              ausführlichere Anzeige mit vielen Zusatzinformationen

Frage 6

Mit welchem Befehl löscht man eine Filterregel?

linux:~ # iptables –D <Kette> <num>
   löschen einer  Regel in einer Kette, entweder über die Beschreibung der Regel oder  deren Nummer

Frage 7

Mit welchem Befehl löscht man eine Kette?

linux:~ # iptables –F<name> (löschen aller Regeln innerhalb der Kette)
linux:~ # iptables –X<name> (löschen der Kette)

Frage 8

Wie löscht man die Kette „input“?

Die Ketten input, forward und output sind Basisketten, die vom System zur Verfügung gestellt werden. Die Basisketten, können nicht gelöscht werden.

Frage 9

Geben Sie eine Regel an, mit der man den Zugriff auf die IP-Adresse 192.168.1.1 für das http Protokoll unterbindet. Die Regel soll in der „input“-Kette eingefügt werden.

iptables –A INPUT –d 192.168.1.1 –p http – j DROP

Frage 10

Mit welchem Argument des „iptables“-Befehls werden die Bewertungsziele gesetzt?

Mit dem Argument –j werden die Bewertungsziele gesetzt. Nach dem Argument –j wird das Bewertungsziel angegeben.

Frage 11

Nennen Sie die Bewertungsziele mit einer kurzen Erklärung der Funktion.

 

BewertungszielFunktion

ACCEPT

Akzeptieren des Datenpakets
DROP Verwirft das Datenpaket und der Absender erhält keine ICMP-Fehlermeldung.
REJECT Lehnt ein Datenpaket ab, sendet aber im Gegensatz zu DENY eine ICMP-Fehlermeldung zum Absender zurück
MASQ Aktiviert das IP-Masquerading, kann nur bei forward-Ketten eingesetzt werden
REDIRECT Fängt ein Datenpaket ab und leitet dieses zu einem bestimmten Port auf dem Rechner weiter, von wo aus es dann weiterverarbeitet werden kann
RETURN Erlaubt das Zurückspringen aus benutzerdefinierten Ketten, ohne dass diese bis zum Ende abgearbeitet werden (hauptsächlich für Testzwecke brauchbar)
Frage 12

Warum darf ein Datenpaket, welches eine IP-Adresse der Schwarzen Liste enthält, eigentlich nicht existieren, wenn es aus dem Internet kommt?

IP-Adressen der Schwarzen Liste stammen nicht von einem „legalen“ Host im Internet. Diese IP-Adressen werden nicht vergeben bzw. nicht geroutet.
Bekommt man ein solches Datenpaket, dann handelt es entweder um eine feh-lerhafte Konfiguration auf der Seite des Absenders oder um einen Angriff auf das System des Empfängers. Diese Pakete muss man auf jeden Fall ablehnen.

Frage 13

Stellt das FWTK von TIS einen Paketfilter oder ein Proxy-System zur Verfügung?

Das FWTK von TIS stellt ein Proxy-System zur Verfügung.
Für folgende Dienste sind Proxies im Paket entahlten:

FTP
http
Rlogin
Sendmail
Telnet
X Window System